pascals.blog : Windows Vista

Avis 975497 - Vulnérabilité SMBv2 dans Windows Vista et Windows Server 2008

pascals — Fri, 18 Sep 2009 16:24:40 GMT

Une vulnérabilité fait la une ces jours-ci, la vulnérabilité sur le protocole SMBv2. Je conseille la lecture attentive de l’avis suivant, publié le 8 septembre et mis à jour le 17 :

Avis de sécurité Microsoft (975497) : Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance

Cette vulnérabilité (CVE-2009-3103) affecte Windows Vista RTM, SP1 et SP2, ainsi que Windows Server 2008 RTM et SP2, en versions 32 et 64 bits. Elle est significative car elle permet une exécution de code à distance qui a déjà été démontrée. Cela dit, bien qu’un correctif ne soit pas encore disponible à ce jour, l’avis ci-dessus est très clair sur les solutions de contournement qui existent :

Désactiver SMBv2, soit par le registre comme indiqué dans l’avis (smb2 [DWORD] = 0 dans HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters, puis redémarrer le service server), soit par le “Fix it” (solution en un clic) de l’article KB975497.
Bloquer les ports TCP 139 et 445.

Mon avis est que la première solution de contournement est la plus simple et la moins impactante, en attendant un correctif. SMBv2 n’est utilisé qu’entre des systèmes Vista et 2008. : si vous avez des clients XP ou des serveurs 2003, SMBv2 n’est de toutes manières pas utilisé. Voir cet article pour plus d’informations sur SMBv2, voire les spécifications si vous avez le courage.

[En attendant que ma contribution bloguesque reprenne un rythme plus régulier, sachez que je commets quelques tweets occasionnels sur http://twitter.com/psauliere]

Windows Vista SP2 et Windows Server 2008 SP2 sur Technet et MSDN

pascals — Mon, 04 May 2009 10:35:44 GMT

Après le SP2 d’Office 2007 (article précédent), voici les SP2 de Windows Vista et de Windows Server 2008. Pour rappel, il n’y a pas eu de SP1 de Windows Server 2008 car celui-ci est sorti directement en version SP1.

Windows Vista SP2 et Windows Server 2008 SP2 sont donc disponible depuis le 30/4 pour les abonnés Technet et MSDN, sous la forme d’un seul et unique fichier ISO regroupant les versions en, fr, de, ja et es, le tout pour les architectures x86, x64 et ia64. Ce qui pèse tout de même 1377 Mo.

La publication de ces SP2 nous rappelle que Windows Vista SP1 et Windows Server 2008 ne seront donc supportés que 24 mois encore, c’est à dire jusqu’à mi-2011 environ.

Un SP2 dispo, deux à venir

pascals — Thu, 30 Apr 2009 02:21:33 GMT

C'est la fête des SP2 cette semaine !

Commençons par Office 2007 SP2 :

Windows Vista et Windows Server 2008 ont aussi leur SP2 qui arrive bientôt. Voir la page Technet, incluant notamment les guides de déploiement.

IE8, le retour

pascals — Fri, 20 Mar 2009 23:38:21 GMT

A force d’utiliser Windows 7 tous les jours, on oublierait presque les Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008, qui peuvent depuis hier recevoir la version finale d’Internet Explorer 8 :

http://www.microsoft.com/ie8 (le site français n’est pas encore à jour)

Qu’est-ce qu’IE8 apporte aujourd’hui en terme de sécurité ? Jetez un œil sur l’article du blog IE : un tableau y résume parfaitement la liste des améliorations. Voici ma traduction littérale de la liste en question…

