S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 avril 2012
N° CERTA-2012-ACT-016
Affaire suivie par: CERT-FR
le 20 avril 2012

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2012-16

Gestion du document

Référence CERTA-2012-ACT-016
Titre Bulletin d’actualité 2012-16
Date de la première version 20 avril 2012
Date de la dernière version 20 avril 2012
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Réduction des risques liés à des vulnérabilités dans les applications fonctionnant sous Windows

EMET (Enhanced Mitigation Experience Toolkit) est un outil développé par Microsoft permettant, dans certains cas, de rendre plus difficile l’exploitation d’une vulnérabilité dans un logiciel fonctionnant sous Windows. Il peut être utilisé à partir de Windows XP. Il greffe quatre protections aux logiciels que vous souhaitez protéger :

  • protection appelée ASLR (address space layout randomization) qui consiste en un ajout de 8 bits d’entropie dans l’adresse lors de l’allocation de certaines zones mémoire ;
  • ajout d’un mécanisme empêchant l’exploitation de vulnérabilités par les shellcodes les plus courants (EAF – EAT Access Filtering) ;
  • activation automatique de la protection de « débordement de tampon en pile » dite SEHOP ;
  • protection contre les attaques de type heap spraying, très couramment utilisées lors des attaques sur les navigateurs Internet ;
  • activation automatique de la protection dite DEP (Data Execution Prevention).

Cette suite de protections rend un grand nombre d’outils d’attaque inopérants, comme Microsoft l’a souligné en citant des exemples d’utilisation d’EMET pour limiter l’impact de vulnérabilités sur certaines versions de produits Adobe.

Le CERTA recommande d’utiliser cet outil sur les systèmes les plus exposés aux attaques extérieures, en complément d’une architecture de défense en profondeur.

Documentation :

2 Filtrage de messagerie : à utiliser avec modération

À l’instar d’autres émetteurs légitimes, le CERTA est régulièrement confronté à la non-remise silencieuse de ses courriels à destination de ses correspondants. Ce phénomène regrettable s’explique par le contenu de certains courriels, dans lesquels figurent des détails techniques utiles aux destinataires. Ces détails peuvent être des adresses réticulaires (URL) malveillantes ou prendre des formes plus explicites d’exploitation de vulnérabilité (XSS, injection SQL, LFI, RFI, …). Ces contenus considérés comme malveillants sont éliminés par des filtres de messagerie.

La transmission d’adresses réticulaires malveillantes n’est pas la seule source de rejet. Par exemple, le CERTA a été récemment informé que certains de ses avis sont régulièrement qualifiés de pourriels et traités comme tels. L’utilisation de nombreuses adresses réticulaires dans la section Documentation des avis du CERTA peut être pénalisante lors du traitement par des filtres anti-spam. Parmi les critères utilisés pour différencier les courriels légitimes des pourriels, certains filtres s’appuient, entre autres, sur le nombre d’adresses réticulaires contenues dans les messages.

Il n’existe pas de solution miracle à ce problème. En effet, dans notre exemple :

  • mettre l’adresse d’expéditeur du CERTA (certa-svp@certa.ssi.gouv.fr) en liste blanche pour assurer la réception de ces courriels risque d’autoriser également la réception de pourriels usurpant cette adresse ;
  • mettre l’adresse IP du serveur SMTP du CERTA en liste blanche présente le risque de laisser entrer des courriels malveillants si ce serveur venait à être compromis.

Dans tous les cas, la détermination du caractère désirable ou indésirable d’un courriel est un art complexe. Il faut donc régler et adapter régulièrement les filtres de messagerie (IPS, passerelles, serveurs, poste). Ce travail de personnalisation des filtres doit prendre en compte des risques assumés : celui de la réception de courriels indésirables, éventuellement marqués, ou celui de la non-réception de courriels légitimes.

Documentation

3 Rappel des avis émis

Dans la période du 13 au 19 avril 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-AVI-212 : Vulnérabilité dans WICD
  • CERTA-2012-AVI-213 : Vulnérabilité dans nginx
  • CERTA-2012-AVI-214 : Multiples vulnérabilités dans Invision Power Board
  • CERTA-2012-AVI-215 : Vulnérabilité dans VMware
  • CERTA-2012-AVI-216 : Multiples vulnérabilités dans RealPlayer
  • CERTA-2012-AVI-217 : Vulnérabilités dans IBM Tivoli
  • CERTA-2012-AVI-218 : Multiples vulnérabilités dans HP System Management Homepage
  • CERTA-2012-AVI-219 : Multiples vulnérabilités dans HP OpenVMS
  • CERTA-2012-AVI-220 : Multiples vulnérabilités dans Oracle
  • CERTA-2012-AVI-221 : Vulnérabilité dans HP Onboard Administrator
  • CERTA-2012-AVI-222 : Vulnérabilité dans Apache

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2012-ALE-002-001 : Vulnérabilité dans Windows RDP (explicitation du correctif éditeur comme solution)
  • CERTA-2012-AVI-085-002 : Multiples vulnérabilités dans Oracle Java (ajout des correctifs IBM)

Rappel des avis émis

Dans la période du 09 au 15 avril 2012, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 20 avril 2012
    version initiale.