Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-006

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 12 février 2010
No CERTA-2010-ACT-006

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-06


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-006

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-006.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-006/

1 Incidents de la semaine

Cette semaine, le CERTA a traité un cas de courriel piégé avec une pièce jointe malveillante. Celle-ci, au format PDF, tentait d'exploiter plusieurs vulnérabilités selon la version du lecteur Adobe Reader utilisé. Cela est possible grâce à l'interprétation du JavaScript par le logiciel. En effet, l'exécution de scripts permet de cibler la version d'Adobe Reader utilisée et de faciliter l'exploitation des différentes vulnérabilités.

Si le PDF malveillant visait plusieurs versions d'Adobe Reader, fort heureusement le shellcode ensuite exécuté était plus capricieux. En effet, celui-ci tente de copier la charge malveillante dans un répertoire spécifique du système avant de l'exécuter. L'écriture dans ce répertoire nécessitait toutefois des droits administrateur, ce que le code ne vérifie pas. La victime ayant ouvert la pièce jointe utilisant un compte aux droits limités, son poste n'a finalement pas été compromis.

Si de nombreux codes malveillants fonctionnent quel que soit le type de compte utilisé, le CERTA rappelle que, selon le principe de défense en profondeur, outre la mise à jour des applications qui reste un principe fondamental, l'utilisation d'un poste pour des tâches bureautiques doit se faire avec un compte qui n'a pas de droits d'administration. De même, les utilisateurs d'Adobe Reader doivent désactiver l'interprétation du JavaScript qui est très rarement indispensable à la lecture d'un document.

2 Actualité Microsoft

2.1 Les correctifs du mois de février

Mardi, Microsoft a publié son lot mensuel de correctifs. Ils sont au nombre de 13 et corrigent 26 vulnérabilités. Voici un rappel des bulletins émis :

  • une vulnérabilité dans Microsoft Office permet d'exécuter du code arbitraire, avec les droits de l'utilisateur sur l'ordinateur vulnérable lors de l'ouverture d'un fichier spécialement conçu ;
  • six vulnérabilités dans Microsoft Powerpoint, permettant d'effectuer une exécution de code arbitraire, ont été corrigées ;
  • une vulnérabilité dans Microsoft Paint permet à une personne malintentionnée distante de provoquer l'exécution de code arbitraire via un fichier JPEG spécialement conçu ;
  • deux vulnérabilités dans le client SMB de Microsoft Windows ont été corrigées ;
  • une vulnérabilité est exploitable par le biais d'un navigateur Web envoyant des données spécialement conçues à la fonction ShellExecute via le gestionnaire de Shell Windows ;
  • une vulnérabilité permet l'exécution de code arbitraire à distance par le biais d'une page Web spécialement conçue appelant un contrôle ActiveX vulnérable ;
  • des erreurs dans l'implémentation du protocole IPv6 dans Microsoft Windows contient plusieurs vulnérabilités qui permettent, entre autre, à un utilisateur distant malintentionné d'exécuter du code arbitraire avec les privilèges « Système » ;
  • une vulnérabilité permet à une personne malintentionnée de créer un déni de service en bloquant l'exécution d'Hyper-V (le système d'hypervision de Microsoft) et de toutes les machines virtuelles en service. L'exploitation de cette vulnérabilité nécessite d'être authentifié dans l'une des machines virtuelles et de pouvoir y exécuter du code localement ;
  • une vulnérabilité dans le processus CSRSS (Client-Server Run-time Subsystem) permet à une personne malintentionnée d'élever ses privilèges sur le système ;
  • plusieurs vulnérabilités dans Microsoft Windows SMB permettent d'exécuter du code arbitraire à distance, de provoquer un déni de service ou d'élever ses privilèges ;
  • une vulnérabilité dans Microsoft DirectShow affecte le filtre AVI et permet à une personne malveillante d'exécuter du code arbitraire au moyen d'un fichier au format AVI spécialement construit ;
  • une vulnérabilité dans Kerberos due à un traitement incorrect de certaines requêtes permet à une personne malintentionnée de provoquer un déni de service sur un contrôleur de domaine Windows ;
  • une vulnérabilité dans le sous-système MS-DOS (ntvdm.exe) et affectant potentiellement toutes les versions 32 bits de Microsoft Windows, permet à un utilisateur local d'élever ses privilèges au moyen d'un exécutable spécialement construit. Ce correctif comble la vulnérabilité décrite dans l'alerte CERTA-2010-ALE-002.

