We have modified some behavior on our blog: our posts will systematically be written in french and translated into english (and vice versa), and therefore new feeds are available in french (RSS or Atom) and in english (RSS or Atom). As some team members didn't resist to the call of Twitter, you can now follow our adventures on our dedicated page !

Nous avons modifié quelques comportements sur notre blog : désormais les billets seront systématiquement rédigés en français et traduits en anglais (et vice et versa), et par conséquent de nouveaux flux RSS / Atom appropriés sont proposés en langue française (RSS ou Atom) et en langue anglaise (RSS ou Atom). Des membres de l'équipe ayant de plus succombé aux sirènes de Twitter, vous pourrez désormais suivre nos aventures sur notre page dédiée !

No less than 21 vulnerabilities have been published during the April Microsoft Patch Day, spread among eight bulletins. Five of them are rated critical because a remote attacker can exploit them to execute arbitrary code:

MS09-009: two vulnerabilities in Excel (Ref Lexsi 11548 and 11344), including the 0-day vulnerability dating back to February.

MS09-010: four vulnerabilities in WordPad and Office text converters (Ref Lexsi 11549, 11034 and 10724), including the already known vulnerability used in targeted attacks. In the FAQ, the following text: "Exploit code is publicly available of a variant of this issue that may cause a Denial of Service condition in WordPad" seems to refer to an exploitation code published on Milw0rm in September 2008.

MS09-011: a vulnerability in the DirectShow component of DirectX (Ref Lexsi 11550).

MS09-013: three vulnerabilities in Windows HTTP Services (Ref Lexsi 11552), an API used by, for example, UPnP.

MS09-014: six vulnerabilities in Internet Explorer (Ref Lexsi 11553).

Two bulletins are rated important:

MS09-012: four vulnerabilities in Windows (Ref Lexsi 10015 and 11551). This privilege escalation had been presented by Cesar Cerrudo in his Token Kidnapping conference during HITB 2008.

MS09-016: two vulnerabilities in Microsoft ISA server and Forefront Threat Management Gateway (successor of ISA) (Ref Lexsi 11555), one of them allowing an attacker to cause a denial of service.

Finally, one bulletin is rated moderate:

MS09-015: one vulnerability in the SearchPath component of Windows (Ref Lexsi 8970), fixing a known vulnerability allowing an attacker to execute arbitrary code with Internet Explorer if he is able to drop a malicious file with the same name as a system library on the victim's desktop. By default, Apple Safari before 3.1.2 downloaded every file on the desktop, thus allowing this vulnerability to be easily exploited.

It is worth noticing that the 0-day in PowerPoint that became public at the beginning of the month has not been fixed.

NB: two CVE belong to two different bulletins, explaining why there are only 21 vulnerabilities and not 23

The MSRT has also been updated to delete the Waledac malware family, whose main goal is to search the infected system for email addresses to send spam to, as well as retrieve sensitive information such as passwords.

It must be remembered that a part of the Conficker.C payload that was spread by P2P tried to connect to a Waledac domain. Moreover, Waledac authors have just launched a new campaign, promoting a piece of software allowing you to retrieve SMS messages from your neighbour's phone...

Oracle has also released its April 2009 Critical Patch (Ref Lexsi 11556), fixing 43 vulnerabilities in different products (Database, Application Server, WebLogic, etc).

Pas moins de 21 vulnérabilités ont été publiées dans le traditionnel Patch Day de Microsoft du mois d'avril, réparties dans huit bulletins. Cinq sont qualifiés de critiques et permettent l'exécution de code arbitraire à distance :

MS09-009 : deux vulnérabilités dans Excel (Réf Lexsi 11548 et 11344), dont la 0-day datant de fin février.

