PI Services

Le blog des collaborateurs de PI Services

Faille de sécurité Microsoft exploitant les raccourcis

 

Cette grosse faille de sécurité a été publiée par Microsoft le 16 juillet dernier ( CVE-2010-2568 ). Elle exploite le mode de fonctionnement des raccourcis ( ".LNK" ) sur tous les OS Windows. Bien sûr la mise à disposition du patch correspondant sera annoncée dans le bulletin de sécurité :http://www.microsoft.com/technet/security/advisory/2286198.mspx.

L’exploitation de cette faille se traduit par le fait, qu’un malware puisse s’exécuter par le biais du détournement du mécanisme d’affichage d’icône.

Cette vulnérabilité est exploitable localement par disque amovible ou via des partages réseaux et WebDAV

Il n'existe pas de correctif à ce jour. Mais en attendant des solutions de contournement recommandées par Microsoft peuvent-être mises en place.

La désactivation de l'affichage d'icône pour les raccourcis peu ainsi limiter les risques d’exploitation de cette faille. Cette solution affiche les icônes en blanc par défaut. Pour se faire il est nécessaire depuis l’éditeur de registre, de rechercher dans la ruche HKEY_CLASS_ROOT, IconHandler afin de modifier sa valeur par défaut par 0 après l’avoir exporté pour revenir à la valeur précédente dès la sortie d’une mise à jour.

Autre solution de contournement la désactivation du service WebClient se fait en passant par le gestionnaire de l’ordinateur ou en exécutant services.msc

Enfin troisième solution le blocage du téléchargement des fichiers LNK et PIF depuis Internet est recommandé. 

La liste des systèmes Windows concernés et supportés s'étend de Windows XP SP3 à Windows Serveur 2008R2.

Notez que des éditeurs d’antivirus (Sophos, Eset) ont déjà répertorié Stuxnet depuis mi-juillet exploitant cette vulnérabilité.

MAJ: Le 3 Aout Microsoft apporte une réponse par la mise en ligne de l'update KB2286198 annoncé dans le bulletin de sécurité suivant http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

Le mode Dieu de Windows 7

 

Parmi les nombreuses fonctionnalités cachées de Windows 7 on retrouve le GodMode, il s’agit en fait d’un dossier spécial permettant de personaliser divers réglages. Ce dossier est aussi accessible sous Windows 2008R2.

Pour cela, il faut créer un nouveau dossier et de le nommer

ModeDieu.{ED7BA470-8E54-465E-825C-99712043E01C}

Une icone similaire à celle du panneau de configuration apparait.

image

Pour les autres dossiers spéciaux : http://msdn.microsoft.com/en-us/library/ee330741(VS.85).aspx

SYSPREP – Erreur lors de l’exécution d’un SYSPREP sous Windows Seven ou Windows Server 2008 R2

La problématique

Lors de l’exécution de la commande Sysprep sur une machine virtuelle Windows Seven fraîchement installée, j’ai rencontré l’erreur suivante :

A fatal error occurred while trying to sysprep the machine.

image

Le sysprep était exécuté avec les options suivantes :

  • /generalize
  • /oobe
  • /unattend

Suite à des recherches sur le site http://support.microsoft.com, j’ai localisé plusieurs articles traitant d’une problématique proche mais appliquées à Windows Vista. Aucune ne m’a été utile.

La solution

J’ai finalement trouvé la solution sur un forum Technet dont voici le lien :

http://social.technet.microsoft.com/Forums/en/w7itproinstall/thread/6208afb1-8f3e-4657-a618-0e4a52e9f546

Le problème semblerait venir du service “Windows Media Player Network Sharing Service” et à mon grand étonnement la désactivation de ce service (ou bien la suppression du processus associé : wmpnetwk.exe) a bel et bien résolu mon problème !

image

En proie au doute, j’ai ré-exécuté l’opération plusieurs fois sur la même machine (en utilisant un snapshot Hyper-V pour revenir en arrière) et ce tips semble bel et bien viable !

N’hésitez pas à laisser un commentaire ou un retour d’expérience si vous avez déjà été confronté à ce problème avec la commande sysprep de Windows 7 ou si ce billet vous a aidé !

BCDEDIT - Redéclarer un vhd dans bcdedit

Beaucoup de blog expliquent déjà comment installer un système d’exploitation dans un fichier vhd.

Cependant, si le système d’exploitation “maître” n’est pas installé dans un VHD est que celui-ci doit être réinstallé (par exemple, Windows 7 RC à réinstaller, et 2008 R2 dans un VHD), son entrée bcdedit sera supprimée et il va falloir le réintégrer.

Ce post explique comment redéclarer l’enregistrement bcdedit d’un Windows 2008 R2 en vhd après une réinstallation du système d’exploitation “maitre” (Windows 7):

Depuis le système d'exploitation opérationnel (dans mon cas Windows 7 RTM), lancer la commande

diskpart

puis, en fonction de l'emplacement du fichier .vhd correspondant à l'OS à rattacher, saisir les commandes suivantes:

select vdisk file=d:\dossier\fichier.vhd
attach vdisk
exit

Le contenu du vhd doit désormais être visible depuis l'explorateur de fichier.

Maintenant que le vdisk est monté, il est nécessaire de l'ajouter (le déclarer) dans le bcdedit.

On commence par créer une nouvelle entrée dans le boot en dupliquant l'entrée courante:

bcdedit /copy {current} /d "Nom du système d'exploitation à afficher au boot"

effectuer un copier/coller du CLSID correspondant à cette entrée. (éventuellement relancer la commande bcdedit de manière à réafficher le CLSID)

enfin, saisir

bcdedit /set {le CLSID} device vhd=[d:]\dossier\fichier.vhd
bcdedit /set {le CLSID} osdevice vhd=[d:]\dossier\fichier.vhd
bcdedit /set {le CLSID} detecthal on

ou {le CLSID} est à remplacer par le CLSID copié ci-dessus.
Attention: les crochets autour de la lettre du disque ([d:]) sont obligatoires.

Il est maintenant possible de redémarrer la machine. La nouvelle entrée apparaitra dans le menu.

Attention: si le .vhd héberge un Windows 2008 (R2) avec hyper-v, une étape supplémentaire sera nécessaire. Voir mon post "réactivation d’hyper-v dans bcdedit"