S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 décembre 2011
N° CERTA-2011-ACT-048
Affaire suivie par: CERT-FR
le 02 décembre 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-48

Gestion du document

Référence CERTA-2011-ACT-048
Titre Bulletin d’actualité 2011-48
Date de la première version 02 décembre 2011
Date de la dernière version 02 décembre 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Tunnel PPTP

Un incident récemment traité par le CERTA a mis en évidence le mode opératoire peu commun de l’attaquant. Celui-ci se connectait au réseau compromis par l’intermédiaire d’un tunnel PPTP (Point-to-Point Tunneling Protocol).

Le tunnel PPTP est une implémentation de VPN (Virtual Private Network). Il se décompose en deux parties :

  • la gestion du canal de contrôle qui se fait par le port 1723/tcp ;
  • l’échange des données, via un tunnel GRE (Generic Routing Encapsulation, protocole 47) qui encapsule des paquets PPP (Point-to-Point Protocol).

Les fonctionnalités de sécurité, telles que le chiffrement ou l’authentification, sont gérées au niveau de PPP.

Le CERTA recommande le filtrage, en entrée et en sortie, du port 1723/tcp, le tunnel ne pouvant s’établir lorsqu’il est privé de son canal de contrôle. Le filtrage du protocole GRE devrait aussi être mis en place.

Documentation :

2 Fichiers xdp

Le format de fichier xdp (XML Data Package) est un format créé par Adobe pour pouvoir assembler des fichiers PDF dans un fichier XML. Ce type de fichiers est ouvert par defaut par Adobe Acrobat Reader qui va lire les fichiers PDF contenus dedans, qui sont encodés en base64.

2.1 Problème de sécurité

Les fichiers xdp peuvent être utilisés par des attaquants pour embarquer un fichier PDF malveillant. En utilisant cette technique, ils peuvent contourner certains produits de sécurité.

Un tel exemple de fichier xdp malveillant a récemment été traité par le CERTA. Ce fichier est détecté comme malveillant par 3 anti-virus sur 42 sur Virustotal, alors que le fichier PDF contenu est détecté par 20 anti-virus sur 42. Ces chiffres montrent l’efficacité de cette encapsulation.

2.2 Recommandations

2.2.1 Mise à jour du logiciel

Une mise-à-jour régulière du lecteur Adobe Acrobat Reader constitue la meilleure des protections. Dans notre exemple, le fichier au format XDP encapsulait un document au format PDF exploitant une vulnérabilité connue et corrigée.

2.2.2 Analyse des messages reçus

Les fichiers XDP arrivant par courriels sont très rares. Il est recommandé de regarder si des pièces jointes avec cette extension sont arrivées pour analyser les messages concernés.

2.2.3 Modification de l’association XDP

Par défaut, lors de l’installation d’Adobe Acrobat Reader, les associations suivantes sont créées dans le registre (avec Adobe X 10.1.1) :

  • .acrobatsecuritysettings=AcroExch.acrobatsecuritysettings
  • .api=AcroExch.Plugin
  • .fdf=AcroExch.FDFDoc
  • .pdf=AcroExch.Document
  • .pdfxml=AcroExch.pdfxml
  • .secstore=AcroExch.SecStore
  • .xdp=AcroExch.XDPDoc
  • .xfdf=AcroExch.XFDFDoc

Ces associations sont utilisées par Windows pour déterminer quelle application lancer lorsque l’on double-clique sur un fichier.

Afin de prévenir une exploitation malveillante de l’extension .xdp, il est possible de l’associer avec une autre application. Par exemple, on pourra associer l’extension avec notepad (type txtfile).

Pour désactiver l’aasociation avec Adobe Acrobat Reader, exécuter la commande :

                assoc .xdp=txtfile
                reg.exe add HKCR\.xdp /v « Content Type » /d « text/xml » /f

Pour la réactiver:

                assoc .xdp=AcroExch.XDPDoc
                reg.exe add HKCR\.xdp /v « Content Type » /d « application/vnd.adobe.xdp+xml » /f

Cette désactivation permet de prévenir l’activation automatique de Adobe Acrobat Reader lors de l’ouverture d’un document .xdp (double-clic dans l’explorateur). Attention néanmoins, cette mesure ne prémunit pas d’une exploitation si l’utilisateur ouvre le fichier directement depuis l’application Adobe Acrobat Reader (Fichier -> Ouvrir). Enfin, nous attirons votre attention sur le risque de supprimer l’association (assoc .xdp=) qui déclenche une invite de l’utilisateur qui pourrait alors sélectionner Adobe Acrobat Reader et compromettre son poste.

Dans notre exemple avec txtfile, l’utilisateur verra s’ouvrir le bloc-notes de Windows avec le contenu du fichier XML (en cas d’ouverture via l’explorateur) ou un contenu en XML dans son navigateur.

Ces mesures ont été testées sur la plateforme suivante (configuration par défaut) :

        Windows 7
        Microsoft Office 2010 (Outlook)
        Mozilla Firefox 8.0.1
        Mozilla Thunderbird 6.0
        Google Chrome 15.0.874.121

Nous vous recommandons de tester ces mesures dans votre environnement logiciel avant tout déploiement à grande échelle.

2.3 Références

3 Alerte du CERTA concernant une vulnérabilité dans FTPD

Cette semaine, le CERTA a émis une alerte concernant le service FTPD dans FreeBSD. En effet, une vulnérabilité permet à un utilisateur malintentionné de prendre le contrôle à distance du serveur avec des droits administrateur (root). Afin d’exploiter la vulnérabilité, l’attaquant doit avoir les droits nécessaires lui permettant de déposer des fichiers sur le serveur.

Des preuves de faisabilité sont présentes sur l’Internet. Un contournement provisoire est disponible afin d’empêcher ces fichiers d’être déposés (voir alerte CERTA-2011-ALE-007).

Documentation

Rappel des avis émis

Dans la période du 21 au 27 novembre 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 02 décembre 2011
    version initiale.