L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Windows : contournement de SafeSEH

Synthèse de la vulnérabilité 

Un attaquant local peut contourner la protection SafeSEH, afin d'exécuter du code avec les privilèges d'une application vulnérable.
Systèmes impactés : Visual Studio, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP.
Gravité de cette alerte : 2/4.
Date de création : 11/01/2012.
Références de cette alerte : 2644615, BID-51296, CERTA-2012-AVI-007, CVE-2012-0001, MS12-001, VIGILANCE-VUL-11267.

Description de la vulnérabilité 

Le SEH (Structured Exception Handler) indique les procédures à exécuter lorsqu'une exception matérielle ou logicielle survient.

Une technique pour exploiter les corruptions de mémoire consiste à modifier ces procédures. Microsoft a donc implémenté la fonctionnalité SafeSEH, qui vérifie les procédures avant de les exécuter.

Si une application a été compilée avec Microsoft Visual C++ .NET 2003, son champ PE "Load Configuration Directory" a une taille de 0x48. Cependant, lorsque Windows charge cet exécutable, il ne reconnaît pas cette taille, et n'active pas SafeSEH. Un attaquant peut alors employer une vulnérabilité de cette application, pour corrompre son SEH, afin d'exécuter du code.

Un attaquant local peut donc contourner la protection SafeSEH, afin d'exécuter du code avec les privilèges d'une application vulnérable.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette menace informatique concerne les logiciels ou systèmes comme Visual Studio, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de menace informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de menace informatique.

Solutions pour cette menace 

Windows : patch pour SafeSEH.
Un patch est disponible :
Windows XP x64 SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=46386269-6e37-4710-bfef-cedfe60d881c
Windows 2003 SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=9cdfc0fe-8f43-4e13-8a1f-2b48ff9ff472
Windows 2003 x64 SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=4e5783aa-6847-404c-9b75-621fa14ebbb8
Windows 2003 Itanium SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=cdf8208c-d55b-428f-bdd3-26e291dfb08d
Windows Vista SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=44eeb0a2-ae17-4971-8a7e-e25b260c582c
Windows Vista x64 SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=79ceba86-59a1-4138-a5de-8df20ad81b02
Windows Server 2008 32-bit Gold, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=5ab87c6c-5802-4454-bce4-12501e5b816d
Windows Server 2008 x64 Gold, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=726ff17e-ac90-4832-91e7-46f71ad2f868
Windows Server 2008 Itanium Gold, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=ba2c3d57-1bdd-44f2-9233-86c7ea6f0ddb
Windows 7 for 32-bit Gold, SP1
  http://www.microsoft.com/downloads/details.aspx?familyid=0ee22036-b7f4-40f5-8f40-a77e8faf48b2
Windows 7 for x64 Gold, SP1
  http://www.microsoft.com/downloads/details.aspx?familyid=7444e20c-9821-4c91-9779-2728c537dd6a
Windows Server 2008 R2 x64 Gold, SP1
  http://www.microsoft.com/downloads/details.aspx?familyid=4c73a16d-e9fa-48de-9dca-a6360ce3d029
Windows Server 2008 R2 Itanium Gold, SP1
  http://www.microsoft.com/downloads/details.aspx?familyid=1cc14ee8-f035-4bfc-bf38-33c6b9a2e776
L'annonce Microsoft indique des contre-mesures.
L'article 2644615 indique les problèmes connus :
  http://support.microsoft.com/kb/2644615
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité informatique. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.