Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-041

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 13 octobre 2006
No CERTA-2006-ACT-041

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-41


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-041

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-041.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-041/

1 Incidents traités

Le CERTA a traité de nombreux incidents cette semaine :

  • Cahier de Texte est une application qui permet de gérer les devoirs d'une classe sur un site Web. Plusieurs sites ont subi des attaques sur cet applicatif. Des identifiants de connexion ont été volés, ce qui a permis à l'intrus d'effectuer des modifications dans la base de données. La vulnérabilité exploitée dans l'application Cahier de Texte a fait l'objet de la publication de l'avis CERTA-2006-AVI-452.
  • Une défiguration datant de février 2005 (!), qui n'avait jamais été remarquée par la victime, a été traitée. Une faille dans l'applicatif Awstats.pl avait permis cette attaque. Cet exemple montre l'importance du traitement des incidents : les intrus peuvent se maintenir sur un système pendant des mois, voire des années, si une détection puis une réponse adéquate ne sont pas apportées.

2 Problèmes de sécurité avec une version 1.8.0 de Claroline

2.1 Présentation des faits

Le 10 octobre 2006, une nouvelle version stable de Claroline, la version 1.8.0, était annoncée sur le site

http://www.claroline.net
.

Très rapidement, des vulnérabilités de type php include ont été annoncées. Le CERTA a téléchargé les sources de la version 1.8.0 et vérifié la véracité de ces failles. Comme annoncé publiquement, la variable includePath du fichier claroline/inc/lib/import.lib.php permettait l'inclusion de fichiers externes. Par ailleurs, les recherches effectuées par le CERTA ont permis de mettre en évidence d'importants problèmes de sécurité et des oublis de programmation dans le fichier claroline/inc/lib/export.lib.php.

Alors qu'aucune annonce officielle n'a été faite sur le site de Claroline, les sources de la version 1.8.0 ont été modifiées, tout en conservant le même numéro de version. Les fichiers import.lib.php, export.lib.php, export_zip.lib.php et import.xmlparser.lib.php ont été complètement supprimés des sources.

Il est à noter que la version 1.8.0 de Claroline ne correspond pas à une mise à jour de sécurité, mais à une amélioration de plusieurs fonctionnalités.

2.2 Recommandations :

Si la version 1.8.0 de Claroline a été téléchargée avant le 12 octobre 2006, il est fortement recommandé de la télécharger de nouveau et de veiller à ce que les quatre fichiers (dont claroline/inc/lib/import.lib.php et claroline/inc/lib/export.lib.php) n'apparaissent plus.

3 Clés USB U3

3.1 Introduction

L'USB (pour Universal Serial Bus) est une interface de connexion définie dans les années 90 et destinée à remplacer les ports série et parallèle sur les ordinateurs. Elle est fréquemment utilisée de nos jours sur les équipements informatiques pour y brancher tout type de périphérique, que ce soient les imprimantes, les claviers, les souris, les scanners, les modems, ou des appareils de stockage, comme les clés USB.

Le système d'exploitation Microsoft Windows dispose d'une fonctionnalité appelée autorun. Elle consiste à exécuter automatiquement un logiciel lorsqu'un périphérique de stockage qui le contient est connecté. Microsoft autorise uniquement cette fonction pour le périphériques de type CDROM/DVDROM, ou les disques fixes. Cette fonctionnalité est visible, quand, par exemple, à l'insertion de certains CDs, une fenêtre de navi gation Internet Explorer s'ouvre.

Un périphérique USB classique ne permet pas, lors de son insertion dans une machine fonctionnant sous Windows, d'exécuter automatiquement des programmes ou des commandes. Microsoft autorise cette fonction de manière restreinte aux CDROM/DVDROM, et aux disques fixes. Cette fonctionnalité, nommée autorun, est visible, quand, par exemple, à l'insertion de certains CDs, une fenêtre de navigation Internet Explorer s'ouvre.

