Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-002

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 12 janvier 2007
No CERTA-2007-ACT-002

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-02


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-002

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-002.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-002/

1 Activité en cours

1.1 Webdav

Récemment, des sites publics ont subi l'insertion de pages de revendication par des cyber-délinquants. L'intrusion a été facilitée par l'ouverture sans restriction d'une fonction permettant la modification d'un site web (WebDAV). L'intrusion s'est répétée après la remise en service des sites. Le CERTA rappelle d'une part deux précautions minimales :

  • n'ouvrir que les services indispensables ;
  • authentifier les utilisateurs selon la politique de sécurité ;
D'autre part, à la suite d'une intrusion, la restauration doit se faire sur une base saine et corriger les erreurs de configuration qui ont permis l'incident. Le CERTA aborde cette bonne pratique dans la documentation suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/

1.2 Modification de site Web et indiscrétion

Le CERTA a constaté que des sites web publics sont modifiés ou restaurés tout en restant en ligne. Pendant la phase de modification, des informations sur le site ont été accessibles, tant sur la structure de fichiers que sur les logiciels employés et leur version.

Le CERTA recommande de suspendre la mise en ligne du site lors de telles opérations. L'utilisation d'une mire de type « en maintenance » permet d'informer l'internaute sur le caractère temporaire de l'inaccessibilité du site.

1.3 Cloisonnement des sites Internet

Le CERTA a traité cette semaine un incident lié à la défiguration d'un site. La conception de ce dernier n'est pas en cause, mais il était hébergé avec 90 autres sur une même machine.

L'attaque a eu lieu par une requête de type php-include via l'un des sites. Celle-ci a permis de lancer un outil donnant un accès à l'attaquant avec des droits de lecture et d'écriture. Dans ces conditions, il peut visiter toute l'arborescence de tous sites, et y modifier certaines pages.

Il est important pour l'hébergeur, dans le cas où plusieurs sites co-habitent sur une même machine, d'avoir une politique d'accès et de droits de modifications très stricte. Il faut distinguer :

  • les utilisateurs et les groupes qui peuvent lire les fichiers des sites ;
  • les utilisateurs et les groupes qui peuvent modifier les fichiers ; il en faut au minimum un différent par site, avec des droits particuliers.

La garantie d'un cloisonnement correct entre les sites co-hébergés doit faire partie des critères pour choisir la solution d'hébergement la plus adaptée.

Le CERTA a publié à ce sujet la note d'information :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/

2 Alerte concernant la gestion WMF de Microsoft

Le CERTA a publié ce vendredi, une alerte concernant la manipulation de WMF (pour Windows MetaFile) par Microsoft Windows : CERTA-2007-ALE-002.

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-002/

La vulnérabilité peut être exploitée au moyen d'un fichier WMF spécialement construit. Un individu peut, par ce biais, insérer le document dans un courriel, ou une page Web, afin de perturber le système vulnérable. Il pourrait, sous certaines conditions, exécuter du code arbitraire sur un système. Cependant, le CERTA n'a pour le moment pas connaissance de code permettant l'exécution de code arbitraire à distance. Il est à noter que cette vulnérabilité concerne toutes les applications qui utilisent le moteur de rendu graphique de Microsoft.

Les mises à jour Microsoft publiées mardi 09 janvier 2007 ne corrigent pas ce problème, mais le CERTA propose des contournements provisoires dans l'alerte CERTA-2007-ALE-002.

Cette alerte fait suite aux vulnérabilités WMF rendues publiques à la fin de l'année 2005. Les bulletins d'actualité mentionnent des cas d'attaques dans l'avis CERTA-2005-AVI-445 et le bulletin d'actualité CERTA-2006-ACT-002.

3 « Month of Apple Bug » (deuxième semaine)

Comme nous vous l'avions indiqué dans CERTA-2007-ACT-001, le projet continue de publier des vulnérabilités sur les produits Apple. Depuis vendredi dernier, on notera les publications suivantes :
  • une vulnérabilité dans l'utilitaire de disque de MacOS X permettant potentiellement une exécution de code arbitraire ou un élévation de privilège ;
  • une vulnérabilité concernant la gestion du format PDF par l'application Aperçu dans MacOS X. Il est à noter que cette faille implique le format PDF et serait présente également dans des applications comme Adobe Reader versions 5 à 7 mais également xpdf et d'autres logiciels dérivés. Le CERTA a publié la note de communication CERTA-2007-COM-001 sur le sujet ;
  • une faille dans la mise en œuvre de Javascript dans l'application Omniweb sous MacOS X ;
  • une vulnérabilité dans une application tierce fournie par Apple nommée Application Enhancer permettant une élévation de privilèges. Application Enhancer permet un contrôle plus fin de certaines applications sous MacOS X ;
  • plusieurs vulnérabilités concernant la mise en œuvre des images disques au format DMG. Ces images sont utilisées dans l'installation d'applications sous MacOS X.

4 De l'importance des barres d'état d'un navigateur

4.1 Présentation

Les navigateurs offrent plusieurs options d'affichage. Outre la page de visite, il est souvent possible d'afficher la barre d'état (ou Status Bar), qui se trouve généralement en bas de la fenêtre de navigation. Elle se caractérise par différentes zones, comme :

  1. la zone de message d'état (Status Message) ;
  2. la barre de progression (Progress Bar) ;
  3. les icônes d'état ;
  4. la zone de sécurité ;
  5. etc.

