1 Vulnérabilité de l’instruction SYSRET sur les processeurs INTEL
Les instructions SYSCALL et SYSRET sont utilisées par la plupart des systèmes d’exploitation 64 bits pour déclencher un appel système et en revenir. L’instruction SYSRET est décrite Chapitre 4, page 599 du manuel de développement Intel (voir section Documentation).
Une vulnérabilité de l’instruction SYSRET sur les processeurs Intel a été récemment découverte par Rafal Wojtczuk. L’exploitation de cette faille peut conduire, sur certains systèmes d’exploitation, à une élévation de privilèges. Ce bogue n’affecte que les processeurs Intel et pas les processeurs AMD.
Description technique
Contrairement au mécanisme classique de déclenchement d’appel système reposant sur une interruption logicielle, l’instruction SYSRET ne restaure pas le pointeur de pile utilisateur. Le noyau doit donc réaliser cette opération avant d’appeler l’instruction SYSRET.
Le problème réside dans l’implémentation par Intel du standard x86-64, dans laquelle l’instruction SYSRET peut déclencher une exception au niveau du processeur sous certaines conditions. Le processeur utilise alors la pile utilisateur préalablement restaurée pour empiler automatiquement des registres liés à l’exception. Cette vulnérabilité permet à un attaquant de modifier des structures du noyau depuis l’espace utilisateur afin de réaliser une élévation de privilèges.
L’attaque consiste à réunir les conditions nécessaires au déclenchement de l’exception puis à modifier le pointeur de pile utilisateur de sorte qu’il pointe vers les structures du noyau visées.
Cette vulnérabilité avait déjà été découverte et corrigée en 2006 (CVE-2006-0744) sur les noyaux Linux, mais l’intitulé de l’alerte d’alors suggérait que seul Linux était affecté.
Pour les autres systèmes, le CERTA recommande d’appliquer dès que possible les correctifs.
Systèmes concernés et systèmes immunes
Les systèmes suivants sont affectés par cette vulnérabilité :- Xen, toutes les versions 64 bits sur processeur Intel avant les correctifs du 12 juin 2012 ;
- FreeBSD, toutes les versions 64 bits sur processeur Intel avant les correctifs du 12 juin 2012 ;
- NetBSD, toutes les versions 64 bits sur processeur Intel avant les correctifs du 12 juin 2012 ;
- OpenBSD jusqu’à la version 4.9, en 64 bits sur processeur Intel ;
- Microsoft, versions 64 bits de Windows 7 et de Windows Server 2008 R2 (CVE-2012-0217) avant les correctifs du 12 juin 2012.
Les systèmes suivants ne sont pas affectés :
- OpenBSD 5.0 et versions suivantes ;
- l’ensemble des systèmes tournant sur processeur AMD ;
- les noyaux Linux postérieurs à la version 2.6.16.5 du fait des correctifs CVE-2005-1764 et CVE-2006-0744.
Documentation
- Intel 64 and IA-32 Architectures Software Developer’s Manual, Volume 2B: Instruction Set Reference, M-Z :
http://download.intel.com/products/processor/manual/253667.pdf
- Détails techniques et résolution :
http://blog.xen.org/index.php/2012/06/13/the-intel-sysret-privilege-escalation/
- Avis du CERTA CERTA-2012-AVI-326 du 13 juin 2012 :
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-326/index.html
- Avis du CERTA CERTA-2012-AVI-328 du 13 juin 2012 :
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-328/index.html
- Avis du CERTA CERTA-2012-AVI-334 du 15 juin 2012 :
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-334/index.html
- Bulletin de sécurité RedHat RHSA-2012:0720 du 12 juin 2012 :
http://rhn.redhat.com/errata/RHSA-2012-0720.html
- Bulletin de sécurité RedHat RHSA-2012:721 du 12 juin 2012 :
http://rhn.redhat.com/errata/RHSA-2012-721.html
- Note de vulnérabilité de l’US-CERT VU#649219 du 25 juin 2012 :
http://www.kb.cert.org/vuls/id/649219
- Référence CVE CVE-2005-1764 :
https://www.cve.org/CVERecord?id=CVE-2005-1764
- Référence CVE CVE-2006-0744 :
https://www.cve.org/CVERecord?id=CVE-2006-0744
- Référence CVE CVE-2012-0217 :
https://www.cve.org/CVERecord?id=CVE-2012-0217
2 Vulnérabilité critique de l’extension JCE de Joomla
JCE (Joomla! Content Editor) est une extension du Joomla! Content Management System. Cette extension est sujette à plusieurs vulnérabilités rendant le dêpot d’un phpshell possible par un attaquant. La vulnérabilité a été déclarée à Joomla le 21 janvier 2011 et les versions supérieures à 1.5.7.7 et 1.1.9.3 incluses ont été corrigées. Beaucoup d’extensions JCE de version inférieure à 1.5.7.7 et 1.1.9.3 sont encore utilisées et plusieurs sites Web ont été récemment défigurés en exploitant ces vulnérabilités. Un outil d’exploitation automatique est disponible sur l’Internet. Ce dernier vérifie que la version de l’extension JCE est inférieure à 1.5.7.10 avant de tenter d’exploiter les vulnérabilités potentiellement présentes. Il est possible de repérer une exploitation réussie de ces vulnérabilités en examinant les journaux. Le scan de la version de JCE peut être repéré par l’url suivante dans les journaux d’accès du serveur Web :
GET //index.php?option=com_jce&task=plugin&plugin=imgmanager &file=imgmanager&version=1576&cid=20Le dépôt de la charge peut se voir aussi dans les journauxd’accès du serveur Web :
POST //index.php?option=com_jce&task=plugin&plugin=imgmanager &file=imgmanager&method=form &cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743La charge déposéee se nomme « 0day.php » mais ce nom estsusceptible de changer.