Pour mémoire, la liste des avis publiés par le CERTA pendant la semaine (du jeudi au jeudi) précédent ce document est disponible dans la section « Rappel des avis émis » du bulletin d'actualité.

2.2 Vulnérabilités Microsoft liées à la gestion du SMB

2.2.1 Détails

Parmi les bulletins de sécurité Microsoft publiés cette semaine, deux concernent la gestion du protocole SMB.

Le bulletin MS10-006 concerne la partie cliente de la gestion du protocole SMB. Dans ce bulletin nous nous intéresserons plus spécifiquement à la vulnérabilité CVE-2010-0016. Pour cette vulnérabilité, le scénario d'attaque typique suppose qu'un serveur ait été compromis. Dans ce cas, chaque client se connectant à ce serveur sera à son tour compromis (via une exécution de code) lors de la réception d'une requête SMB spécialement malformée qui lui sera envoyée par le serveur.

On peut aussi envisager qu'une machine cliente infectée se transforme en serveur infectant via, par exemple, l'usurpation de paquets NBNS (NetBIOS Name Service).

Il est à noter que le chercheur à l'origine de la découverte de la vulnérabilité a publié un document détaillé expliquant le savoir faire nécessaire à l'exploitation de cette vulnérabilité.

L'autre bulletin, MS10-012, concerne la partie serveur de la gestion du protocole SMB. L'une des vulnérabilités (CVE-2010-0020) couverte par ce bulletin permet l'exécution de code arbitraire à distance en envoyant une requête SMB malformée à toute machine dont le service serveur est démarré.

Pour les deux vulnérabilités dont nous venons de parler, l'exécution de code s'effectue avec les privilèges « Système » permettant un contrôle total de la machine.

Le fait que l'exploitation de ces deux vulnérabilités nécessite une authentification n'est qu'un facteur atténuant partiel car c'est le cas dans la plupart des réseaux d'entreprises utilisant un annuaire.

2.2.2 Recommandation

L'exploitation de ces vulnérabilités pouvant potentiellement servir à la propagation d'un ver, le CERTA recommande l'installation au plus tôt de ces deux correctifs.

2.2.3 Documentation

2.3 Problème de stabilité lié à la mise a jour du bulletin Microsoft MS10-015

2.3.1 Détails

Il a été remonté par plusieurs utilisateurs que suite à l'application du correctif MS10-015 un redémarrage inopiné de la machine pouvait survenir (redémarrage en boucle). Comme spécifié dans le blog MSRC, ce problème est en cours d'étude chez Microsoft.

La diffusion par Windows Update de cette mise à jour est pour le moment suspendue.

2.3.2 Recommandations

Le CERTA recommande de tester exhaustivement ce correctif avant toute mise en production ou d'appliquer temporairement les contournements proposés par l'éditeur.

2.3.3 Documentation

3 Annonce d'une mise à jour pour Adobe Reader et Adobe Acrobat

L'éditeur Adobe annonce la publication de correctifs pour le mardi 16 février 2010, donc hors du cycle trimestriel annoncé l'été dernier.

Les vulnérabilités corrigées lors de cette mise à jour sont considérées critiques par l'éditeur. Cette qualification laisse supposer la possibilité pour l'attaquant d'exécuter du code arbitraire à l'insu de l'utilisateur.

Les logiciels concernés sont :

  • Adobe Acrobat 9.3 et 8.2 sur Windows et MacOS ;
  • Adobe Reader 9.3 sur Windows, Unix et MacOS ;
  • Adobe Reader 8.2 sur Windows et MacOS.

