pascals.blog

Microsoft n'envoie *jamais* de mise à jour par email

Vu aujourd'hui sur le site du SANS Internet Storm Center (ISC) : Un email frauduleux circule en ce moment, se faisant passer pour  un email de Microsoft, et contenant un logiciel malveillant en pièce jointe. Cette fois le message est prétendument signé Steve Lipner et contient même une signature PGP. Il s'agit évidemment d'un faux, et il faut rappeler que Microsoft n'envoie jamais aucun logiciel ni aucune mise à jour par email :

http://www.microsoft.com/france/protect/yourself/phishing/msemail.mspx

Une règle simple : quelle qu'en soit la source, n'exécutez jamais une pièce jointe exécutable !

Préavis des bulletins de sécurité du 14 octobre

11 bulletins de sécurité sont prévus pour mardi 14 octobre :

http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx

• 4 bulletins critiques (AD, IE, HIS, Excel : exécution de code à distance)
• 6 bulletins importants (Windows : exécutions de code à distance et élévations de privilèges)
• 1 bulletin modéré (Office : divulgation d'information)

Le préavis à l'adresse indiquée ci-dessus détaille les versions des produits concernés.

Ma maquette de test (WSUS 3.0 SP1 dans un domaine AD 2003) est prête à encaisser le choc :

Etat actuel de WSUS :

Nous verrons dans le courrant de la semaine prochaine comment se passe la mise à jour de ces quelques machines. A priori je serai concerné par 8 bulletins, puisque je n'ai pas d'Office sur ces machines de test, ni d'HIS (Host Integration Server).

La virtualisation dans tous ses états

Jusqu'à il y a peu, la virtualisation évoquait  la possibilité d'exécuter Windows XP sous Windows Vista, ou de consolider plusieurs serveurs en un seul serveur physique. Aujourd'hui le paysage est un peu plus complet, et je vais tâcher ici d'en clarifier un peu les principes à travers l'offre Microsoft. Pour plus d'informations, reportez-vous au site Microsoft Virtualization.

Virtual Server, Windows Server 2008 Hyper-V et Hyper-V Server sont les trois solutions Microsoft de virtualisation coté serveur, avec comme objectifs classiques l'optimisation, la consolidation, la souplesse de déploiement et de gestion de serveurs Windows ou Linux. System Center Virtual Machine Manager (SCVMM) est la solution de gestion de ces infrastructures.

Virtual PC est la solution de machines virtuelles coté client : sur votre Windows XP ou Vista, vous faites tourner des machines virtuelles Windows. Par exemple, pour des tests avec retour en arrière possible, pour utiliser des applications non compatibles avec votre OS actuel, ou pour séparer votre environnement de travail et votre environnement personnel.

Terminal Services, connu depuis Windows NT Terminal Server Edition 4.0 (!), est la solution multi-utilisateurs sur Windows Server. Avec Windows Server 2008, Terminal Services permet, outre l'accès à un bureau complet, l'accès direct à une application à distance (TS RemoteApp). On parle ici de virtualisation de présentation : l'application s'exécute sur le serveur mais s'affiche sur le bureau du client. Voir le Terminal Services TechCenter.

Application Virtualization (App-V) [ex-Softgrid] : Imaginez que plusieurs de vos utilisateurs aient besoin d'une application Access 97 alors que votre standard est Windows Vista + Office 2007. Au lieu d'installer Virtual PC et une VM sur chaque poste, App-V vous permet simplement de distribuer l'application Access 97 de façon à ce qu'elle s'exécute sur les postes, isolée des autres applications. Il s'agit de virtualisation d'application : l'application est téléchargée et exécutée sur le client à la demande, sans y laisser de trace. Autre avantage : aucun déploiement n'est nécessaire sur les postes. Une extension du modèle consiste à utiliser des applications virtualisées dans des sessions Terminal Services, avec App-V for Terminal Services. Voir le Application Virtualization TechCenter.

Virtual Desktop Infrastructure (VDI) et Windows Vista Enterprise Centralized Desktop (VECD) : Dans le modèle VDI, l'OS client (en l'occurrence Windows Vista) tourne dans une machine virtuelle sur un serveur. L'idée est de donner accès à l'environnement de travail depuis n'importe quelle machine et n'importe où. Microsoft VDI s'appuie donc sur Windows Server 2008 Hyper-V, SCVMM, et un mode de licence adapté pour Windows Vista appelé Windows Vista Enterprise Centralized Desktop (VECD). Le modèle peut ensuite être étendu grâce à App-V et TS RemoteApp pour délivrer les applications dans les machines virtuelles Windows Vista.

