Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-033

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 20 août 2010
No CERTA-2010-ACT-033

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-33


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-033

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-033.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-033/

1 Un « gadget » malveillant

Le 14 août 2010, une entreprise privée de sécurité informatique annonçait avoir découvert qu'un site Web mettant à disposition des widgets pour diverses plates-formes (blogs, réseaux sociaux, etc.) en fournissait également un malveillant. Un widget est un outil souvent interactif, généralement de petite taille et aux fonctionalités limitées, qui propose des informations ou des divertissements. Ils sont destinés à être intégrés dans diverses plates-formes de blog, sur la page d'accueil de son navigateur, sur le bureau de son ordinateur, etc.

Ce code malveillant était en libre téléchargement sur au moins deux annuaires en ligne, et plus de 5000 téléchargements ont été relevés par les compteurs de ces sites. Il était toutefois nécessaire d'effectuer manuellement l'installation de ce programme sur un blog ou un réseau social pour que la page accueillant celui-ci devienne malveillante.

Or, il a été depuis constaté que ce widget faisait également partie de la configuration par défaut des domaines « inactifs » enregistrés chez un des cinq plus gros fournisseurs de nom de domaine. En effet, après le dépôt d'un domaine, le premier choix proposé au propriétaire est l'installation (sur son nouveau domaine) d'une page indiquant au visiteur que le site est en construction. L'objectif est que le visiteur n'obtienne pas d'erreur du type « serveur introuvable » dans son navigateur. Pour chaque création de nouveau nom de domaine, en utilisant les réglages par défaut, une nouvelle page contenant le widget malveillant était donc créée.

Il est difficile d'evaluer le nombre de pages affectées par le code malveillant. Par une analyse du comportement de ce dernier, il a été découvert que l'attaquant utilisait un outil d'analyse de trafic, qui a enregistré plus de 2.5 millions de pages affichées contenant le code malveillant.

Le CERTA recommande de ne pas intégrer d'éléments tiers dont la source n'est pas digne de confiance sur son site Web. La désactivation dans son navigateur des fonctionnalités JavaScript réduit également la surface d'attaque lors de l'accès à des pages Web. Il est également impératif de maintenir le navigateur Web à jour.

2 Résolution d'une vulnérabilité d'Adobe Reader

Une vulnérabilité dans le traitement des polices de caractères par Adobe Reader et Adobe Acrobat a été confirmée par l'éditeur Adobe le 5 août 2010 et le CERTA l'a relayée dans son alerte CERTA-2010-ALE-012.

Le manque de vérification des bornes dans une table entrant dans la définition d'une police TrueType permettait à un attaquant d'exécuter du code arbitraire. Un fichier au format PDF spécialement conçu est suffisant pour que l'agresseur exploite la faille. Ce dernier doit inciter un utilisateur légitime à ouvrir ce fichier. Les ressorts de l'ingéniérie sociale sont nombreux pour cela. Ledit fichier peut se trouver sur un site web ou en pièce jointe d'un courriel.

La bibliothèque de programmes fautive a été corrigée et de nouvelles versions de ces logiciels ont été publiées par l'éditeur le 19 août 2010. L'avis CERTA-2010-AVI-394 contient les liens pour obtenir les correctifs.

Comme toujours, le CERTA recommande fortement la mise à jour des logiciels pour limiter la surface d'attaque. En effet, de nombreuses attaques utilisant un fichier PDF réussissent en exploitant des vulnérabilités pourtant déjà corrigées dans le lecteur Adobe Reader.


3 Rappel des avis émis

Dans la période du 13 au 19 août 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-381 : Vulnérabilités dans Cisco ACE
  • CERTA-2010-AVI-382 : Vulnérabilité dans Cisco Wireless Control
  • CERTA-2010-AVI-383 : Vulnérabilité dans Cisco IOS
  • CERTA-2010-AVI-385 : Vulnérabilités dans PHP
  • CERTA-2010-AVI-386 : Multiples vulnérabilités dans Drupal
  • CERTA-2010-AVI-387 : Vulnérabilités dans Apache Geronimo
  • CERTA-2010-AVI-388 : Vulnérabilité dans Citrix XenApp Online Plug-in
  • CERTA-2010-AVI-389 : Vulnérabilité dans QuickTime
  • CERTA-2010-AVI-390 : Multiples vulnérabilités dans IBM Tivoli Storage Manager FastBack
  • CERTA-2010-AVI-391 : Vulnérabilité dans le module pam_xauth
  • CERTA-2010-AVI-392 : Vulnérabilité dans le noyau Linux
  • CERTA-2010-AVI-393 : Vulnérabilité dans des produits Blue Coat
  • CERTA-2010-AVI-394 : Vulnérabilité dans Adobe Acrobat et Reader

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-282-001 : Vulnérabilités dans Mozilla Firefox (rectification de CVE)
  • CERTA-2010-AVI-348-001 : Multiples vulnérabilités dans Wireshark (rectification des références CVE)
  • CERTA-2010-AVI-359-001 : Multiples vulnérabilités dans FreeType (ajout du bulletin Ubuntu)
  • CERTA-2010-AVI-384-001 : Multiples vulnérabilités dans Opera (ajout de la vulnérabilité PNG et de trois références CVE)


Liste des tableaux

Gestion détaillée du document

20 août 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-07-23