Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-045

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 09 novembre 2007
No CERTA-2007-ACT-045

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-45


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-045

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-045.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-045/

1 Problèmes liés à des relais HTTP

Les incidents de sécurité informatique affectant les serveurs laissent parfois des traces sur l'Internet. C'est le cas par exemple avec les défigurations, qui sont généralement revendiquées sur des sites spécialisés et/ou qui restent dans les caches des moteurs de recherche, ou encore lorsque la machine sert de relais de phishing ou de rebond d'attaque (les messages électroniques ou journaux relatifs à ces problèmes sont parfois publiés sur des sites web). Il est un cas que nous n'abordons quasiment jamais : les proxies ouverts.

Un proxy est un service qui relaie une requête, le cas le plus fréquent étant avec HTTP. L'utilisation d'un proxy HTTP (parfois appelé serveur mandataire) permet ainsi de naviguer plus ou moins anonymement sur des sites ou forums. Ils sont parfois utilisés pour déposer des messages tout en indiquant l'adresse IP du proxy en lieu et place de celle de l'internaute. Un serveur peut être un proxy suite à une action volontaire de l'administrateur, mais aussi à cause d'une erreur de configuration ou d'une intrusion frauduleuse. Des listes de serveurs mandataires publics sont maintenues sur certains sites spécialisés.

Lorsqu'un serveur figure sur une liste de proxies ouverts, sa fréquentation peut brutalement augmenter. Cela se traduit entre autres par une augmentation significative de la taille des journaux. Par exemple, dans le cas d'un proxy HTTP, de nombreuses connexions au serveur auront pour but de demander des pages externes au site web. Une des conséquences directes peut être la saturation de la bande passante du serveur. En effet, toute page externe demandée transitera deux fois par le proxy : une première fois entre le serveur HTTP réellement interrogé et le proxy et une seconde fois entre le proxy et le client.

Le CERTA a récemment traité le cas d'un serveur en « déni de service » parce que le mode proxy était activé. Cependant, la désactivation de celui-ci ne résoud pas tous les problèmes. En effet, l'adresse IP de ce serveur est référencée dans des listes de proxies ouverts. La bande passante est largement moins saturée mais les journaux d'accès au serveur HTTP sont pollués par des demandes de pages externes, ce qui se traduit par des erreurs 404 en grand nombre. Dans ce cas, seul un changement d'adresse IP permet d'alléger les systèmes.

2 Des vulnérabilités associées aux navigateurs

2.1 Introduction

Les navigateurs offrent de manière générale des surfaces d'attaques intéressantes pour les attaquants. Ils se limitent souvent à quelques modèles, partageant des moteurs de rendus. La tendance est actuellement à les complexifier en multipliant les services Web au cours des diverses navigations.

Cette semaine, plusieurs vulnérabilités ont été publiées sur l'Internet. Bien que l'exploitation de ces dernières aient été testées sur Mozilla Firefox, d'autres navigateurs peuvent avoir les mêmes particularités. Elles illustrent cependant que ces applications restent un point de fragilité des machines connectées sur l'Internet.

2.2 Les documents téléchargeables

2.2.1 Présentation

L'en-tête HTTP permet au serveur de préciser différents comportements au niveau du navigateur du poste client.

Le standard MIME permet ainsi d'encapsuler plusieurs types de données dans un même document Internet (courriel ou page Web par exemple).

C'est le cas de l'option Content-Disposition. Cette option est définie dans le RFC 2183 (remplaçant du RFC 1806), et permet de définir quelques paramètres pour la récupération d'objets attachés, comme :

  • le nom de l'objet ;
  • le type ;
  • la date de création ou de de modification ;
  • la taille en octets. Le standard précise même que cette valeur est indicative, et peut être estimée.

Un exemple visible dans un en-tête de réponse HTTP peut être de la forme :

        Content-type = application/octet-stream
        Content-disposition = attachment; filename=certa.txt

L'utilisateur va donc voir une fenêtre qui lui propose d'ouvrir le fichier certa.txt, ou de l'enregistrer sur le poste.