Microsoft Enterprise Desktop Virtualization (MED-V) [ex-Kidaro] ajoute à Virtual PC des fonctions avancées de gestion et distribution de machines virtuelles, ainsi que l'accès transparent par l'utilisateur à des applications qui s'exécutent dans une VM. Un peu comme TS RemoteApp, mais depuis une VM locale. Un scénario possible est l'utilisation d'applications nécessitant un OS plus ancien, alors que l'utilisateur n'a pas accès au réseau de l'entreprise.

Comme on le voit les scénarios ne manquent pas et les avantages sont énormes : plus de fonctionnalités, plus de compatibilité, moins de déploiement, plus de maîtrise, les possibilités sont innombrables.

Crapware, version 2008

OK, soit ça énerve, soit ça amuse.. ça dépend des jours :-). Donc, il y a presque un an, j'évoquais les logiciels indésirables préinstallés sur les machines neuves. Un peu plus tard c'était au tour des logiciels indésirables attachés aux logiciels que l'on installe, ici et ici. Il faut croire que rien ne change, et qu'il n'y a pas de limite au ridicule. Heureusement que, comme dirait l'autre, "ce n'est que de l'informatique" :

Voir la liste incroyable des logiciels inclus avec iTunes pour Windows : http://blogs.zdnet.com/Bott/?p=554. A mon avis ils font exprès pour nous inciter à acheter un Mac pour aller avec l'iPod...

Voir également la nouveauté chez Dell : http://community.winsupersite.com/blogs/paul/archive/2008/10/07/why-people-hate-buying-pcs-part-37.aspx. Après les logiciels non désirés, les films ! En l'occurrence, le film n'est ni imposé ni dissimulé, mais avouez que c'est cocasse.

Tout ceci est extrêmement divertissant, mais je ne saurais trop recommander aux utilisateurs à la maison de se renseigner avant d'installer tout nouveau logiciel ; voire, si vous avez Virtual PC et une licence de Windows supplémentaire, de commencer par tester son installation et son "empreinte" dans une machine virtuelle.

Désinstallation de GoogleUpdate

Je me dois de rectifier une erreur : en effet, dans mon précédent article sur Google Chrome, j'affirmais qu'il n'y avait pas de moyen "propre" de désinstaller GoogleUpdate après avoir désinstallé Google Chrome. C'est à moitié faux, dans la mesure où il existe un moyen, expliqué dans cette page de l'aide de Chrome.

Pour résumer, GoogleUpdate est un composant utilisé par plusieurs applications de Google. Lorsque toutes les applications Google sont désinstallées sur un système Windows, GoogleUpdate se désinstalle automatiquement après quelques heures :

Removing GoogleUpdate

To fully uninstall GoogleUpdate, please uninstall all Google applications on your computer. GoogleUpdate will be uninstalled automatically a few hours after you've uninstalled your Google programs. GoogleUpdate can't be removed on its own because it's tied to Google applications on your computer. If you remove the GoogleUpdate process separately on your computer, you may find that your Google programs no longer function properly and, in many cases, you may see GoogleUpdate return automatically.

J'avais à moitié tort, car en effet il existe un moyen documenté de le désinstaller (attendre quelques heures), mais il n'existe aucun moyen de déclencher à la demande une désinstallation complète.

Bien que ce fonctionnement soit surprenant et que je ne l'aie pas encore expérimenté, et s'il fonctionne comme annoncé, c'est une solution qui en vaut une autre. Dont acte.

[Cette information provient de cet article.]

Microsoft Hyper-V Server 2008 RTM en téléchargement

Aujoud'hui le 1er octobre, Hyper-V Server 2008 est RTM et disponible en téléchargement gratuit :

• http://www.microsoft.com/hvs

Hyper-V Server 2008 est une solution de virtualisation gratuite, compatible techniquement avec Windows Server 2008 Hyper-V, c'est à dire le rôle Hyper-V de Windows Server 2008. C'est à dire que les machines virtuelles définies sur un serveur Windows Server 2008 avec Hyper-V peuvent être réutilisées sur un serveur Hyper-V Server 2008 grâce au mécanisme d'exportation et d'importation.

