Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-008

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 20 février 2009
No CERTA-2009-ACT-008

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-08


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-008

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-008.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-008/

1 Vulnérabilité non corrigée dans Adobe Reader

Une vunérabilité non corrigée a été découverte dans Adobe Reader. Cette dernière permet à une personne malintentionnée d'exécuter du code arbitraire à distance via un fichier au format PDF spécialement construit.

Cette faille a fait l'objet de la publication de l'alerte CERTA-2009-ALE-001 référençant le bulletin de sécurité Adobe APSB09-01 du 19 février 2009.

Cette vulnérabilité est exploitée sur l'Internet et des éditeurs antivirus ont déjà intégré des signatures de codes malveillants tentant de compromettre des machines via cette faiblesse. Ces codes malveillants sont reconnus sous différents noms :

  • Trojan.Pidief.E ;
  • Exploit-PDF.i ;
  • Bloodhound.PDF.6.

En attendant qu'un correctif soit publié, le CERTA recommande d'appliquer les mesures suivantes :

  • utiliser un lecteur alternatif ;
  • désactiver JavaScript dans le lecteur afin de limiter les risques d'exécution de la charge utile ;
  • n'ouvrir un fichier au format PDF que si celui-ci provient d'une source de confiance ;
  • se connecter avec un compte d'utilisateur aux droits limités.

Documentation

2 Incident de la semaine

A la recherche du contact perdu

Cette semaine le CERTA a eu besoin de contacter à plusieurs reprises un hébergeur dont plusieurs sites internet ont été compromis. Pour rentrer en contact avec un hébergeur, il peut être utile de consulter les renseignements de la base RIPE. Cette base (interrogeable par le commande whois <adresse IP> ou whois <nom de domaine>) indique, habituellement, les coordonnées d'un responsable technique.

Le CERTA constate fréquemment que des adresses électroniques personnelles sont utilisées dans les enregistrements de cette base de données. Or les évolutions de carrière, les modifications d'organisation ou les déménagements ne sont pas toujours répercutés dans la base RIPE. Dès lors, il devient difficile de rentrer en contact avec une personne susceptible de traiter un incident. Les temps de traitements peuvent alors s'allonger et des informations concernant l'incident peuvent transiter par des boîtes aux lettres de personnes parties ou n'ayant plus de rapport avec le traitement d'incident.

Le CERTA rappelle que la base RIPE doit être tenue à jour. Les responsables des enregistrements sont également invités à suivre les évolutions et les ajouts des différents champs de cette base de données. L'utilisation d'une adresse fonctionnelle peut limiter les modifications de la base.

Documentation

3 Exploitation de la vulnérabilité ms09-002

L'une des deux vulnérabilités corrigées dans le bulletin ms09-002, est actuellement exploitée.

Pour rappel, ce bulletin qui a fait l'objet de l'avis CERTA-2009-AVI-059 concerne des vulnérabilités dans Microsoft Internet Explorer 7. Les cas observés sur l'internet sont intéressants car si la faille concerne une vulnérabilité d'Internet Explorer, le vecteur d'infection est pourtant un document .doc (mais au format XML).

L'ouverture du document provoque la consultation d'une page web spécialement conçue pour exploiter la vulnérabilité en question et pour exécuter du code arbitraire.

Dans le cas analysé par le CERTA, le shellcode ainsi exécuté provoque le téléchargement et l'exécution d'un code malveillant. Il intercepte également trois fonctions de Windows pour cacher d'éventuels messages d'erreur provoqués par Internet Explorer.

L'intérêt de passer par Microsoft Word pour exploiter la vulnérabilité est double :

  • forcer l'utilisation d'Internet Explorer, même si l'utilisateur consulte d'ordinaire l'Internet à l'aide d'un navigateur alternatif ;
  • outrepasser le mode protégé sur Windows Vista.

