1 Attaques sur Horde Application Framework 3
Le CERTA a été informé d’attaques visant une vulnérabilité du service Help Viewer de Horde Application Framework 3. Ces attaques ont commencé au début du mois d’avril et ont augmenté depuis la publication sur l’Internet d’outils permettant l’exploitation automatique de la vulnérabilité. Horde Application Framework est utilisé par de nombreuses applications, notamment par le webmail IMP.
La vulnérabilité ne concerne que les versions 3 de Horde Application Framework. Elle permet d’exécuter des commandes directement sur le serveur par le biais d’adresses réticulaires URL habilement constituées. La tentative d’exploitation de cette vulnérabilité laisse des traces flagrantes dans les journaux de connexions.
Recommandations :
Le CERTA suggère d’appliquer le correctif pour Horde Application Framework 3 conformément à la politique de sécurité. La mise en place d’un filtrage en sortie permet, dans certains cas, de réduire la portée des attaques, notamment pour empêcher les intrus de télécharger leurs propres outils sur les serveurs compromis. Si vous constatez des tentatives d’attaque sur cet applicatif, veuillez le signaler auprès du CERTA.
2 Mise à jour d’Internet Explorer et ActiveX
Microsoft a publié le 11 avril 2006 un ensemble de mises à jour, dont le bulletin MS06-013 qui concerne le navigateur Internet Explorer. Ce dernier corrige plusieurs vulnérabilités décrites dans l’avis CERTA-2006-AVI-150. Hormis ces corrections, il s’avère que l’installation de la mise à jour modifie le comportement d’Internet Explorer lors de la visite de pages Web utilisant des contrôles ActiveX.
Un contrôle ActiveX fournit un ensemble de méthodes, ou fonctions, pour manipuler les composants COM (pour Component Object Model) utilisés par plusieurs applications de Microsoft Windows.
La mise à jour MS06-013 empêche l’exécution de deux contrôles ActiveX dans Internet Explorer, par défaut activés dans les versions courantes du logiciel. Ceci est possible en définissant leur bit d’arrêt (ou kill bit) respectif dans le registre de Microsoft Windows. Dans le détail, il s’agit des contrôles référencés :
- IDXTRedirect : 42B07B28-2280-4937-B035-0293FB812781
- IDA3Statics : 542FB453-5003-11CF-92A2-00AA00B8A733
Cette initiative de Microsoft est transitoire, avant une mise à jour plus en profondeur d’Internet Explorer prévue en juin 2006.
Il est important de noter ici que ce changement peut engendrer des problèmes pour toute application ou page Web recourant d’une certaine manière à ces contrôles ActiveX. Certains de ces problèmes sont mentionnés par Microsoft, tels :
- dans les systèmes 64 bits, les paramètres par défaut des favoris et les paramètres avancés d’Internet Explorer sont réinitialisés ;
- il existe certaines incompatibilités avec la barre d’outils Google ;
- les administrateurs ne peuvent plus utiliser le commutateur /integrate pour mettre à jour les fichiers d’origine de l’installation de Windows ;
- la mise à jour est incompatible avec le logiciel de gestion Siebel dans sa version 7 actuelle.
Des techniques pour corriger les pages Web (afin qu’elles fonctionnent correctement dans les navigateurs mis à jour) sont détaillées sur le site Web de MSDN.
Enfin, il est important de noter que Microsoft fournit un correctif rétroactif, dans le cas où cette dernière engendrerait trop de problèmes. Ce correctif rétroactif est à appliquer une fois que la mise à jour est installée et que la machine a redémarrée.
Références :
- Avis CERTA-2006-AVI-150 :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-150/
- Bulletin de sécurité MS06-013 de Microsoft du 11 avril 2006 :
http://www.microsoft.com/technet/security/Bulletin/ms06-013.mspx
- Mise à jour de Microsoft Internet Explorer et conséquences sur les contrôles ActiveX :
http://support.microsoft.com/kb/912945
- Comment faire pour empêcher l’exécution d’un contrôle ActiveX dans Internet Explorer :
http://support.microsoft.com/kb/240797
- Site de MSDN en français :
http://msdn1.microsoft.com/fr-fr/
Rappel des avis émis
Dans la période du 03 au 09 avril 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-131 : Vulnérabilité sur la commande passwd sous HP-UX
- CERTA-2006-AVI-132 : Vulnérabilité sur la commande usermod sous HP-UX
- CERTA-2006-AVI-133 : Vulnérabilités dans Claroline
- CERTA-2006-AVI-134 : Vulnérabilités dans PHP
- CERTA-2006-AVI-135 : Vulnérabilité dans McAfee WebShield SMTP
- CERTA-2006-AVI-136 : Vulnérabilité dans Mac OS
- CERTA-2006-AVI-137-001 : Vulnérabilité dans MySQL
- CERTA-2006-AVI-138 : Multiples Vulnérabilités dans les produits Cisco ONS
- CERTA-2006-AVI-139-002 : Vulnérabilité d’OpenVPN
- CERTA-2006-AVI-140-001 : Multiples vulnérabilités dans ClamAV
- CERTA-2006-AVI-141 : Vulnérabilités dans Dokeos
- CERTA-2006-AVI-142-001 : Vulnérabilité dans phpMyAdmin
- CERTA-2006-AVI-143-001 : Vulnérabilités dans Claroline
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2006-AVI-106-001 : Vulnérabilité de Metamail
- CERTA-2006-AVI-127-003 : Multiples vulnérabilités dans RealPlayer
