Objet: Bulletin d’actualité 2006-36

1 Activité en cours

1.1 Vulnérabilité dans Microsoft Office – Word

Une vulnérabilité non corrigée existe dans Microsoft Office. Elle a fait l’objet d’un avis Microsoft 925059 et le CERTA a publié l’alerte ALE-2006-ALE-0011 à ce sujet.

Cette vulnérabilité semble affecter Word 2000, et des codes malveillants exploitant celle-ci se propagent actuellement sur l’Internet. Ceux-ci se nomment, en fonction des antivirus :

• W32/Mofei.worm.de (McAfee)
• Trojan.Mdropper.Q (Symantec)
• Trojan-Dropper.MSWord.1Table.bv (Kaspersky)
• TROJ_MDROPPER.BR (TrendMicro).

Dans l’attente d’un correctif, le CERTA recommande :

1. de n’ouvrir que les documents bureautiques de confiance ;
2. d’utiliser une suite bureautique alternative à jour ;
3. de vérifier la mise à jour des antivirus

2 Listes blanches anti-spam

Certains sites web, au nom de la lutte contre les messages électroniques non désirés, proposent d’entretenir des listes blanches d’adresses de messagerie. Le principe est le suivant : lorsque vous envoyez un message électronique, vous êtes invités à vous inscrire auprès d’un site web, qui se pose comme tiers de confiance. Ce dernier validera pour tous vos échanges futurs le fait que vous n’êtes pas un robot de spam.

Ces listes blanches soulèvent toutefois de nombreuses questions :

• avez-vous accès à l’information stockée dans ces bases de données ?
• pouvez-vous modifier ces informations ?
• quelle confiance accordez-vous dans ce tiers que vous ne connaissez pas ?
• le transit de vos messages électroniques par ces tiers de confiance est-il conforme à votre politique de sécurité ?
• est-il souhaitable de communiquer une adresse électronique réellement utilisée ?
• une adresse de messagerie ainsi stockée chez un tiers de confiance peut-elle être utilisée par un robot de spam ?

Le CERTA vous recommande de bien réfléchir à ces questions avant d’imposer l’utilisation d’une quelconque liste blanche d’adresses de messagerie à vos correspondants.

Des questions similaires se posent pour toute solution utilisant des listes noires, c’est à dire des listes à éviter. Ce procédé est employé dans des outils proposant de combattre le spam, ou le filoutage.

3 Vulnérabilités de BIND

Le CERTA a publié le 07 septembre 2006 un avis sur le service ISC BIND (Berkeley Internet Name Domain). Ce dernier met en œuvre le protocole DNS servant à la résolution de noms de domaine (association entre une adresse IP et un nom.

Le CERTA annonce dans cet avis (CERTA-2006-AVI-384) deux vulnérabilités pouvant conduire une personne malveillante à provoquer un mauvais fonctionnement (arrêt de service) d’un serveur DNS vulnérable.

DNS est un élément important dans le bon fonctionnement d’un système d’information connecté à l’Internet. Il est utilisé par de nombreuses applications, comme les navigateurs, mais parfois de manière discrète, comme par exemple les messageries. Un mauvais fonctionnement des serveurs DNS peut ainsi entraîner des dysfonctionnements en chaîne.

Le CERTA recommande donc vivement d’appliquer les mises à jour signalées dans l’avis.

4 Analyse de journaux Microsoft

Microsoft utilise dans un ensemble d’applications une numérotation particulière pour identifier les événements. Par exemple, sous Windows XP, une liste d’événements observés se trouve à l’emplacement suivant :

• démarrer
• Panneau de configuration
• Performances et maintenance
• Outils d’administration
• Observateur d’événements.

Les événements sont classés en trois grandes catégories, celles ayant trait aux applications installées, celles liées au système d’exploitation et celles de sécurité.

En cliquant sur un événement particulier, il peut arriver que le champ description soit manquant, car des droits empêchent de récupérer cette information ou la bibliothèque installée ne le fournit pas. Plusieurs sites se proposent de lister et expliciter les messages associés à chaque événement, en fonction d’un numéro d’identifiant et des sources (ou bibliothèques). Il est intéressant de se reporter à ceux-ci pour éclaircir des événements donnés :

• le site de Microsoft concernant les événements et les erreurs :

  http://www.microsoft.com/technet/support/ee/ee_advanced.aspx
  

• le site EventID :

  http://www.eventid.net/search.asp
  

Ces deux sites fournissent par ailleurs d’autres informations utiles :

• des détails sur les bibliothèques Microsoft dll :

  http://support.microsoft.com/dllhelp/
  

• une liste de services installés sur les différentes distributions Windows :

  http://www.microsoft.com/technet/prodtechnol/serveros.mspx
  

• une liste associant des applications avec leurs ports TCP/UDP usuels :

  http://www.eventid.net/searchprot.asp
  

Rappel des avis émis

Dans la période du 28 août au 03 septembre 2006, le CERT-FR a émis les publications suivantes :

• CERTA-2006-ALE-011-006 : Multiples vulnérabilités de produits Microsoft
• CERTA-2006-AVI-375 : Multiples vulnérabilités dans Joomla!
• CERTA-2006-AVI-376 : Vulnérabilité dans isakmpd sous OpenBSD
• CERTA-2006-AVI-377-001 : Vulnérabilité dans X.Org X11 et des bibliothèques associées
• CERTA-2006-AVI-378 : Vulnérabilité dans Sendmail
• CERTA-2006-AVI-379 : Vulnérabilité dans solaris
• CERTA-2006-AVI-380 : Multiples vulnérabilités des Imprimantes Dell
• CERTA-2006-AVI-381 : Multiples vulnérabilités dans le noyau Linux