Dans le cas analysé par le CERTA, l'exploitation de la vulnérabilité est totalement silencieuse (aucun message d'erreur n'est affiché). Il est donc impératif de mettre à jour son système si ce n'est déjà fait. Pour les personnes n'ayant pas cette possibilité, la désactivation du JavaScript dans les options d'Internet Explorer (décocher « scripts ASP ») rend le code d'exploitation de la vulnérabilité inopérant.

Documentation

4 Vulnérabilité de djbdns

Selon un chercheur en informatique, une vulnérabilité serait présente dans le serveur de noms (DNS) : djbdns. Djbdns est un serveur constitué de plusieurs composants bien distincts, chacun dédié à une fonction bien précise. Ainsi, on trouvera une partie s'occupant de gérer l'ensemble des requêtes pour sa zone (tinydns), un autre composant responsable de la mise en cache des requêtes clientes (dnscache) ou enfin une partie responsable du support des transferts de zone (axfr-get). Ces trois principaux éléments sont mis en œuvre au sein d'un super-service nommé daemontools s'occupant du support réseau à la manière de inetd.

Or, il semble qu'il existe une vulnérabilité dans la partie gestion de cache : dnscache. En effet, ce composant ne met pas en cache les requêtes de type SOA (Start Of Autority). L'enregistrement SOA donne les informations nécessaires à l'identification de l'autorité pour une zone donnée. Le fait que ces requêtes ne soient pas mises en cache permettrait à un attaquant de réaliser une attaque de type empoisonnement de cache en envoyant de très nombreuses requêtes au serveur vulnérable.

Il lui est alors possible d'usurper l'identité du serveur autorité pour la zone pointée dans le champ SOA légitime. Le serveur dnscache vulnérable donnera alors une réponse erronée à ses clients.

Le chercheur ayant découvert cette vulnérabilité propose un correctif non officiel permettant à dnscache de prendre en compte correctement les requêtes de type SOA à l'adresse http://www.your.org/dnscache en l'attente d'un correctif officiel fournit par le développeur responsable du projet : http://cr.yp.to.

Il est à noter enfin que cette vulnérabilité ne touche que la partie « cache » de djbdns. Les autres composants comme tinydns ou axfr-get ne sont pas affectés par la vulnérabilité.

5 Debian 5.0 Lenny

Le 14 février 2009, une nouvelle version stable de la distribution GNU/Linux Debian a été publiée. Celle-ci est estampillée 5.0 et a pour surnom Lenny.

Cette nouvelle mouture embarque bien évidemment de nombreuses mises à jour notamment au niveau des interfaces graphiques, du serveur X et sur de nombreux applicatifs. La prise en charge du format Adobe Flash et Java a été simplifiée.

Du point de vue de la sécurité, les correctifs sont installés par le processus d'installation avant le premier redémarrage. Le nombre d'applications utilisant les droits du superutilisateur a été réduit, ainsi que le nombre de ports ouverts après une installation standard. La construction de plusieurs paquets a été effectuée avec les options de sécurité de GCC, de même de quelques applications comme PHP qui intègre le correctif de durcissement Suhosin.

Enfin une nouvelle image autonome, dite « Live », a fait son apparition et permet de démarrer une machine avec cette distribution sans installation préalable. Cette nouvelle fonctionnalité existe pour les architectures i386 et amd64.


6 Rappel des avis émis

Dans la période du 13 au 20 février 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-066 : Vulnérabilité dans Sun Java System Directory Server
  • CERTA-2009-AVI-067 : Vulnérabilités de Safari
  • CERTA-2009-AVI-068 : Multiples vulnérabilités dans Apple Mac OS X
  • CERTA-2009-AVI-069 : Vulnérabilités dans Java pour Max OS X
  • CERTA-2009-AVI-070 : Multiples vulnérabilités dans Moodle
  • CERTA-2009-AVI-071 : Vulnérabilité dans FreeBSD
  • CERTA-2009-AVI-072 : Vulnérabilité de Symantec Veritas NetBackup


Liste des tableaux

Gestion détaillée du document

20 février 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23