CERTA-2007-ALE-008
Vulnerability from certfr_alerte

Une vulnérabilité non corrigée présente dans Microsoft Windows ferait actuellement l'objet d'une exploitation à distance à l'aide d'un code malveillant , nommé par certains antivirus Exploit-ANIfile.c ou TROJ_ANICMOO.AX. Cette vulnérabilité serait liée à celle corrigée par Microsoft dans le bulletin de sécurité MS05-002 du 11 janvier 2005 et détaillée dans CERTA-2005-AVI-011.

Description

Cette vulnérabilité permettrait à un utilisateur distant malintentionné d'exécuter du code arbitraire au moyen d'un fichier de données animées (icône ou curseur) (.ani) spécialement construit. L'exploitation de cette vulnérabilité ne nécessite aucune interaction de la part de l'utilisateur, dans la mesure où Internet Explorer interprète ce type de fichiers sans action particulière. L'infection peut également avoir lieu par ouverture de courrier via Outlook ou par téléchargement d'un tel fichier ANI (transferts par USB par exemple). Cette vulnérabilité ne concerne pas directement Outlook et Internet Explorer, mais la bibliothèque de fonctions user32.dll de Microsoft Windows.

Cette vulnérabilité est massivement exploitée sur l'Internet et Microsoft a publié l'avis de sécurité 935423 à ce sujet.

03 avril 2007 :

Le CERTA a publié l'avis CERTA-2007-AVI-156, suite à la publication du bulletin de sécurité MS07-017 par Microsoft.

Contournement provisoire

  • Filtrer les fichiers (icône ou curseur) (.ani) au niveau des serveurs mandataires ou locaux ;
  • utiliser un navigateur Internet alternatif à Microsoft Internet Explorer ;
  • configurer les clients de messagerie de manière à afficher les messages électroniques en texte brut. Cette solution est cependant imparfaite.

Solution

Appliquer le correctif annoncé par Microsoft dans le bulletin de sécurité MS07-017 du 03 avril 2007.

A la date de rédaction de ce bulletin d'alerte, la liste des systèmes affectées peut encore évoluer.