MS09-010 : quatre vulnérabilités dans WordPad et les convertisseurs de texte Office (Réf Lexsi 11549, 11034 et 10724), dont celle déjà connue et utilisée lors d'attaques ciblées. Dans la FAQ, on notera aussi la mention "Exploit code is publicly available of a variant of this issue that may cause a Denial of Service condition in WordPad", qui fait certainement référence à un code d'exploitation publié sur Milw0rm en septembre 2008.

MS09-011 : une vulnérabilité dans le composant DirectShow de DirectX (Réf Lexsi 11550).

MS09-013 : trois vulnérabilités dans Windows HTTP Services (Réf Lexsi 11552), une API utilisée notamment par le service UPnP.

MS09-014 : six vulnérabilités dans Internet Explorer (Réf Lexsi 11553).

Deux bulletins sont qualifiés d'importants :

MS09-012 : quatre vulnérabilités dans Windows (Réf Lexsi 10015 et 11551). Cette élévation de privilèges avait été présentée par Cesar Cerrudo lors de sa conférence Token Kidnapping à HITB 2008.

MS09-016 : deux vulnérabilités dans les serveurs Microsoft ISA et Forefront Threat Management Gateway (le successeur de ISA) (Réf Lexsi 11555), dont une permettant de provoquer un déni de service.

Enfin, un bulletin est qualifié de modéré :

MS09-015 : une vulnérabilité dans le composant SearchPath de Windows (Réf Lexsi 8970), corrigeant une vulnérabilité déjà connue, permettant de faire exécuter du code arbitraire à Internet Explorer si l'attaquant peut déposer sur le bureau de la victime un fichier portant le même nom qu'une bibliothèque système. Par défaut, Apple Safari avant la version 3.1.2, téléchargeait automatiquement tout fichier sur le bureau et permettait donc d'exploiter facilement cette vulnérabilité.

A noter que la 0-day dans PowerPoint publiée au début du mois n'a pas été corrigée.

NB : deux CVE sont communs à deux bulletins ce qui fait bien un total de 21 vulnérabilités au lieu de 23

Le MSRT a aussi été mis à jour afin de supprimer la famille de malware Waledac qui a principalement pour but de rechercher sur le poste infecté des adresses email afin d'envoyer du spam et récupérer des données sensibles comme des mots de passe.

On se rappelle qu'une partie de la payload propagée par P2P sur certains postes infectés par Conficker.C se connectait à un domaine Waledac. De plus, les auteurs de Waledac viennent de lancer une nouvelle campagne afin de promouvoir un logiciel permettant de lire en toute discrétion les SMS de votre voisin/voisine...

A côté de ça, Oracle a aussi publié son April 2009 Critical Patch (Réf Lexsi 11556), corrigeant 43 vulnérabilités dans différents produits (Database, Application Server, WebLogic, etc).

As we already mentioned, variant C of Conficker incorporates a sophisticated peer-to-peer mechanism, allowing for payload transfer between infected hosts without any attempt to connect to the famous domain names. This mechanism has been active for several weeks. However, during the last few days, a payload has begun to be distributed through it.

Analysis of this payload is in progress. Below is the first available information regarding the Conficker update itself (which seems to be only a part of the payload):

• this update is spreading via the MS08-067 vulnerability, like variants A and B (remember that this spreading vector was not present in the original C variant) and opens a listening port. It seems that no other means of propagation have been added.
• it will stop operating on 05/03/2009
• it uses the SSDP protocol

Some AV vendors already detect this new variant, such as Trend Micro or ESET.

It seems that the payload is able to download a binary from goodnewsdigital[dot]com, a domain name already known to be adversely used by the Waledac family of viruses.

Faced with this still unclear situation, the best thing to do is to look for machines infected by Conficker.C and disinfect them. This can be done in several ways:

• Nmap scan
• scan through the open P2P ports
• Snort module

Stay tuned!

Comme nous l'avons déjà décrit, la variante C de Conficker intègre un mécanisme sophistiqué de type peer-to-peer, permettant le transfert de payload entre hôtes infectés sans passer par les fameux domaines générés par un algorithme. Ce mécanisme est actif depuis plusieurs semaines ; or, ces dernières 24 heures, une payload a commencé a être distribuée par ce biais.

