Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-016

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 17 avril 2009
No CERTA-2009-ACT-016

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-16


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-016

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-016.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-016/

1 Incidents de la semaine

Le CERTA a traité cette semaine un nouveau cas de compromission de site Web, dont le scénario est très proche de celui décrit dans le dernier bulletin (« Intrusion FTP », CERTA-2009-ACT-015). L'ordinateur de l'un des rédacteurs (contributeurs) du site Web a été compromis. Les données de connexion (adresse du site, identifiant et mot de passe) ont été dérobées puis utilisées depuis plusieurs adresses IP afin de changer régulièrement le code source des pages du site Web.

Dans le cadre du traitement d'incident, le CERTA a cherché à identifier quel contributeur a eu sa machine compromise. Cette tâche s'avère être impossible dans la mesure où :

  1. il y a une douzaine de personnes se connectant fréquemment pour des besoins de rédaction au serveur ;
  2. elles partagent toutes le même compte pour l'accès (identifiant, mot de passe).

Lorsque plusieurs personnes contribuent de cette manière à un site Web, il est important d'appliquer quelques pratiques de sécurité afin de limiter les intrusions mais aussi de pouvoir conserver une trace utile des accès :

  • mettre en place une politique de filtrage stricte en limitant l'accès FTP à certaines adresses IP identifiées des contributeurs ;
  • fournir à chacune des personnes un compte distinct.

2 Correctifs Microsoft du mois d'avril

Cette semaine, Microsoft a émis huit mises à jour de sécurité. Trois de ces mises à jour sont particulièrement importantes car elles corrigent des failles ayant fait l'objet d'alertes du CERTA et dont le code d'exploitation est disponible sur l'Internet :

  • le bulletin de sécurité MS09-010 qui corrige plusieurs vulnérabilités dans les convertisseurs de texte WordPad et Office permettant l'exécution de code arbitraire à distance ;
  • le bulletin de sécurité MS09-012 qui corrige plusieurs élévations de privilèges (vols de jetons) dans Microsoft Windows ;
  • le bulletin de sécurité MS09-009 qui corrige deux vulnérabilités permettant l'exécution de code arbitraire à distance via l'ouverture d'un document Excel spécialement conçu.

Les cinq autres bulletins sont les suivants :

  • le bulletin MS09-011 concerne une vulnérabilité dans DirectX permettant l'exécution de code arbitraire à distance ;
  • le bulletin MS09-013 décrit plusieurs vulnérabilités dans les services HTTP Windows permettant l'exécution de code arbitraire à distance ;
  • le bulletin MS09-014 concerne plusieurs vulnérabilités touchant toutes les versions de Microsoft Internet Explorer permettant l'exécution de code arbitraire à distance ;
  • le bulletin MS09-015 corrige une autre élévation de privilèges dans Microsoft Windows ;
  • enfin, le bulletin MS09-016 qui concerne des vulnérabilités dans Microsoft ISA Server permettant à des personnes malintentionnées d'effectuer des dénis de service à distance et des injections de code indirectes.

Il est évidemment recommandé d'appliquer ces mises à jour dès que possible. Microsoft a également mis à jour son bloc-notes « Security Research and Defense » avec plusieurs articles commentant certaines des vulnérabilités.

Le CERTA rappelle également que les versions 2000 SP3, 2002 SP3 (XP SP3), et 2003 SP3 de Microsoft PowerPoint sur Windows et 2004 de Microsoft PowerPoint sur Mac sont toujours concernées par une vulnérabilité non corrigée et actuellement exploitée. Celle-ci fait l'objet de l'alerte CERTA-2009-ALE-005.

2.1 Documentation

3 De l'aspect bénin d'un balayage

3.1 Généralités

Il est fréquent d'entendre qu'un balayage réseau est une opération bénigne, qu'il s'agisse de scanner des ports ou des plages d'adresses IP.

Plusieurs outils permettent ainsi d'auditer son réseau afin de vérifier la topologie et le comportement des différents équipements. Ils peuvent aussi servir à contrôler la politique de filtrage. Peut-on plus librement les utiliser sur des machines tiers de l'Internet ?

