Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-007

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 16 février 2007
No CERTA-2007-ACT-007

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-07


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-007

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-007.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-007/

1 Activités en cours

1.1 Nécessité des mesures de contournement

Le traitement d'un incident récent a mis en lumière la nécessité de mettre en œuvre des mesures de contournement permettant de limiter l'impact possible de l'exploitation des vulnérabilités.

A valeur d'exemple, la vulnérabilité dite « PHP include » est exploitée à travers sa présence dans de nombreux logiciels écrits en PHP, dont le codage manque parfois de rigueur. Le temps de publication des correctifs peut être long (de l'ordre de quelques mois) et donnent tout leur sens aux mesures de contournement.

Dans le cas de l'incident traité cette semaine, il s'agissait du module ExtCalendar. Ce dernier a fait l'objet d'une alerte CERTA-2006-ALE-008 le 11 juillet 2006.

Cependant, à la date de rédaction de ce bulletin d'actualité, aucun correctif n'a été officiellement publié, et la vulnérabilité est activement exploitée. Cela ne laisse que peu de choix à l'administrateur du site utilisant ExtCalendar : ou bien il prend la décision d'appliquer quelques contournements provisoires, comme par exemple retirer le module, dans l'attente d'une mise à jour, ou bien il accepte le risque que son serveur soit compromis (si ce n'est déjà le cas) à son insu et puisse servir à la cyber-délinquance.

Le mois de mars 2007 devrait aussi voir la publication de nombreuses vulnérabilités de PHP (langage ou applications). La vigilance doit donc être renforcée.

1.2.2 Recommandations

Le CERTA recommande de :

  • vérifier la version des logiciels PHP en exploitation et de les mettre à jour quand les correctifs existent ;
  • mettre en œuvre des mesures de contournement pour les logiciels dont les vulnérabilités connues ne sont pas toutes corrigées ;
  • inclure les paramètres des URL dans les journaux.

1.2 Ingénierie sociale et tromperie

1.2.1 Présentation

Le CERTA a été informé cette semaine de la diffusion de courriers électroniques particuliers. Semblant provenir d'organisations gouvernementales (services de police ou de renseignement), le message demande au destinataire s'il a été victime d'une escroquerie financière de type scam et propose de l'aider. L'arnaque scam se manifeste le plus souvent par une demande d'aide pour un transfert d'argent, en échange de quoi un pourcentage sur la somme serait reversé ; la version la plus connue étant la fraude 4-1-9, ou arnaque nigériane.

Le courriel explique de manière pédagogique ce qu'est une telle fraude, puis invite les personnes victimes à les contacter. Elles doivent envoyer pour cela toutes les informations pouvant aider à l'enquête, et le message garantit que l'argent qui a été perdu pendant la fraude sera rapidement récupéré (sous 24 heures dans le courriel analysé). Les informations demandées sont :

  • les prénoms et noms complets ;
  • le pays de résidence ;
  • les moyens de contact (téléphone mobile ou fixe, fax) ;
  • les personnes impliquées dans la transaction, avec tous les détails les concernant ;
  • une copie du courriel de la fraude ;
  • le montant total qui a été perdu au cours de la fraude ;
  • une garantie que ce montant a été effectivement versé.

Il s'agit bien entendu d'un piège. Le procédé utilisé par ce courriel est lui-même une arnaque. Il y a de fortes chances que, une fois ces informations communiquées, elles soient exploitées par des personnes malveillantes, et que la seconde étape consiste à envoyer des coordonnées bancaires, pour permettre (ou faire miroiter) le remboursement de l'argent perdu par la première fraude.

Ce courriel est donc un message purement malveillant. Il a pour particularité de cibler avant tout un ensemble de personnes, qui ont déjà fait preuve d'une certaine candeur (victime de l'arnaque de type scam). Celui analysé était rédigé en anglais, mais il est probable que la méthode soit également reprise en langue française.

1.2.2 Recommandations

Le CERTA rappelle à cette occasion que tout courrier électronique exigeant l'envoi d'informations est par nature suspect, dans la mesure où il n'y a par défaut aucune garantie sur la source du message (identité de l'expéditeur).

Plus précisément, pour ne pas tomber dans le piège, il était possible d'y voir certains détails :

  • les images insérées dans le courrier au format HTML pointent vers un vrai site gouvernemental, tandis que les adresses électroniques pour contacter les pseudo forces de l'ordre sont bien plus étranges. Elles ont pour format : nom_force_d_ordre-pays.org. Le nom de domaine nom_force_d_ordre-pays.org n'est pas commun.
  • les forces de l'ordre n'ont pas pour habitude d'envoyer massivement des courriers électroniques pour s'adresser aux citoyens ;
  • un effort certain est fait dans la rédaction pour être persuasif : il contient des extraits en lettres capitales, et une argumentation très hierarchisée ;
  • le message insiste auprès du lecteur pour prendre contact rapidement, par l'emploi abusif d'adjectifs et d'adverbes de temps.

