Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-019

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 11 mai 2007
No CERTA-2007-ACT-019

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-19


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-019

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-019.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-019/

1 Les incidents traités cette semaine

1.1 La propagation de codes malveillants par support USB

Le CERTA a traité cette semaine la compromission d'une machine. Il apparaît que l'infection ait eu lieu suite à l'insertion d'une clé USB contenant un code malveillant. La clé contient un fichier particulier, nommé autorun.inf, qui exécute une application au moment de l'insertion. L'application installe un Cheval de Troie, et attend également que d'autres supports de données amovibles USB soient branchés pour y copier les mêmes fichiers dont le autorun.inf.

Le CERTA souhaite insister sur trois points particuliers :

  1. tout support de données amovible peut servir pour la propagation a priori. Cela inclut les lecteurs multimedia, comme les iPod, les disques durs externes, les appareils de photo numériques, ou bien même les assistants digitaux personnels (PDA) branchés en USB ;
  2. l'infection se fait automatiquement, à cause de la propriété autorun du système d'exploitation Windows. Des clés USB particulières U3 utilisent la même approche. Il est donc important de désactiver par défaut cette fonctionnalité ;
  3. il ne faut pas sous-estimer les risques d'infection par USB. Plusieurs codes malveillants ont récemment vus le jour et ont été signalés par des éditeurs d'antivirus.

Le CERTA rappelle à cette occasion que la note d'information CERTA-2006-INF-006 a été publiée à ce sujet. Elle évoque la problématique de ces supports, ainsi que quelques bonnes pratiques à appliquer.

2 Activités sur les ports TCP 3628 ou 5168

Le CERTA a publié cette semaine l'avis CERTA-2007-AVI-210 concernant le produit ServerProtect de Trend Micro. Parmi les vulnérabilités identifiées, certaines concernent les démons SpntSvc.exe et EarthAgent.exe, en écoute sur les ports TCP 5168 et 3628 respectivement par défaut.

Cet outil, par ailleurs, permet de centraliser l'administration de l'antivirus distribué sur les machines. Il doit donc être suffisamment sécurisé, à la hauteur de son rôle dans les tâches antivirales effectuées sur les systèmes du réseau.

Quelques personnes ont signalé sur des forums de sites Web un accroissement de l'activité sur les ports susmentionnés ces derniers jours. Ceux-ci ne sont pas communément sollicités dans le bruit de fond global de l'Internet. Cette augmentation a également été constatée par le CERTA, même si le nombre absolu de tentatives de balayage reste encore faible. Il y a donc une forte probabilité que de premières machines (zombies ?) cherchent à exploiter les récentes vulnérabilités.

Recommandations du CERTA

  • il est conseillé aux utilisateurs de cette application de vérifier la politique de filtrage mise en place et la bonne application des mises à jour ;
  • il est conseillé de filtrer, sauf exception, ces ports en connexions sortantes, afin d'éviter qu'une machine interne compromise génère un tel trafic. De manière générale, il est primordial d'avoir une politique de connexion sortante restrictive.
  • il est conseillé de consulter les journaux de rejets des pare-feux, afin de vérifier que ces ports n'apparaissent pas. Toute activité anormale impliquant ces ports peut être signalée au CERTA.

3 Lancement de la plate-forme Signal Spam

Depuis jeudi 10 mai 2007, la plate-forme Signal Spam est ouverte au publique. Cette association à pour vocation de réduire le nombre de courriels indésirés (spam) qui circulent sur l'Internet. Après une inscription rapide sur le site, chaque internaute a la possibilité de déclarer un courrier non-sollicité simplement, par un formulaire sur le site Web ou en cliquant sur le bouton de l'extension (plugin) de son gestionnaire de courrier. Actuellement, les logiciels de messagerie pris en compte sont Microsoft Outlook 2003 et 2007 et Mozilla Thunderbird.

Cette extension est disponible par téléchargement après inscription sur le site. Une version Webmail de cette extension est envisagée.

Références

4 Vol de comptes de jeu en ligne

Depuis la fin des années 90, les jeux en ligne ne cessent de se développer. Certains d'entre eux sont regroupés dans une catégorie appelée MMOG (Massively Multiplayer Online Game). Il est généralement nécessaire de disposer d'un compte pour pouvoir jouer à un MMOG, et de payer un abonnement. Le paiement de cet abonnement se fait typiquement par carte bancaire, ce qui implique de transmettre des coordonnées bancaires. Les coordonnées personnelles telles que le nom, le prénom, la date de naissance, l'adresse et le numéro de téléphone sont parfois demandées.

Les données personnelles et bancaires ainsi transmises sont souvent conservées en ligne par l'éditeur du jeu. Ainsi, en cas de réabonnement, l'utilisateur n'a pas à ressaisir toutes ces informations. La saisie et la modification de ces informations se fait généralement par l'interface de gestion du compte (éventuellement, il peut s'agir d'un site web). L'éditeur prétend que son site est sûr en s'appuyant sur l'utilisation du protocole https et d'un mot de passe pour garantir la confidentialité des données pendant le transport entre le navigateur et le site du jeu. En d'autres termes, la confidentialité des données personnelles et bancaires reposent sur les seuls identifiants et mots de passe utilisés pour accéder au jeu en ligne.

Comme bien souvent dans les transactions en ligne, le point le plus fragile est le poste de l'internaute qui utilise ce jeu. Prendre le contrôle d'un poste d'un joueur qui se connecte à un tel site permet d'avoir accès avec les droits du joueur à ses coordonnées bancaires et personnelles.

Ainsi, un ou plusieurs codes malveillants exploitent actuellement la vulnérabilité des ordinateurs des joueurs du jeu en ligne très populaire World of Warcraft afin de capturer les données bancaires accessibles sur le compte du joueur sur le jeu en ligne.

Le CERTA attire l'attention sur le point faible de tout service en ligne : l'ordinateur de l'utilisateur. Afin de limiter les risques lors de la consommation en ligne, il est important de limiter l'exposition de ses données personnelles : par exemple en utilisant des pseudonymes quand c'est possible ou en payant à la livraison, dans une boutique ou en ligne mais avec des cartes prépayées.

5 Mises à jour et fins de support

Le CERTA a mis à jour aujourd'hui sa note d'information concernant les logiciels obsolètes : CERTA-2005-INF-003. Dans ce rafraîchissement, on notera en particulier :

  • la fin du support de Windows 2003 RTM (Service Pack 0) ;
  • la sortie de la version 4.0 (Etch) de Debian ;
  • la sortie de la version 4.1 de OpenBSD.

Le CERTA réinvite à cette occasion ses correspondants à lui fournir des listes des logiciels utilisés, afin d'affiner sa veille technologique.

6 Particularités du Cheval de Troie Trojan.Kardphisher

Récemment, un nouveau cheval de Troie, nommé par certains éditeurs d'antivirus Trojan.Kardphisher, a été découvert. Celui-ci n'utilise aucune nouveauté particulière mais son fonctionnement est intéressant.

Après installation et redémarrage du système d'exploitation, le cheval de Troie présente une fausse fenêtre d'activation Windows très ressemblante à celle de Microsoft sur Windows XP. Il est expliqué que la clé du produit a été utilisée plusieurs fois et qu'il est donc nécessaire, pour vérification, que l'utilisateur entre ses informations bancaires (numéro, code PIN, date d'expiration...). Il est spécifié, pour rassurer la victime, que son compte ne sera pas débité. L'utilisateur ne peut pas interagir avec Windows tant que la fenêtre est ouverte.

Si l'utilisateur refuse d'entrer ses informations l'ordinateur s'éteint. En revanche, s'il accepte de les fournir il peut continuer à travailler sur Windows. Les informations entrées sont envoyées à l'attaquant.

Pour le moment, les systèmes d'exploitation Microsoft Windows 95, 98, NT, 2000, XP et Server 2003 sont concernés. Il est cependant possible que certaines variantes affectent Windows Vista.

Des instructions de suppression de ce code malveillant se trouvent sur le site suivant :

http://www.symantec.com/security_response/writeup.jsp?docid=2007-042705-0108-99

7 Courriers liés à Internet Explorer 7.0 Bêta

Une nouvelle campagne de courriels non sollicités contenant des liens vers un code malveillant prend de l'ampleur. Ces messages ont pour expéditeur admin@microsoft.com et pour sujet : Internet Explorer 7.0 Beta. Le code malveillant serait hébergé sur de nombreux sites.

Le texte contient une URL de la forme http://XXXXX/update.exe. Le fichier exécutable est bien évidemment un code malveillant, qui cherche ensuite à se connecter vers un serveur distant. L'originalité de ce courriel est qu'il a réussi à contourner plusieurs filtres antispam mis en œuvre. La raison est la suivante : le corps du texte est inséré dans des balises HTML <style></style>. Le contenu de ses balises ne sera pas affiché par la majorité des clients de messagerie. Ce texte est visible en affichant le code source du courriel. Il est de la forme :

From :
X-Account-Key :
(...) 
Subject : Internet Explorer 7.0 Beta
From : admin@microsoft.com
Importance : High
Content-Type : text/html
Date : ...

<_style>
        texte - liste de mots sans r�elle importance
</_style>
<_a target="_blank" href="http://XXXXXX/update.exe" ><img src="http://YYY/ie.jpg">
<_style>
        texte - liste de mots sans r�elle importance
</_style>

Le CERTA rappelle à cette occasion que le courrier électronique n'est pas, à la date de rédaction de ce document, le moyen de communication normal de Microsoft pour effectuer des mises à jour.


8 Rappel des avis émis

Durant la période du 04 au 10 mai 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-200 : Vulnérabilités dans Mambo
  • CERTA-2007-AVI-201 : Multiples vulnérabilités dans PHP
  • CERTA-2007-AVI-202 : Vulnérabilités dans Novell SecureLogin
  • CERTA-2007-AVI-203 : Plusieurs vulnérabilités dans Microsoft Excel
  • CERTA-2007-AVI-204 : Plusieurs vulnérabilités dans Microsoft Word
  • CERTA-2007-AVI-205 : Vulnérabilité dans Microsoft Office
  • CERTA-2007-AVI-206 : Multiples vulnérabilités dans Microsoft Exchange
  • CERTA-2007-AVI-207 : Multiples vulnérabilités d'Internet Explorer
  • CERTA-2007-AVI-208 : Vulnérabilité dans CAPICOM
  • CERTA-2007-AVI-209 : Vulnérabilité de l'interface Microsoft DNS RPC
  • CERTA-2007-AVI-210 : Vulnérabilités dans Trend Micro ServerProtect
  • CERTA-2007-AVI-211 : Vulnérabilité dans HP Tru64
  • CERTA-2007-AVI-212 : Vulnérabilité de plusieurs produits de sécurité
  • CERTA-2007-AVI-213 : Vulnérabilités dans SquirrelMail
  • CERTA-2007-AVI-214 : Multiples vulnérabilités dans Novell NetMail
  • CERTA-2007-AVI-215 : Vulnérabilité de Websphere
  • CERTA-2007-AVI-216 : Vulnérabilité dans les produits Cisco

Pendant la même période, les alertes et avis suivants ont été mis à jour :

  • CERTA-2007-ALE-006-001 : Vulnérabilité dans le logiciel Microsoft Word

    (ajout des références aux bulletins de sécurité MS07-024 et CERTA-2007-AVI-204)

  • CERTA-2007-ALE-010-002 : Vulnérabilité de Microsoft DNS Server

    (ajout des références aux bulletins MS07-029 et CERTA-2007-AVI-209)

  • CERTA-2007-AVI-129-001 : Vulnérabilité dans CUPS

    (ajout des références Gentoo, Mandriva, Redhat et Suse)

  • CERTA-2007-AVI-138-001 : Vulnérabilité dans file (ajout des références Debian, Mandriva, SuSE, Gentoo, Avaya, Redhat, Ubuntu)
  • CERTA-2007-AVI-177-001 : Multiples vulnérabilités dans XOrg et XFree86

    (ajout des références OpenBSD, SuSE, et Gentoo)


Liste des tableaux

Gestion détaillée du document

11 mai 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-27