S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 août 2008
N° CERTA-2008-ACT-032
Affaire suivie par: CERT-FR
le 08 août 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-32

Gestion du document

Référence CERTA-2008-ACT-032
Titre Bulletin d’actualité 2008-32
Date de la première version 08 août 2008
Date de la dernière version 08 août 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incident de la semaine

1.1 Que faire des pourriels ?

1.1.1 Présentation

Cette semaine, le CERTA a informé le responsable d’un site internet de la compromission de ce dernier.

En effet, le site Web avait été visité par des personnes malveillantes qui y avaient déposé des pages frauduleuses d’une campagne de filoutage (phishing). Une rapide analyse du site a permis de mettre en évidence que la compromission a été facilitée par un défaut de mise à jour du gestionnaire de contenu utilisé (CMS). Au delà de cette compromission, une discussion s’est engagée, entre le CERTA et le responsable du site, sur la gestion des pourriels de filoutage.

Le CERTA rappelle qu’en France l’association Signal Spam, regroupant la plupart des organisations françaises concernées par la lutte contre le spam, tente de fédérer les efforts de tous pour lutter contre les pourriels. Signal Spam met à disposition sur son site des outils et des conseils permettant de leur rapporter facilement et rapidement des courriers indésirés. De tels signalements ne vont pas réduire, instantanément, le nombre de pourriels dans les boites mais vont assurément contribuer à lutter contre ce fléau.

1.1.2 Documentation

2 Les journaux d’événements de Microsoft SQL

Les journaux d’événements, les « traces », sont par défaut dans le répertoire LOG contenu dans le repertoire racine de la base de données. La liste des traces configurées, avec les fichiers associés, s’obtient à l’aide de la commande fn_trace_getinfo. Les fichiers sont au format binaire et peuvent être lus en utilisant la fonction fn_trace_gettable. Les événements et les informations associées enregistrés (EnventClass, DatabaseID, TransactionID …. ) sont paramétrables à l’aide de procédures stockées. Il est nécessaire de désactiver une trace avant de la modifier. Par défaut, une trace système est activée et ne peut être arretée que par l’utilisation de la procédure sp_configure. Voyons dans l’exemple suivant la création d’une nouvelle trace pour laquelle on va activer l’enregistrement des événements 118 – Audit Object Derived Permission Event. Pour ces enregistrements, on veut comme informations : TextData(1), les BinaryData(2) et le startTime(14).

DECLARE
@traceidnum INT,
@on BIT,
@file_path NVARCHAR(256),
@maxsize bigint;
SET @on = 1;
SET @maxsize =5;
SET @file_path = ‘c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\trace’;

/* creation de la trace
EXEC sp_trace_create  @traceid = @traceidnum OUTPUT, @options = 2, @tracefile = @file_path, @maxfilesize = @maxsize, @stoptime=null, @filecount =0;


/*desactivation de la trace
EXEC sp_trace_setstatus @traceidnum, 0


/*parametrage
EXEC sp_trace_setevent @traceidnum, 118, 1, @on
EXEC sp_trace_setevent @traceidnum, 118, 2, @on
EXEC sp_trace_setevent @traceidnum, 118, 14, @on        


/*activation de la trace
EXEC sp_trace_setstatus @traceidnum, 1

La fonction fn_trace_getinfo permet de vérifier que la trace a bien été créée :

select * from fn_trace_getinfo(default)

Pour lire les données enregistrées il faut utiliser la fonction fn_trace_gettable (L’argument default indique que tous les fichiers associés seront lus ) :

SELECT *  FROM fn_trace_gettable(‘C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log.trc’, default);

Le CERTA rappelle l’importance de bien configurer les journaux d’événements et de les analyser régulièrement.

2.1 Documentation

3 FLASH : Attention aux fausses mises à jour !

3.1 La menace

Cette semaine, l’éditeur Adobe a publié, sur le blog de son équipe de réponse aux incidents de sécurité, une mise en garde contre de fausses mises à jour de son lecteur Flash.

En effet, de nombreux sites malveillants, proposant par exemple de lire des vidéos en ligne, incitent le visiteur à télécharger une mise à jour du lecteur Flash afin de pouvoir lire correctement les vidéos mises à disposition. Ces mises à jour se révèlent être des chevaux de Troie et permettent à des personnes malveillantes de prendre le contrôle de la machine compromise ou d’enregistrer les frappes claviers. La diffusion de ce code malveillant repose sur une campagne de pourriels invitant à venir visiter des sites malveillants et sur de l’ingénierie sociale via des sites de réseaux sociaux.

3.2 Les recommandations

Le CERTA profite de cette actualité afin de rappeler certaines bonnes pratiques et recommandations afin de se protéger et de limiter l’impact de ce type de compromission :

  • ne jamais suivre un lien provenant d’une source non fiable ;
  • toujours se procurer les mises à jour sur le site officiel de l’éditeur ;
  • maintenir l’ensemble des applications (système d’exploitation, navigateur, antivirus, …) à jour ;

L’éditeur Adobe donne également un moyen de vérifier si la mise à jour provient bien chez lui. Il est en effet possible de vérifier le certificat qui est validé par Microsoft Windows pour les utilisateurs de ce système d’exploitation. Pour effectuer cette vérification, il suffit de vérifier l’organisme de publication : il doit toujours être « Adobe Systems, Incorporated ». Cette vérification peut être faite au lancement de l’installation ou en faisant un clic-droit sur le fichier exécutable, puis « Propriétés ». Dans l’onglet « signature » figure l’information sur l’éditeur de la mise à jour ou de l’application.

Enfin, il existe une page web permettant de déterminer la version du client Flash installé sur le système et de déterminer la version courante pour ce dernier. L’adresse de cette page est disponible ci-dessous.

Documentation

Rappel des avis émis

Dans la période du 28 juillet au 03 août 2008, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 08 août 2008
    version initiale.