CERTA-2011-ALE-006
Vulnerability from certfr_alerte

Symantec et le Laboratory of Cryptography and System Security (CrySys) ont découvert une vulnérabilité non corrigée et exploitée sur l'Internet par le logiciel malveillant Duqu. Microsoft a publié un avis de sécurité 2639658 détaillant les mesures de protection immédiates pouvant être mises en œuvre.

Description

Le logiciel malveillant Duqu se propage notamment via l'exploitation d'une vulnérabilité non corrigée dans les polices TrueType. À ce jour, le code malveillant utilise pour vecteur un document Microsoft Word mais toute application reposant sur la fonctionnalité des polices embarquées est potentiellement vulnérable.

Pour mettre en œuvre son code d'exploitation, l'attaquant va intégrer à un document une police malveillante dont le chargement par le système va déclencher l'exécution de code arbitraire.

Enfin, il est important de prendre en compte les différents vecteurs que la plateforme Windows propose en terme de transport de polices de caractères.

La technologie Embedded Open Type (EOT) permet d'intégrer des polices TrueType à des documents HTML. Lors de l'ouverture d'une page Web, Internet Explorer va ouvrir le conteneur EOT et déclencher le chargement par Windows de la police TrueType contenue provoquant alors l'exécution de code arbitraire. Internet Explorer est le seul navigateur à supporter la technologie Embedded Open Type.

Au moment de la publication de cet avis, seuls des contournements provisoires sont disponibles. Une mise à jour de sécurité serait en cours de développement par Microsoft.

Contournement provisoire

Le contournement proposé par Microsoft repose sur le blocage des fonctionnalités de polices embarquées (T2EMBED.DLL).

Les polices embarquées, par exemple dans un document, ne sont alors plus transmises au composant Windows vulnérable en charge des polices TrueType. Le déploiement du contournement implique que les applications utilisant cette technologie connaîtront des problèmes d'affichage et/ou d'impression, les polices embarquées n'étant plus utilisables.

Ce déploiement peut être réalisé par script ou via un paquetage de type FixIt.

Ce contournement est aussi déployable par stratégies de groupe.

Le CERTA recommande de tester ce contournement avant tout déploiement à grande échelle (notamment installation, fonctionnalités de base et désinstallation).

Solution

Se référer au bulletin de sécurité MS011-087 de l'éditeur pour les détails d'obtention des correctifs (cf. section Documentation).

