Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-022

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 29 mai 2009
No CERTA-2009-ACT-022

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-22


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-022

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-022.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-022/

1 Les incidents de la semaine

1.1 Sécurité et contrat d'hébergement

Cette semaine, le CERTA est intervenu dans le traitement de plusieurs compromissions de sites Web. À de nombreuses reprises, la réponse de l'administrateur du site fut que son hébergeur lui avait conseillé d'effacer les fichiers frauduleux sans lui donner plus d'informations sur l'origine de la compromission. Cependant, la seule suppression de fichiers malveillants est inutile si l'origine de la compromission n'est pas comprise. Pire encore, supprimer un fichier sans avoir corrigé la faille de sécurité exploitée revient à avertir l'individu auteur de la compromission de la découverte de cette dernière. Il risque alors de revenir, de façon plus sournoise, en cachant mieux ses traces.

1.2 Quand le ménage laisse une porte ouverte

Lors du traitement d'une autre compromission d'un site Web, le CERTA a pris contact avec le responsable du site qui lui a alors indiqué que ce dernier avait fait l'objet d'une compromission il y a plusieurs semaines. Cet incident a été traité par le prestataire développant le site Web. Suite à la précédente intrusion, les corrections du CMS utilisé ont été appliquées. Cependant, les individus, auteurs de la première compromission, avaient pris soin de laisser derrière eux des fichiers malveillants pouvant servir de portes dérobées ( backdoor) afin de conserver le contrôle de serveur.

Le CERTA rappelle que, suite à une compromission, il convient de repartir sur des bases saines et ne pas se contenter de faire un ménage succinct du système de fichiers. Les bonnes pratiques pour réagir à la suite d'un incident sont décrites dans la note d'information CERTA-2002-INF-002.

1.3 Documentation

2 Vulnérabilité dans DirectShow

2.1 Présentation

Cette semaine, le CERTA a publié l'alerte CERTA-2009-ALE-009 portant sur une faille non corrigée dans Microsoft DirectShow. La vulnérabilité, présente dans la bibliothèque quartz.dll peut être exploitée au moyen d'un fichier vidéo spécialement conçu. La faille réside dans la manière dont DirectShow traite les fichiers au format QuickTime (au moyen du filtre QuickTime Movie Parser). L'installation de QuickTime n'est pas suffisante pour corriger la vulnérabilité car il est possible d'appeler directement le filtre de DirectShow vulnérable. La désactivation d'extensions habituellement utilisées par QuickTime n'est pas non plus suffisante.

La vulnérabilité est présente sur les systèmes suivants :

  • Windows 2000 Service Pack 4 ;
  • Windows XP Service Pack 2 et Service Pack 3 ;
  • Windows Server 2003 Service Pack 2.

Les versions 7.0, 8.1, et 9.0x de DirectX sont concernées. Les systèmes Windows Vista et Windows Server 2008 ne sont pas impactés car le composant QuickTime Movie Parser a été retiré de DirectShow.

Plusieurs vecteurs d'attaque sont possibles pour compromettre un système vulnérable. Selon Microsoft, les attaques observées jusqu'à présent ont utilisé le contrôle ActiveX du lecteur Windows Media. De cette manière, la visite d'un site web spécialement conçu par une victime provoque l'exécution de code arbitraire sur la machine vulnérable. Toutefois, d'autres modules de navigateurs peuvent également être concernés et il ne suffit donc pas de désactiver ce contrôle ActiveX. L'ouverture d'un fichier spécialement conçu, envoyé en pièce jointe d'un courriel peut aussi compromettre une machine vulnérable. La pré-visualisation ou le passage de la souris sur un fichier malveillant peut également suffire à déclencher la faille.

Deux contournements protégeant totalement les systèmes existent. Le premier est préférable et consiste à désactiver le composant QuickTime Movie Parsing de quartz.dll en supprimant la clé de registre suivante :

HKCR\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

Le deuxième contournement peut avoir des effets de bord non négligeables. Il consiste à désinscrire la bibliothèque quartz.dll en changeant les ACL (Access Control List. Ceci a pour impact, par exemple, l'impossibilité de lire des fichiers vidéo avec Windows Media Player (dans une configuration par défaut). Ce contournement est décrit en détail dans le bulletin de Microsoft.

2.2 Documentation

3 Les points d'accès sans fil en libre accès

3.1 Présentation

Plusieurs fournisseurs d'accès offrent maintenant à leurs clients la possibilité de se connecter à un « réseau national Wi-Fi » dont les points d'accès sont dans les boitiers de connexion, ou « box ». Le principe est le suivant : chaque boitier se voit offrir, via une mise à jour, la possibilité de se transformer en point d'accès à l'Internet en libre service pour les clients de cet opérateur. Cette option peut être activée par défaut.

L'objet de cet article n'est pas de remettre en cause ces services, ni de citer toutes les problématiques associées aux technologies sans fil, mais de rappeler certains risques inhérents aux points d'accès dit « ouverts » :

  • la bonne connexion à un point d'accès fourni par l'opérateur ne peut être garantie ;
  • il est difficile de maîtriser toutes les données qui peuvent « fuir » naturellement d'une machine (mises à jour, requêtes en diffusion, etc.) ;
  • il n'est pas suffisant de se connecter en HTTPS sur certains sites pour ne pas avoir ses communications interceptées. En fonction de la configuration du serveur interrogé, les fichiers de session (cookies) peuvent apparaître en clair et ainsi offrir un accès illégitime à une personne malveillante.

Malgré l'aspect pratique de ces points d'accès accessibles un peu partout en France, il faut être sensibilisé aux problèmes de sécurité existants et prendre la décision de s'y connecter en tout état de cause.

