S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 octobre 2008
N° CERTA-2008-ACT-042
Affaire suivie par: CERT-FR
le 17 octobre 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-42

Gestion du document

Référence CERTA-2008-ACT-042
Titre Bulletin d’actualité 2008-42
Date de la première version 17 octobre 2008
Date de la dernière version 17 octobre 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vigilance SMB

Le protocole SMB (Server Message Block) permet d’échanger des ressources (fichiers, imprimantes, etc.) sur des réseaux locaux. Il fonctionne sous la forme « client / serveur » et est déployé dans la majorité des environnements Microsoft.

Selon les versions de Windows, il s’appuie sur différents protocoles (l’API NetBIOS sur TCP/IP ou directement via TCP).

Cette semaine, plusieurs publications ont mentionné des vulnérabilités associées à ce protocole. Certaines sont corrigées par des mises à jour de Microsoft mais ont été intégrées dans des outils d’exploitation automatiques.

Le CERTA recommande donc de porter une très grande vigilance au trafic SMB et de vérifier qu’une politique de filtrage rigoureuse est bien mise en place.

2 Incidents de la semaine

2.1 Détournement des outils de statistiques, 6 mois après …

Il y a un peu plus de six mois, dans son bulletin d’actualité CERTA-2008-ACT-013, le CERTA avait présenté l’utilisation détournée des outils de statistiques afin de promouvoir des sites Internet à l’aspect douteux (sites pour adultes, etc.)

Le principe est simple : insérer une requête complète dans un champ d’un site que l’on sait journalisé (moteur de recherche, formulaire, Referer). Si les journaux sont présentés aux internautes sans être nettoyés, quelques essais suffisent alors à un utilisateur malintentionné pour injecter correctement les flux permettant de faire afficher des liens dans la visualisation des statistiques.

Cette semaine, le CERTA a traité un incident de cette sorte. La difficulté dans ce type d’incident réside dans le fait que l’administrateur du site offre les conditions nécessaires à ce genre d’activité. En effet, ce type d’incident est provoqué par un abus de fonctionnalité et non pas par une intrusion classique. Les remèdes sont donc plus complexes.

Pour éviter ce type de « compromission », le CERTA recommande :

  • de n’afficher les résultats des outils de statistiques que dans une zone restreinte, non publique, et seulement si l’affichage de ces statistiques est strictement nécessaire ;
  • d’interdire le référencement des pages de statistiques à l’aide d’un fichier robots.txt ;
  • de configurer l’outil de statistiques afin de nettoyer les enregistrements et de n’afficher que ce qui est indispensable.

3 Fausse mise à jour Microsoft

3.1 Présentation

Depuis plusieurs jours, un courriel frauduleux circule avec un exécutable prétendant être une mise à jour de sécurité pour Windows. Ce courriel, dont le sujet est « Security Update for OS Microsoft Windows », est signé du nom de Steve Lipner, personnalité dans le domaine de la sécurité chez Microsoft. Le message arrive à point nommé puisque cette semaine Microsoft a publié 11 mises à jour de sécurité. Chose nouvelle, l’email se termine par une signature PGP pour tenter de paraître plus crédible. Cette signature est évidemment invalide.

L’exécutable est en fait une version du malware Haxdoor.

Pour information, la clé PGP utilisée par le MSRC pour ses signatures se trouve à l’adresse suivante :

http://www.microsoft.com/technet/security/bulletin/pgp.mspx

S’il arrive bien que Microsoft envoie des courriels de notification sur ses bulletins de sécurité aux personnes l’ayant demandé, l’éditeur assure toutefois qu’il n’enverra jamais de pièce jointe avec ceux-ci. D’une manière générale, aucun éditeur n’envoie de mise à jour ou d’application par courriel.

3.2 Documentation

4 Les vulnérabilités par dépendances

4.1 Présentation

L’avis de sécurité publié par WinZip a été repris cette semaine par plusieurs sites spécialisés.