Toutes les versions supportées de Microsoft Windows sont affectées à l'exception des éditions Core de Windows Server 2008 et Windows Serveur 2008 R2 qui ne sont pas affectées par cette vulnérabilité.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eToutes les versions support\u00e9es de Microsoft Windows sont  affect\u00e9es \u00e0 l\u0027exception des \u00e9ditions \u003cSPAN class=\n  \"textit\"\u003eCore\u003c/SPAN\u003e de Windows Server 2008 et Windows Serveur  2008 R2 qui ne sont pas affect\u00e9es par cette vuln\u00e9rabilit\u00e9.\u003c/P\u003e",
  "closed_at": "2011-12-14",
  "content": "## Description\n\nLe logiciel malveillant Duqu se propage notamment via l\u0027exploitation\nd\u0027une vuln\u00e9rabilit\u00e9 non corrig\u00e9e dans les polices TrueType. \u00c0 ce jour,\nle code malveillant utilise pour vecteur un document Microsoft Word mais\ntoute application reposant sur la fonctionnalit\u00e9 des polices embarqu\u00e9es\nest potentiellement vuln\u00e9rable.\n\nPour mettre en \u0153uvre son code d\u0027exploitation, l\u0027attaquant va int\u00e9grer \u00e0\nun document une police malveillante dont le chargement par le syst\u00e8me va\nd\u00e9clencher l\u0027ex\u00e9cution de code arbitraire.\n\nEnfin, il est important de prendre en compte les diff\u00e9rents vecteurs que\nla plateforme Windows propose en terme de transport de polices de\ncaract\u00e8res.\n\nLa technologie Embedded Open Type (EOT) permet d\u0027int\u00e9grer des polices\nTrueType \u00e0 des documents HTML. Lors de l\u0027ouverture d\u0027une page Web,\nInternet Explorer va ouvrir le conteneur EOT et d\u00e9clencher le chargement\npar Windows de la police TrueType contenue provoquant alors l\u0027ex\u00e9cution\nde code arbitraire. Internet Explorer est le seul navigateur \u00e0 supporter\nla technologie Embedded Open Type.\n\nAu moment de la publication de cet avis, seuls des contournements\nprovisoires sont disponibles. Une mise \u00e0 jour de s\u00e9curit\u00e9 serait en\ncours de d\u00e9veloppement par Microsoft.\n\n## Contournement provisoire\n\nLe contournement propos\u00e9 par Microsoft repose sur le blocage des\nfonctionnalit\u00e9s de polices embarqu\u00e9es (T2EMBED.DLL).\n\nLes polices embarqu\u00e9es, par exemple dans un document, ne sont alors plus\ntransmises au composant Windows vuln\u00e9rable en charge des polices\nTrueType. Le d\u00e9ploiement du contournement implique que les applications\nutilisant cette technologie conna\u00eetront des probl\u00e8mes d\u0027affichage et/ou\nd\u0027impression, les polices embarqu\u00e9es n\u0027\u00e9tant plus utilisables.\n\nCe d\u00e9ploiement peut \u00eatre r\u00e9alis\u00e9 par script ou via un paquetage de type\nFixIt.\n\nCe contournement est aussi d\u00e9ployable par strat\u00e9gies de groupe.\n\nLe CERTA recommande de tester ce contournement avant tout d\u00e9ploiement \u00e0\ngrande \u00e9chelle (notamment installation, fonctionnalit\u00e9s de base et\nd\u00e9sinstallation).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 MS011-087 de l\u0027\u00e9diteur pour les\nd\u00e9tails d\u0027obtention des correctifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2011-3402",
      "url": "https://www.cve.org/CVERecord?id=CVE-2011-3402"
    }
  ],
  "initial_release_date": "2011-11-04T00:00:00",
  "last_revision_date": "2011-12-14T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS11-087 du 13 d\u00e9cembre 2011    :",
      "url": "http://technet.microsoft.com/en-us/security/bulletin/MS11-087"
    },
    {
      "title": "Fiche de support technique 2639658 relatif au paquetage    FixIt\u00a0:",
      "url": "http://support.microsoft.com/kb/2639658/fr"
    },
    {
      "title": "Article de bloc-notes (blog) de Symantec sur l\u0027installateur    Duqu\u00a0:",
      "url": "http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit"
    },
    {
      "title": "Avis du CERTA CERTA-2011-AVI-684 du 14 d\u00e9cembre 2011 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-684"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS11-087 du 13 d\u00e9cembre 2011    :",
      "url": "http://technet.microsoft.com/fr-fr/security/bulletin/MS11-087"
    }
  ],
  "reference": "CERTA-2011-ALE-006",
  "revisions": [
    {
      "description": "documentation des vecteurs HTML bas\u00e9s sur la technologie Embedded Open Type.",
      "revision_date": "2011-11-04T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence CVE.",
      "revision_date": "2011-11-09T00:00:00.000000"
    },
    {
      "description": "ajout du correctif Microsoft.",
      "revision_date": "2011-12-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Symantec et le \u003cspan class=\"textit\"\u003eLaboratory of Cryptography and\nSystem Security\u003c/span\u003e (CrySys) ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 non\ncorrig\u00e9e et exploit\u00e9e sur l\u0027Internet par le logiciel malveillant Duqu.\nMicrosoft a publi\u00e9 un avis de s\u00e9curit\u00e9 2639658 d\u00e9taillant les mesures de\nprotection imm\u00e9diates pouvant \u00eatre mises en \u0153uvre.\n",
  "title": "Exploitation d\u0027une vuln\u00e9rabilit\u00e9 dans la gestion des polices TrueType sur Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Microsoft 2639658",
      "url": "http://technet.microsoft.com/fr-fr/security/advisory/2639658"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.