Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-046

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 16 novembre 2007
No CERTA-2007-ACT-046

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-46


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-046

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-046.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-046/

1 Le générateur d'aléas de Microsoft Windows

Le CERTA a publié cette semaine un avis CERTA-2007-AVI-490 relatif à une vulnérabilité dans le serveur DNS de Microsoft Windows. La faille conserne la génération pseudo aléatoire des identifiants de transaction DNS, son exploitation pourrait ainsi permettre à une personne malintentionnée de prédire certaines valeurs.

Par ailleurs, de nombreuses discussions font état de faiblesse dans la fonction CryptGenRandom() de Microsoft Windows 2000. Des chercheurs auraient en effet réussi à prédire certains aléas déjà générés, sous reserve d'un accès à la mémoire. Il n'est pas exclu que d'autres versions de Microsoft Windows soient affectées. Microsoft prévoit une mise à jour pour cette vulnérabilité.

Pour l'instant rien ne permet d'affirmer que ces deux événements sont liés. Le CERTA tient à rappeler que le gestion des aléas est un élément fondamental dans la conservation du secret, notamment dans la fonctionnalité SSL.

Documentation

2 Que voyez-vous ? Qu'entendez-vous ?

Le CERTA présentait dans son bulletin d'actualité CERTA-2007-ACT-044 le MoBiC, ou Month of Bugs in Captchas.

L'auteur de l'événement a respecté son annonce initiale, et publie donc depuis le début du mois des vulnérabilités associées à cette technique de discrimination entre utilisateurs humains et robots.

2.1 Des modules largement déployés

Plusieurs personnes tendent, pour déployer rapidement de telles méthodes de tests, à utiliser des codes existants. Plusieurs modules sont ainsi disponibles sur l'Internet pour des éditeurs de contenus (CMS) comme WordPress ou Drupal. On retrouve la problématique de codes développés par des tiers, non validés et pas nécessairement maintenus.

Le fait que le code soit téléchargé un grand nombre de fois (indicateur souvent présent sur les sites de téléchargement) n'est pas un gage de la qualité du code.

L'auteur du MoBiC montre que l'un de ces modules ne présente en réalité que dix valeurs distinctes possibles aux visiteurs, suite à une erreur de programmation. Il n'est donc pas compliqué, pour une personne connaissant les caractéristiques de ce module, de faire des tests exhaustifs sur ces dix valeurs. Un outil automatique peut également s'en charger.

Un autre composant, cette fois dans PHP-Nuke, est contournable si l'outil, qui veut se faire passer pour un humain, envoie des requêtes au site en trichant sur les valeurs des variables envoyées, et en lui transmettant dans le cas présent toujours les mêmes : une valeur de contrôle et un nombre aléatoire.

Dans certains cas, il peut suffire d'envoyer des valeurs nulles pour perturber la création de l'image.

2.2 Les informations par défaut

Plusieurs méthodes déployées pour les captchas sont donc vulnérables, comme l'auteur le démontre depuis le début du mois de novembre.

Il est aussi possible d'utiliser les moteurs de recherche pour identifier rapidement des sites déployant de telle ou telle méthode pour les captchas. En effet, dans les modules existants, les phrases sont relativement standards ("Veuillez saisir le code de sécurité ci-dessus/dessous, etc.), le nom des images et des scripts également (XXX.cgi). On peut imaginer par exemple l'utilisation de Google Image Search... Les valeurs par défaut des variables sont également un indicateur, comme la chaîne 123456 dans le cas suivant :

     <p>Veuillez saisir le code de s&eacute;curit&eacute; dans la zone de droite :</p>

     <p>
        <_img src="http://URL_de_monSite/crypto.php?imgcible=ABCD" alt="" width="80" height="40">
        <_input type="hidden" name="cryptocheck" value="123456">
        <_input type="hidden" name="cryptoimg" value="ABCD">
        <_input type="text" name="crypto"/>
    </p>

Une option mentionnée par l'auteur consiste à modifier toutes ces valeurs par défaut au moment du déploiement. Il faut cependant bien comprendre qu'il ne s'agit pas là d'une mesure de sécurité, mais d'une bonne pratique. Cela ne protégera pas mieux une solution qui est vulnérable, mais peut rendre son exploitation moins automatique.

