Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 928
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 928
    Points : 100 051
    Points
    100 051

    Par défaut Le correctif déployé par Microsoft pour colmater la faille 0-day sur JET ne la corrige pas complètement

    Une vulnérabilité 0Day dans Windows a été rendue publique,
    parce que Microsoft n'a pas pu respecter le délai canonique de 120 jours

    Sur sa page de présentation, la Zero Day Initiative (ZDI) de Trend Micro affirme qu’elle a été créée pour encourager le signalement des vulnérabilités zero day aux fournisseurs concernés en récompensant financièrement les chercheurs. À l’époque, certains intervenants du secteur de la sécurité de l’information avaient l’impression que ceux qui trouvaient des vulnérabilités étaient des hackers malveillants cherchant à nuire. Certains ressentent toujours cela. Bien qu'il existe des attaquants qualifiés et malveillants, ils restent une petite minorité du nombre total de personnes qui découvrent de nouvelles failles dans les logiciels.

    Les objectifs principaux de la ZDI sont :
    • améliorez l'efficacité de son équipe en créant une communauté virtuelle de chercheurs qualifiés ;
    • encourager le signalement responsable des vulnérabilités zero day grâce à des incitations financières ;
    • protéger les clients Trend Micro contre les risques jusqu’à ce que le fournisseur concerné puisse déployer un correctif.

    La ZDI agit comme une plateforme entre les chercheurs en sécurité et les fournisseurs concernés :

    « La soumission via le programme ZDI vous dispense également du suivi du bogue avec le fournisseur. Nous nous efforçons de travailler avec les fournisseurs pour nous assurer qu'ils comprennent les détails techniques et la gravité d'une faille de sécurité signalée, ce qui permet aux chercheurs de trouver d'autres bogues. Nous vous ferons savoir où en sont tous vos cas actuels en ce qui concerne la divulgation des fournisseurs. En aucun cas, une vulnérabilité acquise ne sera “gardée silencieuse” car un fournisseur de produits ne souhaite pas y remédier.

    « Les chercheurs intéressés nous fournissent des informations exclusives sur les vulnérabilités précédemment non corrigées qu'ils ont découvertes. La ZDI recueille ensuite des informations de base afin de valider l'identité du chercheur uniquement pour un contrôle éthique et financier. Nos chercheurs et analystes internes valident le problème dans nos laboratoires de sécurité et proposent une offre monétaire au chercheur. Si le chercheur accepte l'offre, un paiement sera effectué rapidement. Lorsqu'un chercheur découvre et fournit des recherches supplémentaires sur la vulnérabilité, les primes et les récompenses peuvent augmenter grâce à un programme similaire à un programme de fidélisation ».

    Une faille zero day sur Windows

    Une vulnérabilité de type écriture hors limites dans le moteur de base de données Microsoft JET pouvant permettre l'exécution de code à distance a été initialement signalée à Microsoft le 8 mai 2018. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus en cours, Cependant, il nécessite une interaction avec l'utilisateur car la cible doit ouvrir un fichier malveillant. Au jour de la publication du billet (le 20 septembre 2018), la ZDI a souligné que le bogue n’était toujours pas corrigé.

    La vulnérabilité

    La cause première de ce problème réside dans le moteur de base de données Microsoft JET. Microsoft a corrigé deux autres problèmes dans JET lors des mises à jour Patch Tuesday de septembre. Bien que les bogues corrigés soient répertoriés en tant que débordements de mémoire tampon, ce bogue supplémentaire est en réalité une écriture hors limites, qui peut être déclenchée en ouvrant une source de données Jet via OLEDB. Voici un aperçu du crash résultant:

    Nom : poc.png
Affichages : 3015
Taille : 148,0 Ko

    Pour déclencher cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu contenant des données stockées au format de base de données JET. Diverses applications utilisent ce format de base de données. Un attaquant utilisant ceci serait capable d'exécuter du code au niveau du processus en cours.

    Si vous souhaitez tester cela vous-même, la ZDI a fourni le code POC.