  • Microsoft Windows 2000 Service Pack 4 ;
  • Microsoft Windows XP Service Pack 2 ;
  • Microsoft Windows XP 64-bit Edition Version 2003 (Itanium) ;
  • Microsoft Windows XP Professional x64 Edition ;
  • Microsoft Windows Server 2003 ;
  • Microsoft Windows Server 2003 pour systèmes Itanium (avec SP1 et SP2) ;
  • Microsoft Windows Server 2003 Service Pack 1 et Service Pack 2 ;
  • Microsoft Windows Server 2003 x64 Edition ;
  • Microsoft Windows Server 2003 x64 Edition Service Pack 2 ;
  • Microsoft Windows Vista.
Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eA la date de r\u00e9daction de ce bulletin d\u0027alerte, la liste des  syst\u00e8mes affect\u00e9es peut encore \u00e9voluer.\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eMicrosoft Windows 2000 Service Pack 4 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Service Pack 2 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP 64-bit Edition Version 2003 (Itanium)    ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Professional x64 Edition ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 pour syst\u00e8mes Itanium (avec    SP1 et SP2) ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 Service Pack 1 et Service    Pack 2 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 x64 Edition ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 x64 Edition Service Pack 2    ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Vista.\u003c/LI\u003e  \u003c/UL\u003e",
  "closed_at": "2007-04-03",
  "content": "## Description\n\nCette vuln\u00e9rabilit\u00e9 permettrait \u00e0 un utilisateur distant malintentionn\u00e9\nd\u0027ex\u00e9cuter du code arbitraire au moyen d\u0027un fichier de donn\u00e9es anim\u00e9es\n(ic\u00f4ne ou curseur) (.ani) sp\u00e9cialement construit. L\u0027exploitation de\ncette vuln\u00e9rabilit\u00e9 ne n\u00e9cessite aucune interaction de la part de\nl\u0027utilisateur, dans la mesure o\u00f9 Internet Explorer interpr\u00e8te ce type de\nfichiers sans action particuli\u00e8re. L\u0027infection peut \u00e9galement avoir lieu\npar ouverture de courrier via Outlook ou par t\u00e9l\u00e9chargement d\u0027un tel\nfichier ANI (transferts par USB par exemple). Cette vuln\u00e9rabilit\u00e9 ne\nconcerne pas directement Outlook et Internet Explorer, mais la\nbiblioth\u00e8que de fonctions user32.dll de Microsoft Windows.\n\nCette vuln\u00e9rabilit\u00e9 est massivement exploit\u00e9e sur l\u0027Internet et\nMicrosoft a publi\u00e9 l\u0027avis de s\u00e9curit\u00e9 935423 \u00e0 ce sujet.\n\n03 avril 2007 :\n\nLe CERTA a publi\u00e9 l\u0027avis CERTA-2007-AVI-156, suite \u00e0 la publication du\nbulletin de s\u00e9curit\u00e9 MS07-017 par Microsoft.\n\n## Contournement provisoire\n\n-   Filtrer les fichiers (ic\u00f4ne ou curseur) (.ani) au niveau des\n    serveurs mandataires ou locaux ;\n-   utiliser un navigateur Internet alternatif \u00e0 Microsoft Internet\n    Explorer ;\n-   configurer les clients de messagerie de mani\u00e8re \u00e0 afficher les\n    messages \u00e9lectroniques en texte brut. Cette solution est cependant\n    imparfaite.\n\n## Solution\n\nAppliquer le correctif annonc\u00e9 par Microsoft dans le bulletin de\ns\u00e9curit\u00e9 MS07-017 du 03 avril 2007.\n",
  "cves": [
    {
      "name": "CVE-2007-0038",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-0038"
    }
  ],
  "initial_release_date": "2007-03-29T00:00:00",
  "last_revision_date": "2007-04-03T00:00:00",
  "links": [
    {
      "title": "Article concernant le premier ver exploitant la    vuln\u00e9rabilit\u00e9 de cet avis, ISC SANS :",
      "url": "http://isc.sans.org/diary.html?storyid=2550"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Microsoft 935423 du 29 mars 2007 :",
      "url": "http://microsoft.com/technet/security/advisory/935423.mspx"
    },
    {
      "title": "Avis CERTA CERTA-2005-AVI-011 du 12 janvier 2005 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-011/index.html"
    },
    {
      "title": "Description du code malveillant    ``Exploit-ANIfile.c\u0027\u0027 d\u00e9tect\u00e9 par McAfee :",
      "url": "http://vil.nai.com/vil/content/v_141860.htm"
    },
    {
      "title": "Avis CERTA-2007-AVI-156 du 03 avril 2007 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-156/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS07-017.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx"
    },
    {
      "title": "Annonce de s\u00e9curit\u00e9 sur le Web Log McAfee du 28 mars 2007 :",
      "url": "http://www.avertlabs.com/research/blog/?p=230"
    },
    {
      "title": "Description du code malveillant    \u0027\u0027TROJ_ANICMOO.AX\u0027\u0027 d\u00e9tect\u00e9 par Trend Micro :",
      "url": "http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ANICMOO.AX"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS05-002 du 11 janvier 2005    :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS05-002.mspx"
    }
  ],
  "reference": "CERTA-2007-ALE-008",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-03-29T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence CVE.",
      "revision_date": "2007-03-30T00:00:00.000000"
    },
    {
      "description": "ajout de r\u00e9f\u00e9rences concernant l\u0027exploitation massive de la vuln\u00e9rabilit\u00e9.",
      "revision_date": "2007-04-02T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft MS07-017.",
      "revision_date": "2007-04-03T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 non corrig\u00e9e pr\u00e9sente dans Microsoft Windows ferait\nactuellement l\u0027objet d\u0027une exploitation \u00e0 distance \u00e0 l\u0027aide d\u0027un code\nmalveillant , nomm\u00e9 par certains antivirus Exploit-ANIfile.c ou\nTROJ_ANICMOO.AX. Cette vuln\u00e9rabilit\u00e9 serait li\u00e9e \u00e0 celle corrig\u00e9e par\nMicrosoft dans le bulletin de s\u00e9curit\u00e9 MS05-002 du 11 janvier 2005 et\nd\u00e9taill\u00e9e dans CERTA-2005-AVI-011.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Mirosoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Annonce de s\u00e9curit\u00e9 sur le bloc-notes McAfee du 28 mars 2007",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.