S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 21 mars 2016
No CERTFR-2016-ACT-012

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2016-ACT-012

1 - Cas d'utilisation des Sysinternals lors d'un incident de sécurité

Lors d'un incident de sécurité, qu'il y ait une compromission avérée ou une simple suspicion, la réalisation d'une chronologie, plus communément appelée "timeline", est un procédé quasi indispensable pour comprendre les actions qui ont pu être menées par un attaquant.

Cette chronologie est enrichie par l'intermédiaire de différents éléments collectés sur le système compromis. La qualité de cette dernière dépend donc en grande partie de la qualité et de la quantité des différents éléments collectés sur le système. Parmi ces éléments, les journaux d'événements constituent une source d'information riche. Dans cette optique, le déploiement sur un parc de l'outil "Sysmon", de la suite Windows Sysinternals maintenue par Microsoft, permet d'enrichir ces journaux d'événements. La version 3.2 sortie en début d'année 2016 ajoute la journalisation des accès bruts aux données d'un volume ou d'un disque dur.

L'outil "Sysmon" est disponible sous la forme d'un binaire configurable à l'aide d'un simple fichier au format XML et facilement déployable par l'intermédiaire d'une stratégie de groupe (GPO). Ce dernier se matérialise comme un service Windows et un pilote, tout deux signés numériquement par Microsoft. A ce jour, différents événements peuvent être surveillés, dont notamment la création et la terminaison de processus (date de création, ligne de commande ayant permis de lancer le processus, condensé du binaire, ...), le changement de l'attribut correspondant à la date de création de fichiers sur le disque, les connexions réseau TCP et UDP initiées par les processus, le chargement de pilotes de périphériques, le chargement de bibliothèques dynamiques par les processus ou encore la création de fils d'exécution dans des processus tiers. Par ailleurs, ces événements sont accessibles depuis l'observateur d'événements dans "Applications and Services Logs/Microsoft/Windows/Sysmon/Operational" depuis Windows Vista. Le déploiement de l'outil "Sysmon" à grande échelle ne doit pas être effectué sans un minimum de précaution. Il est notamment important d'évaluer l'impact sur les performances des systèmes sur lesquels l'outil sera installé en fonction du niveau de journalisation qui sera mise en oeuvre.

L'utilisation de "Sysmon", couplé à une centralisation des journaux d'événements ainsi qu'à un logiciel d'analyse de données (ex: Splunk, ElasticSearch/Kibana, etc.), permet de réaliser des analyses statistiques et d'identifier des anomalies sur l'intégralité d'un parc informatique conséquent. La démarche vise à être proactif dans la détection d'un éventuel incident de sécurité. Cette approche pourra ainsi permettre la détection d'un certain nombre de comportements qui pourraient se révéler suspects, nécessitant une analyse approfondie. Cela pourrait par exemple être le cas pour un binaire effectuant des connexions réseau alors que celui-ci ne semble pas être légitime pour effectuer ce type de tâche. Un autre exemple serait la détection d'un binaire qui, par son nom, peut sembler légitime alors qu'il possède un condensat différent du reste du parc.

Mark Russinovich, qui est un des concepteurs de l'outil "Sysmon", est revenu sur les différentes possibilités que cet outil peut apporter ainsi que sur l'utilisation qui peut en être fait, notamment sur l'aspect mégadonnée, à l'occasion de la dernière conférence RSA ayant eu lieu au début du mois de mars 2016.

Documentation

2 - Mise à jour mensuelle Adobe Flash Player

Le 10 mars 2016, Adobe a publié un bulletin de sécurité pour Flash Player (APSB16-08) corrigeant les vulnérabilités suivantes, pouvant conduire à une exécution de code arbitraire :
  • CVE-2016-0963, CVE-2016-0993 et CVE-2016-1010 concernant un dépassement d'entier;
  • CVE-2016-0987, CVE-2016-0988, CVE-2016-0990, CVE-2016-0991, CVE-2016-0994, CVE-2016-0995, CVE-2016-0996, CVE-2016-0997, CVE-2016-0998, CVE-2016-0999 et CVE-2016-1000 concernant une utilisation après suppression;
  • CVE-2016-1001 concernant un dépassement de tampon sur le tas;
  • CVE-2016-0960, CVE-2016-0961, CVE-2016-0962, CVE-2016-0986, CVE-2016-0989, CVE-2016-0992, CVE-2016-1002, CVE-2016-1005 concernant une corruption de mémoire.

Adobe informe également ces utilisateurs qu'un code d'exploitation pour la vulnérabilité CVE-2016-1010 est actuellement utilisé dans le cadre d'attaques ciblées.

Le CERT-FR rappelle l'importance de ces correctifs de sécurité et recommande ainsi leur application dès que possible.

Documentation

https://helpx.adobe.com/security/products/flash-player/apsb16-08.html


3 - Rappel des avis émis

Dans la période du 14 au 20 mars 2016, le CERT-FR a émis les publications suivantes :

  • CERTFR-2016-AVI-097 : Vulnérabilité dans OpenSSH
  • CERTFR-2016-AVI-098 : Multiples vulnérabilités dans le noyau Linux de Suse
  • CERTFR-2016-AVI-099 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
  • CERTFR-2016-AVI-100 : Multiples vulnérabilités dans les produits VMWare
  • CERTFR-2016-AVI-101 : Vulnérabilité dans Xen
  • CERTFR-2016-AVI-102 : Multiples vulnérabilités dans Symantec Endpoint Protection
  • CERTFR-2016-AVI-103 : Multiples vulnérabilités dans le noyau Linux de Suse

Gestion détaillée du document

21 mars 2016
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2016-ACT-012

CERT-FR
2016-03-21