S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 août 2006
N° CERTA-2006-ACT-032
Affaire suivie par: CERT-FR
le 11 août 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-32

Gestion du document

Référence CERTA-2006-ACT-032
Titre Bulletin d’actualité 2006-32
Date de la première version 11 août 2006
Date de la dernière version 11 août 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Bulletins de sécurité Microsoft, août 2006

1.1 Rappel

Microsoft a publié, le 08 août 2006, 12 bulletins de sécurité, dont 9 sont qualifiés de critiques et trois d’importants. En août 2006, Microsoft aura ainsi publié pour l’année 2006 plus de bulletins critiques que l’ensemble de ceux de l’année 2005 ou 2004. Plusieurs vulnérabilités de ce mois-ci ont été présentées lors des récentes conférences en sécurité BlackHat 2006 et Defcon14. Nous revenons dans les paragraphes suivants sur les points majeurs de ces dernières mises à jour.

1.2 Service Serveur et risques

La plus médiatisée actuellement est la MS06-040 (CERTA-2006-AVI-338). Elle concerne le service Serveur du système d’exploitation Microsoft Windows. Ce service est utilisé pour les RPC (Remote Procedure Call), et de manière plus générale, pour le partage de ressources (fichiers, imprimantes, etc) dans un réseau local. Il est accessible à distance par les ports 139/tcp et 445/tcp.

La vulnérabilité est donc exploitable à distance, et peut entraîner l’exécution de commandes arbitraires par le biais de paquets spécialement conçus et envoyés à la machine vulnérable. Les ports impliqués sont déjà utilisés pour la propagation de nombreux vers, comme Sasser ou Blaster. Des codes d’exploitation visant la vulnérabilité MS06-040 sont déjà disponibles sur l’Internet, et il est possible que ceux-ci soient rapidement intégrés dans le corps d’un nouveau ver.

Microsoft avait publié en juillet 2006 le bulletin MS06-035 ciblant le même service. Suite à la mise à jour référencée par ce dernier, plusieurs personnes ont souligné la possibilité de lancer des attaques par déni de service, s’appuyant sur les modifications effectuées par la mise à jour. Le bulletin MS06-040 est indépendant de ce problème, qui reste non corrigé, comme le souligne une note de Microsoft. Le correctif est en cours d’élaboration.

Le CERTA recommande donc d’appliquer les correctifs mis à disposition par Microsoft, et de bien vérifier que les pare-feux filtrent correctement le trafic à destination de ces ports. Ils doivent être bloqués pour toute connexion depuis l’extérieur du réseau (Internet). Attention toutefois aux postes nomades qui peuvent rendre ce filtrage inefficace. Il est aussi possible d’utiliser le pare-feu ICF (Internet Connection Firewall) fourni par Microsoft sur les versions XP et 2003 pour effectuer le filtrage au niveau de chaque machine.

1.3 Résolution de noms

Le bulletin MS06-041 (CERTA-2006-AVI-339) corrige une vulnérabilité survenant lors de la résolution de noms (gestion des noms de machines associées aux adresses IP) par le client DNS ou Winsocks Hostname. Winsock Hostname est une interface API procurant la fonction d’accès au protocole réseau DNS. Cette interface est utilisée par la majorité des applications nécessitant un accès réseau. Le client DNS est, quant à lui, nativement installé sur la plupart des machines pour effectuer la résolution de noms. Les deux partagent plusieurs fonctions en commun, comme gethostbyname().

Dans la mesure où plusieurs applications s’appuient sur cette fonction, et que la vulnérabilité est exploitable à distance via ces dernières, il est vivement recommandé d’appliquer le correctif référencé par le bulletin MS06-041. Par ailleurs, il est fréquent que les applications développées pour Windows importent dans leur répertoire des copies de .dll nécessaires (dnsapi.dll, rasadhlp.dll, etc). Celles-ci ne sont pas nécessairement mises à jour…

1.4 Correction de Microsoft Office et Powerpoint

Le CERTA avait émis une alerte (CERTA-2006-ALE-009) le 15 juillet 2006, concernant la librairie de Microsoft Office mso.dll, et plus précisément Powerpoint. Une personne malveillante peut exploiter des vulnérabilités pour construire un document Powerpoint particulier. Quand ce dernier est ouvert sur un système vulnérable, cela provoque l’exécution de code arbitraire.

Les vulnérabilités sont corrigées dans le bulletin MS06-046, et l’avis du CERTA CERTA-2006-AVI-346 en fournit les détails.

1.5 Multiples corrections dans Internet Explorer

Le CERTA a mentionné dans les précédents bulletins d’actualité les nombreuses vulnérabilités qui ont été publiées au cours du mois de juillet 2006 sur un site Web. Celles-ci apparaissaient quotidiennement dans un bloc-notes, suite à l’application de nouveaux outils de test sur différents types de navigateurs. Plusieurs d’entre elles visaient Microsoft Internet Explorer.

Microsoft les corrige dans le bulletin MS06-042 (CERTA-2006-AVI-340).

2 Sécurisation des machines Apple MAC

Au cours d’une conférence en sécurité nommée Defcon14, il a été souligné certaines faiblesses du pare-feu de MacOS. Par défaut, ce dernier n’est pas activé. Il est accessible par les Préférences Système, section Partage. Les versions MacOS Panther ne filtrent pas les protocoles UDP et ICMP (ping). Pour la version MacOS Tiger, il faut indiquer explicitement que ces derniers doivent être bloqués en se rendant dans la sous-section Coupe-Feu -> Avancé…. En regardant plus en détail les règles de filtrage, il est possible de voir que certaines exceptions apparaissent, notamment sur le filtrage des ports source UDP, dont certains resteraient autorisés malgre le blocage UDP. Plusieurs services sont accessibles par défaut sur une machine utilisant Mac OS via le protocole UDP : ntpd (pour synchroniser l’heure avec un serveur distant), CUPS (pour gérer les requêtes vers les imprimantes), Bonjour (pour donner des informations au voisinage réseau)…

Recommandations :

Le CERTA recommande donc de :

  • modifier directement les règles de filtrage dans les fichiers de configuration du pare-feu de MacOS, qui s’appuie sur le logiciel libre ipfw de FreeBSD. Les règles actuellement en place sont visibles en tapant dans une console la commande suivante : sudo ipfw list.
  • filtrer en amont par le biais d’un autre pare-feu, de manière redondante, pour garantir que la politique d’acès est bien respectée.

Liens :

3 Liens utiles

Rappel des avis émis

Dans la période du 31 juillet au 06 août 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 11 août 2006
    version initiale.