Le 8 juillet 2008, Microsoft a publié le Bulletin de sécurité Microsoft MS08-037, offrant des mises à jour de sécurité pour protéger ses clients contre les attaques par usurpation DNS (Domain Name System). Microsoft a publié cette mise à jour en coordination avec d'autres éditeurs qui subissaient un impact similaire. Depuis la publication coordonnée de ces mises à jour, le niveau de menace concernant les systèmes DNS s'est accru en raison d'une plus grande compréhension publique de ces attaques, ainsi que de la publication sur Internet du code d'exploitation détaillé.
Le 25 juillet, Microsoft a publié un avis de sécurité pour informer ses clients de la hausse de la menace représentée par la disponibilité du code d'exploitation. L'enquête menée par Microsoft montre que les clients qui ont appliqué les mises à jour ne sont pas concernés par le code d'exploitation.
Microsoft recommande à ses clients de mettre à jour immédiatement les systèmes concernés (serveurs et postes de travail) à l'aide des mises à jour détaillées dans le Bulletin de sécurité Microsoft MS08-037.
Informations complémentaires :
...Mais quand même. Combien de fois m'a-t-on demandé comment Microsoft garantissait que les mises à jour téléchargées de Windows Update étaient sûres ? Et d'autres questions du genre : "Est-ce que vous faites du https ?", "Comment puis-je être sûr de ne pas installer un malware ? On connaît votre niveau de sécurité, M. Microsoft !" (clin d'œil entendu.)
Et qui vient de se faire compromettre son système de mise à jour par une banale attaque man-in-the-middle automatisée, publiée et tout ? (Cf. vulnérabilités DNS)
Microsoft ? Non ! Il s'agit aujourd'hui de Mac OS X, iTunes, WinZip, Winamp, OpenOffice et Java de Sun.
Il faut dire qu'on y avait pensé depuis quelques années : les binaires sont tout simplement signés. Et le client Windows Update vérifie la signature. Pas compliqué, mais il faut croire que les autres n'y ont pas pensé : peut-être faut-il se cotiser pour leur acheter un certificat de signature de code.
(Inspiré librement de l'article de Robert Hensing, qui cite lui-même l'article de ZDNET)
Mon compte a été bloqué par Microsoft secure. Vous y croyez vous ? Qu'est-ce que j'ai encore fait -ou oublié de faire- pour que mon compte soit bloqué ? La preuve, j'ai reçu ce mail il y a deux jours :
Bon. admin@Microsoft.com, ça fait sérieux. Pas envie de rigoler ! Mais de quel compte parlent-ils ? D'un de mes comptes Hotmail ? Peut-être... Mais d'un autre coté, c'est sur un de ces comptes que j'ai reçu ce mail. Donc au moins ce compte, il n'est pas bloqué.
Au moins dans le mail, il y a un lien. Si je clique dessus peut-être que j'aurai plus d'informations, la possibilité de faire une réclamation... Qui sait, peut-être me faire dédommager ? Car après tout, je n'ai rien fait de mal moi !
Voyons voir. J'approche ma souris du lien... Quelqu'un m'a dit un jour : si tu vois un lien, ne clique pas tout de suite, vérifie d'abord l'autre lien qui apparait en bas à gauche de la fenêtre ; c'est a priori le vrai lien, parce que des fois ce n'est pas le vrai que l'on voit dans la fenêtre... un lien peut en cacher un autre :-)
Alors dans la fenêtre je vois http://microsoft.com/?carantine. Tiens, c'est normal ce point d'interrogation ? Et carantine ? Bizarre comme orthographe, même en anglais. On m'a dit aussi : s'il y a des fautes d'orthographe ou de grammaire, méfiance ! Hmmm. Ah ! En bas à gauche apparait le "vrai lien" : http://p*****u.ru/. Flagrant délit ! La main dans le sac ! On a voulu me faire aller sur un site à l'insu de mon plein gré ! Et en plus on me le disait que le message était russe, puisqu'il est écrit Cyrillique dans la barre de titre ! C'eût été étrange que admin@Microsoft.com m'écrive en cyrillique, non ?
