Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-044

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 30 octobre 2009
No CERTA-2009-ACT-044

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-44


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044/

1 Microsoft EMET

Cette semaine Microsoft a publié un outil nommé EMET pour (Enhanced Mitigation Evaluation Toolkit) disponible en téléchargement gratuit à cette adresse :

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4a2346ac-b772-4d40-a750-9046542f343d
.

Cet outil, bien qu'en ligne de commande, reste très simple à utiliser. Il ne dispose pas, pour le moment, de programme d'installation mais la documentation fournie étant assez claire, on peut s'en affranchir aisément.

EMET propose de positionner, de façon indépendante sur les programmes binaires présents sur la machine, un certain nombre de protections limitant les effets des codes malveillants. Ainsi, parmi les protections proposées, on trouve :

  • l'activation du DEP (Data Execution Prevention) par binaire. Cette protection empêche l'exécution de certaines régions d'un processus en marquant explicitement ces zones comme non-exécutables. Cette fonctionnalité était déjà présente dans Windows XP SP2 ainsi que les versions suivantes pour les binaires Microsoft, mais EMET permet d'affiner les réglages en permettant ce positionnement binaire par binaire ;
  • un système de protection de la chaîne d'exceptions ou SEH (Structured Exception Handling) inclus dans chaque binaire. Ce mécanisme prévient la corruption de cette chaîne. En effet, il existe des moyen d'exécuter du code arbitraire si l'on arrive à corrompre cette structure ;
  • un système de protection des erreurs issu d'un type pointeur nul (NULL Pointer) présents dans certains programmes. EMET préviendra donc des attaques de type NULL Pointer même si le binaire protégé présente ce type de faille ;
  • une protection de la zone mémoire nommée « tas » qui sert aux mécanismes d'allocation dynamique de mémoire. Une attaque assez courante consistant à remplir le tas avec des données comprenant, entre autre, le code arbitraire à exécuter (shellcode), EMET l'empêchera ou, tout du moins, rendra plus difficile ce type d'attaque.

Concrètement, EMET gère la liste des applications qu'il protège. Son fonctionnement est binaire puisque si l'application figure dans cette liste elle disposera de l'ensemble des protections si elle n'y est pas, elle n'en aura aucune, sauf peut-être le DEP si il a été positionné globalement par ailleurs.

Cet outil devra tout de même être utilisé avec prudence et modération car, selon Microsoft et compte tenu des protections mises en place, il peut y avoir des effets de bord pour certaines applications. Celles-ci peuvent tout simplement cesser de fonctionner ou devenir instables. Néanmoins pour des applications sensibles et souvent sujettes à des attaques, EMET peut être d'un grand secours et le niveau de protection offert se révèle être très intéressant. De plus son utilisation en ligne de commande lui permet d'être inclus aisément dans des scripts de configuration.

2 Problèmes avec la mise à jour MS09-056

La mise à jour MS09-056 corrige deux vulnérabilités de la CryptoAPI de Microsoft Windows permettant d'usurper le certificat d'un site Web. Ce bulletin a fait l'objet de l'avis CERTA-2009-AVI-436.

Microsoft a mis à jour son bulletin de sécurité pour informer de problèmes éventuels pouvant être rencontrés avec certaines applications après installation de la mise à jour. Notamment, il est écrit que certains services ne s'exécutent plus dans les versions suivantes de Communications Server :

  • Live Communications Server 2005 et Live Communications Server 2005 SP1 ;
  • Office Communications Server 2007 Enterprise Edition, Standard Edition, et R2 Standard Edition ;
  • les versions d'évaluation d'Office Communicator 2007 et Office Communicator R2.

Le symptôme décrit est que l'activation des produits échoue ou que les produits se comportent comme si une version d'évaluation expirée est installée.

Un correctif est disponible sur le site de Microsoft (cf. section documentation).

Documentation

3 Le numéro de téléphone : une illusion d'authentification

Ne jamais faire confiance à un service demandant une authentification par numéro de téléphone.

Si votre messagerie vocale n'est pas protégée par un mot de passe, il est judicieux d'en configurer un. Car il n'est pas forcément facile de savoir la façon dont l'opérateur gère l'authentification sur son serveur de messagerie.

Il est aujourd'hui possible de se faire passer pour un autre en usurpant son numéro de téléphone. L'avènement de la VoIP a mis le spoofing téléphonique, c'est-à-dire l'usurpation de numéro de téléphone, à la portée de tous. Avec un PABX, il est envisageable de manipuler les flux téléphoniques et donc de modifier le numéro source de l'appel.

N'importe qui peut alors usurper un numéro de téléphone. Il existe des services « légitimes » sur le Web agissant comme proxy téléphonique et permettant de changer le numéro source de l'appel, ainsi que de modifier sa voix. Ces services sont faciles à utiliser, il suffit d'y souscrire, pour environ 10 euros de l'heure, et un code PIN sera fourni qui permettra l'accès au proxy téléphonique. Ensuite, il suffit d'appeler ce proxy téléphonique, d'entrer le code PIN, et de préciser le numéro à appeler et le numéro source de l'appel. Certains smartphones peuvent installer directement des applications permettant d'automatiser ce processus.

Beaucoup de services, aux États-Unis notamment, utilisent le numéro de téléphone pour authentifier l'utilisateur. Des banques, des sociétés de vente par correspondance, des fournisseurs d'accès à l'Internet ou téléphonique, et bien d'autres encore, utilisent de nos jours l'authentification par numéro de téléphone. C'est malheureusement une donnée à laquelle les gens ont appris à faire confiance. Pourtant, cette forme d'authentification est aujourd'hui clairement obsolète. Il est beaucoup facile d'usurper un numéro de téléphone qu'il y a 10 ans.


4 Rappel des avis émis

Dans la période du 23 au 29 octobre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-454 : Multiples vulnérabilités dans TYPO3
  • CERTA-2009-AVI-455 : Vulnérabilité dans IBM OS/400 HTTP Server
  • CERTA-2009-AVI-456 : Vulnérabilité dans ProFTPD
  • CERTA-2009-AVI-457 : Vulnérabilité dans Asterisk
  • CERTA-2009-AVI-458 : Vulnérabilité dans IBM Lotus Connections
  • CERTA-2009-AVI-459 : Multiples vulnérabilités dans Mozilla Firefox
  • CERTA-2009-AVI-460 : Vulnérabilités dans Opera
  • CERTA-2009-AVI-461 : Vulnérabilité dans Solaris Trusted Extensions
  • CERTA-2009-AVI-462 : Vulnérabilités dans les produits McAfee
  • CERTA-2009-AVI-463 : Multiples vulnérabilités dans Wireshark

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-211-001 : Multiples vulnérabilités de Apache Tomcat (ajout de référence CVE et du bulletin HP-UX)


Liste des tableaux

Gestion détaillée du document

30 octobre 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22