S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 février 2009
N° CERTA-2009-ACT-008
Affaire suivie par: CERT-FR
le 20 février 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-08

Gestion du document

Référence CERTA-2009-ACT-008
Titre Bulletin d’actualité 2009-08
Date de la première version 20 février 2009
Date de la dernière version 20 février 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité non corrigée dans Adobe Reader

Une vunérabilité non corrigée a été découverte dans Adobe Reader. Cette dernière permet à une personne malintentionnée d’exécuter du code arbitraire à distance via un fichier au format PDF spécialement construit.

Cette faille a fait l’objet de la publication de l’alerte CERTA-2009-ALE-001 référençant le bulletin de sécurité Adobe APSB09-01 du 19 février 2009.

Cette vulnérabilité est exploitée sur l’Internet et des éditeurs antivirus ont déjà intégré des signatures de codes malveillants tentant de compromettre des machines via cette faiblesse. Ces codes malveillants sont reconnus sous différents noms :

  • Trojan.Pidief.E ;
  • Exploit-PDF.i ;
  • Bloodhound.PDF.6.

En attendant qu’un correctif soit publié, le CERTA recommande d’appliquer les mesures suivantes :

  • utiliser un lecteur alternatif ;
  • désactiver JavaScript dans le lecteur afin de limiter les risques d’exécution de la charge utile ;
  • n’ouvrir un fichier au format PDF que si celui-ci provient d’une source de confiance ;
  • se connecter avec un compte d’utilisateur aux droits limités.

Documentation

2 Incident de la semaine

A la recherche du contact perdu

Cette semaine le CERTA a eu besoin de contacter à plusieurs reprises un hébergeur dont plusieurs sites internet ont été compromis. Pour rentrer en contact avec un hébergeur, il peut être utile de consulter les renseignements de la base RIPE. Cette base (interrogeable par le commande whois <adresse IP> ou whois <nom de domaine>) indique, habituellement, les coordonnées d’un responsable technique.

Le CERTA constate fréquemment que des adresses électroniques personnelles sont utilisées dans les enregistrements de cette base de données. Or les évolutions de carrière, les modifications d’organisation ou les déménagements ne sont pas toujours répercutés dans la base RIPE. Dès lors, il devient difficile de rentrer en contact avec une personne susceptible de traiter un incident. Les temps de traitements peuvent alors s’allonger et des informations concernant l’incident peuvent transiter par des boîtes aux lettres de personnes parties ou n’ayant plus de rapport avec le traitement d’incident.

Le CERTA rappelle que la base RIPE doit être tenue à jour. Les responsables des enregistrements sont également invités à suivre les évolutions et les ajouts des différents champs de cette base de données. L’utilisation d’une adresse fonctionnelle peut limiter les modifications de la base.

Documentation

3 Exploitation de la vulnérabilité ms09-002

L’une des deux vulnérabilités corrigées dans le bulletin ms09-002, est actuellement exploitée.

Pour rappel, ce bulletin qui a fait l’objet de l’avis CERTA-2009-AVI-059 concerne des vulnérabilités dans Microsoft Internet Explorer 7. Les cas observés sur l’internet sont intéressants car si la faille concerne une vulnérabilité d’Internet Explorer, le vecteur d’infection est pourtant un document .doc (mais au format XML).

L’ouverture du document provoque la consultation d’une page web spécialement conçue pour exploiter la vulnérabilité en question et pour exécuter du code arbitraire.

Dans le cas analysé par le CERTA, le shellcode ainsi exécuté provoque le téléchargement et l’exécution d’un code malveillant. Il intercepte également trois fonctions de Windows pour cacher d’éventuels messages d’erreur provoqués par Internet Explorer.

L’intérêt de passer par Microsoft Word pour exploiter la vulnérabilité est double :

  • forcer l’utilisation d’Internet Explorer, même si l’utilisateur consulte d’ordinaire l’Internet à l’aide d’un navigateur alternatif ;
  • outrepasser le mode protégé sur Windows Vista.

Dans le cas analysé par le CERTA, l’exploitation de la vulnérabilité est totalement silencieuse (aucun message d’erreur n’est affiché). Il est donc impératif de mettre à jour son système si ce n’est déjà fait. Pour les personnes n’ayant pas cette possibilité, la désactivation du JavaScript dans les options d’Internet Explorer (décocher « scripts ASP ») rend le code d’exploitation de la vulnérabilité inopérant.

Documentation

4 Vulnérabilité de djbdns

Selon un chercheur en informatique, une vulnérabilité serait présente dans le serveur de noms (DNS) : djbdns. Djbdns est un serveur constitué de plusieurs composants bien distincts, chacun dédié à une fonction bien précise. Ainsi, on trouvera une partie s’occupant de gérer l’ensemble des requêtes pour sa zone (tinydns), un autre composant responsable de la mise en cache des requêtes clientes (dnscache) ou enfin une partie responsable du support des transferts de zone (axfr-get). Ces trois principaux éléments sont mis en œuvre au sein d’un super-service nommé daemontools s’occupant du support réseau à la manière de inetd.

Or, il semble qu’il existe une vulnérabilité dans la partie gestion de cache : dnscache. En effet, ce composant ne met pas en cache les requêtes de type SOA (Start Of Autority). L’enregistrement SOA donne les informations nécessaires à l’identification de l’autorité pour une zone donnée. Le fait que ces requêtes ne soient pas mises en cache permettrait à un attaquant de réaliser une attaque de type empoisonnement de cache en envoyant de très nombreuses requêtes au serveur vulnérable.

Il lui est alors possible d’usurper l’identité du serveur autorité pour la zone pointée dans le champ SOA légitime. Le serveur dnscache vulnérable donnera alors une réponse erronée à ses clients.

Le chercheur ayant découvert cette vulnérabilité propose un correctif non officiel permettant à dnscache de prendre en compte correctement les requêtes de type SOA à l’adresse http://www.your.org/dnscache en l’attente d’un correctif officiel fournit par le développeur responsable du projet : http://cr.yp.to.

Il est à noter enfin que cette vulnérabilité ne touche que la partie « cache » de djbdns. Les autres composants comme tinydns ou axfr-get ne sont pas affectés par la vulnérabilité.

5 Debian 5.0 Lenny

Le 14 février 2009, une nouvelle version stable de la distribution GNU/Linux Debian a été publiée. Celle-ci est estampillée 5.0 et a pour surnom Lenny.

Cette nouvelle mouture embarque bien évidemment de nombreuses mises à jour notamment au niveau des interfaces graphiques, du serveur X et sur de nombreux applicatifs. La prise en charge du format Adobe Flash et Java a été simplifiée.

Du point de vue de la sécurité, les correctifs sont installés par le processus d’installation avant le premier redémarrage. Le nombre d’applications utilisant les droits du superutilisateur a été réduit, ainsi que le nombre de ports ouverts après une installation standard. La construction de plusieurs paquets a été effectuée avec les options de sécurité de GCC, de même de quelques applications comme PHP qui intègre le correctif de durcissement Suhosin.

Enfin une nouvelle image autonome, dite « Live », a fait son apparition et permet de démarrer une machine avec cette distribution sans installation préalable. Cette nouvelle fonctionnalité existe pour les architectures i386 et amd64.

Rappel des avis émis

Dans la période du 09 au 15 février 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 20 février 2009
    version initiale.