S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 janvier 2013
N° CERTA-2013-ACT-001
Affaire suivie par: CERT-FR
le 04 janvier 2013

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTA-2013-ACT-001

Gestion du document

Référence CERTA-2013-ACT-001
Titre Bulletin d’actualité CERTA-2013-ACT-001
Date de la première version 04 janvier 2013
Date de la dernière version 04 janvier 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité critique dans Internet Explorer

Cette semaine, le CERTA a diffusé l’alerte CERTA-2012-ALE-010, concernant une vulnérabilité majeure dans Internet Explorer. La faille est une vulnérabilité de type Use-After-Free (utilisation d’une donnée en mémoire après sa libération) dans la bibliothèque mshtml.dll. Son exploitation permet d’exécuter du code arbitraire à distance. Un outil exploitant cette vulnérabilité et utilisant une technique de bourrage du tas (heap spray) a été largement diffusé via une plate-forme très connue d’attaque. Un autre outil, basé sur une technique différente, a par la suite été rendu public. Ce dernier est plus difficilement reconnu par des outils de détection d’intrusion.

Microsoft a reconnu que cette vulnérabilité était exploité et a publié un correctif provisoire dit « Fix-it » (qui n’est pas diffusé par Windows Update). Le CERTA recommande son application au plus tôt.

Plus généralement, dans le cadre d’une défense en profondeur contre les vulnérabilités dites 0day, plusieurs actions peuvent être menées en parallèle. Elles ont pour but de limiter l’impact sur le système d’information, voire dans certains cas d’empêcher l’exploitation de celles-ci. L’une d’elles est l’utilisation de EMET : cet outil, une fois configuré, permet de limiter la surface d’exploitation des applications surveillées. Cette mesure à elle seule empêche un grand nombre d’attaques de fonctionner. Toutes ces mesures sont présentées dans le bulletin d’actualité CERTA-2012-ACT-038 (cf. Documentation).

Documentation

2 Découverte d’un certificat Google frauduleux

Un nouvel incident remettant en question le modèle actuel de gestion des certificats a récemment été constaté. Google a annoncé avoir découvert un certificat valide ne leur appartenant pas pour le domaine « *.google.com ». Ce certificat frauduleux a été émis par une autorité de certification (AC) intermédiaire, elle-même certifiée par une AC racine turque TURKTRUST.

Toujours selon Google, TURKTRUST aurait reconnu avoir délivré par erreur, en août 2011, deux certificats d’AC intermédiaires au lieu de certificats finaux à des organisations. Ces organisations, ou tout utilisateur ayant accès aux clés privées associées à ces certificats, ont donc eu la possibilité de créer des certificats valides pour n’importe quel site Web.

En plus de Google qui a révoqué les certificats concernés, Microsoft a publié une mise à jour pour ses systèmes. Les systèmes utilisant la mise à jour automatique de certificats révoqués, incluant Windows Vista et supérieurs ou Windows Server 2008 et supérieurs, devraient recevoir la mise à jour automatiquement. Par contre, les administrateurs des systèmes plus anciens dont Windows XP et Windows Server 2003, doivent passer par Windows Update ou appliquer la mise à jour manuellement (se référer au bulletin de sécurité Microsoft pour de plus amples détails).

Mozilla a annoncé une mise à jour pour Firefox qui sera disponible le 8 janvier 2013.

Le CERTA recommande l’application des mises à jour concernant ces certificats dès que possible.

Documentation

Rappel des avis émis

Dans la période du 24 au 30 décembre 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 04 janvier 2013
    version initiale.