Le problème souligné cette semaine par des personnes est que la page ouverte (sans ou après avoir été enregistrée) est interprétée par le navigateur Firefox dans le contexte local de la machine, et non le contexte du site sur lequel la page est prise. Des scripts insérés dans la page téléchargée peuvent ainsi accéder à des données locales.

Il faut que l'utilisateur ouvre, à un moment ou un autre, la page proposée en téléchargement, pour que l'action malveillante réussisse.

La page peut inciter cette action d'une manière ou une autre.

Il faut enfin noter que Microsoft précise bien dans un document de sa base de connaissances (KB279667) que plusieurs méthodes existent pour contourner la demande présentée à l'utilisateur pour enregistrer ou ouvrir le document. Il cite les contrôles ActiveX ou une applet Java.

2.2.2 Recommandations

Les recommandations classiques s'appliquent ici : l'utilisateur doit naviguer sur des sites de confiance, et ne doit pas activer l'interprétation de codes dynamiques (Javascript, ActiveX, etc.) par défaut.

Cette rigueur dans la configuration du navigateur doit s'appliquer pour tout document ouvert avec celui-ci, même s'il est ouvert à partir d'un fichier téléchargé et enregistré sur la machine.

2.3 Les URI de type jar:

2.3.1 Présentation

Le CERTA a mentionné dans de précédents bulletins d'actualité des problèmes issus de l'interprétation par le navigateur de certains champs protocolaires, comme res:, data:, etc. Des personnes ont rappelé cette semaine qu'un bogue subsiste et concerne jar:. Ce bogue a été mentionné dans le site de suivi de bogues de Mozilla, dès février 2007, mais n'est toujours pas corrigé à la date de rédaction de cet article.

Le protocole jar: a une syntaxe particulière, et peut être inséré dans une page HTML pour indiquer une archive via une adresse réticulaire URL (chemin absolu), ainsi que le fichier à extraire de cette archive.

        ...
        jar:http://serveur_victime_xss/fichier.jar!/mon_fichier
        ...
L'URL peut être de forme quelconque : http://, comme dans l'exemple ci-dessus, ou https://, file://, ftp://, chrome://, etc.

Cette propriété peut aussi être exploitée via tout site offrant la possibilité de charger de tels fichiers d'archives, qu'ils soient aux formats traditionnels JAR ou ZIP, ou sous des formes plus complexes, comme les formats OpenOffice OpenDocument (ODT) ou Microsoft OpenXML.

Un tel site est alors exploité pour lancer une attaque par injection de code indirecte (XSS).

2.3.2 Recommandations

Plusieurs actions peuvent être entreprises :

  • pour l'administrateur :
    • surveiller au niveau d'une passerelle Web les contenus de type jar:URL!fichier ;
    • limiter les chargements possibles par les utilisateurs via un site Web, et contrôler l'accès de ceux-ci ;
    • mettre en place éventuellement des mesures de conversion des fichiers.
  • pour l'utilisateur :
    • naviguer sur des sites de confiance ;
    • ne pas interpréter par défaut de codes dynamiques au niveau du navigateur ;
    • utiliser un système d'exploitation et des applications (navigateur et antivirus notamment) à jour.

2.4 Documentation associée

3 Vulnérabilité sur Macrovision SafeDisc

Macrovision SafeDisc est un mécanisme de vérification de l'authenticité de certains jeux sur Microsoft Windows. Il utilise le pilote secdrv.sys et il est installé par défaut sur les systèmes Windows XP, Windows Server 2003 et Windows Vista.

Le CERTA a publié le 06 novembre 2007 l'avis CERTA-2007-AVI-480 portant sur ce pilote. La vulnérabilité est un débordement de mémoire causé par une erreur dans le traitement de certains paramètres de configuration du pilote. L'exploitation de cette faille par une personne malveillante permet une élévation de privilèges maximale. Toutefois, elle nécessite auparavant que l'attaquant soit connecté au système d'exploitation (via un code malveillant ou en local, par exemple).

