S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 décembre 2005
N° CERTA-2005-ACT-050
Affaire suivie par: CERT-FR
le 16 décembre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-50

Gestion du document

Référence CERTA-2005-ACT-050
Titre Bulletin d’actualité 2005-50
Date de la première version 16 décembre 2005
Date de la dernière version 16 décembre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 08 et le 15 décembre 2005.

2 Support de Windows NT4 Server

Ce bulletin d’actualité est l’occasion d’un rappel concernant les systèmes d’exploitation Microsoft Windows NT 4.0 Workstation et Microsoft Windows NT 4.0 Server.

Microsoft ne fournit plus de correctifs de sécurité pour Windows NT 4.0 Workstation depuis le 30 juin 2004 et depuis le 31 décembre 2004 pour Windows NT 4.0 Server.

Cependant, un support payant est encore possible sur demande auprès de Microsoft.

Recommandations :

Dans tous les cas, il est impératif de migrer rapidement vers un système d’exploitation alternatif disposant de mises à jour de sécurité. Pour ceux ne disposant pas des correctifs de sécurité via le programme payant, il est impératif de le faire dans les plus brefs délais. En effet, il existe à ce jour plusieurs vulnérabilités critiques impactant Windows NT 4.0 Workstation et Server, qui sont connues, exploitables à distance (avec du code disponible sur Internet). En l’absence de support payant auprès de Microsoft, de tels systèmes sont hautement à risque.

Pour les cycles de vie des autres systèmes et logiciels, on pourra se reporter à notre note CERTA-2005-INF-003 relative aux systèmes et aux logiciels obsolètes.

3 Les cartes de vœux électroniques

En ces périodes de fêtes, il devient courant de recevoir ou d’envoyer des cartes de vœux électroniques. Nous attirons cependant votre attention sur la provenance des cartes que vous seriez amener à recevoir. Celles-ci sont souvent au format HTML et contiennent des images ou des animations. De ce fait, il est tout à fait possible à une personne mal intentionnée d’insérer dans ce message du code malveillant destiner à compromettre la machine de la victime.

Recommandations :

De manière générale et plus particulièrement dans le cas des cartes de vœux, il convient de toujours vérifier la provenance des messages électroniques (même si ce n’est pas une garantie absolue) et de configurer votre logiciel de gestion de courier pour qu’il n’affiche pas le contenu en HTML des messages ou les images en pièces jointes afin d’éviter une infection automatique. Dans tous les cas, si vous recevez un message supicieux de ce type, veuillez en informer le CERTA.

4 Le ver Dasher

La presse s’est fait très largement l’écho de la propagation actuelle d’un code malveillant dénommé « dasher ». De façon très classique, ce code se propage en utilisant une vulnérabilité d’un service réseau de Microsoft. Cette vulnérabilité dispose d’un correctif depuis octobre 2005 (publication du CERTA le 24 octobre 2005 : http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-403/CERTA-2005-AVI-403.html).

Ce code malveillant reconnu par des antivirus à jour, installe sur la machine de la victime un outil permettant d’enregistrer toutes les saisies faites sur le clavier (« keylogger »). Par ailleurs, pour conduire l’attaque, le code malveillant doit se connecter sur un site situé en Chine. Il est donc relativement facile de filtrer le trafic afin de rendre le code malveillant inactif.

Concrètement, l’activité du ver sur une machine compromise se traduit par des tentatives de connexions provenant de celle-ci vers l’adresse IP : 222.240.219.143 sur les ports 5262/tcp pour la variante A ou 53/tcp pour la variante B.

En termes de défense en profondeur cette propagation permet de rappeler les éléments fondamentaux suivants :

  • la première protection demeure la mise à jour du système : véritable action de prévention ;
  • la seconde protection consiste à disposer d’un garde barrière permettant de filtrer les activités réseau ;
  • la troisième protection est l’analyse des journaux : observation d’un comportement anormal ;
  • la quatrième protection est l’antivirus : action de réaction. Il est intéressant de remarquer que si les antivirus réagissent relativement rapidement pour la mise à jour de leurs bases de signature, ils n’interviennent (pour « dasher ») dans le processus de défense que deux mois après la disponibilité du correctif.
·

Si vous constatiez une activité de ce type sur une machine de votre parc informatique, veuillez en avertir le CERTA.

5 Liens utiles

6 Rappel des avis et mises à jour émis

Durant la période du 09 au 15 décembre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-485 : Vulnérabilité sur AIX
  • CERTA-2005-AVI-486 : Vulnérabilité de Perl
  • CERTA-2005-AVI-487 : Vulnérabilité de Ethereal
  • CERTA-2005-AVI-488 : Vulnérabilité du noyau Microsoft Windows
  • CERTA-2005-AVI-489 : Multiples vulnérabilités dans Internet Explorer
  • CERTA-2005-AVI-490 : Vulnérabilité sur le module mod_imap d’Apache

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-407-003 : Vulnérabilité dans la bibliothèque libcURL

    (ajout des références aux bulletins de sécurité Debian DSA-919 et RedHat RHSA-2005:812.)

  • CERTA-2005-AVI-482-001 : Vulnérabilité de cURL/libcURL

    (ajout des références aux bulletins de sécurité Debian, Mandriva et FreeBSD et ajout de la référence CVE)

  • CERTA-2005-AVI-484-001 : Vulnérabilité dans phpMyAdmin

    (ajout de la référence au bulletin de sécurité Hardened-PHP, ajout des références aux bulletins de sécurité phpMyAdmin PMASA-2005-8 et PMASA-2005-9, ajout des références aux bulletins de sécurité Gentoo GLSA 200512-03 et FreeBSD et ajout des références CVE CAN-2005-3665 et CAN-2005-4079)

  • CERTA-2005-AVI-486-001 : Vulnérabilité de Perl

    (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:225)

  • CERTA-2005-AVI-489-001 : Multiples vulnérabilités dans Internet Explorer

    (ajout de la référence au bulletin d’alerte CERTA-2005-ALE-017 mis à jour le 14 décembre 2005)

  • CERTA-2005-AVI-428-002 : Multiples vulnérabilités dans PHP

    (ajout de la référence au bulletin de sécurité SUSE)

  • CERTA-2005-AVI-487-001 : Vulnérabilité de Ethereal

    (ajout des références aux bulletins de sécurité Mandriva et Gentoo)

Gestion détaillée du document

    le 16 décembre 2005
    version initiale.