Ouf ! Non seulement "Microsoft secure" n'a pas bloqué mon compte, mais j'ai peut-être évité le pire ! Car même sous Vista, avec UAC et tout, j'aurais pu attraper des cochonneries sur mon PC. Tiens, à propos, il faut que je vérifier mon anti-virus, mon anti-spyware, mes patches... Et que je marque ce mail maudit comme spam, histoire d'améliorer le filtre anti-spam d'Hotmail (celui là, ils auraient quand même pu le filtrer non ?)
Bonne vacances, et cliquez modérément !
Si vous savez ce que sont des jetons, des SID et des DACL, passez le début et allez directement à la première image ci-dessous...
Depuis que Windows est "NT", c'est à dire depuis Windows NT 3.1, un principe de base de la sécurité de Windows, le contrôle d'accès discrétionnaire, utilise des SID et des ACL. Pour l'explication détaillée, je vous conseille le chapitre 8 du livre de Mark Russinovich et David Solomon : Windows Internals. Une autre source est le chapitre Authorization and Access Control Technologies dans la librairie technique de Windows Server 2003.
Pour l'explication rapide, voici une tentative de résumé : dans Windows, tout processus est authentifié et s'exécute dans le contexte de sécurité de l'utilisateur. Un jeton (token) est attaché à chaque process, et ce jeton contient entre autres les identifiants de l'utilisateur et de tous les groupes auxquels cet utilisateur appartient. Si vous exécutez la commande whoami /all dans une ligne de commande, vous obtenez une vue lisible de votre jeton. Comme les utilisateurs et groupes peuvent changer de nom, on les repère par des identifiants numériques, des SID (Security Identifiers). Windows saura en général faire la traduction pour vous.
Les objets, comme par exemple les fichiers, ont un Security Descriptor (SD) qui contient une DACL (liste de contrôle d'accès discrétionnaire). Cette liste contient des ACE (Access Control Entries) et chaque ACE indique un SID et un type d'accès ; par exemple : Utilisateurs / Lecture, Administrateurs / Lecture et Ecriture. Si vous exécutez la commande icacls nom_fichier dans une ligne de commande, vous obtenez une vue lisible de la DACL du fichier (si icacls ne marche pas, essayez cacls.)
Pour faire simple, lorsqu'un processus veut accéder à un objet pour un type d'accès donné (par exemple pour le modifier), le Security Reference Monitor (SRM) de Windows contrôle la DACL de l'objet, le jeton du process, et regarde si un des SID du jeton se trouve dans une ACE qui lui permet l'accès demandé.
Au fil des versions de Windows ce mécanisme est toujours resté, et des concepts nouveaux sont venus l'utiliser sans jamais le modifier. Par exemple, depuis Windows Vista, il existe une nouvelle sorte de SID : les SID de service. Il s'agit de SID qui identifient un service au lieu d'un utilisateur ou d'un groupe. Ils servent à faire en sorte que, même si deux services S1 et S2 s'exécutent sous le même compte (par exemple LOCAL SERVICE), alors on peut faire en sorte qu'un fichier ne soit accessible que par S1 en lui attachant une ACE relative au SID de service NT SERVICE\S1. C'est la notion d'isolation des services, abordée notamment dans cet article de Cyril Voisin et Jean-Yves Poublan.
On trouve donc depuis Windows Vista des fichiers qui ont des ACE faisant référence à des SID de service, comme par exemple :
c:\Windows\notepad.exe NT SERVICE\TrustedInstaller:(F) BUILTIN\Administrators:(RX) NT AUTHORITY\SYSTEM:(RX) BUILTIN\Users:(RX)
Ce qui signifie que seul le service TrustedInstaller (nom complet : Windows Modules Installer) a tous les droits sur les fichiers de Windows.
C'était un bien longue introduction pour aborder une nouvelle sorte de SID définis par Hyper-V : les SID de machines virtuelles. Un peu comme les SID de service, les SID de VM vont servir à isoler les VM, c'est à dire à assurer que les ressources propres à une VM ne sont accessibles en écriture que par cette VM.
