Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-009

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 27 février 2009
No CERTA-2009-ACT-009

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-09


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-009

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-009.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-009/

1 Alerte CERTA-2009-ALE-002

Le CERTA a publié cette semaine l'alerte CERTA-2009-ALE-002 concernant l'application de bureautique Excel. Cette vulnérabilité est actuellement exploitée dans certains cas d'attaques dont le scénario consiste à envoyer un courrier électronique contenant une pièce jointe malveillante.

Des codes circulent actuellement sur l'Internet et sont signalés sous le nom Exploit:Win32:Evenex.gen par Microsoft et Trojan.Mdropper.AC par Symantec. Ils fonctionnent sur certaines versions de langue d'Office 2007 mais Microsoft précise dans son avis de sécurité 968272 que l'ensemble des versions Excel seraient impactées.

Le dysfonctionnement d'Excel à l'ouverture de tels fichiers peut créer une entrée dans les journaux d'événements Windows.

Des contournements provisoires sont recommandés par le CERTA dans son alerte CERTA-2009-ALE-001.

2 Retour sur l'alerte CERTA-2009-ALE-001 concernant Adobe

2.1 La vulnérabilité

Le CERTA a publié la semaine dernière l'alerte CERTA-2009-ALE-001 concernant les fichiers PDF interprétés par les lecteurs Adobe. La vulnérabilité identifiée concerne plus précisément la gestion des flux de type JBIG2.

JBIG2 est une méthode de compression d'images binaires apparue dans les standards internationaux en 2000 et 2001 sous les noms d'ITU T.88 et ISO/IEC 14492. Cette méthode distingue dans une image les zones de texte (les symboles), les zones dites en « demi-teintes » ou même d'autres zones dites génériques qu'elle traite différemment dans le processus d'encodage. Une donnée JBIG2 est ainsi constituée de plusieurs blocs fonctionnels, ou segments. La compression obtenue peut être avec ou sans perte.

Les fichiers PDF se présentent sous la forme d'un ensemble d'objets pouvant être encodés suivant plusieurs méthodes. L'une de celles définies est donc JBIG2. Le filtre JBIG2Decode s'applique aux images monochromes (un bit par pixel) de type XObject en manipulant dans le fichier PDF le flux de l'objet. Chaque page ou image encodée en JBIG2 est alors représentée par une image PDF.

Une vulnérabilité a été identifiée dans la manière dont est géré un segment JBIG2 avec une page ou image, et en particulier l'association qui existe entre les deux : les pages sont identifiées par leur numéro et le segment JBIG2 précise normalement à quelle page il est associé.

Cette vulnérabilité peut être assez simplement exploitée pour perturber l'application (déni de service) ou exécuter du code arbitraire à distance. L'une des techniques d'exploitation consiste à exploiter la vulnérabilité par du JavaScript (remplissage de tas ou heap spray). C'est cette méthode qui est actuellement utilisée par les différents codes diffusés sur l'Internet dont le CERTA a connaissance.

Le CERTA préconise dans son alerte CERTA-2009-ALE-002, comme contournement provisoire, de désactiver l'interprétation du JavaScript dans les lecteurs PDF Adobe. Il y a deux raisons principales à cela :

  • cette opération empêche les codes actuellement connus d'exécuter du code à leur ouverture par une application vulnérable ;
  • il s'agit d'une bonne pratique générale, compte-tenu des risques associés au format PDF rencontrés depuis plusieurs mois.

Il faut noter que d'autres lecteurs semblent perturbés par un fichier ayant un flux JBIG2 particulier. A titre d'exemple, Aperçu sous Mac0S X se ferme inopinément, de même que xpdf ou kpdf sous certaines conditions. La possibilité d'exécuter du code arbitraire n'est pas encore vérifiée.

Foxit Reader n'est pas fourni par défaut avec le composant pour JPEG2000 et JBIG2, et de fait n'est pas vulnérable.

2.2 Les méthodes de détection

Les méthodes de détection ne sont pas triviales du fait de la complexité du format PDF. Plusieurs propriétés permettent à une personne malveillante de construire un fichier trompant la vigilance des outils de sécurité, ceux-ci n'ayant pas toutes les capacités d'interprétation d'un véritable lecteur (ou bien alors ils pourraient souffrir des mêmes vulnérabilités).

