Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-036

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 septembre 2009
No CERTA-2009-ACT-036

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-36


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-036

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-036.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-036/

1 Vulnérabilité dans le service FTP de IIS

Cette semaine le CERTA a publié l'alerte CERTA-2009-ALE-015 relative à une vulnérabilité non corrigée dans le service FTP de Microsoft Internet Information Services (IIS). Cette faille entraîne différentes conséquences selon les versions :

  • une exécution de code arbitraire à distance est possible sur la version IIS 5.0 ;
  • un déni de service à distance est possible pour les versions IIS 5.1, 6.0 et 7.0.

Cette vulnérabilité nécessite, pour son exploitation, un compte utilisateur avec les droits en écriture et la possibilité de créer un répertoire sur le serveur cible. Afin de limiter les risques afférents à cette vulnérabilité, le CERTA recommande les actions suivantes :

  • désactiver le support de l'écriture de fichiers dans la configuration du serveur FTP de Microsoft IIS pour les utilisateurs non identifiés (compte anonymous) ;
  • supprimer la permission NTFS de créer des répertoires pour les utilisateurs du service FTP ;
  • restreindre l'accès du serveur FTP aux seules personnes de confiance ;
  • désactiver le service FTP si ce dernier n'est pas nécessaire.

Documentation

2 Incidents de la semaine

Attaques par dictionnaire sur POP3

Cette semaine, plusieurs correspondants nous ont informés, après avoir dépouillé leurs journaux de connexion, d'attaques par dictionnaire sur leurs serveurs POP3 (port 110/tcp). Le rythme d'une des attaques était relativement lent, avec une tentative environ toutes les 9 secondes. Les autres essais, provenant tous de la même source, avaient une cadence plus soutenue, comparable à celle des attaques visant les serveurs SSH.

Le CERTA recommande donc aux administrateurs de vérifier dans leurs journaux les tentatives d'accès au service POP3, et de s'assurer que les mots de passe utilisés ne sont pas triviaux. En période de rentrée scolaire, de nombreux comptes de messagerie sont souvent créés. Il est conseillé d'éviter les mots de passe prévisibles, notamment ceux basés sur le nom du compte. Il est également possible de mettre en place des mécanismes automatiques de mise en quarantaine et ou d'interdiction définitive de connexion lorsqu'une adresse fait trop de tentatives de connexion infructueuses dans un délai préalablement défini.

3 Attaque du chiffrement TKIP

En 2008, lors d'une célèbre conférence de sécurité, deux chercheurs allemands, Martin Beck et Eric Tews, ont démontré des faiblesses sur le chiffrement TKIP utilisé pour assurer la sécurité dans les réseaux sans fil WiFi 802.11. L'attaque décrite permettait d'envoyer des paquets légitimes à une station WiFi, pour peu que certaines conditions soient présentes (notamment le support de la QoS 802.11e, et un temps d'une quinzaine de minutes nécessaires pour obtenir les éléments permettant l'attaque). L'attaque avait beaucoup fait parler d'elle, car bien que non critique (TKIP n'étant pas à proprement parlé « cassé »), elle ouvrait cependant la porte à une attaque réelle sur ces mécanismes de sécurité.

Début août 2009, deux chercheurs japonais, Toshihiro Ohigashi et Masakatu Morii ont publié un nouveau document améliorant l'attaque de Beck et Tews. Ils expliquent comment reproduire la même attaque, mais avec des conditions nécessaires plus simples (QoS non active, durée de la phase de préparation de l'attaque plus courte, de l'ordre d'une minute). Encore une fois, la réalisation de l'attaque présente encore une complexité forte, et ne « casse » pas totalement TKIP. Cependant, ce type de publication démontre que la sécurité de TKIP s'effrite peu à peu. Le CERTA recommande, si l'utilisation du WiFi est indispensable, de migrer rapidement vers les nouvelles solutions de sécurité intégré dans la norme 802.11i, notamment l'utilisation de CCMP comme méthode de sécurité.

Documentation

4 Mise à jour et régression

Cette semaine Apple a publié la dernière version de son système d'exploitation : Mac OS X version 10.6 aussi appelée Snow Leopard. Cette sortie implique donc que la version 10.4 ou Tiger ne sera bientôt plus maintenue. Il faudra donc envisager une mise à jour des machines sous ce système d'exploitation vers une version plus récente : 10.5 ou 10.6.

En outre, il a été découvert cette semaine, suite à cette sortie, que le système était livré en standard avec une version vulnérable du logiciel Adobe Flash Player. En effet, la version du lecteur Flash présente sur les supports d'installation est la 10.0.23.1 alors que la version à jour à la date de cet article est la 10.0.32.18.

Il est donc indispensable après une installation de Mac OS X 10.6, et ce dans les plus brefs délais, de mettre à jour le lecteur, cette version obsolète présentant un risque d'attaque certain. Plus généralement, avant tout usage d'un système d'exploitation, il est impératif de le mettre à jour ainsi que les logiciels qui y sont installés.

5 Publications de vulnérabilités non corrigées

Certaines sociétés sur l'Internet commercialisent des vulnérabilités de type 0-day ainsi que les méthodes d'exploitation. Cette constatation démontre, s'il en était en besoin, qu'il n'existe pas de solution ou de système d'information sûr à 100%. Le CERTA rappelle donc que, même si un système est complètement à jour, il est important d'y appliquer quelques bonnes pratiques :

  • appliquer les principes de défense en profondeur et multiplier les couches de protection, de filtrage et journalisation ;
  • journaliser au maximum les événements ;
  • consulter régulièrement les journaux afin d'y détecter toute activité anormale ou suspecte ;
  • former et sensibiliser les utilisateurs ;

Ces recommandations sont rappelées chaque semaine dans la partie « statique » du bulletin d'actualité au format PDF du CERTA (voir les sections suivantes). De plus, le CERTA met à disposition sur son site Internet de nombreuses notes d'information permettant d'obtenir des recommandations sur différents sujets.

Documentation


6 Rappel des avis émis

Dans la période du 28 août au 03 septembre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-359 : Vulnérabilité dans Norton AntiVirus et Symantec Client Security Email
  • CERTA-2009-AVI-360 : Multiples vulnérabilités dans Opera
  • CERTA-2009-AVI-361 : Vulnérabilité dans Dnsmasq
  • CERTA-2009-AVI-362 : Vulnérabilités dans OpenOfficeorg
  • CERTA-2009-ALE-015 : Vulnérabilité du serveur FTP de Microsoft IIS
  • CERTA-2009-AVI-363 : Vulnérabilité de wget
  • CERTA-2009-AVI-364 : Vulnérabilité dans Qt
  • CERTA-2009-AVI-365 : Vulnérabilités dans IBM Java


Liste des tableaux

Gestion détaillée du document

04 septembre 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-27