S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 septembre 2006
N° CERTA-2006-ACT-038
Affaire suivie par: CERT-FR
le 22 septembre 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-38

Gestion du document

Référence CERTA-2006-ACT-038
Titre Bulletin d’actualité 2006-38
Date de la première version 22 septembre 2006
Date de la dernière version 22 septembre 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Incidents traités

1.1.1 Défigurations

Le CERTA a traité trois cas de défiguration cette semaine. Pour l’un de ces incidents, il s’agit de l’exploitation d’une faille de la version 2.0.10 de phpBB. Les deux autres incidents font l’objet d’investigations complémentaires afin de déterminer quelles ont été les vulnérabilités exploitées.

1.1.2 Propagation d’un ver

Un de nos correspondants nous a informés de l’infection de cinq machines sous Windows par un code malveillant de la famille Gaobot/Sdbot/Rbot. Le scénario de propagation a été le suivant : un poste nomade a été reconnecté sur un sous-réseau interne (après plusieurs semaines en dehors de ce réseau) alors qu’il avait déjà été infecté. Le code malveillant s’est ensuite propagé par les partages réseau.

Cet incident illustre bien la problématique posée par les postes nomades : il s’agit souvent de machines amenées à être exposées en étant directement connectées à l’Internet (sans aucune protection), qui sont par la suite introduites dans des sous-réseaux. Le code malveillant peut donc ainsi profiter des faiblesses liées au fonctionnement du sous-réseau : partages réseau, exploitation de vulnérabilités car les machines que l’on pense protégées ne sont pas mises à jour, etc.

2 Nouvelle vulnérabilité sous Windows – vgx.dll

Le CERTA a mis à jour l’alerte CERTA-2006-ALE-011 pour intégrer une vulnérabilité affectant la bibliothèque vgx.dll. Cette bibliothèque est utilisée pour prendre en compte le format VML (Vector Markup Language). Ce format, basé sur le langage XML, est utilisé pour éditer certaines images.

Deux vecteurs d’attaque pour cette vulnérabilité : l’un consiste à utiliser des pages HTML spécifiquement conçues pour exploiter la faille par l’intermédiaire d’Internet Explorer, l’autre repose sur des messages électroniques qui seraient lus à l’aide des clients de la famille d’Outlook avec prise en compte du langage HTML.

Microsoft, qui a admis l’existence de cette vulnérabilité, propose, dans l’attente d’un correctif, un contournement provisoire. Il s’agit de modifier le registre afin de ne plus prendre en compte la bibliothèque vgx.dll. Cela peut se faire à l’aide de la commande :

regsvr32.exe « %CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll » -u

Il est possible que cette action entrave le bon fonctionnement de certaines applications.

Documentation :

Rappel des avis émis

Dans la période du 11 au 17 septembre 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 22 septembre 2006
    version initiale.