Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-034

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 21 août 2009
No CERTA-2009-ACT-034

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-34


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-034

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-034.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-034/

1 Incidents de la semaine

Cette semaine, le CERTA a traité un cas de compromission d'un serveur Web fonctionnant avec SPIP. L'objectif apparent de l'intrusion était d'ajouter des pages Web faisant la promotion de produits pharmaceutiques spécifiques. Cette attaque a été rendue possible car certains paramétrages étaient trop permissifs, notamment l'écriture dans quelques répertoires étaient autorisée.

Le scénario de l'attaque pourrait se résumer ainsi :

  • l'attaquant recherche des serveurs fonctionnant avec SPIP ;
  • il profite de droits en écriture dans un répertoire particulier pour déposer un phpshell (programme écrit en PHP qui a la possibilité d'exécuter un certain nombre de commandes, à l'instar d'un shell classique) ;
  • il utilise son phpshell pour installer plusieurs fichiers, notamment un second phpshell (de secours ?) et un fichier qui, lorsqu'il est exécuté, provoque le téléchargement d'un ensemble de pages de promotion pour des produits pharmaceutiques.

La présence sur le serveur de ces pages au contenu inapproprié a été détectée à plusieurs reprises au cours des dernières semaines. Mais le traitement de l'incident n'avait pas été fait correctement. En effet, après la première détection de cet incident, seules les pages de publicité avaient été retirées. Suite au second signalement du problème, un des phpshell avait été supprimé. Ce n'est qu'après la troisième alerte que le disque dur a été analysé, ce qui a conduit à la découverte de l'autre phpshell et du fichier responsable de l'installation des pages de promotion.

Il est important de préciser que si un filtrage en sortie avait été mis en place, le contenu publicitaire ne serait pas apparu aussi facilement et cela aurait laissé une trace flagrante dans les journaux.

2 Microsoft Office Visualization Tool (OffVis)

Microsoft a présenté à la conférence Black Hat USA, qui a eu lieu du 25 au 30 juillet dernier à Las Vegas, un outil gratuit d'analyse du format Microsoft Office (pour les versions allant de 97 à 2003). Ce logiciel, baptisé OffVis, permet la détection des documents malveillants au format .doc, .xls, et .ppt. La version bêta 1.0 est disponible gratuitement à l'adresse :

http://go.microsoft.com/fwlink/?LinkId=158791

Il s'agit une application .NET et le framework 3.5 est recommandé.

Le format Microsoft Office (97 à 2003), nommé OLE Structured Storage (parfois également appelé Compound File), est en fait un système de fichiers dans un document. L'idée sous-jacente est de pouvoir stocker simplement plusieurs fichiers (images, objets OLE, etc.) dans un seul document, de pouvoir les modifier sans avoir à tout réécrire, de permettre des opérations telles que des annulations, etc.

L'analyse d'un document Office doit donc se faire à deux niveaux :

  • le OLE Structured Storage ;
  • son contenu, qui peut-être Word, Excel ou PowerPoint.

OffVis embarque quatre modules de traitement : celui pour le OLE Structured Storage, qui est indispensable à toute analyse de document Office, et un pour chacun des contenus Word, Excel, et PowerPoint. Ces éléments incluent également la possibilité de détecter les documents malveillants correspondant à huit vulnérabilités connues :

  • CVE-2006-0009, PowerPoint, mars 2006 ;
  • CVE-2006-0022, PowerPoint, juin 2006 ;
  • CVE-2006-2492, Word, juin 2006 ;
  • CVE-2006-3434, Word, octobre 2006 ;
  • CVE-2007-0671, Excel, février 2007 ;
  • CVE-2006-0081, Excel, mars 2008 ;
  • CVE-2006-0238, Excel, avril 2009 ;
  • CVE-2006-0556, PowerPoint, mai 2009.

L'interface de l'outil est composée de deux fenêtres, celle de gauche affiche la représentation hexadécimale du fichier analysé, et celle de droite permet la navigation dans les objets du document, sous forme arborescente.

Cependant, même si les bases sont indéniablement présentes, OffVis ne tient pas encore toutes ses promesses. Les modules de traitement sont encore incomplets, parfois incorrects. À titre d'exemple, l'arborescence du OLE Structured Storage est présentée de façon approximative, plusieurs noeuds manquent à l'appel. De plus, OffVis étant destiné à être un outil d'audit de document Office, il se doit d'embarquer une base de données de vulnérabilités connues. En effet, les huit actuellement détectées sont insuffisantes pour en faire un outil opérationnel. Enfin, l'outil étant en version bêta, il est encore instable et présente régulièrement des dysfonctionnements.

Malgré ses défauts de jeunesse, OffVis est très prometteur, en ce sens qu'il permet l'analyse des contenus Word, Excel, et PowerPoint, et soulage du développement fastidieux d'un analyseur de contenu Office dont les spécifications, aujourd'hui publiques, font plus de 2000 pages au total. Reste à savoir quand OffVis sortira dans une version finale, avec une base de données complète (et pouvant être mise à jour) de vulnérabilités.


3 Rappel des avis émis

Dans la période du 14 au 20 août 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-336 : Vulnérabilité dans GnuTLS
  • CERTA-2009-AVI-339 : Vulnérabilités dans JRun
  • CERTA-2009-AVI-340 : Multiples vulnérabilités dans Adobe ColdFusion
  • CERTA-2009-AVI-341 : Vulnérabilités dans IBM WebSphere Application Server
  • CERTA-2009-AVI-342 : Vulnérabilité dans CA Host-Based Intrusion Prevention System
  • CERTA-2009-AVI-343 : Vulnérabilité dans CA Internet Security Suite

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-316-001 : Vulnérabilité dans Fetchmail (ajout des références aux bulletins Debian, Mandriva et Ubuntu)
  • CERTA-2009-AVI-334-001 : Vulnérabilité dans WordPress (ajout de la référence CVE)
  • CERTA-2009-AVI-337-002 : Vulnérabilité du noyau Linux (correction de coquille et ajout de la référence au bulletin de sécurité Ubuntu)
  • CERTA-2009-AVI-338-001 : Vulnérabilité de cURL et libcurl (ajout des références aux bulletins RedHat et Ubuntu)


Liste des tableaux

Gestion détaillée du document

21 août 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-26