S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 août 2010
N° CERTA-2010-ACT-034
Affaire suivie par: CERT-FR
le 26 août 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-34

Gestion du document

Référence CERTA-2010-ACT-034
Titre Bulletin d’actualité 2010-34
Date de la première version 26 août 2010
Date de la dernière version 26 août 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Un filtre ralentit le traitement d’incident

Cette semaine, le CERTA et l’un de ses correspondants ont constaté un effet pervers d’un filtre dont le but initial est de protéger le réseau de l’administration en question.

L’été rend les correspondants du CERTA moins disponibles. En congés ou occupés à suppléer des absents, ils ne peuvent répondre immédiatement au téléphone. La messagerie électronique, par son caractère asynchrone, offre la possibilité de déposer un message et de transmettre un contenu technique.

En l’espèce, les non-réponses téléphoniques ont conduit le CERTA à transmettre les informations précises (un lien malveillant inséré sur plusieurs pages d’un site Web), par courriel. Ce courriel ne contenait que du texte brut. Cette information n’est pas parvenue aux destinataires. En effet, un filtre antipourriel détectant dans le corps du message un lien vers un site malveillant « bien connu » aura conclu hâtivement à la nature inopportune du message et l’aura bloqué de manière silencieuse. Une première relance a subi le même sort. Une deuxième relance, rédigée différement, a réussi à parvenir à un destinataire.

Le résultat de ce blocage est un retard de trois semaines dans le traitement de l’incident.

Ce blocage est connu des correspondants du CERTA pour des fichiers infectés par des virus, qu’il faut encapsuler pour traverser les fourches caudines des passerelles antivirus.

Il faut désormais prendre des précautions supplémentaires pour transmettre des données de nature textuelle. La mise en liste blanche des serveurs SMTP des équipes de traitement d’incident peut éviter les blocages intempestifs par les filtres.

2 Mise à jour de sécurité Mac OS X

Lors de la mise à jour de sécurité numéro 2010-005 du 24 août 2010, Apple a corrigé 13 vulnérabilités (cf avis CERTA-2010-AVI-403). Cinq d’entre elles concernaient l’interpréteur de langage PHP, embarqué dans la version Serveur de Mac OS X, mais aussi dans la version réservée aux ordinateurs personnels. Bien que le serveur Web ne soit pas activé par défaut sur cette dernière, la plus sérieuse de ces failles (CVE-2010-2225) permet une exécution de code arbitraire à distance.

Il est également intéressant de noter que le système d’Apple est vulnérable à des attaques via des fichiers PDF malveillants (CVE-2010-1801) pouvant entraîner une exécution de code arbitraire. Toutefois, il s’agit ici bien d’un composant graphique dédié à Mac OS X qui a été corrigé et non pas un logiciel d’un développeur tiers. Il convient donc d’être prudent lors de la réception de documents de ce type, même lorsqu’on n’utilise pas de logiciel créé par le créateur du format.

L’application de ce correctif, quoique volumineux, est donc impératif pour rétablir le niveau de sécurité des postes et serveurs utilisant le système d’exploitation d’Apple.

3.1 Documentation

3 Vulnérabilité liée au chargement de DLLs (DLL Hijacking)

Le 23 août dernier, Microsoft a publié un avis de sécurité concernant l’exploitation d’une vulnérabilité dans des applications Windows.

Cette vulnérabilité repose sur la manière dont les applications chargent des bibliothèques dynamiques (DLL) via l’API LoadLibrary.

Si une application charge une DLL sans spécifier le chemin (par exemple LoadLibrary(DLL_a_Charger.dll) au lieu de LoadLibrary(c:\MonApplication\DLL_a_Charger.dll)), alors l’algorithme utilisé par Windows par défaut commence par vérifier si la DLL se trouve dans le répertoire courant. Si c’est le cas, c’est cette DLL qui sera chargée.

Imaginons le scénario suivant :

  • Un attaquant a déposé sur un partage réseau un document qui peut être ouvert par l’application XY ;
  • dans le même répertoire se trouve une DLL malveillante (DLL_a_Charger.dll) dont le nom est identique à une DLL légitime qui est connue pour etre chargée par l’application XY ;
  • l’utilisateur double-clique sur le document pour l’ouvrir (via l’explorateur de fichiers ou via un lien) ;
  • l’ouverture du document va déclencher le chargement de l’application XY qui prend en charge ce type de document ;
  • l’application XY ayant besoin de la DDL « DLL_a_Charger.dll » , elle appelle LoadLibrary(DLL_a_Charger.dll) ;
  • l’API LoadLibrary vérifie si le fichier DLL_a_Charger.dll se trouve dans le répertoire courant (répertoire où se trouve le document à ouvrir) ;
  • Le fichier étant bien présent, LoadLibrary charge et exécute la DLL malveillante DLL_a_Charger.dll.

On voit donc qu’il s’agit d’une vulnérabilité concernant la façon dont est appelé LoadLibrary par l’application, et non d’une vulnérabilité dans l’API LoadLibrary elle-même.

On a vu dans le scénario précédent qu’un document sur un partage réseau (type SMB) peut servir de vecteur d’attaque.

A ce vecteur il faut ajouter les partages WebDav. WebDav est un protocole qui s’appuie sur HTTP pour permettre la manipulation de document sur Internet (ouvrir/modifier/… un document).

On peut donc imaginer un scénario dans lequel un attaquant a placé un document et sa DLL malveillante sur un serveur WebDav qu’il contrôle. Ensuite par ingénierie sociale (courriel, page Web spécialement construite, etc., il amène l’utilisateur à cliquer sur un lien pour ouvrir ce document. Ouverture qui provoquera le chargement de la DLL malveillante depuis le serveur WebDav.

A ce jour des dizaines d’applications (navigateurs, suites bureautique, outils, etc.) sont impactées par cette vulnérabilité.

Dans l’attente des correctifs, le CERTA recommande les contournements suivants :

  • Désactiver le service client WebDav (WebClient) sur les postes de travail (cela peut potentiellement entraîner des effets de bord sur des applications nécessitant ce service, à tester donc) ;
  • déployer et configurer la mise à jour Microsoft KB2264107 qui permet, via une nouvelle entrée de registre (CWDIllegalInDllSearch), d’interdire le chargement de DLLs depuis un dossier WebDav ou un partage réseau SMB (effets de bord potentiels aussi dans ce cas, principalement pour les partages réseaux, des tests s’imposent donc aussi ici) ;
  • bloquer les ports tcp/139 et tcp/445 au niveau des pare-feux périmétriques.

Les proxies / sondes peuvent aussi être configurés pour bloquer les requêtes WebDav tentant de charger des fichiers avec l’extension « .dll » (cela ne fonctionnera pas pour les bibliothèques n’ayant pas l’extension .dll).

Cette vulnérabilité applicative peut s’exploiter sur toutes les versions de Windows.

Outre les vecteurs réseaux, l’exploitation peut aussi avoir lieu en local via, par exemple, une clé USB ou encore une archive ZIP contenant le couple document/DLL.

3.1 Documentation

Rappel des avis émis

Dans la période du 16 au 22 août 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 26 août 2010
    version initiale.