1 Correction de la vulnérabilité du shell de Microsoft Windows
Cette semaine, Microsoft a publié une mise à jour corrigeant la vulnérabilité du shell Windows. Cette faille dans la gestion des fichiers de raccourcis .lnk permet l’exécution de code arbitraire à distance. Elle est activement exploitée, notamment par le code malveillant dénommé Stuxnet.
L’application du correctif dès que possible est fortement recommandée. Pour rappel, les systèmes Windows 2000 et Windows XP Service Pack 2 ne sont plus supportés par Microsoft. Ils seront donc toujours vulnérables à cette faille et il est nécessaire de migrer vers une version plus récente du système d’exploitation.
Docuementation
- Avis CERTA-2010-AVI-353 du 03 août 2010 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-353
- Alerte CERTA-2010-ALE-009 du 03 août 2010 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-009
2 Alerte concernant l’Apple iOS
Cette semaine le CERTA a publié l’alerte CERTA-2010-ALE-011 concernant l’Apple iOS, le système d’exploitation des iPhones, iPad et iPod.
Elle traite de deux vulnérabilités, l’une permettant l’exécution de code arbitraire à distance et l’autre une élévation de privilèges. Elles sont actuellement utilisables en ligne pour débloquer (jailbreaker) les différents appareils concernés. Cette action demande une validation de l’utilisateur mais pourrait être automatisée et utilisée à des fins malveillantes. La portée de cette action est d’ailleurs mal connue. Il est certain que des logiciels sont installés, au moins cydia (gestionnaire de paquets alternatifs à AppStore), et que pour cela des droits élevés sont obtenus. Il n’y a aucune garantie que cela ne fasse pas autre chose. De plus, l’utilisateur ayant accès au compte administrateur, le modèle de sécurité est cassé, or ce modèle est là pour protéger l’utilisateur contre des attaques, mais aussi contre lui même et les erreurs de manipulations. L’un des objectifs du « jailbreak » est de pouvoir installer des applications quelconques.
Pour ce qui est des attaques exploitant les vulnérabilités de l’alerte, le CERTA recommande la plus grande prudence avec les fichiers PDF, que cela soit par courriel, en naviguant voire par MMS.
Pour ce qui est du déblocage des appareils, d’un point de vue de la sécurité des systèmes d’information, le CERTA recommandant de ne pas installer des applications d’origine peu contrôlée et au suivi aléatoire, mais également de ne pas briser les modèles de sécurité, il est conseillé, bien sûr, de ne pas le faire.
Pour les directeurs et responsables de la sécurité des services d’information, le CERTA recommande la plus grande vigilance quant à l’usage des ces appareils dans leur SI. Il est essentiel de communiquer et sensibiliser sur l’importance de ne pas traiter d’informations sensibles dessus, et s’il s’agit d’appareil professionnels, d’être clair sur les limites d’utilisation .
Documentation
- Alerte CERTA-2010-ALE-011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-011/
3 Vulnérabilité non corrigée dans les produits Adobe
Cette semaine, Adobe a confirmé la présence d’une vulnérabilité non corrigée dans Adobe Reader et Adobe Acrobat. Cette faille, révélée lors du conférence de sécurité informatique, réside dans l’interprétation de police de caractère au sein d’un fichier au format PDF spécialement conçu.
Le CERTA a donc publié une alerte afin d’avertir ses lecteurs et recommande l’utilisation d’un logiciel alternatif dans l’attente du correctif annoncé pour le 16 août 2010.
Documentation
- Alerte CERTA-2010-ALE-012 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-012/
- Bulletin de sécurité Adobe APSB10-17 du 05 août 2010 :
http://www.adobe.com/support/security/bulletins/apsb10-17.html
4 La sécurité des applications utilisant VxWorks mise à mal
Un problème de sécurité important touche le répandu système d’exploitation temps-réel VxWorks.