3.2 Risques

Dans l'objectif de faire exécuter automatiquement du code au cours de l'insertion d'un périphérique USB, certains fabriquants de matériels USB ont développé une astuce, qui consiste à faire passer celui-ci auprès de Windows pour un CD ou/et un DVD. Cette technique existe, et se commercialise sous le nom de USB U3. Le principe général est que le périphérique, au moment de l'insertion, présente sa mémoire flash comme un lecteur de CDROM USB, permettant a fortiori l'exécution d'un autorun. De nombreux produits disposant de cette technologie sont actuellement commercialisés. A l'insertion, un « lanceur » permet d'exécuter un ensemble d'applications préalablement configurées, comme Firefox, Skype, Avast Antivirus, etc, l'éventail des applications pré-installées étant le domaine de concurrence de ces produits. Ils fonctionnent sur la version Windows 2000 ainsi que celles plus récentes.

Une clé de ce type peut présenter des avantages pour l'utilisateur mobile. Cependant, la question des mises à jour des applications fournies par les vendeurs reste très obscure.

Profitant de cet avantage, il existe également d'autres lanceurs beaucoup plus malveillants et discrets, permettant d'effectuer tout type d'opération dangereuse, avec les droits du compte actif sur Windows :

  • Vol d'information
  • Installation de logiciels rootkits
  • Récupération de la base hachée des mots de passe
  • etc

Ces outils sont en libre service sur l'Internet et relativement bien documentés. Par ailleurs, les clés USB U3 sont maintenant disponibles dans la plupart des boutiques de vente de matériels informatiques, à des prix abordables, et ne sont pas facilement distinguables des clés USB plus traditionnelles.

3.3 Recommandations :

Le CERTA recommande donc les actions suivantes pour limiter les impacts sus-mentionnés :

  • se connecter sur une machine Windows avec un compte aux droits limités ;
  • désactiver l'option autorun dans la base de registre (voir lien Microsoft) ;
  • ne pas accepter de connexions par des clés issues de sources non fiables ;
  • verrouiller l'écran de son ordinateur en cas d'absence, l'autorun ne fonctionnant pas sous ces conditions.

3.4 Documentation associée

4 Rappel des avis et mises à jour émis

Durant la période du 06 au 12 octobre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-430 : Vulnérabilités dans CA BrightStor Arcserve Backup
  • CERTA-2006-AVI-431 : Vulnérabilité dans les produits Symantec
  • CERTA-2006-AVI-432 : Vulnérabilité dans Invision Power Board
  • CERTA-2006-AVI-433 : Vulnérabilité dans PHP
  • CERTA-2006-AVI-434 : Vulnérabilité du serveur FTP Serv-U
  • CERTA-2006-AVI-435 : Vulnérabilité dans Python
  • CERTA-2006-AVI-436 : Vulnérabilité dans Microsoft ASPNET Framework
  • CERTA-2006-AVI-437 : Vulnérabilité dans la gestion ActiveX par l'Explorateur Windows
  • CERTA-2006-AVI-438 : Multiples vulnérabilités dans Microsoft PowerPoint
  • CERTA-2006-AVI-439 : Multiples vulnérabilités dans Microsoft Excel
  • CERTA-2006-AVI-440 : Multiples vulnérabilités dans Microsoft Word
  • CERTA-2006-AVI-441 : Vulnérabilités dans Microsoft XML Core Services
  • CERTA-2006-AVI-442 : Multiples vulnérabilités dans Microsoft Office
  • CERTA-2006-AVI-443 : Vulnérabilité Microsoft (service Serveur)
  • CERTA-2006-AVI-444 : Vulnérabilités dans la gestion d'IPv6 sous Windows
  • CERTA-2006-AVI-445 : Vulnérabilité dans Microsoft Windows Object Packager
  • CERTA-2006-AVI-446 : Vulnérabilité dans les copieurs Xerox
  • CERTA-2006-AVI-447 : Vulnérabilité de httpd sous OpenBSD
  • CERTA-2006-AVI-448 : Multiples vulnérabilités d'OpenSSL sous OpenBSD
  • CERTA-2006-AVI-449 : Vulnérabilité de systrace sous OpenBSD
  • CERTA-2006-AVI-450 : Vulnérabilité dans le noyau Linux 24.x
  • CERTA-2006-AVI-451 : Multiples vulnérabilités dans IBM WebSphere
  • CERTA-2006-AVI-452 : Vulnérabilité dans Cahier de Texte

L'alerte suivante a également été mise à jour suite à la publication des bulletins de sécurité Microsoft :

  • CERTA-2006-ALE-011-006 : Multiples vulnérabilités de produits Microsoft


Liste des tableaux

Gestion détaillée du document

13 octobre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23