Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-009

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 05 mars 2010
No CERTA-2010-ACT-009

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-09


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-009

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-009.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-009/

1 Vulnérabilité non corrigée dans Microsoft VBscript

Cette semaine, Microsoft a émis un bulletin de sécurité concernant une vulnérabilité dans VBscript. Cette vulnérabilité a fait l'objet de l'alerte CERTA-2010-ALE-003.

Cette vulnérabilité est due à une faiblesse structurelle du format de fichier .HLP et permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Le format .HLP est le format historique utilisé pour les fichiers d'aide dans les environnements Microsoft (remplacé depuis quelques années par le format .CHM). Ce format de fichier est considéré comme non sûr car il permet l'exécution de commandes arbitraires via des macros.

En effet, la fonction VBscript (MsgBox) permet l'ouverture de ce type de fichiers .HLP, via une boîte de dialogue incitant l'utilisateur à appuyer sur la touche F1. Il est possible que cette fonction soit appelée via une page Web ouverte avec Microsoft Internet Explorer ou un document Microsoft Office contenant du script.

Le fichier .HLP sera ouvert si et seulement si l'utilisateur appuie effectivement sur cette touche F1. L'ouverture de ce fichier .HLP permet alors l'exécution de code à distance avec les privilèges de l'utilisateur courant. Le fichier .HLP peut se trouver sur le disque local, un partage SMB ou un serveur WEBDAV.

Il est à noter que du code d'exploitation est d'ores et déjà disponible sur Internet.

Documentation

2 Durcissement de la configuration des systèmes Windows (2/8)

Pour continuer la série d'articles dédiés au renforcement de la configuration des systèmes Windows, voici le second article qui s'intéresse au protocole NetBIOS. Cette suite de recommandations ne contiendra finalement pas quatre articles comme annoncé la semaine dernière mais huit !

2.1 Désactivation de NetBIOS sur TCP/IP

Dans un environnement réseau Windows, le protocole NetBIOS over TCP/IP (appelé également NetBT1) est utilisé pour transporter le protocole SMB (Serveur Message Block) qui sert de support au service de partage de fichiers et d'imprimantes, au système de communication inter-processus unidirectionnel (mailslots) et aux canaux nommés (named pipes). De nombreuses interfaces RPC (Remote Procedure Call) offertes par les systèmes Windows se basent à leur tour sur les canaux nommés pour leur communication.


À partir de Windows 2000, SMB peut utiliser un nouveau protocole dénommé Directhosting2. Lorsque le support des versions antérieures à Windows 2000 n'est pas nécessaire, NetBT peut être désactivé. En effet, ce protocole met en œuvre le service NBNS (NetBIOS Name Services) qui est responsable de l'émission en broadcast de nombreux paquets réseau nécessaire à la découverte du voisinage réseau. Dans un environnement Active Directory, le voisinage réseau n'est plus nécessaire. De plus, le service NBNS divulgue des informations telles que le nom de la machine ou de l'utilisateur connecté sur un système.


Cette action peut être réalisée dans les propriétés de chaque interface réseau (choix « Protocole Internet (TCP/IP) », bouton « Avancé », onglet « WINS », puis option « Désactiver NetBIOS avec TCP/IP »).


Il est également possible de désactiver NetBT sur toutes les interfaces réseau d'un système à l'aide d'un script WMI. Le site de Microsoft propose des exemples de scripts3, qu'il est possible de modifier pour désactiver NetBT, déployables et exécutables à l'aide des GPO dans le cadre d'un domaine Active Directory.

3 La technologie DEP (Data Execution Prevention) : Administration et configuration (2/3)

La semaine dernière nous avons vu les principes de base du fonctionnement de la technologie DEP. Aujourd'hui nous allons voir quels sont les éléments de configuration disponibles.

3.1 Réglages de DEP au niveau du système

Il existe 4 modes de fonctionnement de DEP au niveau du système d'exploitation.

