Se connecter avec
S'enregistrer | Connectez-vous

Grosse faille dans Windows 7 / Server 2008

Par - Source: Blog de Laurent Gaffié | B 47 commentaires

Microsoft a annoncé qu’il étudiait une faille importante dans Windows 7 et Server 2008 R2 pouvant faire planter un ordinateur à distance.

Planter Windows en une seconde

Le problème a été mis à jour par Laurant Gaffié qui a publié une preuve de concept montrant qu’il était possible de faire planter le kernel de ces systèmes d’exploitation à distance en envoyant un entête NetBIOS stipulant que le paquet SMB est plus ou moins grand qu’il ne l’est en réalité, tout en établissant une boucle infinie du protocole Server Message Block (SMB) de Windows responsable du partage de fichier. Le système d’exploitation va alors geler complètement, sans même présenter un écran bleu ou indiquer que quelque chose ne va pas et même après le redémarrage de la machine, les logs ne montrent aucun problème.

La réponse de Microsoft

Selon le développeur, il est possible d’exploiter ce bug quelque soit la configuration de votre pare-feu. Des experts en sécurité ont ainsi créé un site, qui a été retiré depuis, exploitant cette faille avec succès. En attendant, Microsoft, qui aurait reconnu le problème selon M. Gaffié, a affirmé qu’il faudrait peut-être attendre Windows 7 SP1 avant que cette faille soit comblée (cf. « Déjà un SP1 pour Windows 7 »).

Afficher 47 commentaires.
Cette page n'accepte plus de commentaires
  • FireBird , 13 novembre 2009 00:39
    "il faudrait peut-être attendre Windows 7 SP1 avant que cette faille soit comblée".
    Whao quelle réactivité!
    C'est pour quand déjà le SP1 ?
  • Serious Gilles , 13 novembre 2009 00:44
    @FireBird: When it's done :D 
  • enestu , 13 novembre 2009 02:07
    http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

    Laurent Gaffié n'est pas de MS...si SMB est bloqué à partir de l'internet, ce qui est le fonctionnement classique, pas de soucis excepté sur le réseau interne (c'est déjà pas mal !).
  • -6 Masquer
    Anonyme , 13 novembre 2009 02:25
    ce mec laurent gaffié a bien réussi son coup. creer du buzz, car ce qui marche actuellement en effet c'est de parler de windows 7. pourquoi il parle pas de vista ? ou bien le probleme ne concerne que 7 ?
  • -5 Masquer
    Imp , 13 novembre 2009 03:32
    Arf!

    Après le plagiat de l'utilitaire pour booter 7even sur une clef USB, voici la faille de sécurité ... ça sent mauvais tout ça.

  • -2 Masquer
    Nuke_Meltdown , 13 novembre 2009 04:09
    Bien vue...Comme la plupart des réseaux interne sont sensiblement bien sécurisés et que comme enestu raconte (Que le SMB est normalement bloqué à l'externe), il est très logique qu'il n'y est pas d'urgence a sortir un correctif...Surtout pour l'utilisateur à la maison...Bien évidament on aime bien remuer la M**** contre MS ici à PPC (Grosse faille mon c**)...Un peu comme la grippe A H1N1 avez-vous vue quelque'un tomber en convulsion dans la rue...On aime bien mettre ca gros quand y'a pas de quoi s'alarmer...
  • catseye , 13 novembre 2009 04:27
    +1 une faille sans grand intérêt ...
  • Ludovic 500 , 13 novembre 2009 07:28
    faille sans grand intérêt, vous en êtes sûrs? imaginez que ça deviennent systématique : gel du pc dès qu'on est sur internet, ou aléatoirement après un certain temps sur la toile, avec tous ces pc fantômes qui scannent nos ports, envoient des requêtes, etc...., il suffit d'un petit génie qui veut faire c***r MS et tous ses utilisateurs de W7, pour que ça devienne important, non?
  • -4 Masquer
    tigrane , 13 novembre 2009 08:42
    Si ca n'est exploitable que depuis un réseau local, franchement, c'est une faille qui n'est vraiment pas dangereuse.
  • Zephyros , 13 novembre 2009 08:52
    tigraneSi ca n'est exploitable que depuis un réseau local, franchement, c'est une faille qui n'est vraiment pas dangereuse.


    Ah bah non, surtout que la plupart des réseaux wifi des particuliers sont trés sécurisés et ne laissent pas la moindre possibilité d'entrer sur le réseau local. Non, certainement pas ;-)
  • urschuca , 13 novembre 2009 09:03
    Ouais enfin les réseaux wifi d'entreprise ne sont pas au même niveau de sécurité que les réseaux wifi de particuliers (en général).

    Donc une faile sans grand intérêt, mais ca me fait bien rire d'apprendre ca alors que l'os n'est en commercialisation depuis moins d'un mois.
  • Anonyme , 13 novembre 2009 09:04
    sauf si 1 pc du réseau choppe cette erde et te fait geler tous les serveurs de la boite !!!
    Sur une PME de 10 personnes c'est pas trop grave mais sur une boite de plusieurs milliers de pc !!!!!!
  • ofunk , 13 novembre 2009 09:25
    le plus pathétique c'est lorsque ce genre d'individu découvre une faille (que ce soit pour seven, le ssl, le wifi, etc...) la première chose qu'ils pensent à faire c'est un site public pour expliquer à tout le monde comment exploiter la faille...
  • David Civera , 13 novembre 2009 09:32
    A titre d'info, si tu lis le doc tu verras qu'il a d'abord contacté Microsoft d'abord, puis le public une fois que Redmond lui a dit qu'il fallait attendre le Sp1
  • ultrabill , 13 novembre 2009 09:38
    Citation :
    sauf si 1 pc du réseau choppe cette erde et te fait geler tous les serveurs de la boite !!!
    Sur une PME de 10 personnes c'est pas trop grave mais sur une boite de plusieurs milliers de pc !!!!!!
    C'est pas un virus, hein. Tu le "choppes" pas sur ta machine à l'insu de ton plein gré.
    En revanche, si un gaillard à récupéré l'outil en question et qu'il s'introduit dans un réseau local, là c'est la merde !