Voici la DACL sur le fichier VHD d'une machine virtuelle déclarée dans Hyper-V :
Rappelons qu'un fichier VHD est le disque dur virtuel de la VM. Remarquez le SID de la forme NT VIRTUAL MACHINE\<GUID>. Ce GUID (090928A5- etc.) est l'identifiant Hyper-V unique de cette machine virtuelle. On peut le vérifier en regardant le fichier C:\ProgramData\Microsoft\Windows\Hyper-V\<GUID>.xml.
Dans Process Explorer, on peut afficher les propriétés du processus (worker process) vmwp.exe correspondant à cette VM :
Et voici, toujours affiché dans Process Explorer, le jeton du process (propriétés du process, onglet Security) :
Ce jeton et cette DACL assurent donc (1) que le process (qui s'exécute en tant que NETWORK SERVICE) aura accès en lecture et écriture (mais pas suppression) au VHD, et (2) que les autres VM ou autres services n'y auront pas accès en écriture.
Au passage, avez-vous remarqué que icacls et Process Explorer profitaient de Windows pour toujours traduire les SID en noms lisibles ? Quoique, je ne sais pas si NT VIRTUAL MACHINE\090928A5-E592-47E1-A819-85F56654EBCF est plus lisible que S-1-5-83-1-151595173-1205986706-4119140776-3488306278... :)
Si vous souhaitez en savoir plus sur les fonctions avancées des jetons de sécurité dans Windows, consultez la série d'articles de Cyril et Jean-Yves sur le durcissement des services dans Windows Vista et Windows Server 2008.
Mise à jour 18/7/2008 - Quelques fautes de frappes corrigées.
C'est, semble-t-il, un sujet qui vous intéresse. J'ai déjà commis quelques articles ici sur les éternels problèmes de l'installation de Linux sur Virtual PC 2007. Manifestement, Cela se passe beaucoup mieux sur Hyper-V, et pas uniquement avec les versions supportées, à savoir SUSE Linux Enterprise Server 10.
Sean Earp explique dans un article récent comment se passe l'installation dans Hyper-V de OpenSuse 11, Ubuntu 8.04 x64 et Fedora 9 x64. Bonne nouvelle, ces systèmes fonctionnent, et plutôt bien !
Lire l'article : Linux on Hyper-V.
Pour beaucoup, les vacances approchent ou ont commencé. Vous allez peut-être partir pour une, deux ou trois semaines, laissant un PC ou plus à la maison. Avez-vous pensé à vos sauvegardes ? Chez vous, vous utilisez votre PC pour stocker vos photos, vos musiques, vidéos, vos comptes, vos courriers, vos CV ou les copies scannées de vos papiers ; vous avez peut-être le certificat (avec sa clé privée) qui vous permet de déclarer vos impôts et d'accéder à vos documents du fisc ; vous avez peut-être scanné et conservé sur votre PC les justificatifs de votre déclaration d'impôts électronique ; vous avez peut-être noté dans un fichier texte vos mots de passe pour vos sites bancaires, vos comptes de messagerie, vos sites d'achat en ligne, vos comptes chez vos compagnies de téléphone, d'internet, d'électricité, de gaz, d'eau, etc.
Que feriez-vous si votre PC était détruit, ou, plus grave encore, volé ? Avez-vous une sauvegarde ? Si oui, où sera-t-elle pendant vos vacances ? Avez-vous chiffré vos données sensibles ? Si oui comment ? Êtes-vous certain que la clé de chiffrement est correctement protégée ?
Il n'y a pas une réponse unique et universelle, mais voici quelques idées à considérer concernant les deux principales pistes : (1) la sauvegarde, pour ne pas être dépourvu si, à votre retour, votre PC ne démarre plus ou a disparu, et (2) le chiffrement de vos données sensibles, pour éviter que l'éventuel voleur de votre PC vide votre compte en banque...
Sauvegardes
Pour la sauvegarde, considérez un disque dur externe. Il en existe des petits, de bonne capacité, peu onéreux. Certains sont livrés avec un logiciel de sauvegarde.