  • optin : DEP est activé pour tous les exécutables de Windows ainsi que pour les programmes qui ont volontairement choisis DEP.
  • optout : DEP est activé pour tous les exécutables sauf pour ceux qui ont été volontairement exclus de DEP.
  • alwayson : DEP est activé pour tous les exécutables, il n'y pas d'exclusion possible.
  • alwaysoff : DEP est désactivé pour tous les exécutables.

Par défaut, sur les systèmes clients (exemple Windows XP SP3), l'option sélectionnée est optin.

Sur les systèmes serveurs (exemple Windows 2003 SP2), l'option sélectionnée par défaut est optout.

Pour Windows XP et Windows 2003, ces paramètres sont accessibles via une option dans le fichier boot.ini :

/noexecute=

Par exemple :

multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS="Microsoft Windows XP Professionnel"
/noexecute=optin
Pour Windows Vista (et ultérieurs) le réglage s'effectue par l'outil «BcdEdit.exe set NX».

Les modes optin et optout sont aussi configurables via l'interface graphique, dans les propriétés système :

Image Prosys
Image optionDepOptIn

Il est à noter que les exécutables 64 bits sont obligatoirement couvert par DEP, quelque soit la configuration au niveau système. Sur un système 64 bits les options de réglages DEP ne concernent donc que les exécutables 32 bit.

3.2 Paramétrage de DEP au niveau applicatif

Pour les modes optin et optout il est possible de configurer DEP par application de plusieurs manières.

3.2.1 Fenêtre Propriétés système

Nous avons vu précédemment que les modes optin et optout sont aussi configurable, via l'interface graphique, dans les propriétés système.

Si l'on choisit le mode optout, on peut choisir la liste des exécutables qui seront exclus de DEP. Exemple pour exclure Notepad.exe :

Image optionDepOptOut

3.2.2 ACT (Application Compatibility Toolkit) : Désactiver DEP pour un exécutable

L'ACT est un utilitaire Microsoft qui permet de créer des fichiers de configuration par exécutable. De nombreux paramètres sont modifiables, notamment pour la compatibilité de certaines applications sur de nouvelles versions du système d'exploitation.

Dans le cas de DEP, lorsque que l'on a choisi le mode optout, ACT permet de spécifier l'option DisableNX permettant d'exclure un exécutable de DEP.

L'exécutable que l'on souhaite configurer doit être présent (mais par forcement installé) sur la même machine qu'ACT. Pour ce faire, il faut lancer le programme Compatibility Administrator (installé avec l'ACT), puis créer une nouvelle base de données.

Ensuite il faut créer un nouveau «Application Fix» (Menu «Database»). Nous allons prendre comme exemple l'exécutable Notepad.exe, qui est installé par défaut dans Windows, et est donc protégé par DEP automatiquement :

Image ACT1

Dans la fenêtre suivante il faut sélectionner «None» dans «Operating System Modes» :

Image ACT2

Ensuite choisir «DisableNX» :

Image ACT3

La fenêtre «Matching information» qui suit, permet de sélectionner les critères (outre le nom de l`exécutable), qui seront pris en compte par le système pour savoir s'il doit appliquer cet «Application Fix» à un processus qui est lancé :

Image ACT4

Par défaut, ces critères sont assez restrictifs (version exacte, langue) et souvent trop pour un parc hétérogène. Vous pouvez donc supprimer certains critères pour vous assurer que la modification fonctionnera sur toutes vos machines. Dans notre scénario, nous n'avons gardé qu'un seul critère ORIGINAL_FILENAME :

Image ACT5

Une fois les critères sélectionnés vous devez voir :

Image ACT6

Ensuite, il faut enregistrer la base de données sous la forme d'un fichier .sdb (dans notre cas NotepadNX.sdb), et c'est ce fichier qui sera déployé sur les postes cibles.

Ce déploiement peut s'effectuer par script via la commande sdbinst.exe -q NotepadNX.sdb.

Pour vérifier que cette commande s'est bien déroulée vous pouvez utiliser l'outil Process Explorer. Il faudra au préalable sélectionner la colonne DEP via le menu «View->Select Columns->DEP Status».