Une note rédigée par le CERTA mentionne ces arnaques : CERTA-2005-INF-004. Si de tels messages sont reçus, il est recommandé de le signaler à son responsable de sécurité, ou au CERTA.

2 Vulnérabilités de Sun Solaris

2.1 Vulnérabilité concernant telnetd

L'alerte CERTA-2007-ALE-005 décrit une vulnérabilité concernant l'utilisation conjointe du service telnetd et de la commande /usr/cmd/login de Solaris 10 et Solaris Express (ou Solaris 11). Cette faille permet à une personne malintentionnée de se connecter à une machine vulnérable sous le nom d'un utilisateur légitime, s'il est connu.

Un correctif a été publié sur le site de l'éditeur pour corriger cette vulnérabilité sur Solaris 10. Aucune mise à jour n'est cependant disponible pour Solaris Express. D'autres services de connexion à distance pouvant être vulnérables (notamment rlogind, klogin, et eklogin), il est également conseillé de les désactiver. Une autre précaution de sécurité est d'interdire l'accès au compte root à distance, par exemple en s'assurant que la ligne CONSOLE=/dev/console est bien présente et non commentée dans le fichier /etc/default/login. Ceci ne corrige en rien la vulnérabilité, mais limite les droits qu'une personne pourrait avoir en exploitant la vulnérabilité à ceux d'un utilisateur autre que root.

2.2 Autres vulnérabilités de Sun Solaris

D'autres vulnérabilités ont été annoncées cette semaine concernant Sun Solaris :

  • plusieurs vulnérabilités concernant les serveurs Xorg et Xsun sur Solaris 8, 9, et 10, détaillées dans l'avis CERTA-2007-AVI-025. Un correctif est seulement disponible pour Solaris 8.
  • deux vulnérabilités non corrigées touchant Solaris 8, 9, et 10, et qui concernent le navigateur Mozilla 1.7, détaillées dans les avis CERTA-2006-AVI-227 et CERTA-200-AVI-568 (CVE-2006-2776 et CVE-2006-6505) ;
  • une vulnérabilité dans la mise en oeuvre du protocole TCP sur Sun Solaris 10, détaillée dans l'avis CERTA-2007-AVI-087. Un correctif est disponible sur le site de l'éditeur.

6.1 Documentation

3 Vulnérabilité de Word

Microsoft a publié cette semaine un ensemble de correctifs, qui ont été documentés dans les avis du CERTA cités dans la section 9. Ils concernent une vingtaine de vulnérabilités de Microsoft Windows, Microsoft Office, Internet Explorer, ainsi que certaines solutions de sécurité Microsoft (Live One Care, Windows Defender, etc.).

L'alerte CERTA-2006-ALE-014 mentionnait plusieurs vulnérabilités de l'application bureautique Word. Elle a été créée le 06 décembre 2006, puis mise à jour régulièrement suivant les nouvelles vulnérabilités et les précisions trouvées. Le bulletin MS07-014 corrige ces dernières, et l'alerte pointe donc, suivant la terminologie du CERTA, vers l'avis associé : CERTA-2007-AVI-083.

Cependant, mercredi 14 février 2007, la société d'antivirus McAfee signale sur son site qu'une nouvelle vulnérabilité, référencée CVE-2007-0870, a été identifiée. Elle affecterait les versions 2000 et XP de Word, et serait différente de celles corrigées ce mois-ci par Microsoft. Cette information a été confirmée par Microsoft le même jour, dans son avis de sécurité 933052. Les détails de cette vulnérabilité ne sont cependant pas connus.

Du code d'exploitation est actuellement disponible, et il permettrait l'exécution de code arbitraire sur la machine ayant une application vulnérable.

Documentation

4 Vulnérabilités dans les téléphones multi-fonctions (smartphones)

4.1 Présentation

Une vulnérabilité découverte dans les smartphones Palm OS Treo permet à un utilisateur malintentionné de porter atteinte à la confidentialité des données contenues dans l'appareil, malgré la fonction permettant de verrouiller son dispositif.

