S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 mars 2007
N° CERTA-2007-ACT-009
Affaire suivie par: CERT-FR
le 02 mars 2007

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2007-09

Gestion du document

Référence CERTA-2007-ACT-009
Titre Bulletin d’actualité 2007-09
Date de la première version 02 mars 2007
Date de la dernière version 02 mars 2007
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activités en cours

1.1 L’hébergement mutualisé de sites

Le CERTA a traité cette semaine le cas du site d’une administration victime de défiguration (remplacement de la page d’accueil). Après analyse, il s’est avéré que le site vulnérable ayant permis cet acte malveillant n’était pas le site de l’administration, mais un autre site hébergé sur le même serveur.

Nous rappelons donc que la sécurité d’un site (et plus généralement d’un système d’information) dépend à la fois de sa conception, mais aussi de l’environnement dans lequel il est placé. Il convient donc de prendre en compte tous les paramètres pouvant influer sur le système, sans se focaliser uniquement sur sa qualité intrisèque.

Concernant la problématique de l’hébergement mutualisé, une note d’information du CERTA (« Bonne pratiques concernant l’hébergement mutualisé », CERTA-2005-inf-005) donne quelque conseils et recommandations quant à ce type particulier d’hébergement.

1.2 Bombe logique

L’analyse d’une machine compromise a été faite par le CERTA. Cette machine était compromise par un code malveillant destiné à réaliser un déni de service contre une adresse IP située en Estonie. Le nom de domaine visé correspond à un domaine victime d’attaque par un malware. Ce malware a la particularité de ne pas se mettre à jour et de ne pas recevoir d’ordre d’attaques depuis un point central. S’il n’est pas détecté à temps, le seul moyen de savoir qu’on est contaminé est de constater l’attaque.

En particulier, des traces de traffic important inhabituel vers l’Estonie ces dernières semaines pourraient être le signe de machines contaminées.

Le CERTA invite ses correspondants à le prévenir dans le cas où des traces seraient visibles dans les journaux.

1.3 Joyeux anniversaire

Depuis quelques jours, un ver de messagerie se propage sous la forme d’un message électronique intitulé « Anniversaire » et contenant le texte Peux tu reconnaître qui est a coté de moi?. Le fichier Anniversaire.asx est joint à ce message. Les fichiers au format ASX sont relatifs à des films vidéo, il est donc possible que le système d’exploitation affiche l’icône d’un lecteur multimedia devant le fichier.

Le fait de double-cliquer sur ce fichier provoque l’apparition d’une demande de téléchargement d’un prétendu codec sous la forme d’un fichier intitulé codecs.exe. Ce dernier se révèle être un code malveillant qui provoque lui-même le téléchargement d’autres programmes malveillants (downloader).

Ce ver a la particularité d’être rédigé en français, et d’avoir en pièce jointe un lien vers un code malveillant. Cette technique pourrait permettre d’échapper au contrôle des anti-virus.

Ce ver exploite une attaque par ingénierie sociale dans la mesure où il incite l’utilisateur à cliquer sur un message pour récupérer de faux codecs. Encore une fois, la plus grande prudence, et la plus grande protection, consistent à se méfier de toute sollicitation particulière, spécialement quand celle-ci ne semble pas provenir d’une source de confiance.

Par ailleurs, il est préférable de bloquer par défaut toute extension de fichier au niveau de la passerelle de messagerie, puis de n’autoriser que celles qui sont légitimes dans le réseau.

Recommandations :

Le CERTA recommande aux administrateurs de vérifier dans d’éventuels journaux de proxy si des appels à des fichiers codecs.exe ont été effectués, et de prévenir le CERTA le cas échéant.

Parmi les cas rencontrés, la deuxième phase de connexion s’effectuait vers les deux sites suivants :

  • http://updatecodecs.t35.com
  • http://servercodecs.com

2 Danger de la configuration par défaut d’Adobe Reader

2.1 Introduction

PDF, ou Portable Document Format est un format créée par la société Adobe Systems. Il permet de préserver la mise en forme du document, comme la police d’écriture, ou les objets graphiques, indépendemment de l’application ou de la plateforme utilisées pour le lire.

Il s’agit, malgré les apparences, d’un format très riche et très complexe. Pour s’en convaincre, il est possible de consulter un document de référence fourni par Adobe à l’adresse suivante :

http://www.adobe.com/devnet/pdf/pdf_reference.html

Le format autorise plusieurs options, comme par exemple le taux de compression des images et des textes, la qualité d’impression du document, et les droits qui lui sont accordés (interdiction de le modifier, de l’imprimer, etc.).

Il permet aussi d’être interactif en incorporant par exemple des menus déroulants, des champs de texte, afin d’obtenir des formulaires.

Le PDF a la particularité suivante : il peut contenir du code JavaScript. Ce dernier peut ensuite être interprété, ou pas, selon les applications de lecture utilisées. Par défaut, et à la date de rédaction de ce bulletin, Adobe Acrobat Reader et sa version Linux acroread l’interprètent. Foxit Reader, une alternative sous Windows, demande explicitement s’il faut installer le module JavaScript, tandis que xpdf ne l’interprète pas.

Dans la documentation fournie par Adobe, il est écrit que, bien qu’optionnelles, les actions suivantes sont possibles :

  • une action JavaScript peut être déclenchée quand l’utilisateur frappe une combinaison de touches dans un champ de texte ;
  • une action JavaScript peut être déclenchée avant que le champ soit formatté pour afficher sa valeur, ou quand celle-ci est modifiée ;
  • une action JavaScript peut être déclenchée au moment d’enregistrer ou de fermer un document ;
  • une action JavaScript peut être déclenchée avant ou après la phase d’impression du document ;
  • etc.
En d’autres termes, des actions JavaScript peuvent être interprétées à tout moment si l’application de lecture le permet.