Un objet suspect peut apparaître dans le code source du fichier PDF en appelant le filtre JBIG2Decode comme :

<</Subtype/Image/Width xx/Height yy/ColorSpace/DeviceGray/BitsPerComponent 1
/Decode[1 0]/Interpolate true/Length zz/Filter/JBIG2Decode>>
stream

2.3 Documentation

3 Complément d'information sur l'autorun

A la date du 11 février 2009, le CERTA avait complété sa note d'information CERTA-2006-INF-006 liée au « Risques associés aux clés USB » et publié un avis sur une vulnérabilité affectant le mécanisme d'autorun de Microsoft Windows (cf. CERTA-2009-AVI-064).

La mise à jour de sécurité proposée par l'éditeur est depuis sa parution uniquement disponible en mise à jour automatique pour les systèmes d'exploitation Windows Vista et Windows Server 2008, comme le précise la section 3 du bulletin CERTA-2009-ACT-007.

Pour les autres systèmes d'exploitation, cette mise à jour devait être appliquée à l'initiative de l'utilisateur.

Depuis le 24 février 2009, ce correctif de sécurité, associé au numéro de la base de connaissances Microsoft KB967715, est disponible en mise à jour automatique pour les autres versions maintenues du système d'exploitation Windows.

Documentation

4 Vulnérabilité Mozilla Firefox

Cette semaine, un code d'exploitation permettant d'effectuer un déni de service à distance sur le navigateur Mozilla Firefox a été publié sur l'Internet. Cette vulnérabilité non corrigée n'a pas fait l'objet d'une alerte CERTA en raison du risque limité de cette faille. La fondation Mozilla est également restée muette à ce sujet pour l'instant. L'exploitation est très simple et rendue possible via le paramètre OnLoad de la balise BODY d'une page HTML. Le déni de service nécessite cependant que l'interprétation du JavaScript soit activée.

Il est important de garder à l'esprit que les navigateurs internet restent des applications critiques pour les machines des utilisateurs. Le CERTA rappelle donc quelques bonnes pratiques afin de limiter les risques de compromission d'une machine via le navigateur Internet :

  • naviguer avec un compte utilisateur aux droits limités ;
  • ne pas activer par défaut l'exécution de codes dynamiques (Flash, JavaScript, ...) sur les sites qui ne sont pas de confiance ;
  • limiter et même bannir l'installation de modules complémentaires ou extensions ;
  • maintenir constamment à jour l'application et ses modules complémentaires.

5 Les TinyURL, de quoi s'agit il ?

Ce terme couramment utilisé est dérivé du premier site ayant offert le service en 2002, tinyurl.org. Il désigne maintenant un principe de redirection d'une adresse longue et complexe via une plus petite (Tiny). Cette technique est utilisée pour faciliter l'utilisation des URLs ou les rendre plus explicites. Par exemple :

www.monsite.tld/page.php?section=zdilksndifjz&page=13983&titre=MaPAGE
pourrait devenir :
www.siteDeRenommage.tld/IdMaPAGE

Ces petites adresses fonctionnent sur un principe d'association d'un identifiant unique (IdMaPage dans l'exemple) à une adresse. Lorsqu'un visiteur demande un identifiant, il est automatiquement redirigé vers la page associée. Si l'utilisation d'un tel procédé peut se justifier, il convient de se montrer prudent s'il repose sur un tiers pour gérer les associations.

En effet, plusieurs sites offrant ce service ont fermé, invalidant ainsi tous les liens reposant dessus. De plus, l'action, par l'internaute, d'interroger le site de redirection introduit un intermédiaire. Il est important de bien le connaître pour définir le niveau global de confiance de la connexion.

Comme il est possible d'associer plusieurs TinyURL à une même page, il est courant de voir ce service détourné par des attaquants susceptibles de l'utiliser pour multiplier les liens pointant sur un site malveillant (phishing ou autre). Cette solution leur permet d'éviter trop rapidement le blacklistage.

Si ce procédé doit être utilisé, le CERTA recommande de se reposer sur un tiers de confiance ou d'utiliser une solution locale. L'utilisateur ne pourra pas apporté la même confiance, dans tous les cas, à un lien réticulaire qui ne correspond pas à celui de forme prévisible et attendue.


6 Rappel des avis émis

Dans la période du 20 au 27 février 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-073 : Vulnérabilité dans libpng
  • CERTA-2009-AVI-074 : Vulnérabilité dans OpenBSD
  • CERTA-2009-AVI-075 : Vulnérabilité dans IBM AIX
  • CERTA-2009-AVI-076 : Vulnérabilités d'Adobe Flash Player
  • CERTA-2009-AVI-077 : Vulnérabilité dans IBM WebSphere MQ
  • CERTA-2009-AVI-078 : Multiples vulnérabilités dans Cisco ACE
  • CERTA-2009-AVI-079 : Vulnérabilités dans Cisco ANM


Liste des tableaux

Gestion détaillée du document

27 février 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22