    Même si c'est une faille non exploitable par internet, la réactivité de Microsoft est vraiment zéro sur ce coup là :( 
  • magellan , 13 novembre 2009 10:12
    Quelques choses intéressantes:
    1) Ms a été contacté en premier, puis le Proof of concept a été mis en place pour démontrer le principe.
    2) Le fait de démontrer, via le web, que le problème est réel est à mon sens une bonne chose! C'est le meilleur moyen d'alerter les administrateurs et autres gestionnaires de parcs. Typiquement, la cible est Seven et 2008 r2 qui est une version SERVEUR. Ce n'est donc pas inutile de mettre le doigt où ça fait mal. Je me souviens de Nimda (virus) qui, en son temps, a fait trembler les admins... qui auraient probablement pu régler énormément de problèmes en faisant un suivi propre des patchs MS.
    3) Là on a une "attaque" exécutable qu'en interne (réseau local). Avant de trembler, encore faut-il qu'un abruti aille user de ce truc sur le réseau de sa propre boîte pour que ce soit impactant.
    4) Concernant la réactivité, tant qu'il n'y a pas de lien officiel d'une déclaration Ms, je prends avec des pincettes les déclarations qu'on aura sur la chose! Le "ils ne sont pas réactifs"... ah bon? Des updates Windows, il y en a très régulièrement, et franchement je doute que cela reste en suspens jusqu'au SP1, sauf si le fameux Proof of concept est réalisé dans des conditions trop particulières (donc infaisables dans le monde réel) pour être grave.
  • magellan , 13 novembre 2009 10:15
    ZephyrosAh bah non, surtout que la plupart des réseaux wifi des particuliers sont trés sécurisés et ne laissent pas la moindre possibilité d'entrer sur le réseau local. Non, certainement pas ;-)

    Sauf que le nombre de bornes "ouvertes" diminue régulièrement, du fait même que les particuliers utilisent les box FAI, qui, par défaut, disposent à présent au minimum d'un WEP configuré, voire d'un WPA.
    Ce n'est certes pas encore correctement ni définitivement sécurisé, mais ça réduit à quasi néant les tentatives de scripts kiddies. Après, quel intérêt pour un hacker:
    1) Hacker l'accès à la borne
    2) S'emm... à chercher des machines avec l'OS en question
    3) Le faire planter?
    Ca, c'est uniquement valable pour une attaque d'une entreprise... pas chez le particulier.
  • enestu , 13 novembre 2009 10:26
    ultrabillC'est pas un virus, hein. Tu le "choppes" pas sur ta machine à l'insu de ton plein gré.En revanche, si un gaillard à récupéré l'outil en question et qu'il s'introduit dans un réseau local, là c'est la merde !Même si c'est une faille non exploitable par internet, la réactivité de Microsoft est vraiment zéro sur ce coup là


    Je n'ai pas dit que c'était pas grave, sur un réseau local avec un gros parc le risque qu'un mec s'amuse...Par contre c'est l'histoire du sp1 qui vient de nul part et de l'histoire de la réactivité. Généralement pour les failles dont la méthode est publié la résolution est assez rapide (ou il y à la methode pour temporairement bloquer).
    Pas mal de monde surtout les fanboys qui font de l'info à la maison racontent n'importe nawak sur le sujet. Beaucoup devrait aller par exemple voir les répertories de failles sur Sécunia, ils relativiseraient l'importance, la durée de résolution des failles, etc.
  • Caabale , 13 novembre 2009 11:05
    Donc en gros :
    La faille ne permet pas de prendre le controle de la machine, mais juste de la faire planter.
    La faille n'est exploitable que du reseau local, pas d'internet.

    Ouh la la, oui, elle est grosse, la faille :sarcastic: 
  • Zephyros , 13 novembre 2009 11:16
    magellanSauf que le nombre de bornes "ouvertes" diminue régulièrement, du fait même que les particuliers utilisent les box FAI, qui, par défaut, disposent à présent au minimum d'un WEP configuré, voire d'un WPA. Ce n'est certes pas encore correctement ni définitivement sécurisé, mais ça réduit à quasi néant les tentatives de scripts kiddies. Après, quel intérêt pour un hacker:1) Hacker l'accès à la borne2) S'emm... à chercher des machines avec l'OS en question3) Le faire planter?Ca, c'est uniquement valable pour une attaque d'une entreprise... pas chez le particulier.


    J'suis pas tout à fait d'accord sur la performance du WEP en matière de sécurité , ni sur du WPA-TKIP (WPA2 est pas super généralisé je trouve) qui sont encore utilisés dans beaucoup de Box mais c'est vrai que le risque est limité pour un particulier même s'il existe. Ceci dit il y aura toujours des petits malins qui "s'amuseront" avec des scripts kiddies, et qui pourraient tout aussi bien faire sauter du WEP voir WPA-TKIP en suivant les tutos qui fourmillent sur la toile...Il existe même des livecd de sécurité comme BackTrack qui disposent de tous les outils clé en main...

    Quant aux entreprises, j'avais lu il y a un petit moment un article qui montrait que les entreprises ne sont pas toutes au même niveau sur la sécurisation de leur réseau Wifi. Certaines voyaient même, en signe de provocation, leur clés wifi taguées juste devant leur bâtiment, sur le trottoir ou encore un mur. ^^"
Afficher plus de commentaires