S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 juillet 2013
N° CERTA-2013-ACT-028
Affaire suivie par: CERT-FR
le 11 juillet 2013

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTA-2013-ACT-028

Gestion du document

Référence CERTA-2013-ACT-028
Titre Bulletin d’actualité CERTA-2013-ACT-028
Date de la première version 11 juillet 2013
Date de la dernière version 11 juillet 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Nouvelle faille Android

Récemment, un article de Bluebox a été publié sur la sécurité des ordiphones et tablettes Android. Cet article, qui a été largement repris dans la communauté de la SSI, démontre une attaque qui permettrait de modifier le contenu d’une application Android sans que ces changements n’aient d’impact sur la vérification de sa signature.

Cette « faille » est basée sur plusieurs facteurs:

  • le format apk utilisé par les applications Android ;
  • la différence d’algorithme de sélection des fichiers pour la vérification des signatures et l’exécution des fichiers.

Il est également à noter que, même si elle est obligatoire lors de l’installation d’une application, la signature ne sert qu’à en identifier l’auteur et non l’intégrité de l’application.

Le format apk repose sur l’utilisation d’une archive de type zip. Ce format permet à un utilisateur d’ajouter un fichier avec le même nom et la même arborescence qu’un fichier déjà présent dans l’archive.

Lorsque une application est installée, sa signature est vérifiée par le système. Cependant, seul le contenu du fichier original est pris en compte pour la vérification de la signature. Le fichier dupliqué ne sera donc pas contrôlé. En revanche, lors de l’exécution de l’application, seul le fichier dupliqué sera utilisé.

Cette vulnérabilite permet donc de voir modifiés les fichiers d’une application existante sans que ces changements ne soient détectés lors de l’installation de l’application.

Même si la criticité de cette faille est importante, elle est à mettre en perspective de son vecteur d’exploitation. En effet, pour parvenir à l’utiliser, un attaquant doit mettre en place un des scénarios suivants:

  • compromettre les identifiants d’accès à un marché applicatif d’un développeur pour y déposer sa version malveillante ;
  • compromettre un marché applicatif pour y déposer sa version malveillante.
  • forcer la victime à installer son application modifiée par l’outil en ligne de commande ou pouvoir accéder physiquement au terminal pour le faire.

Le CERTA recommande de ne pas installer d’applications Android manuellement et de n’utiliser que des marchés applicatifs officiels. Lorsque une installation manuelle est obligatoire, il est nécessaire de s’assurer de l’intégrité de l’application avant son installation.

De plus une vérification régulière de l’intégrité des applications déjà déployées est nécessaire.

Pour cela, il existe plusieurs outils permettant de détecter des applications modifiées et/ou malveillantes:

  • différents produits de type anti-virus (à installer sur un ordiphone pour détecter les applications installées malveillantes) ;
  • l’outil jarsigner disponible avec Oracle Java (à utiliser sur une machine avant l’installation manuelle de l’application) ;
  • l’outil BlueBox Security Scanner (à installer sur un ordiphone pour détecter les applications installées et modifiées).

Documentation

2 Vulnérabilités présentes dans les interfaces de gestion intelligente de matériel

De nombreux fabriquants de serveurs fournissent des cartes de gestion du matériel « hors-bande » permettant de prendre la main à distance et d’effectuer diverses actions (arrêt, redémarrage, prise en main « graphique », etc.). Ces cartes sont souvent intégrées à la carte mère du serveur et disposent d’une interface réseau dédiée. On peut ainsi citer les technologies iLO (HP), DRAC (Dell), ILOM (Sun) ou iRMC (Fujitsu). Ces cartes fournissent différentes interfaces d’administration, telles que :

  • Web (HTTP / HTTPS) ;
  • console (Telnet / SSH) ;
  • VNC ;
  • IPMI (Intelligent Platform Management Interface) ;
  • etc.

IPMI est un ensemble de spécifications décrivant des protocoles de communication permettant l’échange de données sur un bus local ou via le réseau (généralement sur le port 623/UDP).

