S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 juillet 2010
N° CERTA-2010-ACT-029
Affaire suivie par: CERT-FR
le 23 juillet 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-29

Gestion du document

Référence CERTA-2010-ACT-029
Titre Bulletin d’actualité 2010-29
Date de la première version 23 juillet 2010
Date de la dernière version 23 juillet 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incident de la semaine

1.1 Virus Vobfus/ChangeUp

Le CERTA a pu constater cette semaine une croissance importante des cas d’exploitation de nouvelles variantes du virus Vobfus/ChangeUp.

Ce virus, contrairement à Stuxnet, n’exploite pas la faille Microsoft non corrigée des fichiers .lnk, il se propage par le mécanisme bien connu des fichiers Autorun.inf.

Cependant, en plus des Autorun, ce virus va essayer de se propager aussi en trompant l’utilisateur :

  • le virus cache tous les dossiers des disques de type USB (il peut aussi le faire sur des disques locaux et réseaux) ;
  • pour chaque dossier caché, il crée un raccourci ayant le même nom et affichant l’icône classique d’un dossier. Ce raccourci pointe alors vers un exécutable malveillant.

Si un disque USB s’est fait infecté, l’utilisateur lorsque qu’il ouvrira ce disque ne verra qu’une arborescence classique de répertoires. Cependant lorsqu’il cliquera sur ce qu’il croit être un dossier, cela entraînera l’exécution d’un code malveillant qui contaminera la machine.

Comme on peut le voir, ce mécanisme d’infection n’exploite aucune faille, mais permet de propager un virus par clé USB (ou lecteur réseau) de manière très simple en trompant l’utilisateur via un artifice visuel, et ce, même si l’Autorun est désactivé.

1.2 Documentation

2 Des risques avec l’autocomplétion dans les navigateurs

Des articles traitants de l’autocomplétion et annonçant une présentation sur le sujet à la prochaine conférence de sécurité BlackHat, il est intéressant de présenter une première approche du sujet.

L’autocomplétion

L’autocomplétion des formulaires dans les navigateurs fonctionne sur le même principe que la sauvegarde des mots de passe. Le navigateur enregistre les différentes valeurs saisies dans les champs d’un formulaire en les associant, entre autre, aux identifiants du champ. Par exemple, si un utilisateur saisit « Dupont » dans un champ texte nommé « NomFamille » (<input type=text name=NomFamille>), le navigateur enregistre les informations. Lorsque l’utilisateur commencera à remplir un autre champ texte, d’une autre page, ayant le même nom « NomFamille », s’il tape la lettre « D », le navigateur lui proposera automatiquement le choix « Dupont ».

Le navigateur safari a en plus la particularité de pouvoir proposer des choix pour compléter les formulaires, à la saisie d’un caractère, avec des informations en provenance du carnet d’adresses, en plus de ceux enregistrés.

Le problème

Ces fonctionnalités peuvent être exploitées par des pages malveillantes, simulant des actions de l’utilisateur au moyen de scripts, afin d’obtenir les informations retournées par l’autocomplétion. Dans le cas de safari, il peut même s’agir d’information que l’utilisateur n’avait jamais désiré faire transiter par l’internet.

Recommandations

Comme pour les mots de passe, le CERTA recommande de ne pas laisser des applications, au modèle de sécurité mal maîtrisé, enregistrer des informations potentiellement personnelles et donc de désactiver ces fonctionnalités si possible.

Attention ! Si le principe d’enregistrement des informations associées aux formulaires repose sur un principe ressemblant à celui de la sauvegarde des mots de passe, ils ne sont pas configurés par les mêmes options et doivent faire l’objet d’une configuration séparée.

Désactivation de la fonctionnalité d’autocomplétion

  • Safari 4.0.4 sur Mac : 
    Menu Safari / Pr�f�rences / Onglet Remplissage automatique
  • Firefox 3.6.6 sur Mac : 
    Menu Firefox / Pr�f�rences / Vie priv�e
/ Conserver l’historique des recherches et des formulaires
  • Firefox 3.6.3 sur Ubuntu : 
     URL=about:config / option browser.formfill.enable
  • IE 7 sur Windows XP : 
    Outils / Options Internet / Onglet contenu/ section saisie semi-automatique

3 Mise à jour des systèmes embarqués

Cette semaine le constructeur d’ordinateur Dell a informé ses clients d’un problème avec certains modèles de machines qu’il fabrique. En l’occurrence, les serveurs Dell PowerEdge R310, PowerEdge R410, PowerEdge R510 et PowerEdge T410 peuvent présenter un système embarqué dans la carte mère pourvu d’un espiogiciel (spyware).

D’après Dell, ceci ne concerne que les serveurs ayant fait l’objet d’un remplacement de carte mère et donc pas ceux qui n’ont pas subit de maintenance ou qui sont actuellement produits.

Le code de type SpyBot n’est pas présent dans le microgiciel (firmware) de la carte mère mais dans la mémoire flash qui l’accompagne. Il est donc a priori possible de corriger le problème sans changer la carte complètement via une mise à jour.

Recommandations :

Il est recommandé de s’assurer via les cahiers de maintenance des serveurs que vous utilisez si :

  • vous disposez de tels modèles ;
  • ils ont fait l’objet d’un changement de carte mère.

Si cela était le cas, il conviendrait de se rapprocher du service de support du constructeur afin de corriger le problème dans les plus brefs délais.

Rappel des avis émis

Dans la période du 12 au 18 juillet 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 23 juillet 2010
    version initiale.