    Recommandation

    L’enquête de ZDI a confirmé que cette vulnérabilité existe dans Windows 7, mais l’équipe pense que toutes les versions de Windows prises en charge sont affectées par ce bogue, y compris les éditions Server. Microsoft continue de travailler sur un correctif pour cette vulnérabilité, et la ZDI espère le voir dans la Patch Tuesday du mois d’octobre. En l'absence d'un correctif, la seule stratégie d'atténuation importante consiste à faire preuve de prudence et à ne pas ouvrir les fichiers provenant de sources non fiables.

    Chronologie de divulgation:
    • 08/05/18 : ZDI a signalé une vulnérabilité au fournisseur et le fournisseur a reconnu le même jour
    • 14/05/18 : Le vendeur a répondu qu'il avait reproduit avec succès le problème signalé par ZDI
    • 09/09/18 : Le fournisseur a signalé un problème avec le correctif, précisant qu’il pourrait ne pas être inclus dans le Patch Tuesday de septembre
    • 10/09/18 : ZDI a mis en garde contre une zero day potentielle
    • 11/09/18 : Le vendeur a confirmé que le correctif n'a pas été embarqué dans la build
    • 12/09/18 : ZDI a confirmé au vendeur son intention de parler du zero day le 20/09/18
    • 20/09/18 : Publication d’un avis de sécurité.

    code du POC
    Source : ZDI

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Microsoft annonce la disponibilité d'Office 2019 pour Mac et Windows avec des fonctionnalités dérivées d'Office 365 ProPlus
    Microsoft annonce l'arrivée imminente d'une préversion publique d'Azure Confidential Computing pour la protection des données en cours d'utilisation
    Ignite 2018 : Microsoft annonce la disponibilité de la première preview de SQL Server 2019, qui voudrait faciliter la gestion d'environnement big data
    Une nouvelle distribution « optimisée » pour le sous-système Windows pour Linux est disponible sur le Microsoft Store
    Microsoft annonce la diffusion de mises à jour cumulatives pour .NET Framework, à compter de la mise à jour Windows 10 octobre 2018
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 928
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 928
    Points : 100 051
    Points
    100 051

    Par défaut Le correctif déployé par Microsoft pour colmater la faille 0-day sur JET ne la corrige pas complètement

    Le correctif déployé par Microsoft pour colmater la faille 0-day sur JET ne la corrige pas complètement,
    selon des experts

    Le 8 mai 2018, la ZDI (Zero Day Initiative) de Trend Micro a rapporté à Microsoft l’existence d’une vulnérabilité de type écriture hors limites dans le moteur de base de données Microsoft JET pouvant permettre l'exécution de code à distance. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus en cours, Cependant, il nécessite une interaction avec l'utilisateur car la cible doit ouvrir un fichier malveillant. Au jour de la publication du billet (le 20 septembre 2018), la ZDI a souligné que le bogue n’était toujours pas corrigé.

    La vulnérabilité

    La cause première de ce problème réside dans le moteur de base de données Microsoft JET. Microsoft a corrigé deux autres problèmes dans JET lors des mises à jour Patch Tuesday de septembre. Bien que les bogues corrigés soient répertoriés en tant que débordements de mémoire tampon, ce bogue supplémentaire est en réalité une écriture hors limites, qui peut être déclenchée en ouvrant une source de données Jet via OLEDB. Voici un aperçu du crash résultant:

    Nom : poc.png
Affichages : 1408
Taille : 148,0 Ko

    Pour déclencher cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu contenant des données stockées au format de base de données JET. Diverses applications utilisent ce format de base de données. Un attaquant utilisant ceci serait capable d'exécuter du code au niveau du processus en cours.

    ZDI a déclaré que Microsoft n'avait pas réussi à corriger la faille en temps opportun, c’est la raison pour laquelle le groupe a décidé de rendre le problème public en septembre, afin que les utilisateurs et les entreprises puissent prendre des mesures pour se protéger contre toute tentative d'exploitation.

    La vulnérabilité, qui était encore zero-day au moment de la publication de ZDI, a suscité des alarmes, principalement en raison du fait que le moteur de base de données JET est inclus dans toutes les versions de Windows et a fourni aux attaquants un vecteur d’attaque énorme qu’ils pouvaient cibler.

    Le moteur JET a été l'une des premières incursions de Microsoft dans les technologies de base de données. Il a été développé dans les années 90 et a été utilisé pour alimenter diverses applications Microsoft, les noms les plus reconnaissables étant Access, Visual Basic, Microsoft Project et IIS 3.0.

    JET est devenu obsolète et remplacé par de nouvelles technologies entre-temps, mais il est toujours inclus dans Windows à des fins d'héritage.

    Les experts en sécurité de l'information ont critiqué Microsoft pour ne pas avoir corrigé la vulnérabilité, principalement parce qu'elle permettait une compromission complète à distance du système de l'utilisateur.

    Ce n’est que dans le Patch Tuesday d’octobre 2018 que Microsoft a finalement proposé un correctif.

    Le correctif qui ne colmate pas entièrement la faille

    Bien que Microsoft ait corrigé cette vulnérabilité, il semblerait que vous n'êtes pas entièrement protégé. Ce sont les chercheurs de 0patch qui ont averti que le correctif officiel de Microsoft était « incomplet ».

    0patch a déclaré que le correctif de Microsoft « ne fait que limiter la vulnérabilité au lieu de l’éliminer. Nous avons immédiatement informé Microsoft à ce sujet et nous ne révélerons aucun détail ni aucune preuve ou concept jusqu'à ce que le correctif soit complet ».

    Dans l'intervalle, 0patch a déployé un micropatch qu’il conseille d’installer en attendant que Microsoft fournisse un correctif approprié. La bonne nouvelle est que, jusqu’à présent, ni Microsoft ni 0patch n’ont vu d’attaque exploiter ce vecteur.

    Source : blog 0patch

    Voir aussi :

    Microsoft annonce la disponibilité d'Office 2019 pour Mac et Windows avec des fonctionnalités dérivées d'Office 365 ProPlus
    Microsoft annonce l'arrivée imminente d'une préversion publique d'Azure Confidential Computing pour la protection des données en cours d'utilisation
    Ignite 2018 : Microsoft annonce la disponibilité de la première preview de SQL Server 2019, qui voudrait faciliter la gestion d'environnement big data
    Une nouvelle distribution « optimisée » pour le sous-système Windows pour Linux est disponible sur le Microsoft Store
    Microsoft annonce la diffusion de mises à jour cumulatives pour .NET Framework, à compter de la mise à jour Windows 10 octobre 2018
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  3. #3
    Membre habitué
    Homme Profil pro
    Consultant communication & réseaux
    Inscrit en
    octobre 2013
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant communication & réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : octobre 2013
    Messages : 82
    Points : 196
    Points
    196

    Par défaut

    Le mieux étant de se passer de JET

  4. #4
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    9 614
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 9 614
    Points : 21 576
    Points
    21 576

    Par défaut

    oui, c'est obsolète. Le problème étant surtout sur les bases anciennes qu'il faut reprendre. Tous les utilisateurs n'ayant pas forcément les ressources (temps, compétences, etc.) pour le faire.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  5. #5
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 427
    Points : 25 331
    Points
    25 331

    Par défaut

    Chez nous c'est migration en cours vers le nouveau logiciel.

    Temps estimé pour l'ensemble du parc, 3 à 4 ans sachant que certains clients ne voudront pas changer de logiciel.

    Et qui c'est qui a récupérer la maintenance de cette s******* de p***** de m***** bien p****** de logiciel sous VB6 et Access 97 ? C'est bibi !
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

Discussions similaires

  1. Réponses: 0
    Dernier message: 05/04/2018, 13h34
  2. Réponses: 0
    Dernier message: 15/06/2010, 17h29
  3. Réponses: 1
    Dernier message: 23/06/2008, 17h48
  4. Réponses: 1
    Dernier message: 21/06/2008, 10h40
  5. moteur de base de donnée DAO/JET
    Par dherve dans le forum Autres SGBD
    Réponses: 1
    Dernier message: 04/09/2006, 13h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo