Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-009

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 02 mars 2007
No CERTA-2007-ACT-009

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-09


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-009

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-009.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-009/

1 Activités en cours

1.1 L'hébergement mutualisé de sites

Le CERTA a traité cette semaine le cas du site d'une administration victime de défiguration (remplacement de la page d'accueil). Après analyse, il s'est avéré que le site vulnérable ayant permis cet acte malveillant n'était pas le site de l'administration, mais un autre site hébergé sur le même serveur.

Nous rappelons donc que la sécurité d'un site (et plus généralement d'un système d'information) dépend à la fois de sa conception, mais aussi de l'environnement dans lequel il est placé. Il convient donc de prendre en compte tous les paramètres pouvant influer sur le système, sans se focaliser uniquement sur sa qualité intrisèque.

Concernant la problématique de l'hébergement mutualisé, une note d'information du CERTA ("Bonne pratiques concernant l'hébergement mutualisé", CERTA-2005-inf-005) donne quelque conseils et recommandations quant à ce type particulier d'hébergement.

1.2 Bombe logique

L'analyse d'une machine compromise a été faite par le CERTA. Cette machine était compromise par un code malveillant destiné à réaliser un déni de service contre une adresse IP située en Estonie. Le nom de domaine visé correspond à un domaine victime d'attaque par un malware. Ce malware a la particularité de ne pas se mettre à jour et de ne pas recevoir d'ordre d'attaques depuis un point central. S'il n'est pas détecté à temps, le seul moyen de savoir qu'on est contaminé est de constater l'attaque.

En particulier, des traces de traffic important inhabituel vers l'Estonie ces dernières semaines pourraient être le signe de machines contaminées.

Le CERTA invite ses correspondants à le prévenir dans le cas où des traces seraient visibles dans les journaux.

1.3 Joyeux anniversaire

Depuis quelques jours, un ver de messagerie se propage sous la forme d'un message électronique intitulé « Anniversaire » et contenant le texte Peux tu reconnaître qui est a coté de moi?. Le fichier Anniversaire.asx est joint à ce message. Les fichiers au format ASX sont relatifs à des films vidéo, il est donc possible que le système d'exploitation affiche l'icône d'un lecteur multimedia devant le fichier.

Le fait de double-cliquer sur ce fichier provoque l'apparition d'une demande de téléchargement d'un prétendu codec sous la forme d'un fichier intitulé codecs.exe. Ce dernier se révèle être un code malveillant qui provoque lui-même le téléchargement d'autres programmes malveillants (downloader).

Ce ver a la particularité d'être rédigé en français, et d'avoir en pièce jointe un lien vers un code malveillant. Cette technique pourrait permettre d'échapper au contrôle des anti-virus.

Ce ver exploite une attaque par ingénierie sociale dans la mesure où il incite l'utilisateur à cliquer sur un message pour récupérer de faux codecs. Encore une fois, la plus grande prudence, et la plus grande protection, consistent à se méfier de toute sollicitation particulière, spécialement quand celle-ci ne semble pas provenir d'une source de confiance.

Par ailleurs, il est préférable de bloquer par défaut toute extension de fichier au niveau de la passerelle de messagerie, puis de n'autoriser que celles qui sont légitimes dans le réseau.

Recommandations :

Le CERTA recommande aux administrateurs de vérifier dans d'éventuels journaux de proxy si des appels à des fichiers codecs.exe ont été effectués, et de prévenir le CERTA le cas échéant.

Parmi les cas rencontrés, la deuxième phase de connexion s'effectuait vers les deux sites suivants :

  • http://updatecodecs.t35.com
  • http://servercodecs.com

2 Danger de la configuration par défaut d'Adobe Reader

2.1 Introduction

PDF, ou Portable Document Format est un format créée par la société Adobe Systems. Il permet de préserver la mise en forme du document, comme la police d'écriture, ou les objets graphiques, indépendemment de l'application ou de la plateforme utilisées pour le lire.

Il s'agit, malgré les apparences, d'un format très riche et très complexe. Pour s'en convaincre, il est possible de consulter un document de référence fourni par Adobe à l'adresse suivante :

http://www.adobe.com/devnet/pdf/pdf_reference.html

Le format autorise plusieurs options, comme par exemple le taux de compression des images et des textes, la qualité d'impression du document, et les droits qui lui sont accordés (interdiction de le modifier, de l'imprimer, etc.).

Il permet aussi d'être interactif en incorporant par exemple des menus déroulants, des champs de texte, afin d'obtenir des formulaires.

Le PDF a la particularité suivante : il peut contenir du code JavaScript. Ce dernier peut ensuite être interprété, ou pas, selon les applications de lecture utilisées. Par défaut, et à la date de rédaction de ce bulletin, Adobe Acrobat Reader et sa version Linux acroread l'interprètent. Foxit Reader, une alternative sous Windows, demande explicitement s'il faut installer le module JavaScript, tandis que xpdf ne l'interprète pas.

Dans la documentation fournie par Adobe, il est écrit que, bien qu'optionnelles, les actions suivantes sont possibles :

  • une action JavaScript peut être déclenchée quand l'utilisateur frappe une combinaison de touches dans un champ de texte ;
  • une action JavaScript peut être déclenchée avant que le champ soit formatté pour afficher sa valeur, ou quand celle-ci est modifiée ;
  • une action JavaScript peut être déclenchée au moment d'enregistrer ou de fermer un document ;
  • une action JavaScript peut être déclenchée avant ou après la phase d'impression du document ;
  • etc.
En d'autres termes, des actions JavaScript peuvent être interprétées à tout moment si l'application de lecture le permet.

2.2 Le problème d'Acrobat Reader

Acrobat Reader comprend les liens réticulaires (URLs) de type file://. Ceux-ci sont un moyen pour regarder et naviguer dans le système de fichiers, ou les ouvrir. A valeur d'illustration, le fait de taper file:///C:/ ouvre une fenêtre pour visiter la partition C: (si celle-ci existe).

Il est possible de combiner les deux propriétés citées ci-dessous, les interprétations de JavaScript et de l'URL file://, afin de permettre à des objets JavaScript d'accéder au système de fichiers et d'en voler, sous certaines conditions, le contenu.

Cette vulnérabilité existe dans les versions d'Adobe Acrobat Reader 6.0, 7.0 et 8.0 les plus récentes.

Du code d'exploitation est actuellement disponible sur l'Internet. Il est possible que des courriers électroniques, contenant des documents au format .pdf spécialement construits, apparaissent prochainement.

2.3 Recommandations du CERTA

Dans l'attente d'un correctif d'Adobe, il est fortement recommandé d'appliquer les mesures suivantes :

  • désactiver l'interprétation de JavaScript par défaut : Edition => Préférences => JavaScript. Il faut décocher la case "Activer Acrobat JavaScript" ;
  • désactiver les options Internet par défaut : Edition => Préférences => Internet. Il faut décocher les cases "Autoriser l'affichage rapide des pages Web", et "Autoriser le téléchargement spéculatif à l'arrière-plan".

Les recommandations plus classiques sont également applicables :

  • vérifier que les applications et les anti-virus soient mis à jour ;
  • n'ouvrir que des documents provenant de sources de confiance ;
  • utiliser éventuellement une application alternative pour la lecture de documents PDF.

3 Telnet sous Sun Solaris

3.1 Rappel des faits

Le CERTA a mentionné dans le bulletin précédent l'existence d'une vulnérabilité concernant le service telnet sous Sun Solaris. Celle-ci a également fait l'objet de l'alerte CERTA-2007-ALE-005.

Pour rappel, cette vulnérabilité permet à un utilisateur de se connecter à distance sur le système vulnérable sans fournir un quelconque mot de passe.

3.2 Description du ver

Cette semaine, l'existence d'un ver exploitant cette vulnérabilité a été signalée. Le CERTA a mis l'alerte à jour pour en fournir les détails. Il utiliserait les comptes adm ou lp pour se propager. Sun fournit sur son bloc-notes quelques commandes pour vérifier que le ver n'a pas infecté la machine.

Par exemple, l'existence des fichiers /var/adm/.profile ou /var/spool/lp/.profile, ainsi que la modification de la table des tâches crontab seraient des indications d'une contamination par ce ver.