Image ACT7

Avant l'exécution de la commande sdbinst.exe on peut voir que Notepad.exe à bien DEP activé :

Image ACT8

Après l'exécution de la commande sdbinst.exe on peut voir que DEP n'est plus activé pour Notepad.exe (après avoir relancé Notepad.exe):

Image ACT9

3.2.3 ACT (Application Compatibility Toolkit) : Activer DEP pour un exécutable

Si vous avez choisi le mode optin, ACT permet d'ajouter des exécutables à la liste des applications qui ont opté pour DEP.

Il faut relancer ACT comme précédemment sauf qu'il faudra choisir AddProcessParametersFlags au lieu de DisableNX et clicker sur le bouton «Parameters» :

Image ACT10

Ensuite dans «Command Line» on entre la valeur 20000 :

Image ACT11

Le reste de la procédure reste inchangé.

3.2.4 Option /NXCOMPAT

L'option /NXCOMPAT est disponible lors de la création d'une application. C'est une option de l'éditeur de lien (Linker) qui permet d'indiquer si DEP est activé avec /NXCOMPAT ou désactivé avec /NXCOMPAT=NO pour l'exécutable.

Cette option n'est reconnue par le système d'exploitation qu'à partir de Windows Vista.

L'outil Microsoft EditBin permet de réaliser la même opération directement sur l'exécutable : editbin.exe /NXCOMPAT

3.2.5 API SetProcessDEPPolicy

L'API (Application Programming Interface) SetProcessDEPPolicy permet, à partir de Windows XP SP3, de modifier dynamiquement l'activation de DEP dans un programme.

3.3 Au prochain épisode...

La semaine prochaine, nous nous pencherons sur les problèmes de compatibilité liés à DEP et sur les limites de cette technologie... .


4 Rappel des avis émis

Dans la période du 26 février au 04 mars 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-092 : Multiples vulnérabilités dans PHP
  • CERTA-2010-AVI-093 : Vulnérabilité dans Asterisk
  • CERTA-2010-AVI-094 : Vulnérabilité dans Google Picasa
  • CERTA-2010-AVI-095 : Vulnérabilité dans Sudo
  • CERTA-2010-AVI-096 : Vulnérabilité dans EMC HomeBase Server
  • CERTA-2010-AVI-098 : Multiples vulnérabilités dans BIND
  • CERTA-2010-AVI-099 : Vulnérabilité dans IBM Lotus iNotes
  • CERTA-2010-AVI-100 : Vulnérabilité dans IBM AIX
  • CERTA-2010-AVI-101 : Vulnérabilité dans McAfee LinuxShield
  • CERTA-2010-AVI-102 : Vulnérabilité dans Novell eDirectory
  • CERTA-2010-AVI-103 : Multiples vulnérabilités dans Cisco Unified Communications Manager
  • CERTA-2010-AVI-104 : Vulnérabilité dans Cisco Digital Media Player
  • CERTA-2010-AVI-105 : Multiples vulnérabilités dans Cisco Digital Media Manager
  • CERTA-2010-AVI-106 : Multiples vulnérabilités dans les produits VMware

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-448-002 : Vulnérabilités dans Xpdf et dérivés (ajout du bulletin de sécurité Oracle Solaris)
  • CERTA-2009-AVI-482-006 : Vulnérabilité du protocole SSL/TLS (ajout des bulletins de sécurité Apple, Bluecoat, Cisco, Debian, Fedora, Gentoo, openBSD, ProFTPd, RedHat et Suse)
  • CERTA-2010-AVI-079 : Vulnérabilité dans Squid (ajout des liens Ubuntu et Fedora )


Liste des tableaux

Gestion détaillée du document

05 mars 2010
version initiale.



Notes

...NetBT1
NetBT utilise les ports UDP/137, UDP/138 et TCP/139.
...Directhosting2
Directhosting utilise le port TCP/445.
... scripts3
http://technet.microsoft.com/en-us/library/ee692589.aspx, listing 40

CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28