L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de ScanMail

alerte de vulnérabilité CVE-2017-14090 CVE-2017-14091 CVE-2017-14092

Trend Micro ScanMail : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Trend Micro ScanMail.
Produits concernés : ScanMail.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 18/12/2017.
Références : 1118486, CORE-2017-0007, CVE-2017-14090, CVE-2017-14091, CVE-2017-14092, CVE-2017-14093, VIGILANCE-VUL-24791.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Trend Micro ScanMail.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-3326

Trend Micro ScanMail for Microsoft Exchange : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut mener un brute-force sur Trend Micro ScanMail for Microsoft Exchange, afin d'élever ses privilèges.
Produits concernés : ScanMail.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Date création : 18/05/2015.
Références : CVE-2015-3326, VIGILANCE-VUL-16931.

Description de la vulnérabilité

Le produit Trend Micro ScanMail for Microsoft Exchange dispose d'un service web.

Cependant, l'identifiant de session web est prédictible.

Un attaquant peut donc mener un brute-force sur Trend Micro ScanMail for Microsoft Exchange, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2012-1425 CVE-2012-1443 CVE-2012-1448

TrendMicro antivirus : contournement via CAB, RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive, contenant un virus qui n'est pas détecté par TrendMicro antivirus.
Produits concernés : OfficeScan, ScanMail.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 21/03/2012.
Références : BID-52580, BID-52603, BID-52608, BID-52610, BID-52612, BID-52621, BID-52623, BID-52626, CVE-2012-1425, CVE-2012-1443, CVE-2012-1448, CVE-2012-1453, CVE-2012-1456, CVE-2012-1457, CVE-2012-1459, CVE-2012-1461, VIGILANCE-VUL-11476.

Description de la vulnérabilité

Les outils d'extraction d'archives acceptent d'extraire des archives légèrement malformées. Cependant, TrendMicro antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\50\4B\03\04" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52580, CVE-2012-1425]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Une archive CAB contenant un champ "cbCabinet" trop grand contourne la détection. [grav:1/4; BID-52603, CVE-2012-1448]

Une archive CAB contenant un champ "coffFiles" trop grand contourne la détection. [grav:1/4; BID-52621, CVE-2012-1453]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec une taille trop grande contourne la détection. [grav:1/4; BID-52610, CVE-2012-1457]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 8683

Trend Micro : contournement via RAR, CAB et ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan Messaging Security Suite, InterScan Web Security Suite, ScanMail, TrendMicro ServerProtect.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 30/04/2009.
Références : BID-34763, TZO-17-2009, VIGILANCE-VUL-8683.

Description de la vulnérabilité

Les produits Trend Micro détectent les virus contenus dans les archives RAR, CAB et ZIP.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils Unrar/Unzip, mais que l'antivirus ne peut pas ouvrir.

Selon les produits Trend Micro, ces archives sont alors gérées de trois manières.

OfficeScan et ServerProtect détectent le virus lorsque Unrar/Unzip extrait l'archive sur le poste client. Ces produits sont donc vulnérables s'ils sont installés sur un serveur de scan. [grav:2/4]

InterScan Web Security Suite et InterScan Messaging Security mettent le fichier en quarantaine par défaut. Ces produits sont vulnérables si l'administrateur a modifié la configuration par défaut. [grav:2/4]

ScanMail laisse transister l'archive sans indiquer qu'elle contient potentiellement un virus. Ce produit est vulnérable dans la configuration par défaut. [grav:2/4]

Un attaquant peut donc créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2007-4277

Trend Micro AntiVirus scan engine : débordement de buffer dansTmxpflt.sys

Synthèse de la vulnérabilité

Un attaquant local peut exécuter du code sur le système en exploitant un débordement de buffer de Trend Micro AntiVirus scan engine.
Produits concernés : TrendMicro Internet Security, InterScan Messaging Security Suite, InterScan Web Security Suite, ScanMail, TrendMicro ServerProtect.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 26/10/2007.
Références : 1036190, CERTA-2007-AVI-456, CVE-2007-4277, VIGILANCE-VUL-7285.

Description de la vulnérabilité

Les produits Trend Micro utilisent un moteur de détection des virus nommé Trend Micro AntiVirus scan engine. Ce moteur utilise des filtres définis par le module Tmfilter.sys sous Windows.

Les permissions sur ce module donnent les droits d'écriture à tous les utilisateurs, et aucun contrôle sur les données passées en paramètre dans l'IOCTL 0xa0284403 n'est effectué. Un attaquant local peut donc exploiter ce module pour provoquer un débordement de buffer dans Trend Micro AntiVirus scan engine.