Le CERTA insiste sur l'importance de cette vulnérabiltié car elle affecte tous les utilisateurs de systèmes d'exploitation Windows XP et Windows Server 2003. Windows Vista utilise également SafeDisc mais n'est pas affecté par la faille. Macrovision a publié un correctif que l'on peut d'ores et déjà télécharger manuellement. Il est également probable que Microsoft publie une mise à jour via son système des mises à jour automatiques. La vulnérabilité est actuellement exploitée et il est donc recommandé d'installer la mise à jour de Macrovision sans plus attendre.

Documentation


4 Rappel des avis émis

Dans la période du 02 au 09 novembre 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-462 : Vulnérabilité de McAfee e-Business Server
  • CERTA-2007-AVI-463 : Vulnérabilités dans Symantec Mail Security
  • CERTA-2007-AVI-464 : Multiples vulnérabilités dans IBM AIX
  • CERTA-2007-AVI-465 : Vulnérabilité dans NuFW
  • CERTA-2007-AVI-466 : Vulnérabilité dans les serveurs Sun Fire X2100/X2200 M2
  • CERTA-2007-AVI-467 : Vulnérabilité dans CUPS
  • CERTA-2007-AVI-468 : Vulnérabilité dans Novell BorderManager
  • CERTA-2007-AVI-469 : Vulnérabilité dans IBM Lotus Domino
  • CERTA-2007-AVI-470 : Vulnérabilité de Tomcat WebDAV et des applications l'utilisant
  • CERTA-2007-AVI-471 : Vulnérabilité de Blue Coat Security Gateway OS
  • CERTA-2007-AVI-472 : Multiples vulnérabilités de SonicWALL SSL VPN
  • CERTA-2007-AVI-473 : Multiples vulnérabilités dans les extensions de Nagios
  • CERTA-2007-AVI-474 : Vulnérabilité de l'antivirus Symantec
  • CERTA-2007-AVI-475 : Vulnérabilité dans Avaya
  • CERTA-2007-AVI-476 : Multiples vulnérabilités dans gFTP
  • CERTA-2007-AVI-477 : Multiples vulnérabilités dans Apple QuickTime
  • CERTA-2007-AVI-478 : Vulnérabilité dans PWLib
  • CERTA-2007-AVI-479 : Vulnérabilité de GNU Emacs
  • CERTA-2007-AVI-480 : Vulnérabilité dans Macrovision SafeDisc
  • CERTA-2007-AVI-481 : Vulnérabilité de Perl
  • CERTA-2007-AVI-482 : Vulnérabilité dans Plone
  • CERTA-2007-AVI-483 : Vulnérabilité de Ghostscript

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2007-AVI-182-001 : Vulnérabilité dans ProFTPD

    (ajout de la référence CVE et de la référence au bulletin de sécurité Mandriva)

  • CERTA-2007-AVI-391-001 : Vulnérabilité dans GNU Tar

    (ajout de la référence au bulletin de sécurité SuSE)

  • CERTA-2007-AVI-424-001 : Multiples vulnérabilités dans XOrg

    (ajout de la référence CVE et des références aux bulletins de sécurité Mandriva, Gentoo, SUSE et Sun.)

  • CERTA-2007-AVI-425-001 : Multiples vulnérabilités dans libpng

    (ajout des références CVE et des références aux bulletins de sécurité Ubuntu et Red Hat)

  • CERTA-2007-AVI-463-001 : Vulnérabilités dans Symantec Mail Security

    (mise à jour des produits affectés, de la solution et ajout du bulletin de sécurité de Symantec)

  • CERTA-2007-AVI-467-002 : Vulnérabilité dans CUPS

    (ajout de la référence au bulletin de sécurité Ubuntu)

  • CERTA-2007-AVI-480 : Vulnérabilité dans Macrovision SafeDisc

    (révision des risques liés à la vulnérabilité)


Liste des tableaux

Gestion détaillée du document

09 novembre 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-27