Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-053

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 31 décembre 2009
No CERTA-2009-ACT-053

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-53


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-053

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-053.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-053/

1 Bonne année

L'année 2009 s'achève, c'est le moment des bilans et des bonnes résolutions.

Encore une fois, cette année a été riche en événements, avec comme point d'orgue la propagation de différentes versions de vers exploitant la vulnérabilité MS08-067 (Conficker, Kido, ...). Ces événements nous ont prouvé, s'il en était encore besoin, que les procédures les plus simples (contrôle du SI, mises à jour, etc.) restent la base de la sécurisation des systèmes. Sans cette brique essentielle, tout le reste ne sera que château de sable et s'écroulera au premier problème venu.

L'année 2009 aura également été marquée par une forte augmentation des alertes. Le CERTA rappelle que de nombreuses vulnérabilités sont toujours non corrigées comme dans Adobe Reader, Adobe Acrobat et Thunderbird 2. La plus grande prudence est donc recommandée lors de l'ouverture de certains courriels ou documents PDF, par exemple les cartes de vœux.

D'un côté plus organisationnel, 2009 a vu la naissance de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), dont le CERTA fait partie, preuve s'il en est que la sécurité informatique est au cœur des préoccupations de l'État.

Le bulletin d'actualité est pour le CERTA, le moyen de partager sa vision et son expérience en matière de traitement d'incident. Tout retour sur cette production est toujours bénéfique. N'hésitez donc pas à nous faire part de vos remarques.

Il ne nous reste désormais plus qu'à vous souhaiter une bonne fin d'année 2009 et à vous donner rendez-vous l'année prochaine pour continuer ensemble l'effort global de sécurisation de nos systèmes d'information.

Très bonne année à toutes et à tous !

2 Incidents de la semaine

Danger des scripts de gestion de fichiers

Certains webmestres ont recours à des scripts, généralement écrits en PHP, pour assurer la gestion des fichiers sur le serveur. Leur rôle consiste à permettre le dépôt de fichiers (upload) ou le téléchargement (download). Malheureusement, ils ne sont pas toujours bien écrits ou ne s'adaptent pas toujours à la politique de sécurité du système d'information.

En l'espace d'une semaine, le CERTA a traité plusieurs incidents relatifs à de tels scripts :

  • une porte dérobée a été déposée dans un répertoire de stockage de fichiers temporaires puis utilisée pour la mise en place d'un site de phishing;
  • un scénario similaire a mené à la défiguration d'un site Web ;
  • plusieurs fichiers de téléchargement ont été utilisés par des attaquants pour récupérer des fichiers de configuration de serveur Web. L'un de ces fichiers contenait des identifiants de connexion à une base de données.

Le recours à de tels scripts doit avant tout s'inscrire dans la politique de sécurité. Il est nécessaire d'identifier au préalable les fichiers susceptibles d'être manipulés et de restreindre l'utilisation des scripts à ces fichiers. D'autre part, une attention toute particulière doit être apportée à l'écriture de ces programmes. Il est possible qu'ils fassent appel à des fonctions dangereuses qui peuvent être détournées pour réaliser diverses attaques. Enfin, le fait qu'il s'agisse souvent d'un développement « maison » ne préserve pas des attaques, puisqu'ils sont assez facilement trouvés à l'aide d'un moteur de recherche.

3 Un cadeau de Noël pour Microsoft IIS

La semaine dernière, de nombreux articles ont été publiés concernant une vulnérabilité non corrigée dans Microsoft IIS 6.

Microsoft, par l'intermédiaire de son centre de sécurité, a répondu qu'il ne s'agissait pas d'une vulnérabilité. Même si une faiblesse existe dans le traitement du caractère « ; » dans une URL par le serveur web de Microsoft, celle-ci ne peut être exploitée que sur un serveur mal configuré.

En effet, il est nécessaire pour une personne malveillante voulant profiter de cette faiblesse d'avoir les droits en écriture et en exécution sur le répertoire dans lequel un fichier malveillant aurait été déposé. Cette configuration, qui n'est pas celle par défaut, n'est pas en accord avec les bonnes pratiques de configuration d'un serveur Web.

Le CERTA recommande donc aux utilisateurs de Microsoft IIS de prendre connaissance et d'appliquer les bonnes préconisations de Microsoft disponibles ci-après.

Documentation

4 D'où vient mon plug-in ?

D'une manière générale, le CERTA recommande de ne pas installer de greffons supplémentaires, et ceci pour plusieurs raisons : confiance dans l'éditeur, manque de lisibilité, ajout de vulnérabilités supplémentaires, etc. Cependant, force est de constater que dans certains cas, l'ajout de greffons supplémentaires à un navigateur apporte un plus tant en termes de fonctionnalité qu'en termes de sécurité.

Lorsque l'on installe un de ces greffons ou une mise à jour de ces greffons, plusieurs choix s'offrent à nous :

  • le bon choix : se rendre sur la page de l'éditeur et rechercher directement le greffon souhaité ;
  • le mauvais choix : installer le greffon directement depuis un site tiers (avec tous les risques que cela comporte) ;
  • le choix médian : cliquer sur le lien d'un site tiers nous proposant de télécharger et d'installer le greffon depuis le site de l'éditeur.

A priori, ce dernier choix semble sûr : une fois rendu sur le site de l'éditeur, l'utilisateur peut vérifier qu'il est bien sur un site légitime, éventuellement en HTTPS avec un certificat valide. Malheureusement, ce n'est pas si simple. En effet, il est aisé pour un site malveillant de construire un lien qui aura deux actions conjointes : afficher la page valide de l'éditeur et proposer le téléchargement d'un greffon provenant d'un site tiers malveillant (cf. Capture d'écran). Même si dans le cas de Firefox (dans cet exemple), le nom du site malveillant s'affiche, rien n'empêche l'attaquant de construire un nom de domaine approchant ou trompeur. Il est alors très difficile pour l'utilisateur se rendre compte qu'il est en train de télécharger et d'installer un greffon malveillant. À noter que ceci est vrai pour tous les navigateurs permettant l'ajout d'extensions.

Figure 1: Exemple de téléchargement d'un greffon malveillant
Image plugin

Le seul bon choix reste donc le premier. Le CERTA vous encourage donc, dans le cas où vous auriez besoin d'installer un greffon supplémentaire, à faire la recherche de ce greffon sur un site de confiance (l'éditeur dans la plupart des cas).


5 Rappel des avis émis

Dans la période du 25 au 31 décembre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-562 : Vulnérabilité dans Sendmail
  • CERTA-2009-AVI-561 : Multiples vulnérabilités dans Directory Server Enterprise Edition

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-549-001 : Multiples vulnérabilités dans Drupal (ajout des références CVE)
  • CERTA-2009-AVI-552-001 : Vulnérabilité dans des produits Horde (ajout des références CVE)
  • CERTA-2009-AVI-554-001 : Multiples vulnérabilités dans Wireshark (ajout des références CVE et de la référence au bulletin de sécurité Fedora)
  • CERTA-2009-AVI-556-001 : Multiples vulnérabilités dans IBM AIX (ajout des références CVE)
  • CERTA-2009-AVI-557-001 : Vulnérabilités dans OSSIM (ajout des références CVE)


Liste des tableaux

Gestion détaillée du document

31 décembre 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-24