S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 octobre 2010
N° CERTA-2010-ACT-043
Affaire suivie par: CERT-FR
le 29 octobre 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-43

Gestion du document

Référence CERTA-2010-ACT-043
Titre Bulletin d’actualité 2010-43
Date de la première version 29 octobre 2010
Date de la dernière version 29 octobre 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incident de la semaine

Cette semaine le CERTA a eu à traiter une injection d’iframe sur un serveur Web. Après analyse, il est apparu que l’attaquant a utilisé une vulnérabilité dans un module du système de gestion de contenu TYPO3. Ce module avait été développé en interne et n’était pas diffusé.

Le CERTA tient à souligner que même sur des outils développé en interne et non diffusé, des attaquants réussissent à découvrir et exploiter des vulnérabilités, il est donc essentiel de bien veiller à la sécurité de ces outils au cours de leur développement.

Documentation

2 Les alertes de la semaine

Cette semaine, le CERTA a publié deux alertes CERTA-2010-ALE-017 et CERTA-2010-ALE-018 concernant respectivement des vulnérabilités dans Mozilla Firefox et dans les produits Adobe. De plus, la vulnérabilité détaillée dans l’alerte CERTA-2010-ALE-016 a été corrigée.

2.1 Vulnérabilité dans Mozilla Firefox

Une vulnérabilité non communiquée affecte le navigateur Mozilla Firefox. Elle permet à une personne malintentionnée d’exécuter du code arbitraire à distance au moyen d’une page Web spécifiquement réalisée. Mozilla a depuis publié un correctif, le CERTA recommande donc de mettre à jour cette application afin de ne plus être exposé à cette vulnérabilité.

Documentation

2.2 Vulnérabilité dans les produits Adobe

Une vulnérabilité non corrigée affecte des produits Adobe et permet à une personne malintentionnée d’exécuter du code arbitraire à distance. Cette vulnérabilité est actuellement exploitée sur l’Internet dans des attaques ciblant les logiciels Adobe Acrobat et Reader au moyen de documents PDF ayant du contenu Flash. Dans l’attente d’un correctif de l’éditeur, le CERTA recommande les actions suivantes :

  • supprimer ou interdire l’accès au composant authplay.dll (cette action bloque l’exécution de contenu Flash et provoque une erreur à l’ouverture d’un document contenant du Flash) ;
  • utiliser un logiciel alternatif.

Le CERTA a, de plus, constaté qu’une campagne de pourriels profitait de cette actualité afin de récupérer des coordonnées bancaires sous couvert de l’obtention d’une mise à jour des produits Adobe. Le CERTA rappelle qu’il ne faut jamais répondre à ce type de sollicitations qui restent pour la plupart des escroqueries.

Documentation

2.3 Vulnérabilité dans Adobe Shockwave Player

Une vulnérabilité permet à une personne malveillante distante de provoquer un déni de service ou d’exécuter du code arbitraire via des fichiers au format DIR. Une mise à jour a été publiée par Adobe et permet de corriger cette vulnérabilité. Le CERTA recommande d’appliquer ce correctif dans les plus brefs délais.

Documentation

3 Tromper les outils d’analyse protocolaire réseau

3.1 Faits récents

Une société produisant des boîtiers de sécurité a récemment annoncé avoir découvert de nouvelles techniques d’attaques avancées (appelées AET pour Advanced Evasion Techniques) permettant de tromper les analyses d’outils réseau, tels les pare-feux applicatifs ou les sondes dites de détection ou de prévention (IDS/IPS).

Les détails techniques ne sont pas connus à la date de rédaction de cet article. L’objet n’est pas ici de faire des présomptions ou des critiques liées à cette annonce, mais profiter de celle-ci pour rappeler le contexte de ce genre d’attaques.

3.2 Rapide historique

Des chercheurs ont expliqué, voilà plus de douze ans, que l’information analysée uniquement au niveau du réseau était insuffisante pour conclure sur les conséquences exactes de l’interprétation des trames par une machine cible. Les outils d’analyse réseau sont intrinsèquement différents des machines qu’ils cherchent à protéger. Les piles protocolaires sont différentes, les réactions à des comportements anormaux également.

Cela est d’autant plus vrai avec certains outils de sécurité actuels qui s’appuient sur des heuristiques et des tests simples pour identifier des protocoles, sans mettre en œuvre de pile protocolaire complète. C’est le cas de plusieurs solutions s’appuyant sur le « DPI » (Deep Packet Inspection).

Peut-on les blâmer ? Non. Les outils de sécurité doivent souvent effectuer à grande échelle le travail d’analyse protocolaire qu’une seule machine fait en principe. Plus le nombre de couches protocolaires à analyser augmente, plus la tâche s’avère complexe. L’une des approches consiste alors naturellement à simplifier l’analyse protocolaire intermédiaire et gagner de précieuses ressources pour les tâches complexes (recherches de chaînes de caractères, etc.).

L’attaquant a ainsi a sa disposition deux grandes méthodes pour agir :

  • ajouter des éléments aux trames effectives de l’attaque pour que ceux-ci soient interprétés par l’équipement de sécurité mais négligés par la machine cible (insertion) ;
  • omettre des éléments aux trames effectives de l’attaque pour que l’équipement de sécurité ne détecte rien, mais qui seront induites par la machine cible (évasion).

Dans les deux cas, l’équipement échoue dans son analyse. Sa fonction de sécurité est contournée.

Il s’agit d’un sujet très vaste. Parmi les méthodes historiques les plus connues (mais pas nécessairement désuètes) :

  • la fragmentation de trames IP ;
  • l’absence de vérification des checksum ;
  • un en-tête incorrect ;
  • la gestion des options IP ou TCP ;
  • des tunnels ;
  • etc.