Commencez par faire le tour de ce qui est à sauvegarder : documents, vidéos, photos, musiques. Si vous utilisez Windows Vista, vous pouvez considérer le Centre de Sauvegarde et Restauration, pour sauvegarder des fichiers ou le PC complet. Si vous utilisez Windows Live OneCare vous avez une autre solution de sauvegarde.
(En ce qui concerne le certificat des impôts, le site contient une documentation précise pour IE6, IE7, Firefox, XP, Vista : J'ai changé d'ordinateur, comment sauvegarder mon certificat ?)
Pensez ensuite à apporter la sauvegarde avec vous en vacances, ou à la déposer en dehors de votre domicile (chez des amis...)
Chiffrement
Si vous laissez chez vous une machine avec des données importantes sur son disque, vous pouvez chiffrer ces données. Le principe est de ne pas laisser la clé près de la machine ! Cela peut être un mot de passe ou une clé USB (pour BitLocker). Si tout cela est du chinois pour vous, contentez-vous d'une bonne sauvegarde et croisez les doigts :)
Si vous avez Windows Vista Edition Intégrale (Ultimate), alors vous pouvez tenter BitLocker. Consultez mes articles précédents sur le sujet avant de vous lancer.
Sinon EFS est la méthode Windows pour chiffrer des fichiers et répertoires sur Windows XP Professionnel. Consultez l'aide de Windows ou le site Technet si vous n'êtes pas familiers avec EFS. Si vous êtes opérationnel avec EFS, apportez le certificat et sa clé privé avec vous en vacance au cas où. Par contre, pour éviter qu'un intrus n'accède à votre clé privée en votre absence, utilisez simplement un petit truc très simple : mettez en place un mot de passe au démarrage qui protègera votre mot de passe local, qui protège à son tour votre clé privée... Pour ce faire, lancez Syskey, cliquez sur "Mettre à jour", choisissez l'option "Mot de passe de démarrage" et entrez un mot de passe. N'oubliez surtout pas ce mot de passe pendant vos vacances ! Notez-le plutôt quelque part avec vous. A la rentrée, pour supprimer ce mot de passe, relancez Syskey et choisissez "Mot de passe généré par le système" et "Enregistre la clé de démarrage localement".
Si vous utilisez Windows XP Familial ou Windows Vista Premium ou Basique, aucune solution de chiffrement n'est disponible "dans la boîte". Il vous faudra trouver une solution tierce, et cela se trouve très facilement et gratuitement (exemple).
Conclusion
Je vous souhaite de partir en vacances l'esprit tranquille, sachant qu'en cas de problème, vous pourrez toujours récupérer vos données personnelles, et que personne d'autre ne pourra y accéder. Bonne vacances !
Comme annoncé le mois dernier, la version complète du Service Pack 1 de Windows Vista est disponible pour WSUS, comme l'indique cet extrait du rapport de synchronisation de cette nuit sur mon WSUS de test :
Attention, il est impératif de vérifier que la mise à jour 938759 est installée sur vos serveurs WSUS avant d'approuver le SP1 de Windows Vista. Pour ce faire, vérifiez dans Updates\WSUS Updates que la mise à jour "Update for Windows Server 2003 (KB938759)" est approuvée et installée :
En avril dernier j'ai assemblé une machine que j'allais dédier à Hyper-V --pour mes tests, mais aussi pour de la "consolidation" personnelle. Ma contrainte était simple, elle ne devait pas dépasser 1000 Euros. Au final, la machine en question m'est revenue à 1034 Euros TTC, transport compris, ce qui est très raisonnable pour cette configuration : un processeur Intel Core 2 Quad Q6600 (2,4 GHz, 4 cœurs), 8 Go de RAM, 4 disques SATA II de 500 Go chacun, plus les "à coté" obligatoires : boîtier, carte mère, ventilateur, sans oublier les câbles SATA (d'ailleurs, je les avais oubliés à la première commande...) A part un disque hors d'usage à faire remplacer et une mise à jour de BIOS pour qu'il "voie" les 8 Go de RAM, le montage et l'installation se sont très bien déroulés.