Il s’avère en fait que ce n’est pas le programme en lui-même qui présente une faiblesse mais les bibliothèques fournies avec. En effet, la distribution contient le fichier Microsoft gdiplus.dll. La version précédemment distribuée avec l’outil d’archivage est vulnérable (CERTA-2008-AVI-449) et son exploitation permet une exécution de code arbitraire à distance.

L’inclusion de fichiers et de bibliothèques tierces par les éditeurs servent l’utilisateur et lui permettent de faciliter le processus d’installation. Cela pose néanmoins quelques problématiques de sécurité.

En effet, les mises à jour de ces composants tiers fournis en complément se font toujours avec un temps de retard par rapport à celles officielles. Elles nécessitent une nouvelle version du produit. Il faut également que le programme soit mis à jour par l’utilisateur. Cette opération n’est pas toujours automatique.

L’utilisateur n’a pas nécessairement conscience de disposer d’un logiciel vulnérable. Dans le cas présent, une mise à jour Microsoft effectuée en septembre ne suffit pas pour se protéger de l’exploitation d’une vulnérabilité gdiplus.dll via WinZip.

Le CERTA recommande d’éviter autant que possible ces systèmes de dépendances. Certaines installations offrent la possibilité de s’en abstenir. Il est également important de comprendre les intéractions des différents logiciels/systèmes entre eux.

4.2 Documentation

5 Retour sur l’alerte CERTA-2008-ALE-012

5.1 Présentation

Le CERTA a publié, le 10 octobre 2008, l’alerte CERTA-2008-ALE-012 concernant une vulnérabilité dans Microsoft Windows. Cette vulnérabilité peut être exploitée par un utilisateur malveillant afin d’élever ses privilèges sur le système.

Cette vulnérabilité a fait l’objet d’une publication par Microsoft le 17 avril 2008. Elle n’était cependant pas documentée. La diffusion d’un code de faisabilité (proof of concept) pouvant exploiter cette faille a motivé une récente publication de Microsoft sur leur bloc-notes MSRC (Microsoft Security Response Center).

Cette vulnérabilité peut être exploitée en complément d’autres vulnérabilités afin de prendre le contrôle complet du système.

Le CERTA a traité de nombreux incidents pour lesquels les intrus ont associé l’exploitation de vulnérabilités distantes avec des vulnérabilités leur permettant d’élever leurs privilèges.

5.2 Documentation

6 Retour sur les mises à jour Microsoft

Cette semaine, Microsoft a publié 11 nouveaux bulletins de sécurité dans le cadre de ses mises à jour mensuelles. Ces bulletins corrigent une vingtaine de vulnérabilités considérées comme importantes ou critiques. Le CERTA tient à revenir sur ces bulletins :

  • MS08-56 : une vulnérabilité affecte la gestion du protocole CDO (Collaboration Data Objects) de Microsoft Office. Cette vulnérabilité permet à une personne malveillante via une adresse réticulaire CDO spécialement conçue de porter atteinte à la confidentialité des données ou d’entreprendre des actions que l’utilisateur pourrait effectuer sur un site Web affecté. Ce correctif ne concerne que Microsoft Office XP Service Pack 3 ;
  • MS08-57 : ce bulletin révèle la présence de trois vulnérabilités dans Microsoft Excel. Toutes permettent à une personne malveillante d’exécuter du code arbitraire à distance et affectent la plupart des versions de Microsoft Excel ainsi que les visionneuses. Elles sont dues à différentes erreurs liées au traitement du cache de performance VBA (Visual Basic for Application), à une allocation de mémoire incorrecte lors du chargement d’objets et au traitement de cellules Excel contenant une formule spécifique ;
  • MS08-58 : cette mise à jour de sécurité corrige six vulnérabilités d’Internet Explorer, toute version. Quatre permettent à un attaquant d’accéder à une fenêtre de navigation dans un autre domaine ou une autre zone d’Internet Explorer. Elles ont pour origine :
    • une vulnérabilité inter-domaines liée à la propriété « emplacement » (Window Location) de la fenêtre de navigation ;
    • une vulnérabilité inter-domaines liée à l’élément HTML ;
    • une vulnérabilité inter-domaines liée à la gestion des événements ;
    • une vulnérabilité de divulgation d’informations inter-domaines.