Une personne malveillante peut porter atteinte à la confidentialité des informations présentes sur le système (messages SMS, mémos, agenda, tâches, etc) en utilisant le moteur de recherche de documents : celui-ci reste accessible, bien que l'appareil soit verrouillé, par le biais d'une combinaison de touches. Dans le bulletin de sécurité publié par l'éditeur (cf. section Documentation) aucune publication de correctif n'est prévue prochainement. Le bulletin d'actualité CERTA-2007-ACT-005 du 02 février 2007 fait mention des difficultés rencontrées pour mettre à jour ces équipements mobiles.

D'une manière générale, il est recommandé pour tout équipement mobile de bien considérer les informations qu'il peut contenir, étant donnés les risques existants actuellement pour ces matériels.

Documentation

5 Les dangers de l'autorun

5.1 Pour désactiver l'autorun

Le CERTA rappelle le danger de l'exécution automatique de programmes sur des clés USB de type U3 ou sur des CD-ROM/DVDROM. Cette fonctionnalité, aussi appelée autorun, permet l'exécution automatique de programmes contenus sur ces supports amovibles, lors de leur insertion. Normalement réservée aux CDROM/DVDROM, l'autorun est également possible sur des clés USB U3 car celles-ci sont reconnues en tant que CDROM USB. Un programme malveillant sur une clé de ce type pourrait donc s'exécuter dès son insertion (CERTA-2006-INF-006).

Pour désactiver la fonctionnalité autorun sous Windows, il suffit de modifier la clé suivante dans la base de registres :

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom

Si la valeur "Autorun" est 0, l'autorun est désactivé. Si sa valeur est 1, il est activé.

Cette méthode fonctionne sur les systèmes Windows 95, Windows 98, windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, et Windows Vista.

Sur Windows Vista, il est également possible de paramétrer l'exécution automatique dans le menu Démarrer/Panneau de Configuration/Lire des CD ou d'autres medias automatiquement. Le paramètre "Installer ou exécuter un programme" ne doit pas être activé pour la liste déroulante logiciels et jeux.

6 Ver Storm Worm

Storm Worm, également connu sous le nom de W32/Small.DAM ou Trojan.Peacomm, est un ver qui se répand par la messagerie. Dès l'infection de la machine, le ver tente de se connecter à une liste de machines compromises en utilisant les techniques des réseaux pair à pair. Le protocole utilisé est identique à celui des logiciels eDonkey et Overnet. Une fois connecté à ce réseau de machines compromises, le ver obtient une adresse réticulaire lui permettant de télécharger plusieurs outils d'attaques.

L'un des Chevaux de Troie installé par le ver lui permet de réaliser des attaques par déni de service en envoyant massivement des requêtes ICMP (ping) ou HTTP (TCP 80). Les adresses des cibles de ces attaques sont susceptibles d'être mises à jour fréquemment.

Les éditeurs de logiciels antivirus constatent que ce type d'attaques est de plus en plus fréquent. Afin d'éviter que votre réseau ne soit utilisé dans ce genre de compromission, vous pouvez surveiller (ou le cas échéant interdire) les connexions sortantes de type ICMP ou utilisant le protocole associé à eDonkey ou Overnet (identifiant 0xE3 dans l'en-tête UDP).

Afin d'éviter l'infection, il convient de suivre les bonnes pratiques de la messagerie décrites dans la note d'information ci-dessous ainsi que les recommandations présentes dans le mémento du CERTA sur les virus informatiques.

6.1 Documentation


7 Rappel des avis émis

Durant la période du 09 au 15 février 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-075 : Vulnérabilité dans les produits HP Mercury
  • CERTA-2007-AVI-076 : Multiples vulnérabilités dans php
  • CERTA-2007-AVI-077 : Vulnérabilité dans HP OpenView
  • CERTA-2007-AVI-078 : Vulnérabilité dans la commande rm de Sun Solaris
  • CERTA-2007-AVI-079 : Vulnérabilité du service Microsoft de détection matériel noyau
  • CERTA-2007-AVI-080 : Vulnérabilité de l'Acquisition d'Image Windows (WIA)
  • CERTA-2007-AVI-081 : Vulnérabilité du moteur de protection mpenginedll de Microsoft Windows
  • CERTA-2007-AVI-082 : Vulnérabilités de Microsoft concernant un objet OLE associé à un fichier RTF
  • CERTA-2007-AVI-083 : Multiples vulnérabilités de Microsoft Office
  • CERTA-2007-AVI-084 : Multiples vulnérabilités du navigateur Internet Explorer de Microsoft
  • CERTA-2007-AVI-085 : Vulnérabilités dans des composants ActiveX de Microsoft Windows
  • CERTA-2007-AVI-086 : Vulnérabilités dans ColdFusion


Liste des tableaux

Gestion détaillée du document

16 février 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23