Le CERTA recommande de rechercher les traces dans les journaux d’une possible exploitation de ces vulnérabilités. En cas de compromission, il est nécessaire de réinstaller la machine. La mise à jour de l’extension JCE est aussi recommandée pour se prémunir de cette attaque.
3 Rançongiciel aux couleurs de l’ANSSI
Depuis plusieurs mois, de nombreux internautes sont victimes d’un code malveillant bloquant leur ordinateur. Ce code affiche une page qui comporte le logo de la gendarmerie, parfois celui de la police (OCLCTIC) et plus récemment celui de l’ANSSI. Le code malveillant tente d’empêcher toute action sur l’ordinateur infecté et exige le paiement d’une pseudo-amende de 100 Euros.
Aucune entité gouvernementale ne chiffrerait le disque dur d’un internaute ni ne le forcerait à payer une amende par l’intermédiaire d’un site non gouvernemental. Il ne faut donc en aucun cas payer la rançon. Dans le cadre d’une infection d’un poste de travail professionnel, des documents importants stockés sur le poste pourraient être perdus.
La mise à jour du navigateur ainsi que des plug-ins de contenu tels que Flash ou Java protégera de ce type d’attaque, diffusée principalement par l’intermédiaire de bannières publicitaires. En cas d’infection, la restauration d’un point de sauvegarde Windows peut éventuellement corriger les fichiers systèmes altérés par le code malveillant et en annuler les effets. Enfin, la sauvegarde régulière des documents importants sur un serveur préviendra une perte de données due à ce type de code malveillant.
Articles sur les autres sites de l’ANSSI :
- http://www.ssi.gouv.fr/fr/menu/actualites/attention-arnaque-en-ligne.html
- http://www.securite-informatique.gouv.fr/gp_article781.html
4 Rappel des avis émis
Dans la période du 22 au 28 juin 2012, le CERTA a émis les publications suivantes :- CERTA-2012-AVI-348 : Vulnérabilité dans F5 BIG-IP
- CERTA-2012-AVI-349 : Vulnérabilités dans IBM System Storage DS Storage Manager
- CERTA-2012-AVI-350 : Vulnérabilité dans IBM AIX
- CERTA-2012-AVI-351 : Multiples vulnérabilités dans IBM Lotus Expeditor
- CERTA-2012-AVI-352 : Multiples vulnérabilités dans Google Chrome
- CERTA-2012-AVI-353 : Vulnérabilité dans AIX
- CERTA-2012-AVI-354 : Vulnérabilité dans IMP
- CERTA-2012-AVI-355 : Multiples vulnérabilités dans Symantec Message Filter
- CERTA-2012-AVI-356 : Multiples vulnérabilités dans Cisco WebEx Player
Rappel des avis émis
Dans la période du 18 au 24 juin 2012, le CERT-FR a émis les publications suivantes :
- CERTA-2012-AVI-337 : Vulnérabilité dans Asterisk
- CERTA-2012-AVI-338 : Multiples vulnérabilités dans Opera
- CERTA-2012-AVI-339 : Vulnérabilité dans Symantec LiveUpdate Administrator
- CERTA-2012-AVI-340 : Vulnérabilité dans des produits Mozilla
- CERTA-2012-AVI-341 : Multiples vulnérabilités dans PHP
- CERTA-2012-AVI-342 : Vulnérabilité dans IBM Lotus Notes
- CERTA-2012-AVI-343 : Vulnérabilités dans Libtiff
- CERTA-2012-AVI-344-001 : Vulnérabilités dans Joomla!
- CERTA-2012-AVI-345 : Multiples vulnérabilités dans Cisco AnyConnect Secure Mobility Client
- CERTA-2012-AVI-346 : Vulnérabilité dans Cisco Application Control Engine
- CERTA-2012-AVI-347 : Vulnérabilité dans Cisco ASA 5500 et Cisco Catalyst 6500
- CERTA-2012-AVI-348 : Vulnérabilité dans F5 BIG-IP
- CERTA-2012-AVI-349 : Vulnérabilités dans IBM System Storage DS Storage Manager
- CERTA-2012-AVI-350 : Vulnérabilité dans IBM AIX