2.2 Le problème d’Acrobat Reader

Acrobat Reader comprend les liens réticulaires (URLs) de type file://. Ceux-ci sont un moyen pour regarder et naviguer dans le système de fichiers, ou les ouvrir. A valeur d’illustration, le fait de taper file:///C:/ ouvre une fenêtre pour visiter la partition C: (si celle-ci existe).

Il est possible de combiner les deux propriétés citées ci-dessous, les interprétations de JavaScript et de l’URL file://, afin de permettre à des objets JavaScript d’accéder au système de fichiers et d’en voler, sous certaines conditions, le contenu.

Cette vulnérabilité existe dans les versions d’Adobe Acrobat Reader 6.0, 7.0 et 8.0 les plus récentes.

Du code d’exploitation est actuellement disponible sur l’Internet. Il est possible que des courriers électroniques, contenant des documents au format .pdf spécialement construits, apparaissent prochainement.

2.3 Recommandations du CERTA

Dans l’attente d’un correctif d’Adobe, il est fortement recommandé d’appliquer les mesures suivantes :

  • désactiver l’interprétation de JavaScript par défaut : Edition => Préférences => JavaScript. Il faut décocher la case « Activer Acrobat JavaScript » ;
  • désactiver les options Internet par défaut : Edition => Préférences => Internet. Il faut décocher les cases « Autoriser l’affichage rapide des pages Web », et « Autoriser le téléchargement spéculatif à l’arrière-plan ».

Les recommandations plus classiques sont également applicables :

  • vérifier que les applications et les anti-virus soient mis à jour ;
  • n’ouvrir que des documents provenant de sources de confiance ;
  • utiliser éventuellement une application alternative pour la lecture de documents PDF.

3 Telnet sous Sun Solaris

3.1 Rappel des faits

Le CERTA a mentionné dans le bulletin précédent l’existence d’une vulnérabilité concernant le service telnet sous Sun Solaris. Celle-ci a également fait l’objet de l’alerte CERTA-2007-ALE-005.

Pour rappel, cette vulnérabilité permet à un utilisateur de se connecter à distance sur le système vulnérable sans fournir un quelconque mot de passe.

3.2 Description du ver

Cette semaine, l’existence d’un ver exploitant cette vulnérabilité a été signalée. Le CERTA a mis l’alerte à jour pour en fournir les détails. Il utiliserait les comptes adm ou lp pour se propager. Sun fournit sur son bloc-notes quelques commandes pour vérifier que le ver n’a pas infecté la machine.

Par exemple, l’existence des fichiers /var/adm/.profile ou /var/spool/lp/.profile, ainsi que la modification de la table des tâches crontab seraient des indications d’une contamination par ce ver.

Bien que ce ver soit apparu, le CERTA n’a pas été informé d’activités de scan particulières vers le port telnet (TCP 23) cette semaine. Sa propagation ne semble actuellement pas virulente ou bruyante, bien que Sun mentionne dans son annonce un active worm.

Documentation

4 Certificats racines pour l’administration française

Le journal officiel de la république française du 17 février 2007 contient la publication des certificats de l’IGC/A.

L’éditeur de logiciel Microsoft a inclus les certificats dans la mise à jour facultative du 28 février 2007.

Des informations sont disponibles sur la page :

http://support.microsoft.com/kb/931125

Ceci ne concerne bien sûr que les systèmes Windows et les navigateurs Internet Explorer.

Pour prendre en compte ces certificats avec le navigateur Firefox, il convient de :

5 Vol d’informations de navigation sur Internet

Le CERTA a été informé de la possibilité de vol d’informations personnelles concernant les habitudes de navigation. Le principe général n’est pas récent , mais necessitait l’utilisation de code JavaScript que le CERTA recommande par ailleurs de désactiver par d éfaut dans le navigateur. Aujourd’hui, l’utilisation de JavaScript ne semble plus necessaire afin de connaitre les sites fréquentés par un internaute. Elle s’appuie sur la gestion des feuilles de styles concernant les pages visitées (format CSS).

Cette technique fonctionne avec la version 7.0 de Microsoft Internet Explorer et la version 2.0.0.2 de Mozilla Firefox.

Le CERTA, recommande de désactiver par défaut dans le navigateur, l’utilisation du JavaScript et, dans l’attente d’un correctif , de désactiver la fonction « historique » et nettoyer régulièrement le cache du navigateur Internet.

6 Vulnérabilité dans Google Desktop

Google desktop est une application permettant à un utilisateur d’effectuer des recherches de fichiers sur son système.

Récemment, une vulnérabilité dans Google Desktop a été publiée. Elle permet à une personne malintentionnée de prendre le contrôle de l’application à distance, et ainsi effectuer des recherches sur le système de fichiers de la victime, ou exécuter des applications présentes sur la machine.

Cette attaque nécessite tout d’abord une action de l’utilisateur, qui est l’exécution indirecte d’un script malveillant (une attaque de type cross-site scripting) sur le domaine www.google.com. Le script profite ensuite d’une vulnérabilité permettant l’exécution de code à chaque recherche de l’utilisateur sur Google Desktop.

Cette vulnérabilité a été corrigée dans une mise à jour de Google Desktop. Toutefois, d’une manière générale, il est recommandé de désactiver la fonctionnalité de recherche automatique sur la machine lors d’une requête sur internet.

Enfin, pour éviter les attaques d’exécution de code indirecte, le CERTA rappelle l’importance de vérifier les liens, de configurer sa messagerie pour lire les courriels en texte brut, et de taper manuellement les URL visitées.

Rappel des avis émis

Dans la période du 19 au 25 février 2007, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 02 mars 2007
    version initiale.