La question peut être posée d'une autre manière : est-il si facile de maîtriser et savoir l'impact que peut avoir cette opération de balayage sur les systèmes cibles ou intermédiaires ? La réponse est malheureusement non. Même si l'envoi de quelques trames peut sembler anodin, ces dernières peuvent perturber le bon fonctionnement d'un système d'information.

Un exemple concret est présenté au paragraphe ci-dessous.

3.2 Vulnérabilité de Packet Filter

Le CERTA a publié cette semaine l'avis CERTA-2009-AVI-136 concernant une vulnérabilité du pare-feu Packet Filter d'OpenBSD.

Les opérations de NAT ou de redirection (nat, binat, rdr) peuvent provoquer sous certaines conditions une panique du noyau et ainsi perturber le service de filtrage. Elles ne manipulent pas correctement les datagrammes IP qui indiquent un en-tête protocolaire suivant de type ICMPv6 (proto_id=58).

Les différentes valeurs possibles du champ Protocole de l'en-tête IP ont été d'abord précisées dans les standards RFC 1340 et 1700 mais elles sont actuellement mises à jour directement via le site Web de l'IANA (RFC 3232). Les RFC 1340 (juillet 1992) et 1700 (octobre 1994) sont obsolètes et ne font pas mention d'ICMPv6. La liste actualisée se trouve à l'adresse réticulaire :

OpenBSD a publié un correctif. Un contournement consiste aussi à renforcer les règles de traduction/redirection en leur précisant à quels protocoles elles s'appliquent, comme :

nat on xxx proto { tcp udp icmp } from...

En conclusion, une simple trame peut perturber le bon fonctionnement d'un pare-feu. Utiliser un outil de balayage qui, involontairement ou non, émet cette trame, peut avoir une conséquence relativement importante.

3.3 Recommandations

  • Pour les utilisateurs de Packet Filter : il faut penser à appliquer le correctif OpenBSD qui corrige le problème. L'exploitation de cette vulnérabilité est triviale et peut avoir de lourdes conséquences sur le fonctionnement d'un système ou d'un réseau ;
  • Pour les utilisateurs d'outils de balayage : comme tout outil de sécurité, leur usage doit être maîtrisé et utilisé dans un contexte professionnel, uniquement afin de garantir la sécurité de son propre réseau.

4 Vulnérabilité CIFS du noyau Linux

Cette semaine, une vulnérabilité dans le noyau Linux a été rendue publique et a fait l'objet de la publication d'un correctif. La version stable courante est donc passée de 2.6.29 à 2.6.29.1. Le risque associé à cette faille, détaillé dans l'avis CERTA-2009-AVI-153, est le déni de service ou potentiellement de l'exécution de code arbitraire.

En l'espèce, il s'agit d'un mauvais calcul de taille de tampon mémoire. L'allocation de celui-ci pourrait donc être sous-dimensionnée par rapport à la taille réelle des données qui y sont écrites. Le correctif proposé pour la version 2.6.29.1 consiste d'ailleurs en une modification de ce calcul pour obtenir une taille plus importante. Mais, d'après certains développeurs, le nouveau calcul reste encore insuffisant. Il resterait, donc, une faille résiduelle. D'autres proposent d'ailleurs une réécriture complète de cette portion de code car elle consiste en une approximation de taille de tampon plus ou moins grossière. Ce qui ne constitue pas une gage de fiabilité in-fine.

Il faudra donc être vigilant sur la suite donnée à ce correctif dans le noyau Linux, car, visiblement, les choses pourront encore évoluer en la matière. De manière plus générale, lors de l'application de correctif, outre les effets de bords évidents que cela peut entraîner, il faudra toujours prendre garde à de possibles « correctifs de correctifs » ultérieurs.

5 Élévation de privilèges sous Linux

Le logiciel udev, qui permet de gérer les noeuds de périphériques sur un système Linux, présentait une vulnérabilité importante. En effet, udev est à l'écoute de message en provenance du noyau sur une socket de type netlink, qui lui permet d'avoir des informations sur les événements liés principalement à l'apparition et la disparition de périphériques. La vulnérabilité provient du fait que udevd ne vérifie pas la provenance des messages qu'il reçoit sur cette socket ; or n'importe quel utilisateur peut y envoyer des messages, qui seront traités directement.

