Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2008-ACT-032

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 08 août 2008
No CERTA-2008-ACT-032

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-32


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-032

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-032.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-032/

1 Incident de la semaine

1.1 Que faire des pourriels ?

1.1.1 Présentation

Cette semaine, le CERTA a informé le responsable d'un site internet de la compromission de ce dernier.

En effet, le site Web avait été visité par des personnes malveillantes qui y avaient déposé des pages frauduleuses d'une campagne de filoutage (phishing). Une rapide analyse du site a permis de mettre en évidence que la compromission a été facilitée par un défaut de mise à jour du gestionnaire de contenu utilisé (CMS). Au delà de cette compromission, une discussion s'est engagée, entre le CERTA et le responsable du site, sur la gestion des pourriels de filoutage.

Le CERTA rappelle qu'en France l'association Signal Spam, regroupant la plupart des organisations françaises concernées par la lutte contre le spam, tente de fédérer les efforts de tous pour lutter contre les pourriels. Signal Spam met à disposition sur son site des outils et des conseils permettant de leur rapporter facilement et rapidement des courriers indésirés. De tels signalements ne vont pas réduire, instantanément, le nombre de pourriels dans les boites mais vont assurément contribuer à lutter contre ce fléau.

1.1.2 Documentation

2 Les journaux d'événements de Microsoft SQL

Les journaux d'événements, les « traces », sont par défaut dans le répertoire LOG contenu dans le repertoire racine de la base de données. La liste des traces configurées, avec les fichiers associés, s'obtient à l'aide de la commande fn_trace_getinfo. Les fichiers sont au format binaire et peuvent être lus en utilisant la fonction fn_trace_gettable. Les événements et les informations associées enregistrés (EnventClass, DatabaseID, TransactionID .... ) sont paramétrables à l'aide de procédures stockées. Il est nécessaire de désactiver une trace avant de la modifier. Par défaut, une trace système est activée et ne peut être arretée que par l'utilisation de la procédure sp_configure. Voyons dans l'exemple suivant la création d'une nouvelle trace pour laquelle on va activer l'enregistrement des événements 118 - Audit Object Derived Permission Event. Pour ces enregistrements, on veut comme informations : TextData(1), les BinaryData(2) et le startTime(14).

DECLARE
@traceidnum INT,
@on BIT,
@file_path NVARCHAR(256),
@maxsize bigint;
SET @on = 1;
SET @maxsize =5;
SET @file_path = 'c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\trace';

/* creation de la trace
EXEC sp_trace_create  @traceid = @traceidnum OUTPUT, @options = 2, @tracefile = @file_path, @maxfilesize = @maxsize, @stoptime=null, @filecount =0;

/*desactivation de la trace
EXEC sp_trace_setstatus @traceidnum, 0

/*parametrage
EXEC sp_trace_setevent @traceidnum, 118, 1, @on
EXEC sp_trace_setevent @traceidnum, 118, 2, @on
EXEC sp_trace_setevent @traceidnum, 118, 14, @on        

/*activation de la trace
EXEC sp_trace_setstatus @traceidnum, 1

La fonction fn_trace_getinfo permet de vérifier que la trace a bien été créée :

select * from fn_trace_getinfo(default)

Pour lire les données enregistrées il faut utiliser la fonction fn_trace_gettable (L'argument default indique que tous les fichiers associés seront lus ) :

SELECT *  FROM fn_trace_gettable('C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log.trc', default);

Le CERTA rappelle l'importance de bien configurer les journaux d'événements et de les analyser régulièrement.

2.1 Documentation

3 FLASH : Attention aux fausses mises à jour !

3.1 La menace

Cette semaine, l'éditeur Adobe a publié, sur le blog de son équipe de réponse aux incidents de sécurité, une mise en garde contre de fausses mises à jour de son lecteur Flash.

En effet, de nombreux sites malveillants, proposant par exemple de lire des vidéos en ligne, incitent le visiteur à télécharger une mise à jour du lecteur Flash afin de pouvoir lire correctement les vidéos mises à disposition. Ces mises à jour se révèlent être des chevaux de Troie et permettent à des personnes malveillantes de prendre le contrôle de la machine compromise ou d'enregistrer les frappes claviers. La diffusion de ce code malveillant repose sur une campagne de pourriels invitant à venir visiter des sites malveillants et sur de l'ingénierie sociale via des sites de réseaux sociaux.

3.2 Les recommandations

Le CERTA profite de cette actualité afin de rappeler certaines bonnes pratiques et recommandations afin de se protéger et de limiter l'impact de ce type de compromission :

  • ne jamais suivre un lien provenant d'une source non fiable ;
  • toujours se procurer les mises à jour sur le site officiel de l'éditeur ;
  • maintenir l'ensemble des applications (système d'exploitation, navigateur, antivirus, ...) à jour ;

L'éditeur Adobe donne également un moyen de vérifier si la mise à jour provient bien chez lui. Il est en effet possible de vérifier le certificat qui est validé par Microsoft Windows pour les utilisateurs de ce système d'exploitation. Pour effectuer cette vérification, il suffit de vérifier l'organisme de publication : il doit toujours être « Adobe Systems, Incorporated ». Cette vérification peut être faite au lancement de l'installation ou en faisant un clic-droit sur le fichier exécutable, puis « Propriétés ». Dans l'onglet « signature » figure l'information sur l'éditeur de la mise à jour ou de l'application.

Enfin, il existe une page web permettant de déterminer la version du client Flash installé sur le système et de déterminer la version courante pour ce dernier. L'adresse de cette page est disponible ci-dessous.

Documentation


4 Rappel des avis émis

Dans la période du 01 au 07 août 2008, le CERTA a émis les avis suivants :

  • CERTA-2008-AVI-383 : Vulnérabilités de phpMyAdmin
  • CERTA-2008-AVI-384 : Vulnérabilité dans SAP MaxDB
  • CERTA-2008-AVI-385 : Vulnérabilité dans HP-UX
  • CERTA-2008-AVI-386 : Vulnérabilité CA ARCserve Backup
  • CERTA-2008-AVI-387 : Vulnérabilité de libxslt
  • CERTA-2008-AVI-388 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2008-AVI-389 : Faiblesse du Microsoft Protected Storage
  • CERTA-2008-AVI-390 : Multiples vulnérabilités dans Ingres
  • CERTA-2008-AVI-391 : Vulnérabilités de Python
  • CERTA-2008-AVI-392 : Multiples vulnérabilités dans Apache Tomcat
  • CERTA-2008-AVI-393 : Vulnérabilité dans HP-UX libc


Liste des tableaux

Gestion détaillée du document

08 août 2008
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-20