D'ordinaire j'exécute environ une demi-douzaine de VM en régime permanent. Aujourd'hui j'ai voulu voir si j'arrivais à faire tourner les 17 VM que j'ai déclarées, en même temps :
Techniquement, il faudrait compter la partition parente comme une 18ème VM, mais restons simple. La somme des RAM configurées sur les VM est de 7296 Mo (7,125 Go) : cela va de 32 Mo pour les floppyfw à 1 Go pour un Vista et un Server 2008. Avec la mémoire supplémentaire allouée au process vmwp.exe (worker process) de chaque VM, et la mémoire occupée par la partition parente, le compteur Committed Bytes affiche une moyenne de 9.562.000.000 octets, soit 9119 Mo (8,9 Go).
Et si je compte bien, cela fait à peu près 60 Euros par machine...
Très petit mois pour l'été : 4 bulletins seulement "importants". Suite aux prévisions de jeudi dernier, il me semble aujourd'hui que les administrateurs de postes de travail Vista (MS08-038) et les administrateurs SQL Server (MS08-040) vont être les plus sollicités pour tester et patcher rapidement.
MS08-037 concerne une vulnérabilité de type spoofing dans le client et le serveur DNS (Windows 2000, XP, 2003 et 2008) - Le client DNS de Windows Vista n'est pas vulnérable.
MS08-038 concerne deux vulnérabilités de l'explorateur (en fait, shell32.dll) de Windows Vista et Windows Server 2008. L'installation Core de ce dernier est concernée au même titre que l'installation complète. La première concerne les recherches enregistrées et la seconde la clé NoDriveTypeAutoRun. Etant donné que ce second problème est bien connu, je conseille fortement l'installation rapide de cette mise à jour sur les postes Windows Vista.
MS08-039 corrige deux cross-site scriptings dans OWA pour Exchange 2003 et Exchange 2007.
Enfin, MS08-040 concerne 4 vulnérabilités dont une élévation de privilèges dans toutes les versions supportées de SQL Server, MSDE, Windows Internal Database.
Voir également les infos de l'ISC. Il est intéressant de voir qu'ils ont un jugement différent sur la criticité de MS08-038 (critique sur les clients), MS08-039 et MS08-040 (critiques sur les serveurs).
En complément, une mise à jour du client Windows Update sera diffusée vers la fin du mois de juillet. Assurez-vous que votre client Automatic Update n'est pas désactivé afin d'être sûr de recevoir cette mise à jour. Plus de détail sur le blog de Microsoft Update.
Patchez-vous bien !
De nos jours et sans doute pour un moment encore, le navigateur Internet est l'application la plus utilisée, la plus exposée, et la plus attaquée. Voici un résumé des améliorations de sécurités d'Internet Explorer 8, prochaine version du navigateur pour Windows, publiées sur le blog de l'équipe Internet Explorer.
Protection de la mémoire DEP/NX - cette option alors n'était pas activée par défaut dans IE7 pour des raisons de compatibilité, principalement avec des add-ons développés avec une ancienne version de la librairie ATL. Ces problèmes étant résolus, DEP sera actif par défaut dans IE8.
Améliorations ActiveX - ActiveX non-admin : dans IE8 sous Windows Vista, un utilisateur standard pourra installer un ActiveX dans son profil utilisateur, ce qui permettra plus de souplesse et plus de sécurité pour le système. L'ActiveX Opt-in d'IE7 est conservé (contrôle de l'exécution d'ActiveX du système). ActiveX par site : permet de contrôler quel site a le droit d'exécuter un ActiveX donné. Pour finir : DEP, Killbits, amélioration de la gestion des add-ons.
Filtre SmartScreen - évolution du filtre anti-fishing d'IE7, avec les améliorations suivantes : interface utilisateur améliorée, performances améliorées, nouvelles heuristiques et télémétrie, support d'anti-malware, stratégies de groupes améliorées.