Ce système d’exploitation spécialisé pour faire fonctionner les systèmes embarqués est très utilisé, notamment dans un grand nombre de projets de défense et à destination du grand public : aérospatiale, transport aérien civil et militaire, armes de guerre, équipements informatiques (routeurs, box Internet, …), télécommunication, automobile…
De par sa nature c’est un système d’exploitation destiné à fonctionner sur des architectures différentes des ordinateurs personnels (MIPS, SH-4, …), ce qui implique que les développeurs travaillant sur cette plate-forme utilisent un compilateur croisé couplé à un émulateur de l’architecture cible, au moins dans les premières étapes du développement. Aussi, pour pouvoir déboguer plus facilement l’application une fois installée sur l’architecture cible, VxWorks fournit un service de déboguage accessible à distance écoutant sur le port UDP/17185. Ce service permet d’effectuer plusieurs actions sur le système embarqué, notamment la lecture et l’écriture de la mémoire physique.
Le problème réside dans le fait que beaucoup d’intégrateurs n’ont pas désactivé ce service de déboguage lors de la mise en production de leur système. Il apparait que beaucoup de ces systèmes sont stratégiques et sont connectés à Internet. À noter que ce service utilise le protocole ONC RPC (plus connu sous le nom de SunRPC) qui est un RPC léger n’ayant de toute façon pas vocation à être déployé sur des WAN, contrairement à CORBA ou SOAP par exemple.
La conséquence de ce défaut de configuration est importante. Un attaquant peut se connecter sur ce service en UDP/17185 et lire la mémoire physique afin, par exemple, d’y chercher les mots de passe des utilisateurs. Pour contrer cette dernière attaque, VxWorks avait développé son propre algorithme de hachage pour stocker les mots de passe en mémoire, le problème étant que cet algorithme est cassable facilement, ce qui n’est pas très étonnant car il n’avait pas été testé publiquement. On ne dira jamais assez qu’en matière de cryptographie la sécurité par l’obscurité ne fonctionne pas.
Il existe donc à l’heure actuelle des outils permettant de casser les mots de passe VxWorks à distance sur les systèmes embarqués ayant laissé actif le service de déboguage en écoute sur Internet. Et ils sont nombreux.
La solution à ce problème, c’est-à-dire de désactiver le service de déboguage, est complexe à mettre en oeuvre parce qu’elle nécessite une mise à jour du système, et donc un accès direct au matériel. Par conséquent, il sera malheureusement difficile de corriger ce défaut sur tous les systèmes utilisant VxWorks, et le risque de trouver des systèmes encore vulnérables dans plusieurs années est important.
Dans tous les cas, si vous avez la responsabilité de systèmes utilisant VxWorks, il vous faut au plus vite tester si le service de déboguage sur UDP/17185 est activé. Si tel est le cas, il vous faut contacter le fournisseur de votre système au plus vite pour obtenir une mise à jour désactivant ce service.
Rappel des avis émis
Dans la période du 26 juillet au 01 août 2010, le CERT-FR a émis les publications suivantes :
- CERTA-2010-AVI-335 : Vulnérabilité dans Mozilla Firefox
- CERTA-2010-AVI-336 : Vulnérabilité dans JBoss ESB
- CERTA-2010-AVI-337 : Vulnérabilités dans Google Chrome
- CERTA-2010-AVI-338 : Vulnérabilités dans IBM Lotus Notes
- CERTA-2010-AVI-339 : Multiples vulnérabilités dans les produits Symantec
- CERTA-2010-AVI-340 : Vulnérabilité dans Nessus Web Server Plugin
- CERTA-2010-AVI-341 : Vulnérabilité dans GnuPG
- CERTA-2010-AVI-342 : Multiples vulnérabilités dans Apple Safari
- CERTA-2010-AVI-343 : Vulnérabilité de Dovecot
- CERTA-2010-AVI-344 : Multiples vulnérabilités dans SAP NetWeaver
- CERTA-2010-AVI-345 : Vulnérabilité dans la bibliothèque libmspack
- CERTA-2010-AVI-346 : Vulnérabilités dans MediaWiki
- CERTA-2010-AVI-347 : Multiples vulnérabilités dans TYPO3
- CERTA-2010-AVI-348-001 : Multiples vulnérabilités dans Wireshark
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2010-AVI-044-001 : Vulnérabilité dans BIND avec DNSSEC