Protection contre les malware. Prévention de l’installation de logiciel malveillant.
Filtre contre les Cross-Site Scripting. Protection contre les attaques de sites web.
Isolation des onglet et récupération automatique après plantage. Continuer à naviguer même si une page ou un contrôle plante.
Mise en valeur du nom de domaine dans la barre d’adresse. Il est facile de voir sur quel site vous êtes réellement.
InPrivate Filtering. Protéger votre vie privée en contrôlant les traces de votre activité.
Suppression d'adresses dans l'historique de la barre d'adresse. Encore plus de protection pour la vie privée.
Protection des paramètres de recherche. Votre fournisseur de recherche reste celui que vous avez choisi.
Protection contre le Clickjacking. Protection contre une classe d’exploits impliquant des redirection de clics.
ActiveX par Utilisateur/Site. Protection supplémentaire contre des contrôles ActiveX détournés de leur usage.
DEP/NX. Protection contre une classe d’exploits en mémoire.
Mashups plus sécurisés pour les développeurs, avec de nouvelles fonctions et le support de nouveaux mécanismes standards (ToStaticHTML(), XDomainRequest ; Support JSON natif, postMessage()).

Je n’ai pas encore cherché d’informations sur la disponibilité d’IE8 dans Windows Update et pour WSUS, mais j’y reviendrai dès que possible.

Questions pièges : quel impact sur votre processus de patch management ? Quelles sont les versions d’Internet Explorer supportées à ce jour par OS et jusqu’à quelles dates ? La réponse bientôt. En attendant, passez plutôt un bon week-end !

Vista : Mise à jour de sécurité KB953155

pascals — Thu, 30 Oct 2008 11:19:54 GMT

Suite à mon article d'hier : si vous utilisez Windows Vista (ou Windows Server 2008 Itanium) et que vous le mettez à jour par Windows Update, Microsoft Update, WSUS, SMS ou SCCM, vous avez sans doute remarqué une nouvelle mise à jour importante KB953155. Cette mise à jour correspond au bulletin de sécurité MS08-062 : Une vulnérabilité dans le service d'impression Internet de Windows pourrait permettre l'exécution de code à distance.

Le bulletin français sera mis à jour dans la journée. En attendant, le bulletin en anglais, version 2.2 du 29 octobre, explique la raison de cette mise à jour tardive : lors de la publication du bulletin, le package de la mise à jour pour la publication en ligne sur Windows Update n'était pas prêt. Par contre la mise à jour stand alone était bien disponible en téléchargement sur le centre de téléchargement Microsoft. La package pour Windows Update vient seulement d'être finalisé et publié, ce qui explique ce délai.

Ce mois est un bel exemple du fait que (1) le patch management ne se résume pas à un mardi par mois, et (2) il faut éplucher en détail les bulletins et les journaux de synchronisation de WSUS.

Patchez-vous bien !

Rapport sur les vulnérabilités des OS clients pour le premier semestre 2008

pascals — Mon, 27 Oct 2008 13:24:14 GMT

Jeff Jones vient de publier le rapport sur les vulnérabilité des OS clients pour le premier semestre 2008 :

Download: H1 2008 Desktop OS Vendor Report - Vulnerabilities and Days-of-Risk

Sans surprise, Windows Vista est encore le mieux placé en nombre de vulnérabilités, nombre de jours de risque et atténuation des vulnérabilités. À lire.

Hyper-V : une nouvelle race de SID

pascals — Fri, 18 Jul 2008 03:29:04 GMT

Si vous savez ce que sont des jetons, des SID et des DACL, passez le début et allez directement à la première image ci-dessous...

Depuis que Windows est "NT", c'est à dire depuis Windows NT 3.1, un principe de base de la sécurité de Windows, le contrôle d'accès discrétionnaire, utilise des SID et des ACL. Pour l'explication détaillée, je vous conseille le chapitre 8 du livre de Mark Russinovich et David Solomon : Windows Internals. Une autre source est le chapitre Authorization and Access Control Technologies dans la librairie technique de Windows Server 2003.

Pour l'explication rapide, voici une tentative de résumé : dans Windows, tout processus est authentifié et s'exécute dans le contexte de sécurité de l'utilisateur. Un jeton (token) est attaché à chaque process, et ce jeton contient entre autres les identifiants de l'utilisateur et de tous les groupes auxquels cet utilisateur appartient. Si vous exécutez la commande whoami /all dans une ligne de commande, vous obtenez une vue lisible de votre jeton. Comme les utilisateurs et groupes peuvent changer de nom, on les repère par des identifiants numériques, des SID (Security Identifiers). Windows saura en général faire la traduction pour vous.