3.1 Documentation

4 Home Network Administration Protocol

4.1 De quoi s'agit-il

Il s'agit d'un protocole basé sur HTTP-SOAP (Simple Object Access Protocol) qui peut servir à administrer des équipements (routeurs, caméras, NAS ...). Plus simplement, il s'agit d'envoyer un message en XML, respectant un certain format, en utilisant le protocole HTTP. Ce message peut par exemple contenir une demande d'informations (GetDeviceSetting) ou des consignes de configurations (SetDeviceSetting). Il est censé faciliter la réalisation d'une topologie précise du réseau, chaque appareil se décrivant à la demande (type, model, version de logiciel, ...). Pour savoir si un équipement supporte le protocole HNAP, il suffit de lui demander à l'aide d'un simple GET sur http://[IPdevice]/HNAP1/.

4.2 Le danger

Il est décrit comme « simple, rapide et facile à mettre en œuvre ». Avec une telle approche, sans parler des risques hypothétiques du protocole ou des problématiques d'avoir un serveur Web embarqué et potentiellement vulnérable, il est fort à parier que le développement et l'intégration d'un tel protocole suive l'idée du « rapide » et « simple », trop peut être.

4.3 Les conséquences

Il y a quelques semaines, une présentation a montré que certains matériels ont une implémentation vulnérable du protocole HNAP. Si ceux-ci demandent bien un identifiant et un mot de passe pour accéder aux informations sensibles, la demande d'informations est elle librement accessibles. Le problème est qu'elle permet de contourner la demande d'authentification en encapsulant des commandes de configurations, dans un message de type demande d'informations. Le CERTA recommande, dans la mesure du possible la désactivation de ce type de service, ou de ne les laisser accessible qu'a des réseaux dédiés ou tout du moins contrôlés.

4.4 Documentation


5 Rappel des avis émis

Dans la période du 05 au 11 février 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-056 : Vulnérabilité dans HP Enterprise Cluser Master Toolkit
  • CERTA-2010-AVI-057 : Vulnérabilités de DokuWiki
  • CERTA-2010-AVI-058 : Vulnérabilité dans Oracle WebLogic Server
  • CERTA-2010-AVI-059 : Vulnérabilité dans OTRS
  • CERTA-2010-AVI-060 : Vulnérabilité dans Novell eDirectory
  • CERTA-2010-AVI-061 : Vulnérabilité dans Microsoft Office
  • CERTA-2010-AVI-062 : Vulnérabilités de Microsoft PowerPoint
  • CERTA-2010-AVI-063 : Vulnérabilité dans Microsoft Paint
  • CERTA-2010-AVI-064 : Vulnérabilités dans le client SMB de Microsoft Windows
  • CERTA-2010-AVI-065 : Vulnérabilité dans le gestionnaire de Shell Windows
  • CERTA-2010-AVI-066 : Vulnérabilité dans certains contrôles ActiveX
  • CERTA-2010-AVI-067 : Multiples vulnérabilités dans Microsoft Windows TCP/IP
  • CERTA-2010-AVI-068 : Vulnérabilité dans Microsoft Hyper-V
  • CERTA-2010-AVI-069 : Vulnérabilité dans Microsoft Windows CSRSS
  • CERTA-2010-AVI-070 : Multiples vulnérabilités dans Microsoft Windows SMB
  • CERTA-2010-AVI-071 : Vulnérabilité dans Microsoft DirectShow
  • CERTA-2010-AVI-072 : Vulnérabilité dans Kerberos sous Microsoft Windows
  • CERTA-2010-AVI-073 : Vulnérabilité dans le sous-système MS-DOS de Microsoft Windows
  • CERTA-2010-AVI-074 : Vulnérabilité dans Oracle WebLogic Server
  • CERTA-2010-AVI-075 : Vulnérabilité dans HP Network Node Manager
  • CERTA-2010-AVI-076 : Multiples vulnérabilités dans Cisco IronPort
  • CERTA-2010-AVI-077 : Multiples vulnérabilités dans Google Chrome


Liste des tableaux

Gestion détaillée du document

12 février 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-26