S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 mai 2009
N° CERTA-2009-ACT-022
Affaire suivie par: CERT-FR
le 29 mai 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-22

Gestion du document

Référence CERTA-2009-ACT-022
Titre Bulletin d’actualité 2009-22
Date de la première version 29 mai 2009
Date de la dernière version 29 mai 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Les incidents de la semaine

1.1 Sécurité et contrat d’hébergement

Cette semaine, le CERTA est intervenu dans le traitement de plusieurs compromissions de sites Web. À de nombreuses reprises, la réponse de l’administrateur du site fut que son hébergeur lui avait conseillé d’effacer les fichiers frauduleux sans lui donner plus d’informations sur l’origine de la compromission. Cependant, la seule suppression de fichiers malveillants est inutile si l’origine de la compromission n’est pas comprise. Pire encore, supprimer un fichier sans avoir corrigé la faille de sécurité exploitée revient à avertir l’individu auteur de la compromission de la découverte de cette dernière. Il risque alors de revenir, de façon plus sournoise, en cachant mieux ses traces.

1.2 Quand le ménage laisse une porte ouverte

Lors du traitement d’une autre compromission d’un site Web, le CERTA a pris contact avec le responsable du site qui lui a alors indiqué que ce dernier avait fait l’objet d’une compromission il y a plusieurs semaines. Cet incident a été traité par le prestataire développant le site Web. Suite à la précédente intrusion, les corrections du CMS utilisé ont été appliquées. Cependant, les individus, auteurs de la première compromission, avaient pris soin de laisser derrière eux des fichiers malveillants pouvant servir de portes dérobées ( backdoor) afin de conserver le contrôle de serveur.

Le CERTA rappelle que, suite à une compromission, il convient de repartir sur des bases saines et ne pas se contenter de faire un ménage succinct du système de fichiers. Les bonnes pratiques pour réagir à la suite d’un incident sont décrites dans la note d’information CERTA-2002-INF-002.

1.3 Documentation

2 Vulnérabilité dans DirectShow

2.1 Présentation

Cette semaine, le CERTA a publié l’alerte CERTA-2009-ALE-009 portant sur une faille non corrigée dans Microsoft DirectShow. La vulnérabilité, présente dans la bibliothèque quartz.dll peut être exploitée au moyen d’un fichier vidéo spécialement conçu. La faille réside dans la manière dont DirectShow traite les fichiers au format QuickTime (au moyen du filtre QuickTime Movie Parser). L’installation de QuickTime n’est pas suffisante pour corriger la vulnérabilité car il est possible d’appeler directement le filtre de DirectShow vulnérable. La désactivation d’extensions habituellement utilisées par QuickTime n’est pas non plus suffisante.

La vulnérabilité est présente sur les systèmes suivants :

  • Windows 2000 Service Pack 4 ;
  • Windows XP Service Pack 2 et Service Pack 3 ;
  • Windows Server 2003 Service Pack 2.

Les versions 7.0, 8.1, et 9.0x de DirectX sont concernées. Les systèmes Windows Vista et Windows Server 2008 ne sont pas impactés car le composant QuickTime Movie Parser a été retiré de DirectShow.

Plusieurs vecteurs d’attaque sont possibles pour compromettre un système vulnérable. Selon Microsoft, les attaques observées jusqu’à présent ont utilisé le contrôle ActiveX du lecteur Windows Media. De cette manière, la visite d’un site web spécialement conçu par une victime provoque l’exécution de code arbitraire sur la machine vulnérable. Toutefois, d’autres modules de navigateurs peuvent également être concernés et il ne suffit donc pas de désactiver ce contrôle ActiveX. L’ouverture d’un fichier spécialement conçu, envoyé en pièce jointe d’un courriel peut aussi compromettre une machine vulnérable. La pré-visualisation ou le passage de la souris sur un fichier malveillant peut également suffire à déclencher la faille.

Deux contournements protégeant totalement les systèmes existent. Le premier est préférable et consiste à désactiver le composant QuickTime Movie Parsing de quartz.dll en supprimant la clé de registre suivante :

HKCR\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

Le deuxième contournement peut avoir des effets de bord non négligeables. Il consiste à désinscrire la bibliothèque quartz.dll en changeant les ACL (Access Control List. Ceci a pour impact, par exemple, l’impossibilité de lire des fichiers vidéo avec Windows Media Player (dans une configuration par défaut). Ce contournement est décrit en détail dans le bulletin de Microsoft.

2.2 Documentation

3 Les points d’accès sans fil en libre accès

3.1 Présentation

Plusieurs fournisseurs d’accès offrent maintenant à leurs clients la possibilité de se connecter à un « réseau national Wi-Fi » dont les points d’accès sont dans les boitiers de connexion, ou « box ». Le principe est le suivant : chaque boitier se voit offrir, via une mise à jour, la possibilité de se transformer en point d’accès à l’Internet en libre service pour les clients de cet opérateur. Cette option peut être activée par défaut.

