S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 juin 2012
N° CERTA-2012-ACT-025
Affaire suivie par: CERT-FR
le 21 juin 2012

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2012-25

Gestion du document

Référence CERTA-2012-ACT-025
Titre Bulletin d’actualité 2012-25
Date de la première version 21 juin 2012
Date de la dernière version 21 juin 2012
Source(s) -
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Publication du guide de sécurisation des systèmes industriels

Un guide sur la cybersécurité des systèmes industriels a été publié par l’ANSSI le 19 juin 2012. Ce guide est le produit d’une large concertation en 2011, entre les ministères et les industriels concernés. Il présente une méthodologie de sécurisation de ces systèmes illustrée de cas concrets.

Cette concertation fait suite à une prise de conscience des différents acteurs du domaine de la vulnérabilité des systèmes industriels face aux cyber attaques (vol de donnée, indisponibilité, etc.). L’exemple du ver Stuxnet en 2010 a montré que le niveau de sécurité de ces systèmes est souvent très insuffisant, et que la criticité de certains d’entre eux en font des cibles de choix d’attaques informatiques.

Le CERTA recommande aux RSSI concernés la lecture et l’application des mesures préconisées dans ce guide, l’implication de la SSI dans les projets visant des systèmes industriels et la prise en compte des risques associés dans la PSSI de l’entreprise.

2 EMET v3

EMET (Enhanced Mitigation Experience Toolkit), présenté dans le bulletin d’actualité CERTA-2012-ACT-016, a fait l’objet d’une mise à jour avec la publication de la version 3. Pour rappel, EMET est un outil développé par Microsoft permettant, dans certains cas, de rendre plus difficile l’exploitation d’une vulnérabilité dans un logiciel fonctionnant sous Windows.

La principale fonctionnalité apportée par cette mise à jour est la possibilité de déploiement et de configuration via les GPO (stratégies de groupe), ce qui facilite grandement son utilisation en environnement Active Directory. En particulier, des profils par défaut permettent d’activer les protections pour l’ensemble des produits Microsoft.

Enfin, l’introduction d’une fonctionnalité de journalisation et de notification permet une détection plus facile d’éventuelles tentatives d’exploitation de vulnérabilités.

Documentation

3 Risque accru d’exploitation de vulnérabilités dans Internet Explorer

La vulnérabilité présentée dans CERTA-2012-ALE-003, toujours non corrigée à la parution de ce bulletin, a fait l’objet d’une publication d’un code d’exploitation dans le logiciel Metasploit, visant Internet Explorer. Metasploit est l’un des outils d’attaque public les plus connus. Ses codes d’attaque sont souvent réutilisés, ce qui augmente nettement le risque de compromission.

De plus, de nombreux acteurs, notamment Microsoft et Google, ont annoncé avoir constaté une exploitation active de la vulnérabilité.

Le CERTA recommande donc de mettre en œuvre au plus tôt l’une des méthodes de contournement suivantes afin de se protéger :

  • appliquer le contournement bloquant le vecteur d’attaque (Fix it) ;
  • déployer Enhanced Mitigation Experience Toolkit (EMET) ;
  • configurer Internet Explorer de manière à obtenir un avertissement avant d’exécuter Active Scripting ou désactiver Active Scripting dans les zones de sécurité à risque (Internet et potentiellement Intranet Local);
  • utiliser un autre navigateur.

De même, Metasploit inclut un code permettant d’exploiter l’une des treize vulnérabilités corrigées la semaine dernière dans Internet Explorer (avis CERTA-2012-AVI-321). Celle-ci est également exploitée activement et il n’est pas à exclure que d’autres le soient également dans les prochains jours. Il est donc nécessaire d’appliquer les correctifs sans délai.

Documentation

4 Rappel des avis émis

Dans la période du 15 au 21 juin 2012, le CERTA a émis les publications suivantes :
  • CERTA-2012-AVI-334 : Vulnérabilité dans FreeBSD
  • CERTA-2012-AVI-335 : Vulnérabilité dans HP OpenVMS
  • CERTA-2012-AVI-336 : Vulnérabilités dans SPIP
  • CERTA-2012-AVI-337 : Vulnérabilité dans Asterisk
  • CERTA-2012-AVI-338 : Multiples vulnérabilités dans Opera
  • CERTA-2012-AVI-339 : Vulnérabilité dans Symantec LiveUpdate Administrator
  • CERTA-2012-AVI-340 : Vulnérabilité dans des produits Mozilla
  • CERTA-2012-AVI-341 : Multiples vulnérabilités dans PHP
  • CERTA-2012-AVI-342 : Vulnérabilité dans IBM Lotus Notes
  • CERTA-2012-AVI-343 : Vulnérabilités dans Libtiff
  • CERTA-2012-AVI-344 : Vulnérabilités dans Joomla!
  • CERTA-2012-AVI-345 : Multiples vulnérabilités dans Cisco AnyConnect Secure Mobility Client
  • CERTA-2012-AVI-346 : Vulnérabilité dans Cisco Application Control Engine
  • CERTA-2012-AVI-347 : Vulnérabilité dans Cisco ASA 5500 et Cisco Catalyst 6500

Rappel des avis émis

Dans la période du 11 au 17 juin 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 21 juin 2012
    version initiale.