L'attaque Scob : le détail des vulnérabilités exploitées.

Par Jerome Saiz, le 28 juin 2004 à 16:37:00.

Les détails au sujet de l'attaque Scob/Ject sont rares. Quelles failles ont-elles été exploitées ? Existe-t-il vraiment aucun correctif pour Internet Explorer ? LesNouvelles.net est allé poser la question à Microsoft France.

On a tout entendu au sujet de l'attaque Scob/Ject. Et le fait est que personne ne sait encore réellement quelle faille a été exploitée pour prendre le contrôle des serveurs IIS 5. Pour tenter de clarifier le débat, Les Nouvelles.net est allé interroger Bernard Ourghanlian, Directeur technique et sécurité de Microsoft France.

IIS : PCT est le suspect idéal

Microsoft reconnaît que "la faille exploitée n'est pas encore totalement établie. Ce que l'on peut en dire pour l'instant est que l'ensemble des serveurs IIS 5 qui ont été compromis n'avaient pas le correctif MS04-011 installé lors de l'attaque".
Mais l'éditeur a malgré tout sa petite idée du coupable : "La vulnérabilité plus probablement exploitée est la vulnérabilité PCT (corrigée dans le patch MS04-011 du 14 avril 2004, ndlr). Mais ceci reste à confirmer", explique Bernard Ourghanlian.

Internet Explorer : pas de correctifs à ce jour

Du côté des utilisateurs, deux failles non corrigées ont effectivement été exploitées afin de forcer le navigateur à télécharger et exécuter le cheval de Troie. Hélas, aucune d'elle n'est corrigée à ce jour.
La première de ces failles est la "Internet Explorer Modal Dialog Zone Bypass Vulnerability", déjà détaillée par ailleurs... mais pas encore corrigée. "Cette vulnérabilité n'est pas actuellement corrigée dans des versions officielles d'IE, mais elle l'est d'ores et déjà dans le SP2 de Windows XP. Nous travaillons d'arrache-pied pour la corriger au plus vite sans induire de régression", précise Bernard Ourghanlian, en ajoutant que la non régression est dans ce cas un problème assez complexe à résoudre.

La seconde faille est dite "Internet Explorer ADODB.Stream Object File Installation Weakness" et c'est elle qui réalise l'installation du cheval de Troie sur le client. Elle aussi a déjà été détaillée. Micrososoft ne peut se prononcer quant à la disponibilité d'un patch, mais indique qu'il y a différentes possibilités de contourner ce problème, toutes déjà documentées sur le site de l'éditeur.

Le Directeur technique cite en exemple deux de ces méthodes, qui nécessitent de modifier la Base de Registres de Windows.
(attention ! Toute modification maladroite de la Base de Registres entraîne le risque de rendre Windows incapable de fonctionner. Ce dont, bien sûr, ni Microsoft ni Les Nouvelles.net ne sauraient être tenus pour responsables).

Il faut modifier la clé :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveXCompatibility\{00000566-0000-0010-8000-00AA006D2EA4}]
en mettant l'entrée "Compatibility Flags" à la valeur dword:00000400

ou encore modifier la clé :
[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0]
et mettre l'entrée "Flags" à la valeur dword:00000001

Cette dernière solution permet de rendre la zone Local Zone/My Computer visible depuis l'onglet Options-> Security et ainsi de pouvoir contrôler le niveau de sécurité à appliquer aux objets web exécutés localement (l'une des technique courante dans de telles attaques).

Plus d'information

• La page du site de Microsoft consacrée à l'alerte Scob/Ject.

A voir aussi

• Déluge de vulnérabilités pour Windows (14 avril 2004)
• Une alliance pour mieux décrire les vulnérabilités. (20 fév 2005)
• Lot de vulnérabilités pour Real et ses Players. (06 fév 2004)
• Mariage surprise dans l'audit de vulnérabilités. (07 déc 2002)
• La vulnérabilité Debian identifiée. (01 déc 2003)