La faille MS08-072 pour Microsoft Word était connue depuis 9 mois

Par Xavier Poli, secuobs.com
Le 11/12/2008

---

Résumé : La société Core Security avait averti Microsoft, il y a déjà neuf mois de cela, de la vulnérabilité corrigée récemment et qui affecte certaines versions de Microsoft Word. Les détails sont maintenant disponibles ainsi qu'une preuve de concept permettant de tester son exploitabilité. - Lire l'article



Parmi les nombreuses vulnérabilités corrigées avec la sortie du dernier bulletin ( lien ) de Microsoft, on retrouve une faille affectant l’application Microsoft Word. Cette faiblesse, découverte par Ricardo Narvaja de la société Core Security ( lien ), est imputable au traitement réservé par l’application en question à des fichiers bureautiques au format Word 97-2007 ( voir les spécifications - lien ).

Cette vulnérabilité, corrigée par Microsoft et abordée dans le bulletin MS08-072 ( lien ), peut permettre à un attaquant de lancer une exécution distante de code arbitraire avec pour impact possible la compromission de la sécurité du système d’exploitation ciblé. La réussite de cette attaque reste cependant soumise à la condition que l’utilisateur du système en question accepte d’ouvrir un fichier spécialement forgé de cette nature.

C’est ici à nouveau une vulnérabilité de corruption de la mémoire au niveau de la zone du tas ( lien ) qui affecte un produit Microsoft après celle constatée récemment dans le navigateur Internet Explorer ; rappelons que cette dernière n’est pas corrigée à l’heure actuelle, qu’une preuve de concept est disponible publiquement ( lien ) et qu’elle est déjà exploitée sur Internet ( lien ).

Concernant plus précisément la faille affectant l’application Microsoft Word, un fichier d’extension « .doc » spécialement conçu et présentant une valeur spécifiquement malformée pour un champ situé à l’intérieur du FIB ( File Information Block ) peut permettre de corrompre la zone de la pile mémoire précédemment citée ; les privilèges de cette exécution étant dépendants des droits relatifs au compte employé par l’utilisateur sur le système ciblé.

C’est la deuxième faille de corruption de la mémoire qui est imputable à FIB pour l’exploitation de Microsoft Word lors de cette année 2008 ( lien ). Les applications bureautiques menacées par la plus récente sont les versions 2000 et 2002 de Microsoft Word et cela même si elles présentent le Service Pack 3 installé ; les utilisateurs des versions 2003 et 2007 ne sont pas ici concernés.

La réalisation d’une preuve de concept pour cette vulnérabilité peut être effectuée en utilisant Microsoft Word 2007 afin de générer un fichier compatible au format Word 97-2003 ; il suffit alors d'y changer la valeur d’un octet spécifique à l'aide d'un éditeur héxadécimal. Cette simple modification de 0 à 1 permet d’obtenir un fichier qui sera exploitable lors de sa fermeture ; une preuve de concept est disponible sur le site de Core Security ( lien ).

Si la valeur du champ spécifique est équivalente à 0, les tentatives d’exploitation seront sans effet alors que si elle est positionnée à 1, la modification permettra de forcer l’exploitation de l’application ; la modification de paramètres additionnels pourrait par ailleurs permettre de provoquer l’exploitation dès l’ouverture du fichier sans avoir à attendre sa fermeture.

Il est intéressant de noter que ces informations ont été découvertes suite à des tests effectués à l’aide de techniques de Fuzzing ( lien ) ; la société Microsoft est au courant de cette vulnérabilité depuis le treize mars 2008 soit près de neuf mois d’insécurité pour les utilisateurs des versions concernées de l’application.

Neuf mois pendant lesquels la société Core Security a eu à relancer une bonne dizaine de fois les équipes de Redmond afin de synchroniser les sorties simultanées des bulletins de sécurité et être en mesure de délivrer les détails relatifs dès lors qu’un correctif de sécurité serait disponible pour garantir la sécurité des usagers.

Source : CORE-2008-0228-Word sur Full Disclosure ( voir Secumail - lien )