Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-033

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 18 août 2006
No CERTA-2006-ACT-033

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-33


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-033

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-033.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-033/

1 Les mises à jour Microsoft d'août 2006

1.1 Introduction

Microsoft a publié le 08 août 2006 12 bulletins de sécurité. Le CERTA a publié à ce sujet plusieurs avis les détaillant (CERTA-AVI-2006-338->CERTA-AVI-2006-349).

Cependant, ces bulletins ont été sujet, ces dernières semaines, à plusieurs discussions et remarques. Afin d'apporter quelques éclaircissements, le CERTA fournit dans les paragraphes suivants un rapide état des lieux les concernant.

1.2 Service Serveur de Microsoft ciblé par Graweg : MS06-040

Microsoft a corrigé dans le bulletin MS06-040 une vulnérabilité affectant le service Serveur du système d'exploitation Windows. Ce service est utilisé pour les RPC (Remote Procedure Call), et de manière générale, pour le partage de ressources (fichiers, imprimantes, etc) dans un réseau local. Il est accessbile à distance par les ports 139/TCP et 445/TCP.

Un code malveillant circule actuellement sur l'Internet, et exploiterait cette vulnérabilité pour se propager. Il est nommé Graweg par Microsoft, ou bien assimilé à une variante Mocbot ou IRCBOT par les vendeurs d'antivirus. Une fois la machine compromise, elle rejoint d'autres machines zombie pour former un botnet, administré par une personne malveillante. Cette dernière peut alors récupérer des informations confidentielles, ou lancer des attaques de manière indirecte par ce réseau de machines.

La propagation semble actuellement limitée, mais il est vivement conseillé de :

  1. mettre à jour les machines en appliquant les recommandations du bulletin MS06-040 ;
  2. vérifier que les politiques de filtrage des ports 139 et 445 sont bien respectées, aussi bien sur les machines que les pare-feux en bordure de réseau.

1.3 Internet Explorer : MS06-042

Microsoft a publié le 08 août 2006 un bulletin, corrigeant de nombreuses vulnérabilités dans Internet Explorer. Il semblerait cependant que l'application de la mise à jour pose problème, dans la version Internet Explorer 6 SP1, lors de la navigation vers des sites mettant en oeuvre HTTP1.1 et la compression de données. Le Content-Encoding (ou Transfer-Encoding) permet de transférer le contenu d'un serveur Web vers le navigateur de l'utilisateur, en utilisant des algorithmes standards de compression de données. La compression est également utilisée pour accéder à l'interface web de plusieurs applications.

Une mise à jour du correctif devrait être publiée le 22 août 2006. Comme contournement alternatif, le CERTA recommande :

  • de passer à la version SP2 d'Internet Explorer 6 ;
  • d'empêcher le navigateur de spécifier dans l'entête HTTP le champ Accept-Encoding (gzip, deflate, compress, etc), au moyen d'un proxy web sur la machine utilisateur, ou d'une passerelle proxy au niveau du réseau.

Notification par Microsoft du problème IE version 6 SP1 suite à la mise à jour MS06-042 918899:

http://support.microsoft.com/kb/923762/

1.4 Microsoft Visual Basic VBA : MS06-047

Quelques vendeurs d'antivirus signalent l'apparition d'un ver exploitant l'une des vulnérabilités corrigées par l'application du bulletin MS06-047. Ce ver circulerait dans un document .doc spécialement construit. Son existence n'est cependant pas encore vérifiée. Il permet néanmoins de rappeler certaines bonnes pratiques concernant l'ouverture de pièces jointesi :

  • filtrer en amont, si possible, les documents en pièce jointe des messageries (format, taille) ;
  • utiliser des antivirus mis à jour ;
  • ouvrir des documents venant de sites et de personnes de confiance.

1.5 Noyau Microsoft : MS06-051

Microsoft a publié un bulletin corrigeant plusieurs vulnérabilités du noyau de Windows. Parmi celles-ci, il existe une mauvaise manipulation de la routine SetUnhandledExceptionFilter. En d'autres termes, Microsoft Windows ne gère pas de manière correcte certains messages évènementiels (aussi appelés exceptions), et il est possible d'exploiter cette vulnérabilité pour exécuter du code arbitraire.

Suite à cela, un site rappelle les vulnérabilités qui ont été identifiées en juillet 2006 sur le navigateur Internet Explorer. Certaines ne permettaient pas directement d'exécuter du code arbitraire, mais provoquent une exception du noyau Windows.

L'idée de combiner les deux problèmes a été évoquée, et permettrait à une personne malveillante d'exécuter du code arbitraire à distance : il lui faut construire une page Web particulière, qui, à son ouverture par un navigateur Internet Explorer, exploiterait ces deux vulnérabilités.

Le CERTA recommande donc de vérifier la bonne application du bulletin de sécurité MS06-051 sur l'ensemble des machines potentiellement vulnérables.

2 Rappel des avis et mises à jour émis

Durant la période du 11 au 17 août 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-351 : Vulnérabilité de SquirrelMail
  • CERTA-2006-AVI-352 : Vulnérabilité dans SAP Internet Graphics Service
  • CERTA-2006-AVI-353 : Vulnérabilté dans Symantec Veritas Backup Exec
  • CERTA-2006-AVI-354 : Multiples vulnérabilités du noyau Linux 2.4
  • CERTA-2006-AVI-355 : Vulnérabilité de HP OpenView Storage Data Protector 5.x
  • CERTA-2006-AVI-356 : Plusieurs vulnérabilités dans MIT Kerberos krb5
  • CERTA-2006-AVI-357 : Vulnérabilités de Novell eDirectory
  • CERTA-2006-AVI-358 : Vulnérabilité sur Sun Solaris
  • CERTA-2006-AVI-359 : Multiples vulnérabilités dans IBM WebSphere Application Server
  • CERTA-2006-AVI-360 : Vulnérabilité dans Heartbeat
  • CERTA-2006-AVI-361 : Vulnérabilité dans ImageMagick
  • CERTA-2006-AVI-362 : Vulnérabilité du logiciel Symantec Veritas NetBackup

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-328-001 : Vulnérabilité dans GnuPG

    (ajout du bulletin de sécurité Mandriva)

  • CERTA-2006-AVI-351-001 : Vulnérabilité de SquirrelMail

    (ajout du bulletin de sécurité FreeBSD)


Liste des tableaux

Gestion détaillée du document

18 août 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-22