Chacun des dangers est rapidement détaillé ci-dessous.

3.2 Faux points d'accès

Un point d'accès est un système informatique qui, dans la majorité des cas, répond à certaines requêtes générales ("y-a-t-il un point d'accès ?") ou plus directes ("y-a-t-il le point d'accès MAISON présent à portée ?") ou qui annonce lui-même sa présence ("je suis le point d'accès MAISON"). Cela se fait par l'émission et la réception de trames de type "Probe" (sondage) ou "Beacon" (balise). L'ordinateur ou le téléphone mobile ne fait confiance qu'à la seule information de ces trames pour décider de s'associer. Il est tout à fait envisageable et réalisable avec les outils actuellement disponibles sur l'Internet de prétendre être un point d'accès de la même manière et ainsi tromper les équipements cherchant à se connecter.

Pour ces raisons, il n'est pas si simple d'être sûr de communiquer directement avec le point d'accès légitime mis à disposition par l'opérateur.

Une personne malveillante peut chercher à monter de tels faux points d'accès pour dérober les paramètres de connexion (identifiant/mot de passe), servir de point de passage obligé pour collecter les informations en transit (man-in-the-middle) ou agresser directement le système, une fois la communication au niveau réseau établie entre les deux équipements.

3.3 Fuite naturelle d'informations

Ces réseaux sans fil à grande échelle fonctionnent bien souvent sans chiffrement particulier des communications.

Or une machine est par défaut relativement bavarde. Plusieurs applications peuvent chercher à se mettre automatiquement à jour (système d'exploitation, antivirus, navigateur, lecteur PDF, etc.). Elles peuvent également chercher à communiquer avec des systèmes connus (messagerie instantanée, partage de fichiers, imprimantes réseau, etc.). Ce sont autant d'informations sur la machine, l'utilisateur et son usage qui transitent dans les airs, en clair, et sont ainsi récupérables par des personnes malveillantes.

L'utilisation de ces informations par ces derniers permet d'affiner la phase d'attaque, de mieux tromper l'utilisateur et de le rediriger vers d'autres codes malveillants.

3.4 Le HTTPS ne fait pas tout

Ce point avait été détaillé dans un précédent bulletin d'actualité CERTA-2008-ACT-033 (section 3, « Contournement HTTPS »).

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-033.pdf

3.5 Quelques recommandations

Il n'est pas toujours simple de trouver des boitiers ou « box » sans interface sans fil. Si ce service n'est pas souhaité, il faut s'assurer que les interfaces sans fil du boitier sont bien désactivées. Cette manipulation reste souvent logicielle, offerte par l'opérateur via une interface. En cas de doute, il est possible, sans toucher à l'équipement, de le mettre dans un coffre métallique qui servira alors de cage de Faraday.

Les équipements peuvent s'apparier automatiquement, sans autorisation préalable de l'utilisateur. Les interfaces sans fil doivent donc être désactivées par défaut, la meilleure solution étant de disposer d'une interface sans fil physiquement amovible. Il est enfin important de sensibiliser son entourage aux risques encourus afin de prendre la meilleure décision.

4 XSS utilisant la visualisation des PDF

4.1 Présentation

Une injection de code indirecte, ou XSS (Cross Site Scritping), consiste à exécuter du code dans le navigateur d'un internaute, et cela dans le contexte d'un site tiers. Il est possible de modifier le contenu du site visé ou d'utiliser une fonctionnalité proposée par le site, classiquement le moteur de recherche, pour injecter le code dans un lien proposé à la victime.

Une méthode utilise la fonctionnalité offerte par de nombreux sites qui permet de visualiser un document au format PDF, sans avoir à le télécharger. Par exemple, certains webmails permettent de visualiser directement un fichier PDF joint à un message. Pour cela, le document est interprété au niveau du serveur et est servi dans un format lisible par les navigateurs, sans module additionnel. Le problème vient du résultat de l'interprétation du fichier. En effet, si du code malveillant se trouve dans le document et qu'il n'est pas correctement « nettoyé » avant d'être présenté à l'internaute, le code s'exécutera dans le contexte du site. Dans le cas de la pièce jointe, du code pourrait alors s'exécuter dans le contexte du webmail, pour lequel les scripts sont souvent autorisés afin d'être utilisés de façon optimale.

Le CERTA recommande la plus grande prudence lors de l'interprétation des documents au niveau du serveur afin d'éviter une compromission locale (Ex: CERTA-2009-AVI-201).

Le CERTA recommande de bloquer par défaut l'interprétation des scripts et de ne pas autoriser l'ouverture arbitraire de documents via le navigateur.

4.2 Documentation


5 Rappel des avis émis

Dans la période du 22 au 29 mai 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-196 : Vulnérabilités dans Sun Solaris
  • CERTA-2009-AVI-197 : Vulnérabilité du serveur TFTP des équipements Cisco
  • CERTA-2009-AVI-198 : Vulnérabilité dans Wireshark
  • CERTA-2009-AVI-199 : Vulnérabilité dans DokuWiki
  • CERTA-2009-AVI-200 : Multiples vulnérabilités de Novell GroupWise
  • CERTA-2009-AVI-201 : Vulnérabilités dans les produits BlackBerry
  • CERTA-2009-AVI-202 : Vulnérabilité dans Sun Java System Portal Server
  • CERTA-2009-AVI-203 : Vulnérabilités de libsndfile
  • CERTA-2009-AVI-204 : Vulnérabilité dans Citrix Password Manager


Liste des tableaux

Gestion détaillée du document

29 mai 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-12-19