Cette barre permet de visualiser un certain nombre d'informations dont :

  • l'évolution des transactions des pages Web, telle l'adresse du site contacté ou l'état de la connexion (en attente de la réponse du serveur Web, terminée, etc) ;
  • l'icône du cadenas associé à une connexion HTTPS ;
  • activation de fonctions compémentaires (par exemple les options d'anti-filoutage/phishing sous IE7) ;

Les données présentées dans cette barre d'état sont informelles, et peuvent être modifiées : le CERTA a déjà publié des avis concernant des déficiences de l'affichage de celles-ci, mais elles apportent néanmoins une bonne visibilité sur les activités du navigateur en cours. Il est donc important d'afficher cette barre en permanence.

4.2 Motivations

Une vulnérabilité a été identifiée dans les versions récentes d'Internet Explorer pour les versions 6 et 7. Il s'agit d'un mauvais ordonnancement des tâches, entre les événements asynchrones du navigateur et le rendu synchrone du contenu d'une page.

Une démonstration a été publiée, et consiste à recharger très périodiquement dans la page une section (ou iframe) faisant appel à un fichier XML particulier. Elle permettrait à une personne malveillante d'exécuter des commandes par le biais du navigateur vulnérable de l'utilisateur visitant cette page.

Cette vulnérabilité n'est pas encore corrigée. Mais en premier abord, le chargement intempestif du fichier XML est visible dans la barre d'état. Une première façon de détecter que l'on se trouve sur une page suspecte est de voir un état de connexion qui ne se termine jamais, et qui continue à se raffraîchir pendant plusieurs dizaines de secondes. Sans barre d'état, la détection est moins évidente.

4.3 Comment afficher la barre d'état dans les navigateurs ?

Les navigateurs permettent aisément de choisir cette option. Par exemple :

  • sous Mozilla Firefox : aller dans l'onglet "Affichage", puis sélectionner "Barre d'état" ;
  • sous Microsoft Internet Explorer : aller dans l'onglet "Affichage", puis sélectionner "Barre d'état" ;
  • sous Apple Safari : aller dans l'onglet "Présentation", puis sélectionner "Afficher la barre d'état" ;

5 Vulnérabilités sur BrightStor ARCserve

Le CERTA a publié un avis de sécurité concernant plusieurs vulnérabilités dans Computer Associates BrightStor ARCserve (avis CERTA-2007-AVI-029). Ces vulnérabilités ne sont pas tout à fait nouvelles, l'une d'entre elles avait été rendue publique en novembre 2006, mais aucun correctif n'existait.

Le 05 janvier 2007, un outil permettant d'exploiter automatiquement cette vulnérabilité a été publié sur l'Internet, et depuis cette date, le SANS constate une augmentation des rejets sur le port 6502/tcp. Le CERTA, pour sa part, n'a pas constaté la moindre activité sur ce port, ni sur les ports 6503/tcp et 6504/tcp (qui sont concernés par d'autres vulnérabilités récentes de BrightStor ARCserve), mais recommande toutefois l'application des correctifs de sécurité, et le filtrage de ces ports au niveau des pare-feux.

6 Rappel des avis émis

Durant la période du 05 au 11 janvier 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-005 : Vulnérabilité dans OpenOfficeorg
  • CERTA-2007-AVI-006 : Vulnérabilité dans OpenBSD
  • CERTA-2007-AVI-007 : Vulnérabilité dans Novell Client
  • CERTA-2007-AVI-008 : Vulnérabilité de Eudora Mail Server
  • CERTA-2007-AVI-009 : Vulnérabilité de l'antivirus Kaspersky
  • CERTA-2007-AVI-010 : Vulnérabilités dans WordPress
  • CERTA-2007-AVI-011 : Multiples vulnérabilités dans Drupal
  • CERTA-2007-AVI-012 : Multiples vulnérabilités de Cisco secure ACS
  • CERTA-2007-AVI-013 : Plusieurs vulnérabilités dans le navigateur Opera
  • CERTA-2007-AVI-014 : Vulnérabilités de AIX
  • CERTA-2007-AVI-015 : Vulnérabilité de Microsoft Office 2003
  • CERTA-2007-AVI-016 : Multiples vulnérabilités de Microsoft Excel
  • CERTA-2007-AVI-017 : Vulnérabilités de Microsoft Outlook
  • CERTA-2007-AVI-018 : Vulnérabilité VML du système Microsoft Windows
  • CERTA-2007-AVI-019 : Vulnérabilités dans Kerberos
  • CERTA-2007-AVI-020 : Multiples vulnérabilités dans Fetchmail
  • CERTA-2007-AVI-021 : Vulnérabilité de RPC de Solaris
  • CERTA-2007-AVI-022 : Vulnérabilité dans ColdFusion
  • CERTA-2007-AVI-023 : Vulnérabilité de PacketShaper
  • CERTA-2007-AVI-024 : Multiples vulnérabilités dans Adobe Acrobat
  • CERTA-2007-AVI-025 : Multiples vulnérabilités de Xorg


Liste des tableaux

Gestion détaillée du document

12 janvier 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23