Il est ainsi possible de créer des noeuds de périphériques avec des droits permettant aux utilisateurs normaux d'y accéder. On pourra par exemple penser à /dev/mem, pour accéder à la mémoire physique et y charger un rootkit, ou à /dev/sda afin d'accéder directement au système de fichier sans vérification des droits.

L'exploitation de la vulnérabilité est d'autant plus aisée que, depuis les dernières versions, les règles fournies par défaut avec udev comprennent la possibilité d'exécuter une commande arbitraire spécifiée dans le message envoyé via netlink. Celle-ci sera exécutée avec les droits root, ce qui permet à un utilisateur non privilégier d'élever simplement ses privilèges.

En conséquent, sur les systèmes vulnérables, l'exploitation de la faille pour un attaquant est extrêmement simple et parfaitement fiable.

Pour se prémunir du problème, il faut mettre à jour udev. Le CERTA a publié à ce sujet l'avis de sécurité CERTA-2009-AVI-155.

6 Vulnérabilité JBIG2... les autres aussi !

Le CERTA publie à la date de rédaction de ce bulletin une mise à jour de l'avis CERTA-2009-AVI-094. Pour mémoire, cet avis faisait suite à la mise à jour d'une faille JBIG2 (mauvaise interprétation de cet encodage) par les lecteurs PDF d'Adobe (dans un premier temps, cette vulnérabilité avait fait l'objet de l'alerte du CERTA CERTA-2009-ALE-001). Il s'avère que d'autre lecteurs PDF sont vulnérables, même si l'exploitation dans ces cas là n'était pas connue.

Plus globalement, les vulnérabilités portant sur des fonctions de manipulation de formats produisent souvent cet effet. Les éditeurs, afin d'éviter de réinventer la roue, intègrent en général la même mise en oeuvre des mêmes algorithmes. C'est le cas, par exemple, pour l'interprétation des formats de compression par les antivirus.

Dans ces cas spécifiques, l'utilisation de produits alternatifs peut s'avérer bien souvent insuffisante. Il vaut mieux alors mettre en oeuvre d'autres contournements provisoires, tels que la mise en quarantaine des fichiers incriminés provenant de sources extérieures, et ce, jusqu'à ce qu'un correctif soit publié. Cette décision, comme toute autre, ne doit pas se prendre à la légère et doit résulter d'une étude de risques permettant de choisir la bonne posture et par conséquent le bon contournement provisoire.


7 Rappel des avis émis

Dans la période du 10 au 17 avril 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-134 : Vulnérabilités des produits Cisco
  • CERTA-2009-AVI-135 : Vulnérabilité dans HP OpenView
  • CERTA-2009-AVI-136 : Vulnérabilité du pare-feu Packet Filter d'OpenBSD
  • CERTA-2009-AVI-137 : Multiples vulnérabilités des produits VMWare
  • CERTA-2009-AVI-138 : Multiples vulnérabilités dans SPIP
  • CERTA-2009-AVI-139 : Vulnérabilités dans Wireshark
  • CERTA-2009-AVI-140 : Vulnérabilités dans les convertisseurs de texte WordPad et Office
  • CERTA-2009-AVI-141 : Vulnérabilité dans Microsoft DirectX
  • CERTA-2009-AVI-142 : Vulnérabilités dans Microsoft Windows
  • CERTA-2009-AVI-143 : Vulnérabilités dans les services HTTP Windows
  • CERTA-2009-AVI-144 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2009-AVI-145 : Vulnérabilité dans Microsoft Windows
  • CERTA-2009-AVI-146 : Vulnérabilité dans Microsoft ISA Server
  • CERTA-2009-AVI-147 : Vulnérabilité dans Microsoft Excel

Durant la même période, les alertes suivantes ont été mises à jour :

  • CERTA-2008-ALE-012-001 : Vulnérabilité dans Microsoft Windows
  • CERTA-2008-ALE-015-001 : Vulnérabilité dans le convertisseur de texte WordPad
  • CERTA-2009-ALE-002-001 : Vulnérabilité dans Microsoft Excel


Liste des tableaux

Gestion détaillée du document

17 avril 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22