Bien que ce ver soit apparu, le CERTA n'a pas été informé d'activités de scan particulières vers le port telnet (TCP 23) cette semaine. Sa propagation ne semble actuellement pas virulente ou bruyante, bien que Sun mentionne dans son annonce un active worm.

Documentation

4 Certificats racines pour l'administration française

Le journal officiel de la république française du 17 février 2007 contient la publication des certificats de l'IGC/A.

L'éditeur de logiciel Microsoft a inclus les certificats dans la mise à jour facultative du 28 février 2007.

Des informations sont disponibles sur la page :

http://support.microsoft.com/kb/931125

Ceci ne concerne bien sûr que les systèmes Windows et les navigateurs Internet Explorer.

Pour prendre en compte ces certificats avec le navigateur Firefox, il convient de :

5 Vol d'informations de navigation sur Internet

Le CERTA a été informé de la possibilité de vol d'informations personnelles concernant les habitudes de navigation. Le principe général n'est pas récent , mais necessitait l'utilisation de code JavaScript que le CERTA recommande par ailleurs de désactiver par d éfaut dans le navigateur. Aujourd'hui, l'utilisation de JavaScript ne semble plus necessaire afin de connaitre les sites fréquentés par un internaute. Elle s'appuie sur la gestion des feuilles de styles concernant les pages visitées (format CSS).

Cette technique fonctionne avec la version 7.0 de Microsoft Internet Explorer et la version 2.0.0.2 de Mozilla Firefox.

Le CERTA, recommande de désactiver par défaut dans le navigateur, l'utilisation du JavaScript et, dans l'attente d'un correctif , de désactiver la fonction "historique" et nettoyer régulièrement le cache du navigateur Internet.

6 Vulnérabilité dans Google Desktop

Google desktop est une application permettant à un utilisateur d'effectuer des recherches de fichiers sur son système.

Récemment, une vulnérabilité dans Google Desktop a été publiée. Elle permet à une personne malintentionnée de prendre le contrôle de l'application à distance, et ainsi effectuer des recherches sur le système de fichiers de la victime, ou exécuter des applications présentes sur la machine.

Cette attaque nécessite tout d'abord une action de l'utilisateur, qui est l'exécution indirecte d'un script malveillant (une attaque de type cross-site scripting) sur le domaine www.google.com. Le script profite ensuite d'une vulnérabilité permettant l'exécution de code à chaque recherche de l'utilisateur sur Google Desktop.

Cette vulnérabilité a été corrigée dans une mise à jour de Google Desktop. Toutefois, d'une manière générale, il est recommandé de désactiver la fonctionnalité de recherche automatique sur la machine lors d'une requête sur internet.

Enfin, pour éviter les attaques d'exécution de code indirecte, le CERTA rappelle l'importance de vérifier les liens, de configurer sa messagerie pour lire les courriels en texte brut, et de taper manuellement les URL visitées.


7 Rappel des avis émis

Durant la période du 23 février au 01 mars 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-099 : Vulnérabilité de TYPO3
  • CERTA-2007-AVI-100 : Vulnérabilité dans IBM DB2
  • CERTA-2007-AVI-101 : Vulnérabilité dans Novell ZENworks
  • CERTA-2007-AVI-102 : Multiples vulnérabilités de produits Mozilla
  • CERTA-2007-AVI-103 : Vulnérabilité de eTrust
  • CERTA-2007-AVI-104 : Vulnérabilités dans les Cisco Catalyst
  • CERTA-2007-AVI-105 : Vulnérabilité dans McAfee Virex
  • CERTA-2007-AVI-106 : Vulnérabilité dans Citrix Presentation Server

Pendant cette période, des avis ainsi qu'une alerte ont également été mis à jour :

  • CERTA-2007-ALE-005-001 : Vulnérabilité de Sun Solaris

    (ajout d'informations concernant la propagation d'un ver)

  • CERTA-2007-AVI-069-001 : Multiples vulnérabilités sous PostgreSQL

    (ajout de la référence au bulletin de sécurité Sun Solaris)

  • CERTA-2007-AVI-090-001 : Multiples vulnérabilités de produits Cisco

    (correction des liens)


Liste des tableaux

Gestion détaillée du document

02 mars 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-22