1 Activité en cours
Le CERTA a été informé de nombreuses tentatives d’attaques en « force brute » sur des serveurs FTP. Le principe est le même que pour SSH, il s’agit de tester de nombreuses combinaisons d’identifiants et de mots de passe, jusqu’à obtention d’un compte. La récupération d’un tel compte permet d’utiliser le serveur comme zone de stockage de fichiers (warez). Si la machine attaquée fait également office de serveur HTTP, il est possible pour les intrus d’utiliser le compte FTP pour mettre en place des sites de filoutage (phishing).
Recommandations :
Il est recommandé aux administrateurs de vérifier la robustesse des mots de passe utilisés sur leurs machines et de consulter les journaux afin de s’assurer qu’aucune connexion douteuse n’a été effectuée.
2 De nouvelles versions de navigateurs
2.1 Firefox 2.0
Le projet Mozilla a publié le 24 octobre 2006 la version 2 du Navigateur Internet Firefox version 2. Or, la dernière pré-version de Firefox 2 à savoir la « Release Candidate 3 » comportait probablement plusieurs vulnérabilités. En l’absence d’information sur les corrections apportées dans la version 2 définitive et dans la mesure où la branche 1.5 de Firefox est encore maintenue, le CERTA recommande de ne pas déployer pour le moment Firefox 2 en attendant de plus amples précisions.2.2 Internet Explorer 7
Microsoft a sorti il y a quelques jours une version définitive d’Internet Explorer 7 (IE7). Celle-ci n’est pas encore disponible en français, mais plusieurs sites Web se sont faits écho de cette sortie.
Le CERTA recommande cependant de patienter encore, avant d’installer et d’utiliser ce logiciel. A ce jour, deux vulnérabilités non corrigées distinctes ont été identifiées dans ce dernier :
- la première vulnérabilité concerne un ActiveX particulier nommé Msxml2.XMLHTTP . Une personne malveillante pourrait placer un script dans une page afin de créer un objet ActiveX Msxml2.XMLHTTP. Cela lui permettrait d’accéder à des pages qui ne sont pas autorisées, ou à récupérer des informations contextuelles sur l’utilisateur. Le CERTA s’est rendu compte que le code d’exploitation fonctionne aussi, bien que les ActiveX sous IE7 soient désactivés. En effet, l’option avancée « Enable native XMLHTTP Support » ne prend pas en compte ce choix.
- la seconde vulnérabilité consiste à afficher une fenêtre surgissante (pop-up) avec une adresse dans la barre d’affichage qui n’est pas correcte. Cette vulnérabilité peut être facilement exploitée dans le cadre d’attaques par filoutage (phishing).
Après considération de ces deux vulnérabilités moins d’une semaine après la sortie d’IE7, il est préférable de patienter avant d’utiliser ce navigateur. De nouvelles versions (dont une en français) devraient apparaître dans les prochaines semaines.
Documentation :
- Bloc-notes du centre de sécurité Microsoft, mentionnant les deux vulnérabilités précédentes :
http://blogs.technet.com/msrc/
3 Adobe Flash Player
Une vulnérabilité, non corrigée et confirmée par l’éditeur, est présente dans le visionneur Flash Player de Adobe. Cette vulnérabilité permettrait à l’attaquant de modifier à la volée l’entête des requêtes HTTP relative à l’objet Flash et ce à l’insu de l’utilisateur. En modifiant cet entête, il est possible, par exemple, d’engendrer des requêtes HTTP non-sollicitées. Seule la dernière version « Beta » (nommée beta_100406) dudit logiciel corrige le problème. En l’absence de version stable corrigée, le CERTA recommande de ne pas utiliser le visionneur Flash Player en l’état et d’attendre la mise à jour finale de l’éditeur.Rappel des avis émis
Dans la période du 16 au 22 octobre 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-454-002 : Vulnérabilités dans Clam Antivirus
- CERTA-2006-AVI-455 : Vulnérabilité du module mod_tcl de Apache
- CERTA-2006-AVI-456 : Vulnérabilité dans Opera
- CERTA-2006-AVI-457 : Multiples vulnérabilités sur les produits Oracle
- CERTA-2006-AVI-458 : Vulnérabilité dans HP CIFS Server
- CERTA-2006-AVI-459-001 : Vulnérabilité dans la bibliothèque graphique Qt