Les objets, comme par exemple les fichiers, ont un Security Descriptor (SD) qui contient une DACL (liste de contrôle d'accès discrétionnaire). Cette liste contient des ACE (Access Control Entries) et chaque ACE indique un SID et un type d'accès ; par exemple : Utilisateurs / Lecture, Administrateurs / Lecture et Ecriture. Si vous exécutez la commande icacls nom_fichier dans une ligne de commande, vous obtenez une vue lisible de la DACL du fichier (si icacls ne marche pas, essayez cacls.)

Pour faire simple, lorsqu'un processus veut accéder à un objet pour un type d'accès donné (par exemple pour le modifier), le Security Reference Monitor (SRM) de Windows contrôle la DACL de l'objet, le jeton du process, et regarde si un des SID du jeton se trouve dans une ACE qui lui permet l'accès demandé.

Au fil des versions de Windows ce mécanisme est toujours resté, et des concepts nouveaux sont venus l'utiliser sans jamais le modifier. Par exemple, depuis Windows Vista, il existe une nouvelle sorte de SID : les SID de service. Il s'agit de SID qui identifient un service au lieu d'un utilisateur ou d'un groupe. Ils servent à faire en sorte que, même si deux services S1 et S2 s'exécutent sous le même compte (par exemple LOCAL SERVICE), alors on peut faire en sorte qu'un fichier ne soit accessible que par S1 en lui attachant une ACE relative au SID de service NT SERVICE\S1. C'est la notion d'isolation des services, abordée notamment dans cet article de Cyril Voisin et Jean-Yves Poublan.

On trouve donc depuis Windows Vista des fichiers qui ont des ACE faisant référence à des SID de service, comme par exemple :

c:\Windows\notepad.exe
    NT SERVICE\TrustedInstaller:(F)
    BUILTIN\Administrators:(RX)
    NT AUTHORITY\SYSTEM:(RX)
    BUILTIN\Users:(RX)

Ce qui signifie que seul le service TrustedInstaller (nom complet : Windows Modules Installer) a tous les droits sur les fichiers de Windows.

C'était un bien longue introduction pour aborder une nouvelle sorte de SID définis par Hyper-V : les SID de machines virtuelles. Un peu comme les SID de service, les SID de VM vont servir à isoler les VM, c'est à dire à assurer que les ressources propres à une VM ne sont accessibles en écriture que par cette VM.

Voici la DACL sur le fichier VHD d'une machine virtuelle déclarée dans Hyper-V :

Rappelons qu'un fichier VHD est le disque dur virtuel de la VM. Remarquez le SID de la forme NT VIRTUAL MACHINE\<GUID>. Ce GUID (090928A5- etc.) est l'identifiant Hyper-V unique de cette machine virtuelle. On peut le vérifier en regardant le fichier C:\ProgramData\Microsoft\Windows\Hyper-V\<GUID>.xml.

Dans Process Explorer, on peut afficher les propriétés du processus (worker process) vmwp.exe correspondant à cette VM :

Et voici, toujours affiché dans Process Explorer, le jeton du process (propriétés du process, onglet Security) :

Ce jeton et cette DACL assurent donc (1) que le process (qui s'exécute en tant que NETWORK SERVICE) aura accès en lecture et écriture (mais pas suppression) au VHD, et (2) que les autres VM ou autres services n'y auront pas accès en écriture.

Au passage, avez-vous remarqué que icacls et Process Explorer profitaient de Windows pour toujours traduire les SID en noms lisibles ? Quoique, je ne sais pas si NT VIRTUAL MACHINE\090928A5-E592-47E1-A819-85F56654EBCF est plus lisible que S-1-5-83-1-151595173-1205986706-4119140776-3488306278... :)

Si vous souhaitez en savoir plus sur les fonctions avancées des jetons de sécurité dans Windows, consultez la série d'articles de Cyril et Jean-Yves sur le durcissement des services dans Windows Vista et Windows Server 2008.

Mise à jour 18/7/2008 - Quelques fautes de frappes corrigées.

Windows Vista SP1 dans WSUS

pascals — Wed, 16 Jul 2008 12:33:30 GMT

Comme annoncé le mois dernier, la version complète du Service Pack 1 de Windows Vista est disponible pour WSUS, comme l'indique cet extrait du rapport de synchronisation de cette nuit sur mon WSUS de test :

Attention, il est impératif de vérifier que la mise à jour 938759 est installée sur vos serveurs WSUS avant d'approuver le SP1 de Windows Vista. Pour ce faire, vérifiez dans Updates\WSUS Updates que la mise à jour "Update for Windows Server 2003 (KB938759)" est approuvée et installée :

Passez à Adobe Reader 9.0 (sous Vista)

pascals — Fri, 04 Jul 2008 14:33:17 GMT

Oui, vous avez bien lu le titre. Pourquoi Adobe Reader 9.0 ? Jetez un œil sur l'article de Robert Hensing : Adobe Acrobat 9 - Creamy Security Goodness (on Vista / WS2008). Enfin, un logiciel répandu qui supporte les avancées présentes depuis plus de 18 mois dans Windows Vista, : ASLR, DEP en mode permanent.

Evidemment, Windows Vista est nécessaire pour profiter de ces améliorations. Windows Server 2008 les supportent aussi, si vous avez besoin d'Adobe Reader par exemple sur un serveur Terminal Server.

Méfiance tout de même avec la nouvelle fonctionnalité de lecture des animations Flash... Car dans IE7 sous Windows Vista, le mode protégé maintient ces animations dans un niveau de confiance (niveau d'intégrité) bas. Dans un lecteur indépendant, elles se retrouvent au niveau moyen. Nouvelle fonctionnalité, nouveau risque !

Mise à jour 4/7/2008 - Adobe Reader 9.0 n'est pas la seule application répandue à supporter DEP et ASLR. Il faut reconnaître que, bien que le mode protégé (intégrité basse) soit toujours une spécificité d'Internet Explorer, Firefox 3 supporte DEP et ASLR. Process Explorer peut afficher cette information si l'on ajoute les colonnes correspondantes :

Remarquez les "DEP" et "ASLR" pour les process AcroRd32.exe et firefox.exe. Remarquez également l'intégrité "Low" pour iexplore.exe. DEP n'est pas activé par défaut dans iexplore.exe pour des raisons de compatibilité avec les ActiveX que l'on rencontre dans la nature, mais le mode protégé limite ce risque.

Plus d'infos : tout sur DEP.

Mise à jour 21/7/2008 - Lu sur le site de l'ISC : Adobe Reader 9 (en anglais) est Malheureusement encore alourdi de deux applications supplémentaires non désirées. Pour ne pas les subir, voici les liens de téléchargement direct sans ces suppléments : AdbeRdr90_en_US_Std.exe (anglais) et AdbeRdr90_fr_FR.exe (français).

BitLocker certifié FIPS

pascals — Wed, 28 May 2008 21:25:25 GMT

BitLocker Drive Encryption vient d'être certifié conforme au standard américain FIPS 140-2. Il a reçu le certificat #947 du NIST et du CSE. Plus que la certification elle-même, le document fourni par Microsoft intéressera ceux qui cherchent des informations sur les aspects cryptographiques du produit :

BitLocker Drive Encryption Security Policy

Les informations sur la certification sont publiées dans la liste des produits validés FIPS (chercher le numéro 947).

Vulnérabilités des OS clients : Vista, XP SP2, Linux, Mac OS... et Windows 2000 dans tout ça ?

pascals — Fri, 16 May 2008 16:45:07 GMT

Jeff Jones vient de publier deux papiers comparant pour le premier les vulnérabilités de Windows Vista et de Windows XP SP2 en 2007, et, pour le second, les vulnérabilités du premier trimestre 2008 pour Vista, XP SP2, RHEL Desktop v5 client, RHEL WS v4, Ubuntu 6.06 LTS Desktop, Mac OS 10.4 et 10.5.