Un attaquant local peut donc exécuter du code avec les droits SYSTEM sur la machine.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2007-1591

Trend Micro : déni de service de UPX

Synthèse de la vulnérabilité

Un attaquant peut créer un programme UPX illicite afin de stopper les antivirus Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : document.
Date création : 15/03/2007.
Références : 1034587, BID-22965, CVE-2007-1591, VIGILANCE-VUL-6645.

Description de la vulnérabilité

Les programmes peuvent être compactés afin de diminuer leur taille et de rendre leur analyse plus difficile. Les antivirus Trend Micro supportent notamment le compacteur UPX (Ultimate Packer for eXecutables).

Un programme compacté avec UPX peut provoquer une division par zéro dans le driver VsapiNT.sys.

Un attaquant peut donc envoyer un programme compacté afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2007-0851

Trend Micro : buffer overflow de UPX

Synthèse de la vulnérabilité

Un attaquant peut créer un programme UPX illicite afin de faire exécuter du code sur les antivirus Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 08/02/2007.
Références : 1034289, BID-22449, CVE-2007-0851, VIGILANCE-VUL-6534, VU#276432.

Description de la vulnérabilité

Les programmes peuvent être compactés afin de diminuer leur taille et de rendre leur analyse plus difficile. Les antivirus Trend Micro supportent notamment le compacteur UPX (Ultimate Packer for eXecutables).

Un programme compacté avec UPX peut provoquer un buffer overflow.

Un attaquant peut donc envoyer un programme compacté afin de faire exécuter du code ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2005-0533

Trend Micro : buffer overflow de ARJ

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ARJ illicite provoquant l'exécution de code sur les antivirus Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Date création : 24/02/2005.
Date révision : 25/02/2005.
Références : 189, BID-12643, CVE-2005-0533, V6-TRENDMICROVSAPIARJBOF, VIGILANCE-VUL-4784.

Description de la vulnérabilité

La bibliothèque VSAPI est employée par les produits Trend Micro. Elle gère notamment le décodage des archives ARJ.

Les archives ARJ peuvent contenir des fichiers dont le nom possède 2600 caractères.

Cependant, VSAPI stocke les noms de fichiers dans un tableau de 512 caractères, sans vérifier la taille. Un attaquant peut donc créer une archive ARJ contenant des fichiers dont le nom provoque un débordement.

Cette vulnérabilité permet ainsi à un attaquant distant de faire exécuter du code sur l'antivirus.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2004-1003

Obtention d'informations à l'aide du serveur web

Synthèse de la vulnérabilité

Un attaquant autorisé à se connecter sur le serveur d'administration peut obtenir des informations sensibles.
Produits concernés : ScanMail.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 04/11/2004.
Références : BID-11612, CVE-2004-1003, V6-SCANMAILWEBINFO, VIGILANCE-VUL-4496.

Description de la vulnérabilité

L'antivirus ScanMail pour Lotus Notes dispose d'une console d'administration web. Plusieurs pages web sont disponibles :
  /smency.nsf : encyclopédie
  /smconf.nsf : configuration
  /smhelp.nsf : aide
  /smftypes.nsf : types de fichiers
  /smmsg.nsf : messages
  /smquar.nsf : quarantaine
  /smtime.nsf : planning
  /smsmvlog.nsf : journaux
  /smadmr5.nsf : administration

Si ce serveur web est accessible, un attaquant peut utiliser ces pages pour obtenir des informations sur le système.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 3971

Analyse incorrecte des fichiers UPX

Synthèse de la vulnérabilité

Un attaquant distant peut créer un fichier UPX illicite, qui ne sera pas analysé par la majorité des anti-virus.
Produits concernés : F-PROT AV, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Sophos AV, InterScan VirusWall, ScanMail.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Date création : 23/01/2004.
Références : V6-AVMULUPX, VIGILANCE-VUL-3971.

Description de la vulnérabilité

Le format UPX (Ultimate Packer for eXecutables) permet de compresser un programme et de le décompresser avant son exécution.

Il a été annoncé que la majorité des anti-virus ne savait pas reconnaître un fichier UPX spécialement construit. Un attaquant distant peut donc créer un virus et le compresser en UPX, afin qu'il ne soit pas détecté par les anti-virus. L'utilisateur, alors en confiance, peut décider de l'exécuter.

La liste exacte des anti-virus concernés n'est pas connue.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur ScanMail :