    Les deux dernières concernent l’accès à la mémoire non initialisée ou dans des objets et permettent l’exécution de code arbitraire à distance.

  • MS08-59 : ce bulletin fait état d’une vulnérabilité touchant le traitement des requêtes RPC (Remote Procedure Call) dans Microsoft Host Integration server. Ce correctif concerne plus précisément le service SNA RPC. L’application de ce correctif nécessite un rédemarrage de la machine. Une désactivation du service ou une diminution des droits de l’utilisateur démarrant ce service permet d’atténuer les impacts de l’exploitation. Ces mesures ne peuvent être que provisoires en attendant une nécessaire installation du correctif.
  • MS08-60 : ce correctif traite d’une vulnérabilité affectant l’Active Directory de Microsoft Windows 2000 Server Service Pack 4. Cette vulnérabilité est due à une mauvaise allocation mémoire et peut être exploitée par une personne malveillante afin d’exécuter du code arbitraire à distance au moyen d’une requête LDAP ou LDAPS spécialement conçue.
  • MS08-61 : trois vulnérabilités affectent le noyau Microsoft Windows et permettent une élévation de privilèges sur le système. L’exploitation de ces vulnérabilités est possible au travers d’un problème dans la validation de certaines propriétés de fenêtre transmises lors du processus de création de fenêtre, d’une possible double libération de mémoire et d’une validation incorrecte des entrées transmises au noyau depuis le mode utilisateur.

    La double libération de mémoire est provoquée lorsque le noyau n’effectue pas de capture du code présent dans la zone mémoire utilisateur afin d’exécuter ce dernier avec les privilèges du noyau. Cette pratique existe afin d’eviter de multiples accès au code présent dans l’espace utilisateur. Dans le cas présent, l’allocation mémoire est inadéquat et provoque un dépassement de mémoire avec des privilèges élévés.

  • MS08-62 : il y est indiqué qu’une vulnérabilité affecte les systèmes Microsoft Windows lorsque ces derniers exécutent IIS et que le service d’impression Internet est activé. Des exploitations de cette vulnérabilité ont été constatées et touchent l’ensemble de la gamme des systèmes d’exploitation encore maintenus.
  • MS08-63 : ce bulletin détaille une vulnérabilité dans la mise en œuvre protocolaire de Server Message Block (SMB) dans Microsoft Windows. Cette vulnérabilité permet une exécution de code arbitraire à distance via une trame spécialement construite émise par un utilisateur authentifié, y compris l’utilisateur « invité ».
  • MS08-64 : une vulnérabilité a été identifiée dans le gestionnaire de mémoire Windows. Cette dernière affecte plus particulièrement la gestion des descripteurs d’adresses virtuelles (VAD). Cette vulnérabilité peut être exploitée par un utilsateur local afin d’élever ses privilèges au niveau ring 0 et affecte toutes les versions de Microsoft Windows.
  • MS08-65 : le correctif traite une erreur présente dans le service de mise en file d’attente de message dans Microsoft Windows 2000 Service Pack 4 : MSMQ (Message Queuing Service). Cette vulnérabilité permet, lorsque le service est activé, d’exécuter du code arbitraire à distance mais la mise en œuvre d’une telle attaque n’est pas triviale et nécessite une modification de mémoire par un autre processus et une coordination, a priori, difficile à réaliser.
  • MS08-66 : une vulnérabilité est présente dans le pilote de fonction connexe ou Ancillary Function Driver de Microsoft. Un manque de contrôle des données transmises du mode utilisateur au mode noyau permet à un utilisateur local d’exécuter du code arbitraire avec des privilèges très élevés sur le système.

Le CERTA rappelle l’importance de l’installation des mises à jour afin de limiter les risques d’intrusion dans le système d’information.

http://blogs.technet.com/swi/

7 Les redirections ouvertes

7.1 Présentation

Les utilisateurs sont parfois redirigés vers des adresses autres que celles initialement demandées. L’intérêt de cette approche est bien souvent d’orienter le visiteur vers un nouveau contenu (nouveau site, nouvelles pages) sans que ce dernier ne s’en rende compte.