L’objet de cet article n’est pas de remettre en cause ces services, ni de citer toutes les problématiques associées aux technologies sans fil, mais de rappeler certains risques inhérents aux points d’accès dit « ouverts » :

  • la bonne connexion à un point d’accès fourni par l’opérateur ne peut être garantie ;
  • il est difficile de maîtriser toutes les données qui peuvent « fuir » naturellement d’une machine (mises à jour, requêtes en diffusion, etc.) ;
  • il n’est pas suffisant de se connecter en HTTPS sur certains sites pour ne pas avoir ses communications interceptées. En fonction de la configuration du serveur interrogé, les fichiers de session (cookies) peuvent apparaître en clair et ainsi offrir un accès illégitime à une personne malveillante.

Malgré l’aspect pratique de ces points d’accès accessibles un peu partout en France, il faut être sensibilisé aux problèmes de sécurité existants et prendre la décision de s’y connecter en tout état de cause.

Chacun des dangers est rapidement détaillé ci-dessous.

3.2 Faux points d’accès

Un point d’accès est un système informatique qui, dans la majorité des cas, répond à certaines requêtes générales (« y-a-t-il un point d’accès ? ») ou plus directes (« y-a-t-il le point d’accès MAISON présent à portée ? ») ou qui annonce lui-même sa présence (« je suis le point d’accès MAISON« ). Cela se fait par l’émission et la réception de trames de type « Probe » (sondage) ou « Beacon » (balise). L’ordinateur ou le téléphone mobile ne fait confiance qu’à la seule information de ces trames pour décider de s’associer. Il est tout à fait envisageable et réalisable avec les outils actuellement disponibles sur l’Internet de prétendre être un point d’accès de la même manière et ainsi tromper les équipements cherchant à se connecter.

Pour ces raisons, il n’est pas si simple d’être sûr de communiquer directement avec le point d’accès légitime mis à disposition par l’opérateur.

Une personne malveillante peut chercher à monter de tels faux points d’accès pour dérober les paramètres de connexion (identifiant/mot de passe), servir de point de passage obligé pour collecter les informations en transit (man-in-the-middle) ou agresser directement le système, une fois la communication au niveau réseau établie entre les deux équipements.

3.3 Fuite naturelle d’informations

Ces réseaux sans fil à grande échelle fonctionnent bien souvent sans chiffrement particulier des communications.

Or une machine est par défaut relativement bavarde. Plusieurs applications peuvent chercher à se mettre automatiquement à jour (système d’exploitation, antivirus, navigateur, lecteur PDF, etc.). Elles peuvent également chercher à communiquer avec des systèmes connus (messagerie instantanée, partage de fichiers, imprimantes réseau, etc.). Ce sont autant d’informations sur la machine, l’utilisateur et son usage qui transitent dans les airs, en clair, et sont ainsi récupérables par des personnes malveillantes.

L’utilisation de ces informations par ces derniers permet d’affiner la phase d’attaque, de mieux tromper l’utilisateur et de le rediriger vers d’autres codes malveillants.

3.4 Le HTTPS ne fait pas tout

Ce point avait été détaillé dans un précédent bulletin d’actualité CERTA-2008-ACT-033 (section 3, « Contournement HTTPS »).

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-033.pdf

3.5 Quelques recommandations

Il n’est pas toujours simple de trouver des boitiers ou « box » sans interface sans fil. Si ce service n’est pas souhaité, il faut s’assurer que les interfaces sans fil du boitier sont bien désactivées. Cette manipulation reste souvent logicielle, offerte par l’opérateur via une interface. En cas de doute, il est possible, sans toucher à l’équipement, de le mettre dans un coffre métallique qui servira alors de cage de Faraday.

Les équipements peuvent s’apparier automatiquement, sans autorisation préalable de l’utilisateur. Les interfaces sans fil doivent donc être désactivées par défaut, la meilleure solution étant de disposer d’une interface sans fil physiquement amovible. Il est enfin important de sensibiliser son entourage aux risques encourus afin de prendre la meilleure décision.

4 XSS utilisant la visualisation des PDF

4.1 Présentation

Une injection de code indirecte, ou XSS (Cross Site Scritping), consiste à exécuter du code dans le navigateur d’un internaute, et cela dans le contexte d’un site tiers. Il est possible de modifier le contenu du site visé ou d’utiliser une fonctionnalité proposée par le site, classiquement le moteur de recherche, pour injecter le code dans un lien proposé à la victime.

Une méthode utilise la fonctionnalité offerte par de nombreux sites qui permet de visualiser un document au format PDF, sans avoir à le télécharger. Par exemple, certains webmails permettent de visualiser directement un fichier PDF joint à un message. Pour cela, le document est interprété au niveau du serveur et est servi dans un format lisible par les navigateurs, sans module additionnel. Le problème vient du résultat de l’interprétation du fichier. En effet, si du code malveillant se trouve dans le document et qu’il n’est pas correctement « nettoyé » avant d’être présenté à l’internaute, le code s’exécutera dans le contexte du site. Dans le cas de la pièce jointe, du code pourrait alors s’exécuter dans le contexte du webmail, pour lequel les scripts sont souvent autorisés afin d’être utilisés de façon optimale.

Le CERTA recommande la plus grande prudence lors de l’interprétation des documents au niveau du serveur afin d’éviter une compromission locale (Ex: CERTA-2009-AVI-201).

Le CERTA recommande de bloquer par défaut l’interprétation des scripts et de ne pas autoriser l’ouverture arbitraire de documents via le navigateur.

4.2 Documentation

Rappel des avis émis

Dans la période du 18 au 24 mai 2009, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 29 mai 2009
    version initiale.