Un chercheur en sécurité (Dan Farmer) a récemment mis en lumière de nombreuses vulnérabilités impactant le protocole réseau d’IPMI, parmi lesquelles :

  • la présence de comptes et mots de passe par défaut ;
  • le contournement de l’authentification ;
  • la récupération à distance des condensats de mot de passe ;
  • le stockage des mots de passe en clair dans la configuration.
De plus, des vulnérabilités peuvent également être présentes dans des services tiers, comme UPnP. L’exploitation de ces vulnérabilités peut permettre à un attaquant de simuler un accès physique au serveur via le KVM intégré.

Des codes d’exploitations de ces vulnérabilités étant déjà disponibles sur Internet, le CERTA recommande une vigileance accrue sur l’accès et la configuration de ces interfaces. Il est ainsi nécessaire :

  • de contrôler l’accès à ces interfaces par la mise en place de filtrage réseau ;
  • de désactiver les interfaces non utilisées ;
  • de modifier la configuration par défaut sur les interfaces en production ;
  • etc.

Pour plus d’informations, se référer au guide de remédiation fourni par le chercheur (cf. partie Documentation).

Documentation

3 Publication du rapport 2012 de l’observatoire sur la résilience de l’Internet français

L’observatoire de la résilience de l’Internet français publie son second rapport portant sur l’année 2012. Créé conjointement par l’ANSSI et l’Afnic, l’observatoire vise à étudier et améliorer la résilience de l’Internet.

Comme la précédente, cette nouvelle édition du rapport porte sur les protocoles d’infrastructure BGP et DNS. Les indicateurs techniques et leurs définitions ont évolué afin de prendre en compte les commentaires portant sur le premier rapport.

Dans cette édition, le périmètre d’étude sur BGP a été étendu de 4 à 1270 AS. Deux nouveaux indicateurs ont été ajoutés : RPKI et le respect des bonnes pratiques de routage. Pour ce qui est de DNS, un nouvel indicateur d’importance est proposé: l’étude des résolveurs les plus demandeurs.

Ce nouveau rapport ainsi que l’édition précédente sont disponibles en version électronique aux l’adresses suivantes :

4 Mise à jour mensuelle Microsoft

Lors de la mise à jour mensuelle de Microsoft, sept bulletins de sécurité ont été publiés.

Six de ces bulletins sont considérés comme critiques :

  • MS13-052 qui concerne Microsoft Framework .net et Silverlight, cette mise à jour corrige sept vulnérabilités ;
  • MS13-053 qui concerne le noyau Microsoft Windows, cette mise à jour corrige huit vulnérabilités ;
  • MS13-054 qui concerne Microsoft GDI+, cette mise à jour corrige une vulnérabilité ;
  • MS13-055 qui concerne Microsoft Internet Explorer, cette mise à jour corrige dix-sept vulnérabilités ;
  • MS13-056 qui concerne Microsoft DirectShow, cette mise à jour corrige une vulnérabilité ;
  • MS13-057 qui concerne Microsoft Windows Media Format Runtime, cette mise à jour corrige une vulnérabilité.

Toutes ces vulnérabilités peuvent mener un attaquant à exécuter du code arbitraire à distance.

Le septième bulletin MS13-058 est considéré comme important : il concerne une vulnérabilité dans Microsoft Windows Defender dont l’exploitation peut permettre une élévation de privilèges.

Microsoft a connaissance de codes d’exploitation publics pour les vulnérabilités corrigées par les bulletins MS13-052, MS13-053 et MS13-055. Le CERTA recommande donc l’application de ces correctifs dès que possible.

Documentation

5 Mise à jour Adobe

Le 09 juillet 2013, Adobe a publié trois correctifs de sécurité, considérés comme critiques :

  • APSB13-17 qui concerne Adobe Flash Player ;
  • APSB13-18 qui concerne Adobe Shockwave Player ;
  • APSB13-19 qui concerne Adobe ColdFusion.

Les vulnérabilités corrigées peuvent mener un attaquant à exécuter du code arbitraire à distance.

Le CERTA recommande l’application de ces correctifs dès que possible.

Documentation

Rappel des avis émis

Dans la période du 01 au 07 juillet 2013, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 11 juillet 2013
    version initiale.