Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2000-AVI-009

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 20 juin 2000
No CERTA-2000-AVI-009

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Exécution de programmes locaux grâce aux fichiers d'aides de Windows

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-009

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2000-AVI-009
Titre Exécution de fichiers locaux grâce aux fichiers d'aides de Microsoft Windows
Date de la première version 20 juin 2000
Date de la dernière version -
Source(s) Avis CA-2000-12 du CERT/CC
  Bulletin de Microsoft
Pièce(s) jointe(s) Aucune
   

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution arbitraire de fichiers locaux.

2 Systèmes affectés

Tout système utilisant Microsoft Internet Explorer.

3 Résumé

Grâce à la lecture d'un fichier d'aide de Windows (extension .CHM) astucieusement construit, un utilisateur peut être conduit par une personne mal intentionnée à exécuter localement du code à son insu.

4 Description

Microsoft a proposé un format de fichiers d'aide pour Windows qui permet, en cliquant sur un lien, d'exécuter du code en local (programmes, ou scripts). Par exemple, en lisant l'aide de Windows pour configurer une imprimante, il est possible d'ouvrir le gestionnaire d'impression en cliquant sur un lien de cette aide.

Un utilisateur mal intentionné peut générer ce genre de fichier en y mettant des liens vers des fichiers exécutables locaux de son choix (voire vers des documents bureautique contenant des macros). Si ce fichier d'aide se trouve sur un lecteur réseau connecté (UNC) ou s'il est placé localement sur le disque (par détachement d'un mail, par exemple), il permet de faire exécuter des fichiers arbitraires par celui qui le lirait et cliquerait sur les liens insérés dans le texte. Il porfite du fait qu'en cliquant sur un lien on ne pense pas forcément exécuter du code.

Ce type de fichiers peut aussi être exécuté, de façon non-interactive, et donc à l'insu de l'utilisateur, via un contrôle ActiveX situé dans une page web ou dans un mail lu par Microsoft outlook.

5 Contournement provisoire

Il faut :

  • Rester vigilant vis à vis des des documents de tout type contenant éventuellement des scripts (macro, VBS, ActiveX, etc.).
  • Désactiver les contrôles ActiveX, comme indiqué dans les notes CERTA-2000-INF-002, CERTA-2000-AVI-002 et CERTA-2000-REC-001, pour les 4 types de Zones : Internet, Intranet Local, Sites de confiance (Maintenir une liste précise des sites utilisant HTTPS comme protocole), et Sites sensibles (Sites dont le contenu pourrait endomager votre système).

    Il existe une cinquième zone, qui n'est généralement pas visible appelée « Poste de travail » (My Computer). Les paramètres de sécurité pour cette zone sont observables ou modifiables par la base des registres (regedit). Pour plus de détails voir le site de microsoft :

    http://support.microsoft.com/support/kb/articles/Q182/569.asp

    En outre, les paramètres de sécurité de la zone poste de travail peuvent être administrés grâce au logiciel « Internet Explorer Administration Kit » (IEAK).

    Pour la version francaise :

    http://www.microsoft.com/windows/ieak/fr/download/default.asp

6 Solution

6.1 À la main

Le contrôle HHCtrl est le point central de l'exploitation de cette vulnérabilité. Si vous désirez agir plus finement (à vos risques et périls) que dans les recommandations générales des notes du CERTA, le CERT/CC propose de désactiver soit « Contrôles ActiveX reconnus sûrs pour l'écriture de scripts » soit les « Contrôles d'initialisation et de scripts ActiveX non marqués » uniquement pour le contrôle HHCtrl, qui sont tous les deux activés par défaut lors de l'installation d'Internet Explorer.

Pour celà, supprimez l'une des deux clefs suivantes de la base de registres :

  • HKEY_CLASSES_ROOT\CLSID\ {ADB880A6-D8FF-11CF-9377-00AA003B7A11} \ Implemented Categories\ {7DD95801-9882-11CF-9FA9-00AA006C42C4}
  • HKEY_CLASSES_ROOT\CLSID\ {ADB880A6-D8FF-11CF-9377-00AA003B7A11} \ Implemented Categories\ {7DD95802-9882-11CF-9FA9-00AA006C42C4}

6.2 correctif partiel

Microsoft fournit un correctif qui n'autorise pas l'exécution de code, par un lien situé dans un fichier d'aide de ce type, se trouvant sur un lecteur réseau. Ce correctif ne traite pas l'exécution de code si le fichier d'aide se trouve sur un disque local (suite à un télechargement par exemple) :

Enfin, microsoft propose aussi un correctif pour outlook, protègeant un peu plus les utilisateurs de ce gestionnaire de courriers contre les scripts contenus dans les mails et les pièces jointes.

Pour le télecharger aller à l'adresse suivante :

http://www.officeupdate.com/2000/downloaddetails/out2ksec.htm

7 Documentation

Gestion détaillée du document

20 juin 2000
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 16/05/2012