Filtre XSS - contre les Cross-Site Scripting les plus répandus, les types 1 (non persistants).
Encore plus de détails et de nouveautés dans le dernier article.
PS - N'oubliez-pas, ce soir, les patches du mois !
Oui, vous avez bien lu le titre. Pourquoi Adobe Reader 9.0 ? Jetez un œil sur l'article de Robert Hensing : Adobe Acrobat 9 - Creamy Security Goodness (on Vista / WS2008). Enfin, un logiciel répandu qui supporte les avancées présentes depuis plus de 18 mois dans Windows Vista, : ASLR, DEP en mode permanent.
Evidemment, Windows Vista est nécessaire pour profiter de ces améliorations. Windows Server 2008 les supportent aussi, si vous avez besoin d'Adobe Reader par exemple sur un serveur Terminal Server.
Méfiance tout de même avec la nouvelle fonctionnalité de lecture des animations Flash... Car dans IE7 sous Windows Vista, le mode protégé maintient ces animations dans un niveau de confiance (niveau d'intégrité) bas. Dans un lecteur indépendant, elles se retrouvent au niveau moyen. Nouvelle fonctionnalité, nouveau risque !
Mise à jour 4/7/2008 - Adobe Reader 9.0 n'est pas la seule application répandue à supporter DEP et ASLR. Il faut reconnaître que, bien que le mode protégé (intégrité basse) soit toujours une spécificité d'Internet Explorer, Firefox 3 supporte DEP et ASLR. Process Explorer peut afficher cette information si l'on ajoute les colonnes correspondantes :
Remarquez les "DEP" et "ASLR" pour les process AcroRd32.exe et firefox.exe. Remarquez également l'intégrité "Low" pour iexplore.exe. DEP n'est pas activé par défaut dans iexplore.exe pour des raisons de compatibilité avec les ActiveX que l'on rencontre dans la nature, mais le mode protégé limite ce risque.
Plus d'infos : tout sur DEP.
Mise à jour 21/7/2008 - Lu sur le site de l'ISC : Adobe Reader 9 (en anglais) est Malheureusement encore alourdi de deux applications supplémentaires non désirées. Pour ne pas les subir, voici les liens de téléchargement direct sans ces suppléments : AdbeRdr90_en_US_Std.exe (anglais) et AdbeRdr90_fr_FR.exe (français).
Vous savez sans doute que le 2ème mardi du mois, vers 19:00 heure française, Microsoft publie les bulletins de sécurité du mois. Ce calendrier prévisible permet aux entreprises de se préparer à analyser ces bulletins et à déployer les mises à jour.
Afin d'aider nos clients à préparer ces fameux Patch Tuesdays, nous publions le jeudi précédent un préavis (advance notification) sur les bulletins à venir. Ainsi hier soir nous avons publié le préavis des bulletins de mardi prochain.
Vous trouverez les informations concernant ces préavis ici, notamment le moyen de s'y abonner par mail (en anglais) :
http://www.microsoft.com/technet/security/Bulletin/advance.mspx
Ces préavis sont également annoncés sur le blog du MSRC :
http://blogs.technet.com/msrc/
Et le préavis de ce mois-ci est visible depuis hier soir ici (en anglais) :
http://www.microsoft.com/technet/security/bulletin/ms08-jul.mspx
Notez qu'à cette même adresse se trouveront, mardi soir, les bulletins définitifs de juillet 2008.
Ainsi nous apprenons qu'il y aura, mardi soir, 4 bulletins classés "importants" :
Donc a priori pas de bulletin "critique", mais un impact sur les serveurs applicatifs (SQL Server) et infrastructure (Windows Server, Exchange), ainsi que sur les postes de travail (Windows XP, Windows Vista). Voilà de quoi prévenir les interlocuteurs pertinents pour mardi soir ou mercredi matin.
Conseils sécurité pour un PC tranquille. C'est le titre du nouveau blog sécurité grand public de Mathieu Malaise. C'est beau, c'est neuf, et c'est ici :
http://blogs.technet.com/pasdemalaise/