Le premier papier évoque de façon très intéressante le rôle d'UAC dans la réduction de la menace liée aux vulnérabilité.

A propos (cela date de la semaine dernière), il paraît que Windows 2000 serait plus sûr que Windows Vista... Ce genre d'auto-promotion sensationnaliste (qui avait entendu parler de PC Tools auparavant ?) ferait juste sourire si elle n'était pas reprise à tour de bras par tous les sites d'informations technologiques de la planète. Une réponse n'était pas vraiment nécessaire, mais voici tout de même :

Windows Vista and Malware

Bitlocker et Linux sur la même machine

pascals — Wed, 30 Apr 2008 21:09:29 GMT

Mon collègue Cyril Voisin vient de publier un webcast sur la configuration d'un dual boot Linux et Vista avec Bitlocker et un TPM. Ce webcast complète par une démonstration détaillée et un livre blanc ses précédents articles sur le sujet.

Le webcast, la présentation et le livre blanc :

Installer une machine en double démarrage (dual boot) avec Linux et Windows Vista protégé par BitLocker et un TPM

Les articles :

Merci Cyril !

Mise à jour 14/05/2008 - Cyril a posté sur son blog un article plus détaillé avec des copies d'écrans et le minutage des séquences de la vidéo.

Outils BitLocker pour Vista SP1 et Windows Server 2008

pascals — Wed, 30 Apr 2008 00:05:53 GMT

Les outils BitLocker viennent d'être publiés pour Windows Vista SP1 et Windows Server 2008 :

BitLocker Drive Preparation Tool : description, téléchargement
BitLocker Recovery Password Viewer for Active Directory Users and Computers tool : description, téléchargement
BitLocker Repair Tool : description, téléchargement

La nouveauté majeure ici est la disponibilité publique du dernier outil : si vous êtes administrateur en entreprise et que BitLocker est déployé sur votre parc de portables, cet outil pourra vous sauver en cas de problème physique sur un disque.

Point de vue : sécurité de Windows Vista, culture Microsoft, SDL

pascals — Tue, 15 Apr 2008 23:53:33 GMT

A lire : cet article point de vue de Michael Howard, à qui l'on doit le Secure Development Lifecyle (SDL) qui régit maintenant tous les développements chez Microsoft et commence réellement à porter ses fruits. Que font les autres pour la sécurité de leurs produits ?

Building Security into Windows Vista and the Microsoft Culture

[la suite sur Hyper-V sans doute vers la fin de semaine... trop occupé ces quelques jours !]

Annonces de mars

pascals — Thu, 27 Mar 2008 01:47:33 GMT

En quelques jours, une série de produits ont été rendus disponibles, et ce n'est pas fini. Voici où nous en sommes aujourd'hui sur le front de la virtualisation et des OS.

Windows Vista SP1 : annoncé le 18 mars, disponible sur Windows Update et ici : x86, x64.
Hyper-V RC0 : annoncé le 19 mars, disponible ici. Au menu, support et composants d'intégration pour Windows Vista SP1 (x86) et Windows XP SP3 (x86).
Hyper-V Manager MMC : annoncé le 25 mars, disponible ici : x86, x64. Vous l'attendiez sans doute si vous avez testé Hyper-V : il s'agit de la console d'administation à distance pour Vista SP1, incluant la console et VMConnect. Un must pour Hyper-V sur Server Core.
Remote Server Administration Tools (RSAT) for Windows Vista SP1 : annoncé le 25 mars, disponible ici : x86, x64. Il s'agit des outils d'administration serveurs pour Vista SP1, c'est à dire le successeur de adminpak.msi, capable d'administrer Windows Server 2003 et 2008.
Windows XP SP3 RC2 Refresh : annoncé le 25 mars, disponible ici.

Tout ceci nous prépare une nouvelle génération pour les serveurs, les clients, la virtualisation et l'administration, disponible dés aujourd'hui en version quasi finale.