La liste est relativement longue…

Les cas de contournement font régulièrement l’objet d’articles et/ou de corrections de sécurité. Il s’agit systématiquement de cas issus des zones d’incohérence entre :

  1. l’interprétation telle que précisée, parfois de manière imprécise, dans les standards (RFC) ;
  2. l’interprétation telle qu’effectuée par les machines à protéger ;
  3. l’interprétation telle qu’effectuée par les outils de sécurité.

Un cas assez illustratif est l’interprétation des négociations TCP et les tests publiés sur l’Internet fin 2009 concernant le « 4-way handshake« .

Les attaquants ont différents moyens pour s’attaquer aux boîtiers de sécurité. On peut distinguer, pour trouver des situations de contournement :

  • les outils combinant différentes techniques connues, comme celles citées précédemment ;
  • les outils testant des contenus aléatoires de trames ou de séquences de paquets (fuzzing) ;
  • les outils spécifiques visant certains algorithmes propres à un type de boîtier (gestion des états par exemple).

3.3 Que comprendre ?

Chaque outil de sécurité a des limites intrinsèques. En ce qui concerne les outils d’analyse réseau, il faut connaître, demander ou chercher à comprendre les méthodes d’interprétation protocolaire pour :

  1. bien identifier les limites intrinsèques du produit ;
  2. ne pas appuyer toute son architecture d’analyse sur des briques souffrant de limites similaires.

Des travaux et des outils proposent également de normaliser le trafic en entrée de réseau. Cette méthode n’est pas parfaite. Elle peut avoir d’importants impacts opérationnels mais reste envisageable suivant les cas.

3.4 Références associées

4 Une extension controversée pour Firefox

Cette semaine, la presse a beaucoup parlé de l’extension Firesheep pour Firefox. Cet article est l’occasion de revenir sur ce qu’elle fait, les risques associés et les problèmes légaux associés.

4.1 Qu’est ce que Firesheep

Il s’agit d’un module complémentaire, non disponible dans les dépôts officiels, qui s’installe manuellement. Il écoute le trafic réseau visible par la machine (filaire ou WiFi) pour reconstituer les cookies de sessions transitant, et cela pour une vingtaine de sites dont Facebook et Yahoo. Il s’utilise en tant que panneau latéral dans lequel s’affichent les sessions usurpées, et sur lesquelles il suffit de cliquer pour accéder au compte correspondant.

Sa simplicité d’installation et d’utilisation, ainsi que le battage médiatique fait autour, en fait un outil très tentant à utiliser…Cependant, il convient de s’interroger avant.

Tout d’abord, il s’agit d’un outil non testé et au mode de développement inconnu. On ne reviendra pas ici sur les risques qu’il y a à installer de tels logiciels.

Par ailleurs, lors de son lancement, le module va capturer tout les cookies possibles et va automatiquement se connecter au site correspondant ( cf. ci-dessous « Accès illégitime automatique »).

4.2 Des accès illégitimes automatiques

On voit ci-dessous que la machine 172.16.127.128 (la victime) échange un cookie de session avec l’adresse 66.220.153.23 (Facebook). Automatiquement, moins d’une demi-seconde plus tard, l’adresse 172.16.127.130 (l’attaquant) se connecte à l’adresse 69.63.190.10 (un autre serveur Facebook) avec le même cookie. 
11:46:45.465553 172.16.127.128  66.220.153.23    HTTP   GET /home.php?
Cookie: datr=8vTHTLeCsl09isMbBW7-XXXX; x-referer=https%3A%2F%2F
login.facebook.com%2Floginnotify%2Fsetup_machine.php%23%2F
loginnotify%2Fsetup_machine.php; c_user=126781XXXX;
cur_max_lag=20; lu=QAIsNHycU1vJDpq-fSl2XXXX; 

11:46:46.161863 172.16.127.130  69.63.190.10    HTTP    GET /home.php
Cookie: datr=8vTHTLeCsl09isMbBW7-XXXX; x-referer=https%3A%2F%2F
login.facebook.com%2Floginnotify%2Fsetup_machine.php%23%2F
loginnotify%2Fsetup_machine.php; c_user=126781XXXX;
cur_max_lag=20; lu=QAIsNHycU1vJDpq-fSl2KXXXX

Il n’est donc pas possible, avec cet outil, de simplement écouter le réseau sans commettre d’accès illégitime.

4.3 Extraits du code pénal

Article 323-1 : Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 euros d’amende.

On peut considérer que le premier accès à une session d’un tiers par l’outil n’est pas du fait de l’utilisateur de l’outil. En revanche, le maintien de la session tierce est constitutif de l’infraction à l’article susvisé. La réitération de cette commande fait tenir l’accès et le maintien frauduleux.

Article 323-3-1 : Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

4.4 Remarque

Certains sites proposent une fonctionnalité de sécurité permettant d’identifier les machines qui sont utilisées pour se connecter. Cette identification étant faite avant l’établissement de la session, le fait d’utiliser un cookie contourne cette protection.

4.5 Conclusion

Le CERTA recommande bien sûr de ne pas utiliser, installer ou partager un tel outil (sauf très bon motif légitime et avec un encadrement légal approprié). Le CERTA recommande aussi aux utilisateurs des sites de ne pas utiliser de connexion en clair partagée (wifi chiffré, réseau commuté ou maintien des connexions en https).

Rappel des avis émis

Dans la période du 18 au 24 octobre 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 29 octobre 2010
    version initiale.