Renforcement de la sécurité du lecteur Microsoft Windows Media Player
Date : 22 Juin 2005
Microsoft a publié un "HotFix" pour son logiciel "Windows Media Player" (WMP). Cette mise à jour permet de renforcer la sécurité de ce logiciel, en limitant l'utilisation des commandes "URL" dans les fichiers multimédia ".ASF".
Le format ASF ("Advanced Streaming Format") est un des nombreux formats reconnus par le logiciel WMP. Il intègre le format audio "WMA" (Windows Media Audio), le format vidéo "WMV" (Windows Media Video) et ajoute la possibilité d'incorporer à ces flux audio et vidéo des commandes "URL" permettant de faire afficher des pages Web dans Internet Explorer à des moments précis de la lecture d'un fichier ASF. Il est possible en utilisant cette fonctionnalité de créer des présentations Web (suites de pages HTML) qui s'exécutent de façon automatique sur un fond musical ou sur une vidéo (le fichier ASF qui contient le son et/ou l'image déclenche l'affichage de pages Web). Cette technique est appelée "l'URL flipping".
Cette fonctionnalité (invoquer Internet Explorer depuis Windows Media Player) peut dans certains cas être dangereuse. En particulier, il avait été exposé le scénario d'attaque suivant (en trois étapes):
- un e-mail HTML contenant un tag "IFRAME", déclenche automatiquement la lecture d'un fichier ASF par WMP. WMP peut en effet être appelé directement à l'intérieur d'une page Web : c'est le mode "lecteur incorporé" de WMP (par opposition au mode "lecteur autonome"), et ce mode est implémenté par un contrôle ActiveX,
- le fichier ASF utilise la commande URL pour lancer Internet Explorer et fait afficher une page Web se trouvant déjà sur le poste de l'utilisateur ayant reçu l'e-mail (cette page Web malicieuse a en fait été envoyée en attachement de l'e-mail, mais elle a été sauvée automatiquement par Outlook à un endroit connu sur le poste de l'utilisateur),
- Internet Explorer considère qu'il affiche une page Web locale, et il s'exécute donc dans la zone de sécurité la moins protégée ("My Computer zone",) dans laquelle toutes les opérations sont permises.
Ce scénario permet donc à un attaquant d'activer à distance, au moyen d'un e-mail HTML malicieux, n'importe quelle commande sur le poste d'une victime, si cette dernière utilise Outlook et Windows Media Player.
Le Hotfix publié par Microsoft résout ce problème en ajoutant de nouvelles restrictions sur l'exécution de WMP :
- Les commandes URL incluses dans les fichiers ASF sont ignorées par WMP, lorsque WMP est invoqué depuis Internet Explorer (mode "lecteur incorporé" de WMP)
- Si cette protection est désactivée (il est possible de le faire en positionnant une clef de registre), WMP refuse d'exécuter les commandes URL qui tentent d'activer des pages Web se trouvant dans une zone de sécurité de plus haute confiance (par exemple la zone "My Computer zone").
Pour plus d'information :
- Description du HotFix pour WMP (article 828026 de la base de connaissance Microsoft) : http://go.microsoft.com/fwlink/?linkid=19865
- Exemple de scénario d'attaque : http://xforce.iss.net/xforce/xfdb/12724
- FAQ non officielle (mais très complète) sur WMP : http://www.nwlink.com/~zachd/pss/pss.html#v9updates
- Présentation de la technique "d'URL flipping" : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wmplay/mmp_sdk/creatingwebbasedslideshows.asp