Certaines redirections sont dites « ouvertes ». Le site Web ne vérifie pas les paramètres du lien avant de provoquer la redirection. Par exemple :

        http://MonSite.tld/redirect.php?dest=http://siteMalveillant.tld

En d’autres termes, le script redirect.php permet de rediriger l’utilisateur vers une adresse quelconque de l’Internet.

Le site siteMalveillant.tld peut héberger des pages ayant un contenu agressif pour le navigateur et ses composants ou des pages de filoutage. Cela peut également être un moyen pour suivre une partie de la navigation de l’internaute.

Bien souvent, l’utilisateur ne voit ou ne prête attention qu’aux premiers caractères. Il risque donc de se laisser duper par une page imitant un contenu légitime. L’adresse peut également être encodée de plusieurs manières afin de rendre la lecture plus complexe. Certaines de ces techniques avaient été présentées dans l’article 4 du bulletin d’actualité CERTA-2007-ACT-004.

La redirection peut s’effectuer de différentes manières. La plus conventionnelle citée par le World Wide Web Consortium (W3C) est le HTTP Redirect. Cela correspond à un code de retour HTTP de la forme 3XX. Par exemple, le code 301 signifie « moved permanently » et peut être associé à une réponse comme :

HTTP/1.1  301   Moved Permanently
Location: http://NouveauSite.tld
Content-Type: text/html
Content-Length: …

<HTML>
….
</HTML>

D’autres méthodes existent cependant. Il est par exemple possible d’exploiter la fonctionnalité de rafraîchissement d’une page avec l’attribut content. Ainsi la page peut présenter une ligne semblable à :

<meta http-equiv= »refresh » content=2;url=http://NouveauSite.tld »>

La valeur représente le nombre de secondes avant que la redirection prenne effet. Sous certaines conditions, l’utilisation de la touche « Reculer d’une page » ne ramène pas à la page précédente.

D’autres méthodes consistent à profiter de l’interprétation de code dynamique JavaScript sur le navigateur de l’utilisateur. La destination de la redirection est alors fournie par le code JavaScript.

Il est possible de distinguer les redirections statiques, qui redirigent systématiquement vers les mêmes ressources, de celles dynamiques, dont la destination peut varier selon certains paramètres :

  • de temps ;
  • dépendant du poste client et des informations renseignées dans la requête (User-Agent, géolocalisation de l’adresse IP) ;
  • le format de l’adresse de redirection sur lequel l’utilisateur clique.

Un article de recherche récent ayant effectué plusieurs tests montre que certaines redirections se comportent différemment en fonction des paramètres de la requête. Plus précisément, faire abstraction de certains champs amènent le serveur à être beaucoup moins regardant au niveau de la redirection !

De manière générale, laisser une redirection ouverte permet aux personnes de relayer des adresses malveillantes via le site et elle indique une mauvaise maîtrise des actions mises en place. Il appartient au responsable du site Internet de contrôler celles-ci.

7.2 Recommandations

  • Pour les administrateurs de sites :
    • regarder avec attention dans les journaux du serveur les tentatives de connexion contenant des chaînes particulières comme http: ou https ;
    • filtrer au niveau du serveur les champs referer pour vérifier une redirection. Cette méthode peut cependant poser problème lorsque le champ n’est pas utilisé ou nettoyé par une passerelle ;
    • utiliser un condensat (hash) caractérisant le site destinataire ainsi qu’un secret du serveur. Ce condensat est inclu dans l’adresse de redirection et il est vérifié par le serveur d’arrivée.
  • pour les utilisateurs :
    • être sensibilisés ;
    • filtrer les en-têtes HTTP conduisant à des redirections (voire effectuer un test préalable) ;
    • ne pas cliquer sur des liens suspects.

7.3 Documentation associée

Rappel des avis émis

Dans la période du 06 au 12 octobre 2008, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 17 octobre 2008
    version initiale.