S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 avril 2014
N° CERTFR-2014-ACT-014
Affaire suivie par: CERT-FR
le 04 avril 2014

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2014-ACT-014

Gestion du document

Référence CERTFR-2014-ACT-014
Titre Bulletin d’actualité CERTFR-2014-ACT-014
Date de la première version 04 avril 2014
Date de la dernière version 04 avril 2014
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 – Vulnérabilités Silverlight

Recrudescence des tentatives d’exploitation de Microsoft Silverlight

Silverlight est une technologie développée par Microsoft permettant, à l’instar de Flash, de créer et de visualiser des contenus dynamiques sur le web. Si la majorité des greffons ciblés par les kits d’exploitation («exploit kit») concerne Java, Flash player ou encore Adobe Reader, le CERT-FR observe depuis peu une recrudescence des tentatives d’exploitation de vulnérabilités dans les greffons Silverlight. Par exemple, les vulnérabilités CVE-2013-0074 et CVE-2013-3896 visant Silverlight ont été intégrées au kit Angler en novembre 2013.

Recommandations

Afin de réduire les risques liés à l’utilisation de ce greffon, il est recommandé d’appliquer les mesures suivantes :

  • mettre à jour régulièrement le système d’information (système d’exploitation, navigateur, greffon, etc.) ;
  • privilégier un navigateur exécutant les greffons dans un bac à sable ;
  • activer une politique de restriction logicielle (SRP ou AppLocker) ;
  • appliquer les renforcements de sécurité apportés par EMET («Enhanced Mitigation Experience Toolkit») ;
  • mettre en place un blocage périmétrique à l’aide d’un serveur mandataire et d’une liste blanche.

Plus généralement afin de limiter la surface d’exposition d’un poste, si le greffon Silverlight n’est pas utilisé, le CERT-FR recommande de le désactiver ou le désinstaller.

Pour désactiver le greffon dans Firefox :

  • aller dans le menu « Outils » puis « Modules complémentaires » ;
  • choisir l’onglet « plugins » ;
  • sélectionner le greffon dans la liste et cliquer sur « Désactiver ».

Pour désactiver le greffon dans Internet Explorer :

  • aller dans le menu « Outils » puis « Gérer les modules complémentaires » ;
  • choisir « Barres d’outils et extensions » ;
  • sélectionner le greffon dans la liste et cliquer sur « Désactiver ».

Pour désactiver le greffon dans Google Chrome :

  • saisir « chrome://plugins/ » dans la barre d’adresse ;
  • sélectionner le greffon et cliquer sur « Désactiver ».

Documentation

2 – Avantages et limitations de la protection ASLR au niveau du noyau

La protection ASLR ( « Address Space Layout Randomization » ) a tout d’abord été implémentée sous Linux par le projet PaX en 2001 puis a été intégrée de façon stable dans le noyau linux 2.6.12 en 2005. Elle répond à un problème de sécurité qui est encore aujourd’hui d’actualité : si l’espace d’adressage d’un processus est le même sur différents systèmes, alors un attaquant est en mesure de prédire les adresses utilisées par le processus, ainsi que les données stockées à ces adresses. En cas de vulnérabilité dans un logiciel, un attaquant peut alors construire un code d’exploitation particulièrement fiable.

La protection ASLR tente de répondre à cette problématique en permettant de mettre en place un espace d’adressage aléatoire à chaque lancement d’un processus. Grâce à cette méthode, les codes d’exploitation ne peuvent plus, de façon simple, déterminer les adresses utilisées ou référencées en mémoire par un processus (sans exploiter à distance une vulnérabilité de type fuite d’informations).

Les systèmes d’exploitation récents ont implémenté cette technique de protection au niveau de l’espace utilisateur mais également au niveau de l’espace noyau. La protection de l’espace noyau a été mise en place pour la première fois avec Windows 7 (en 2009) et a depuis été implémentée dans plusieurs autres systèmes d’exploitation, notamment dans la version 3.14 du noyau Linux.

La protection ASLR sur l’espace noyau possède deux avantages principaux :

  • en cas d’attaque à distance, l’attaquant ne peut pas prédire les adresses à utiliser et ne pourra donc pas établir de code d’exploitation stable : des vulnérabilités telles que CVE-2011-1493 (protocole ROSE) ou CVE-2006-6332 (pilotes Madwifi), par exemple, auraient été beaucoup plus complexes à exploiter ;
  • en cas d’attaques physiques, comme avec une clé USB, les adresses ne pourront encore une fois pas être prédites et l’attaque aura alors de fortes chances d’échouer.

Pour les attaques en local, par exemple un programme utilisateur tentant d’exploiter une vulnérabilité du noyau, il est difficile de masquer totalement l’espace d’adressage du noyau. De nombreux échanges ayant lieu entre les modes noyau et utilisateur, il est assez difficile de pouvoir assurer qu’aucune adresse n’est transférée du noyau vers l’espace utilisateur. De plus certains appels systèmes permettent d’obtenir une quantité importante d’informations sur l’état du noyau : en utilisant ces informations, il est souvent possible d’obtenir directement ou de prédire l’espace d’adressage mis en place pour le noyau.

Le CERT-FR recommande donc d’utiliser des systèmes d’exploitation implémentant la protection ASLR, aussi bien au niveau de l’espace utilisateur que de l’espace noyau, tout en gardant à l’esprit que la protection au niveau du noyau peut être contournée par des attaques effectuées localement.

Documentation

Rappel des avis émis

Dans la période du 24 au 30 mars 2014, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 04 avril 2014
    version initiale.