L'analyse de cette payload est en cours. Voici les premières informations disponibles concernant la mise à jour de Conficker elle-même (qui ne serait qu'une partie de la payload) :

• cette mise à jour se propage via la vulnérabilité MS08-067, comme les variantes A et B (pour rappel, ce moyen de propagation n'était pas présent dans la variante C originale) et ouvre un port en écoute. Il ne semble pas que d'autres vecteurs de propagation aient été ajoutés.
• elle stoppe son activité le 03/05/2009
• elle utilise le protocole SSDP

Certains éditeurs antivirus détectent déjà cette nouvelle variante, par exemple Trend Micro ou ESET.

Il semble que cette payload contienne aussi de quoi télécharger un binaire depuis goodnewsdigital[dot]com, domaine déjà défavorablement connu comme étant utilisé par la famille de virus Waledac.

Face à cette situation encore floue, la meilleure chose à faire est de rechercher dans son réseau les machines infectées par Conficker.C, et de les désinfecter. Cela peut se faire de plusieurs manières :

• scan Nmap
• scan via les ports P2P ouverts
• module Snort

Affaire à suivre !

Nous encourageons les administrateurs réseaux des sociétés françaises - et plus particulièrement des opérateurs et fournisseurs d'accès - à s'inscrire sur ce site spécifique de l'ISC. Il permet de vérifier si des machines du réseau ont été détectées par les "pots de miel" anti-Conficker. En effet, l'ISC collecte les adresses IP de machines identifiées comme infectées par Conficker. Grâce à l'horodatage des résultats, vous pourrez éventuellement identifier, isoler et auditer la machine connectée à l'adresse IP incriminée.

Il vous faudra spécifier lors de l'enregistrement votre poste au sein de l'organisation et votre numéro d'AS (Autonomous System) ou de CIDR (en fait, les classes IP sous la forme X.X.X.X/préfixe. Exemple : 217.167.20.144/29).
Lexsi a été sollicité comme tiers de confiance pour faciliter les demandes en ce sens. Si vous mentionnez dans le champ de commentaire en texte libre : "please vett through vhinderer AT lexsi.com", nous nous chargerons de vérifier et d'approuver votre requête auprès de l'ISC.

Cet outil fait partie de l'effort international et inter-industries contre la propagation du ver Conficker, centralisé par le Conficker Working Group.

In previous posts, methodologies and tools related to the detection and eradication of Conficker were discussed:

• generic VBS script to remove Conficker A/B/C
• using mutexes to build a digital vaccine against Conficker C
• TCP and UDP ports generation used by Conficker C's P2P mechanism

The proof of concepts that were developed are now available for download (password: lexsi). Be careful, technical users only

Updated, 04/03/2009: The P2P ports generation tool has been updated to fix a bug causing a one day lag in the generation (one day per week, the generated ports are those of the day before), because of an incorrect structure initialization before using it in mktime.

Dans des billets précédents, nous avons décrit des méthodologies et outils en rapport avec la détection ou l'éradication de Conficker :

• script VBS de désinfection générique pour Conficker A/B/C
• utilisation des mutexes pour créer un vaccin contre Conficker C
• génération des ports TCP et UDP utilisés par le mécanisme P2P de Conficker C en fonction de l'IP et de la date

Les preuves de concept développées à ces occasions sont désormais téléchargeables (mot de passe lexsi). Attention, réservés aux utilisateurs aguerris

Mise à jour, 03/04/2009 : L'outil de génération des ports P2P a été mis à jour pour corriger un bug induisant un décalage d'un jour dans la génération (ce qui fait qu'un jour par semaine, les ports générés étaient ceux de la veille), à cause d'une mauvaise initialisation de la structure utilisée par mktime.