Les différences, détaillées sur le site, portent sur les licences (aucune licence Windows n'est incluse avec Hyper-V Server : chaque VM Windows nécessite une licence) et sur certaines limites techniques, comme par exemple l'interface graphique (absente dans Hyper-V Server, l'administration graphique se faisant à distance), la RAM (limitée à 32 Go sur Hyper-V Server) et les processeurs  (4 processeurs maximum sur Hyper-V Server).

Surface d'attaque d'Hyper-V

Je suis tombé récemment sur cet article de Tony Soper, indiquant que le tableau de référence de la surface d'attaque d'Hyper-V était téléchargeable ici. Il s'agit d'un tableau Excel listant les fichiers, services et règles de firewall ajoutés par le rôle Hyper-V sur Windows Server 2008. Le guide de sécurisation de Windows Server 2008 ne contient pas encore ces informations, mais sera mis à jour prochainement.

UrlScan 3.0 est RTM

J'en parlais en juin : UrlScan fait son come back, avec une version 3.0 adaptée aux dernières versions d'IIS. Pour ceux qui ne sont pas familiers avec cet outil, il s'agit d'un filtre à installer sur le serveur web, permettant de définir des règles sur les contenus interdits ou autorisés des requêtes HTTP et URL. Par exemple, la version 3.0 permet une protection contre les injections SQL, bien sûr en attendant la correction de l'application Web fautive.

• Annonce sur le blog de la division Windows Server
• Téléchargement : x86 et x64

Hyper-V Server, mais c'est quoi donc ?

Microsoft vient d'annoncer la sortie prochaine de Microsoft Hyper-V Server 2008, qui sera téléchargeable pour la modique somme de 0,00 € TTC. Oui, gratuit ! Mais qu'est-donc ?

Jusqu'ici j'ai parlé dans ce blog d'Hyper-V, fonctionnalité (ou plutôt, rôle) de Windows Server 2008. Son nom complet serait Windows Server 2008 Hyper-V. En gros, vous achetez une license de Windows Server 2008, et vous pouvez l'installer sur une machine physique, activer le rôle Hyper-V, et réinstaller Windows Server 2008 encore au moins une fois dans une machine virtuelle en fonction de la version de Windows Server 2008.

Hyper-V Server est quant à lui un produit à part, incluant l'hyperviseur Microsoft, et juste ce qu'il faut de Windows pour faire tourner des drivers matériels et les composants de virtualisation. Autrement dit, un hyperviseur prêt à l'emploi, sans license Windows, gratuit, et avec encore moins de gestion des mises à jour qu'une installation Server Core.

Plus d'informations sur les différences entre les deux options : http://www.microsoft.com/Hyper-VServer.

Google Chrome et les bonnes manières

L'apparition d'un nouveau navigateur ne peut pas laisser indifférent, surtout de la part de Google. Bien sûr, le calendrier est idéal pour provoquer des débats et comparatifs en tout genre avec Internet Explorer 8 dont la Beta 2 est également disponible. Mais ce n'est pas mon propos aujourd'hui, et je reviendrai sans doute sur IE8 prochainement.

Comme tout un chacun, j'ai installé Google Chrome dès sa disponibilité, sans a priori mais avec un brin de curiosité. Il se trouve que je l'ai installé sur Windows Vista et quelle ne fut pas ma surprise en constatant qu'UAC ne me demandait aucune confirmation. En effet, Google a choisi d'installer son navigateur dans le profil de l'utilisateur. Les administrateurs en entreprise vont apprécier... Mais soit, c'est un choix, et en même temps une garantie que le logiciel n'aura pas d'impact sur le système.

Je passe sur l'interface, plutôt agréable dans sa simplicité, et je m'intéresse plus particulièrement à sa gestion des processus par onglet. L'intéressant ici est l'utilisation de jetons restreints assez particuliers, puisque tous les SID du jeton sont marqués 'Deny', ce qui n'est pas habituel, mais efficace. C'est a priori un point positif du point de vue de la sécurité, qui méritera une analyse plus approfondie par la suite.

Les choses se sont gâtées lorsque j'ai remarqué, comme d'autres, le processus GoogleUpdate.exe qui s'exécute en permanence. Et lorsque Chrome s'est mis à jour silencieusement sans me demander confirmation du téléchargement ni de l'installation, c'était trop. J'ai alors tenté la désinstallation de Chrome, pour constater que, si le navigateur lui-même se désinstalle, GoogleUpdate, lui, reste présent et actif !

Il y a des comportements que je pardonne difficilement à une application, et Chrome en est un bel exemple :

• Le non respect des pratiques recommandées sur l'OS (par exemple, nécessiter des privilèges d'administrateur. Ce n'est pas le cas de Chrome, fort heureusement)
• L'installation de logiciels supplémentaires non désirés
• Le téléchargement et l'exécution de code à l'insu de l'utilisateur
• L'exécution de processus inutiles en permanence
• L'absence de procédure de désinstallation propre et complète
• Le mauvais usage de la crypto ou le stockage de mots de passe en clair
• Le non usage des fonctions déjà présentes dans l'OS (gestion des certificats, crypto, etc.)

Dans le genre mauvais élève, on avait déjà Apple qui provoque l'installation de Safari chez les utilisateurs d'iTunes sous Windows, ou qui impose QuickTime avec iTunes. Nous-mêmes avons tendance à pousser la toolbar MSN ou Silverlight à toute occasion, certes, mais en laissant le choix à l'utilisateur.

En ce qui concerne la fonctionnalité de mise à jour automatique, Internet Explorer se met à jour par Windows Update qui est paramétrable. Firefox vérifie ses mises à jour lors de son exécution. GoogleUpdate.exe, lui, s'exécute au logon de l'utilisateur et chaque fois que l'ordinateur est inactif (par une tâche programmée.)

Féru de sécurité et de virtualisation, ma réaction est bien évidemment de tout désinstaller manuellement, et de tester cette fois-ci Chrome sur une machine virtuelle isolée.

Voici comment j'ai désinstallé Chrome complètement, sur Windows Vista. Je ne garantis pas que toutes les installations soient identiques..

1. Désinstaller normalement Google Chrome par le panneau de configuration de Windows.
2. Dans le 'Task Scheduler' de Windows, supprimer la tâche "GoogleUpdateTaskUser"
3. Tuer le processus : GoogleUpdate
4. Dans regedit, se placer sur HKEY_CURRENT_USER et chercher "Google" (F3)
5. Supprimer toutes les clés et valeurs trouvées.
6. Supprimer les répertoires suivants :
   %userprofile%\AppData\Local\Google\Chrome
   %userprofile%\AppData\Local\Google\Update

Pour automatiser les étapes 4 à 6, j'ai utilisé le script suivant :

reg delete "HKEY_CURRENT_USER\Software\Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}" /f
reg delete "HKEY_CURRENT_USER\Software\Classes\CLSID\{31AC3F11-E5EA-4A85-8A3D-8E095A39C27B}" /f
reg delete "HKEY_CURRENT_USER\Software\Classes\CLSID\{90CBC988-683B-4868-BA2B-8A99187D0C55}" /f
reg delete "HKEY_CURRENT_USER\Software\Classes\Google.OneClickCtrl.5" /f
reg delete "HKEY_CURRENT_USER\Software\Classes\GoogleUpdate.OnDemandCOMClassUser" /f
reg delete "HKEY_CURRENT_USER\Software\Classes\GoogleUpdate.OnDemandCOMClassUser.1.0" /f
reg delete "HKEY_CURRENT_USER\Software\Classes\Interface\{31AC3F11-E5EA-4A85-8A3D-8E095A39C27B}" /f
reg delete "HKEY_CURRENT_USER\Software\Classes\Mime\Database\Content Type\application/x-vnd.google.oneclickctrl.5" /f
reg delete "HKEY_CURRENT_USER\Software\Google\Update" /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{90CBC988-683B-4868-BA2B-8A99187D0C55}" /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "Google Update" /f
reg delete "HKEY_CURRENT_USER\Software\MozillaPlugins\@tools.google.com/Google Update;version=5" /f

rd /s /q %userprofile%\AppData\Local\Google\Chrome
rd /s /q %userprofile%\AppData\Local\Google\Update

Il semblerait que l'installation sur Windows XP soit différente, aussi je vous engage à vérifier votre configuration et à ne pas appliquer la procédure ci-dessus telle quelle.

Je suis certain que ces erreurs de jeunesse seront corrigées par la suite et que le paysage de la navigation Internet sera des plus intéressants avec un concurrent supplémentaire. En attendant, Chrome va trouver chez moi la place qu'il mérite, dans une machine virtuelle de test --tout comme IE8 Beta 2 car j'ai encore besoin d'IE7.

Bulletins de sécurité du 9 septembre

Pour la rentrée, nous avons droit à quatre bulletins critiques.