2.3 Conclusions

Dans tous les cas, l'utilisation de captchas doit être bien comprise par l'administrateur du site. Ils apportent une fonctionnalité de filtrage, afin de limiter trop d'actions malveillantes par des robots. Ce ne sont pas des méthodes d'authentification, et encore moins des techniques qui se suffisent à elles-même. Les problématiques des modules développés par des tiers sont également présentes.

3 Rétrogradation de version chez Apple

Un article disponnible sur le site d'Apple, prône la rétrogradation de version pour le logiciel QuickTime Player pour Windows XP. Afin de résoudre une erreur due à des fichiers manquants, Apple conseille de désinstaller la version 7.3 de QuickTime Player et d'installer la version 7.2.

Le CERTA tient à rappeler que le passage à une version antérieure d'un logiciel n'est pas sans risque. Il est possible que des vulnérabilités, corrigées dans la version la plus récente du logiciel, réapparraissent.

Dans ce cas précis, la version 7.3 du logiciel QuickTime Player permet de combler les failles suivantes :

  • des exécutions de code arbitraire (CVE-2007-2395, CVE-2007-3750, CVE-2007-4672, CVE-2007-4674, CVE-2007-4675, CVE-2007-4676, CVE-2007-4677) ;
  • et une élévation de privilèges (CVE-2007-3751).
L'ensemble des vulnérabilités ci-dessus ne sont pas corrigés dans la version 7.2 du logiciel QuickTime Player d'Apple. Le CERTA tient à mettre en garde les utilisateurs des dangers potentiels que représentent cette rétrogradation logicielle et leur conseille d'utiliser en attendant un lecteur alternatif.

4 Correction de la vulnérabilité URI

Cette semaine, Microsoft a publié un correctif pour la vulnérabilité des URI (Universal Resource Identifier) sur Windows XP ou Windows Server 2003 avec Internet Explorer 7. Elle permettait à une personne malintentionnée d'exécuter des commandes arbitraires à distance. Elle concernait un filtrage insuffisant, par les applications et Windows, sur les URIs passés en argument à la fonction ShellExecute().

Rappel, cette faille a fait l'objet de deux alertes par le CERTA :

  • l'alerte CERTA-2007-ALE-013 du 27 juillet 2007 portant sur l'appel par Mozilla Firefox de la fonction ShellExecute() ;
  • l'alerte CERTA-2007-ALE-015 du 10 octobre 2007 portant sur la faille de façon plus générale.

Au moins un code d'exploitation de cette vulnérabilité s'est diffusé sur l'Internet (Cf. le bulletin d'actualité CERTA-2007-ACT-043), sous la forme de courriers électroniques ayant une pièce jointe au format pdf. Ces fichiers exploitaient l'appel à une URI effectué par l'application Adobe Reader, ce que l'éditeur a rapidement corrigé par la suite. Mozilla avait également publié des correctifs pour ses applications touchées cet été.

Cette mise à jour de Microsoft devrait corriger le problème définitivitement, puisqu'elle résout le problème à sa source.

Documentation


5 Rappel des avis émis

Dans la période du 09 au 15 novembre 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-487 : Vulnérabilité de Cisco Unified MeetingPlace
  • CERTA-2007-AVI-488 : Vulnérabilité dans gforge
  • CERTA-2007-AVI-489 : Vulnérabilité dans le traitement des URI sous Windows
  • CERTA-2007-AVI-490 : Vulnérabilité du serveur DNS de Microsoft Windows
  • CERTA-2007-AVI-491 : Vulnérabilité dans les pilotes sans-fil MadWifi
  • CERTA-2007-AVI-492 : Vulnérabilités dans PHP
  • CERTA-2007-AVI-493 : Vulnérabilité dans WinPcap
  • CERTA-2007-AVI-494 : Multiples vulnérabilités dans phpMyAdmin
  • CERTA-2007-AVI-495 : Vulnérabilité du client Novell Netware pour Windows
  • CERTA-2007-AVI-496 : Vulnérabilité dans HP-UX Aries PA-RISC Emulator
  • CERTA-2007-AVI-497 : Vulnérabilité dans OpenSSH
  • CERTA-2007-AVI-498 : Vulnérabilité du produit Adobe ColdFusion
  • CERTA-2007-AVI-499 : Multiples vulnérabilités du système Mac OS X

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2007-AVI-484-001 : Multiples vulnérabilités dans gpdf et produits dé rivés (ajouts des produits associés)


Liste des tableaux

Gestion détaillée du document

16 novembre 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28