=========================================== Réunion OSSIR groupe sécurité Windows Lundi 5 avril 2004 =========================================== Ordre du jour : 1 - Nouveautés du SP2 pour Windows XP (Nicolas RUFF / EdelWeb) 2 - Base OSWIN v2 (Nicolas RUFF / EdelWeb) 3 - Revue mensuelle des vulnérabilités Microsoft (Nicolas RUFF / EdelWeb) ==================================================== 1 - Nouveautés du SP2 pour Windows XP (Nicolas RUFF / EdelWeb) ==================================================== [ Se référer aux supports pour le contenu de la présentation et les captures d'écran ] Points essentiels : - Les nouveautés du SP2 en matière de sécurité sont nombreuses, mais très souvent liées à des corrections de failles connues (ou des classes d'attaques, telles que l'élévation en zone poste de travail dans IE). - Les principales nouveautés pour la sécurité sont : * Firewall ICF bloquant toutes les connexions entrantes par défaut * Evolutions défensives de IE/OE (cf. QwikFix) * Blocage des accès COM/DCOM/RPC anonymes * "Windows Update v5" aka "Microsoft Update" * Support du drapeau "non exécutable" sur les pages mémoire (AMD-64 et IA-64 uniquement) * Recompilation avec /GS (contrôle d'intégrité de la pile) - La cible principale est le parc d'utilisateurs domestiques (interface simple à configurer, firewall intégré en mode "deny all" par défaut sur les connexions entrantes, etc.). - Cette cible risque d'être difficile à atteindre car le SP2 occupe 300 Mo (plus de 2000 fichiers sont modifiés). Microsoft envisage de distribuer le CD gratuitement sur demande ou peut-être via des magazines (la méthode n'est pas encore finalisée), mais combien d'utilisateurs y auront accès ? Q. Microsoft envisage-t-il de porter les modifications de sécurité pour Windows 2000 ou les versions "serveur" de Windows (problème des accès Terminal Server) ? R. Ces modifications seront intégrées à Windows 2003 SP1. Rien n'est prévu à l'heure actuelle pour Windows 2000 (source : Cyril Voisin, Microsoft France). ==================================================== 2 - Base OSWIN v2 (Nicolas RUFF / EdelWeb) ==================================================== Une version de démonstration de la nouvelle base OSWIN est accessible sur http://oswin.ossir.org/v2/ Les remarques des participants sur cette base sont : - Le préambule légal dégageant la responsabilité de l'OSSIR en cas d'intrusion après application des recommandations est à revoir par le CA. - L'accès aux vulnérabilités des mois précédents devrait apparaître dès la "première" page des vulnérabilités. - Les commentaires (POST dans la page) sont ouverts aux participants au groupe jusqu'à la prochaine réunion. On étudiera un mécanisme d'authentification, couplé à de la modération pour la version publique. Les commentaires peuvent également être envoyés par mail (oswin@ossir.org). - Rajouter la date de mise à jour et la source dans chaque fiche. Remplacer "Exploit" par "Exploitation". - Mentionner aussi le CERT RENATER avec les 2 autres CERT français. - Régler la question de la responsabilité de publication des liens vers des codes d'exploitation (relève du CA). - Page outils (et site de manière générale) : suggérer des liens au Webmaster, et mettre la date de dernière mise à jour. ==================================================== 3 - Revue mensuelle des vulnérabilités Microsoft (Nicolas RUFF / EdelWeb) ==================================================== Les vulnérabilités les plus récentes des systèmes Microsoft, ainsi que d'autres plus anciennes mais toujours non corrigées, sont passées en revue. Remarque : les présentations faites lors de la dernière réunion ont suscité un certain nombre de commentaires relatifs au fond (commercial, et non adapté au groupe) et à la forme. Les animateurs rappellent les difficultés à faire venir des présentateurs - toute présentation montrant un retour d'expérience de la part des participants est donc la bienvenue. Le 4 mai est organisée la JSSI, la prochaine réunion du groupe aura donc lieu le 6 juin. Des présentations sont prévues, mais aucune n'est encore confirmée : - Retour d'expérience sur la mise en oeuvre d'un annuaire d'authentification chez CLS - Retour d'expérience sur le Challenge Securitech - Produit Ecora Patch Manager - Produits de sécurité Solsoft