• Synthèse en français
• Synthèse en anglais
• Annonce du MSRC

Le premier bulletin (MS08-052) est le plus complexe à gérer ce mois-ci. En effet, les vulnérabilités concernent le traitement par GDI+ des formats VML, EMF, GIF, WMF et BMP ; et le problème de GDI+ est qu'il se retrouve dans une multitude de produits. Sont concernés, pour résumer : Windows, IE6 SP1 et .NET Framework sur Windows 2000 SP4, Office XP, Office 2003, Office 2007, Visio 2002, Powerpoint Viewer 2003, Works 8, Photo 2006 Suite, SQL Server 2005, Visual Studio 2002, 2003, 2005 et 2008, Report Viewer 2005 et 2008, FoxPro 8 et 9, et le Platform SDK redistributable: GDI+, sans oublier ForeFront Client Security sur WIndows 2000 SP4.

Mon conseil est de bien lire le bulletin pour les produits concernés et pour les méthodes de détection.

En outre, des applications utilisant gdiplus.dll seront vulnérables. Reportez-vous à l'article 855322 pour plus d'informations.

Concernant les autres bulletins : MS08-053 concerne le codeur Windows Media 9, donc ne concernera que peu de machines sur vos réseaux. MS08-054 ne concerne que Windows Media Player 11, mais attention aux serveurs Windows Server 2008. Bien que l'on n'utilise pas Media Player sur un server, il est présent et doit être mis à jour. Sans oublier les cas spéciaux de serveurs Terminal Services. MS08-055 concerne OneNote et affecte Office XP, 2003, 2007, ainsi que OneNote 2007. Il s'agit d'un problème dans le traitement des URL de type onenote://.

Une remarque avant de conclure : les quatre bulletins de ce mois contiennent la phrase "Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur". Vos VIP ont-ils vraiment besoin des privilèges d'administrateur sur leurs portables ?

Patchez-vous bien !

Préavis des bulletins de sécurité du 9 septembre

Le préavis des bulletins de septembre vient d'être publié :

http://www.microsoft.com/technet/security/bulletin/ms08-sep.mspx

Quatre bulletins critiques sont prévus, affectant respectivement :

• Windows Media Player (exécution de code à distance)
• Windows (toutes versions, exécution de code à distance)
• Windows Media Encoder (exécution de code à distance)
• Office XP, 2003, 2007 (exécution de code à distance)

L'été a été chaud...

...Au moins dans le petit monde de la sécurité. Voici un résumé rapide de l'actualité de cet été :

Quelques sujets du Black Hat et du DEFCON ont fait un peu de bruit cet été :

• La présentation DNS de Dan Kaminsky a tenu ses promesses.
• Il ne fait pas bon bidouiller les systèmes de tickets de métro à Boston : résumé.
• Il n'y a pas que DNS, il y a aussi BGP. Et ce n'est pas mieux...
• Les présentations de l'été sont disponibles : Black Hat, DEFCON, ainsi que des compilations d'outils diffusés lors du DEFCON.

Autres nouvelles intéressantes :

• Storm, encore et toujours. Mais c'est le volume total des botnets qui croît toujours. On cite une multiplication par 4 sur les 3 derniers mois.
• A propos de spam, méfiez-vous des messages d'actualités.
• Toujours à propos de spam, une nouvelle race de spam par SMS : vous avez reçu un message photo, pour le consulter envoyez VOIR au XXXXX (3 euros plus le prix d'un SMS). Ben voyons !
• Red Hat se fait pirater des serveurs. Des packages d'OpenSSH ont été compromis. Faut-il encore rappeler le principe de la signature des mises à jour ?
• N'oublions pas ce pauvre iPhone.
• Internet Explorer 8 Beta 2 est disponible, avec notamment la fonction InPrivate pour une navigation "privée". Manifestement, InPrivate fait des émules :-). Consultez le blog Internet Explorer pour plus d'infos, et j'aurai certainement l'occasion de revenir sur IE8 dans les semaines qui viennent.
• Windows 7 est sur les rails et le blog Engineering Windows 7 est là pour vous informer sur les travaux en cours.

Bulletins de sécurité du 12 août

Comme prévu, le mois d'août est chargé : 11 bulletins dont 6 critiques et 5 importants. Serveurs et postes de travail, Windows et Office sont concernés.

• Synthèse en français
• Synthèse en anglais
• Annonce du MSRC

Patchez-vous bien !

Installer les mises à jour de sécurité.. ou pas

Le Dilbert du jour donne un nouvel éclairage :-)