1 Apparition du ver Morto
Le ver Morto est récemment apparu sur les plates-formes Microsoft Windows. Il se propage en utilisant le protocole RDP (Remote Desktop Protocol). Afin d’infecter un poste, ce ver n’exploite pas de vulnérabilité du protocole RDP, il essaie de s’authentifier avec des comptes disposant de mot de passe faible. Le code va en effet tester une liste de noms d’utilisateur communs (adm, admin, backup, owner…) avec un dictionnaire restreint de mot de passe.
La présence des fichiers suivants peut indiquer une infection par le ver :
- %windir%/clb.dll ;
- %windir%/clb.dll.bak ;
- %system%/sens32.dll ;
- %windir%/temp/nthsrui.dll ;
- %windir%/offline web pages/cache.txt.
Une augmentation importante du trafic RDP peut également être un signe de la présence du code malveillant. Le ver dispose de fonctionnalités lui permettant d’arrêter les processus liés à des applications de sécurité. Une description complète des symptômes associés à ce ver peut être trouvée sur la base de connaissances de logiciels malveillants de Microsoft (cf section documentation). Les postes infectés peuvent notamment être utilisés pour réaliser des attaques en déni de service.
Face à cette menace, le CERTA rappelle l’importance de l’utilisation de mots de passe forts. Dans une démarche de défense en profondeur, le CERTA recommande également de faire preuve de prudence lors de l’ouverture de service RDP sur l’extérieur, en mettant en place un mécanisme d’authentification forte, ainsi que des règles de filtrage sur adresses IP des machines autorisées à se connecter au service.
2.1 Documentation
- Base de connaissance de codes malveillants de Microsoft, Worm:WIN32/Morto.A :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fMorto.gen!A
- Base de connaissance de codes malveillants de Microsoft, Worm:WIN32/Morto.gen!A :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fMorto.gen!A
2 Certificats SSL émis frauduleusement
Cette semaine la presse a relaté la découverte par un internaute d’un faux certificat SSL de serveur, signé par l’autorité de certification néerlandaise DigiNotar.
Cette découverte a été faite alors que l’internaute était victime d’une attaque par interposition (MITM ou man-in-the-middle) alors qu’il consultait un serveur Google. En effet le faux certificat de serveur était valable pour les serveurs du domaine google.com.
DigiNotar a confirmé l’émission frauduleuse du certificat et indiqué que d’autres certificats avaient également été émis.
En réponse à cet incident, certains éditeurs (Debian, Microsoft, Mozilla) ont supprimé le certificat de l’autorité DigiNotar de la liste des certificats préinstallés ou l’ont desactivé.
2.1 Documentation
- Bulletin de sécurité Debian DSA 2299 du 31 août 2011 :
http://www.debian.org/security/2011/dsa-2299
- Bulletin de sécurité Microsoft 2607712 du 29 août 2011 :
http://www.microsoft.com/france/technet/security/advisory/2607712.mspx
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-34 du 30 août 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-34.html
- Bulletin du GOVCERT.NL du 31 août 2011 :
http://www.govcert.nl/english/service-provision/knowledge-and-publication/factsheets/factsheet-fraudulent-issued-security-certificat-discovered.html
- Billet de l’US-CERT du 30 août 2011 :
http://www.us-cert.gov/current/#fraudulent_diginotar_ssl_certificate
3 Compromission de kernel.org
Le 28 août dernier, une compromission a été détectée sur le site kernel.org, hébergeant le code source du noyau Linux. L’intrusion aurait eu lieu un peu plus tôt dans le mois.
Les attaquants ont pu obtenir les droits d’administration du serveur (root) mais la méthode utilisée pour l’élévation de privilèges n’est pour l’instant pas connue. L’accès au serveur aurait été effectué au moyen d’un compte utilisateur compromis et un cheval de Troie a été déposé. Celui-ci a été découvert suite à l’apparition de traces suspectes. Celles-ci concernaient un message d’erreur de Xnest alors que ce logiciel n’était pas installé sur le serveur.
Une réinstallation complète du serveur est prévue ainsi qu’un audit du code hébergé afin de vérifier l’intégrité de celui-ci. L’ensemble des 448 comptes utilisateurs vont être réinitialisés.
Le CERTA rappelle que la mise en place d’un processus de surveillance des journaux permet dans de nombreux cas de détecter au plus tôt des signes d’intrusion, ce qui a été le cas pour ce serveur.
Documentation
- Annonce sur le site kernel.org :
http://www.kernel.org
4 Liens utiles
- Mémento sur les virus :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-002/
- Note d’information du CERTA sur l’acquisition de correctifs :
http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-004/
- Note d’information du CERTA sur les systèmes obsolètes :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003/
- Note d’information du CERTA sur les bonnes pratiques concernant l’hébergement mutualisé :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/
- Note d’information du CERTA sur les mots de passe :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001/
- Note d’information sur la terminologie d’usage au CERTA :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-002/
- Note d’information du CERTA sur les enjeux de sécurité liés à une migration vers IPv6 :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/
- Unix security checklist version 2.0 du 8 octobre 2001 (Publication du CERT australien) :
http://www.auscert.org.au/render.html?it=1937
- Note d’information du CERTA sur les risques associés aux clés USB :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006/
- Note d’information du CERTA sur les outils d’indexation et de recherche :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-009/
- Note d’information du CERTA sur la gestion des noms de domaine :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-INF-001/
- Note d’information du CERTA sur le bon usage de PHP :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-INF-002/
Rappel des avis émis
Dans la période du 22 au 28 août 2011, le CERT-FR a émis les publications suivantes :
- CERTA-2011-AVI-460 : Vulnérabilités dans OTRS
- CERTA-2011-AVI-461-001 : Vulnérabilités dans PHP
- CERTA-2011-AVI-462 : Vulnérabilité dans EMC RSA Adaptive Authentication On-Premise
- CERTA-2011-AVI-463 : Vulnérabilité dans IBM Websphere Service Registry and Repository
- CERTA-2011-AVI-464 : Multiples vulnérabilités dans Google Chrome
- CERTA-2011-AVI-465-001 : Vulnérabilité dans stunnel
- CERTA-2011-AVI-466 : Vulnérabilités dans Pidgin
- CERTA-2011-AVI-467 : Multiples vulnérabilités dans EMC AutoStart
- CERTA-2011-AVI-468 : Vulnérabilité dans Citrix Access Gateway
- CERTA-2011-AVI-469 : Vulnérabilité dans Cisco IOS
- CERTA-2011-AVI-470 : Vulnérabilité dans Cisco IOS
- CERTA-2011-AVI-471 : Vulnérabilité dans les produits F-Secure
- CERTA-2011-AVI-472 : Vulnérabilité dans HP Easy Printer Care
- CERTA-2011-AVI-473 : Vulnérabilité dans SAP NetWeaver
- CERTA-2011-AVI-474 : Vulnérabilité dans IBM Rational ClearCase et ClearQuest
- CERTA-2011-AVI-475 : Multiples vulnérabilités dans phpMyAdmin versions 3.3.0 à 3.4.3.2
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2011-AVI-316-001 : Vulnérabilité dans Dovecot
- CERTA-2011-AVI-416-001 : Vulnérabilités dans Samba (SWAT)
- CERTA-2011-AVI-457-001 : Vulnérabilités dans différents produits Mozilla et dérivés
