1 Mickael Jackson : the king of the bot !

1.1 L’actualité

Les pirates informatiques se sont depuis longtemps inspirés de l’actualité afin de propager toutes sortes de codes malveillants et de pourriels : catastrophes naturelles, crash d’avion, élection présidentielles, tous les prétextes sont bons…

Cette semaine c’est la mort de Mickael Jackson, le roi de la pop, qui sert de support à des fins malveillantes. Les méthodes sont classiques et se présentent sous la forme suivante :

  • un pourriel est envoyé contenant une pièce jointe malveillante. Si le lecteur un peu trop curieux tente d’ouvrir le fichier, alors un cheval de Troie ou un robot IRC sera installé et permettra à une personne malveillante de prendre le contrôle de la machine et de lui envoyer des commandes à distance ;
  • un pourriel invitant à aller visionner des images ou des vidéos exclusives du chanteur est envoyé. Les liens contenus dans le courrier électronique redirigent alors vers des sites tentant d’installer des logiciels malveillants ou de récolter des adresses électroniques afin d’alimenter une base de futures victimes de nouvelles attaques.

1.2 Les recommandations

Comme à l’accoutumée, le CERTA recommande d’appliquer les bonnes pratiques suivantes afin de limiter les compromissions :

  • ne jamais ouvrir de courriels et encore moins de pièces jointes prevenant d’une source inconnue ;
  • lire les messages au format texte afin de limiter les risques d’un lien hypertexte trompeur ;
  • maintenir à jour l’ensemble de son système (système d’exploitation, antivirus, navigateur, client de messagerie, …) ;
  • se méfier des messages surfant sur l’actualité surtout si ces derniers sont écrits en langue étrangère.

2 Un scanner de vulnérabilités pour Joomla!

Cette semaine a vu la sortie d’un outil permettant de scanner les vulnérabilités du gestionnaire de contenu Joomla!. Cet outil a notamment la particularité d’avoir une base de signatures de vulnérabilités à tester pouvant être mise à jour. Cette application, écrite en langage Perl, teste toutes les vulnérabilités connues de Joomla! et de ses composants au moyen de requêtes de type GET ou HEAD. Chacun de ces tests produit une connexion sur le serveur web et laissera donc une trace dans les journaux des connexions du serveur. Il est constaté que, dans la configuration par défaut de l’outil, l’auteur a usurpé un identifiant de navigateur « légitime » (le UserAgent) :

Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.9.0.3) Gecko/2008092417
Firefox/3.0.3

Le CERTA rappelle qu’il est important de suivre les correctifs de sécurité des applications utilisées, de connaître l’exhaustivité des modules complémentaires installés et de supprimer, le cas échéant, les extensions non-utilisées.

Même si cet outil peut être utilisé dans une démarche légitime de durcissement de la sécurité du Joomla! que vous maîtrisez, le CERTA rappelle que certains individus malveillants pourraient en détourner son usage afin de mettre en évidence une vulnérabilité et automatiser son exploitation. La surveillance systématique des journaux des connexions peut permettre de mettre en évidence un comportement malveillant, tel que celui de passer en revue toutes les vulnérabilités d’un produit.

Documentation

3 Objet offert, canal caché ?

Le CERTA a été amené à analyser une clef USB distribuée aux participants d’une réunion. Sans renier le message de vigilance à l’attention de celui qui reçoit un tel objet, nous allons voir qu’il convient aussi de constater que des risques existent aussi pour celui qui remet l’objet.

La clef en question se monte en système de fichier VFAT et un listage indique que la clef est vide. En approfondissant, des résidus d’informations étaient présents. Dans le cas traité, cela comprenait des types de partition, des noms de fichiers, des champs, une adresse réticulaire (URL), etc., bref une large variété d’informations. Le traitement réalisé ne permet pas de savoir si ces informations proviennent du producteur des clefs ou du commanditaire de la fabrication. En tout état de cause, la réalisation de supports distribués aux participants à une réunion ou aux clients doit être entourée de précautions évitant cette fuite d’informations.

Un simple formattage est insuffisant. Il convient de surcharger tout le volume, puis de le formater et enfin d’y copier les fichiers que l’on souhaite remettre aux destinataires de l’objet.

La même recommandation est applicable à tous les supports contenant une mémoire (DVD, CD, cadre photo, lecteur MP3 ou baladeur…).

Rappel des avis émis

Dans la période du 22 au 28 juin 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :