Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-012

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 26 mars 2010
No CERTA-2010-ACT-012

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-12


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-012

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-012.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-012/

1 Vulnérabilité dans les cartes réseau Broadcom

Cette semaine, lors de la conférence CanSecWest, des ingénieurs de l'ANSSI ont fait la démonstration de l'exploitation d'une vulnérabilité dans certains contrôleurs réseau permettant d'exécuter du code arbitraire à distance. Cette vulnérabilité permet via une série de paquets spécialement construits de mettre en place une attaque de type « Man in the middle » (homme au milieu), de récupérer des clés cryptographiques ou d'injecter du code malveillant dans la mémoire de la machine compromise.

L'impact de cette vulnérabilité concernant les modèles Broadcom NetXtreme est cependant à nuancer. En effet, une configuration spécifique est nécessaire. La fonctionnalité ASF (Alert Standart Format) doit être activée et configurée, ce qui n'est pas le cas par défaut.

Le CERTA invite donc les possesseurs de ce type d'équipements à se rendre sur le site Internet de l'intégrateur de leurs machines afin de télécharger la dernière version du microcode de la carte réseau et à installer cette dernière.

Le CERTA profite également de cette actualité pour attirer l'attention sur l'utilité de mettre à jour le code embarqué dans les périphériques matériels. En effet, en faisant la démonstration que la compromission d'une machine via son contrôleur est possible, l'ANSSI rappelle que le code embarqué dans les périphériques doit lui aussi être soumis aux bonnes pratiques de développement, de test et de maintien.

1.1 Documentation

2 Durcissement de la configuration des systèmes Windows (5/8)

2.1 Désactivation du cache d'ouverture de sessions interactives

Par défaut, un système Windows conserve les empreintes des informations liées aux dix dernières connexions par des comptes membres du domaine : il s'agit des « caches de domaine ». Cette fonctionnalité est utilisée lorsque le poste de travail n'arrive plus à joindre un contrôleur de domaine. Dans ce cas, le système Windows authentifie l'utilisateur à l'aide de cette base de cache. Toutefois, un utilisateur malveillant ayant des droits d'administration ou un accès physique à la machine peut récupérer de cette manière les caches et effectuer une attaque par essais successifs sur les mots de passe.


Il est possible de configurer le nombre d'entrées de ce cache de domaine à l'aide de la GPO nommée : « Ouvertures de sessions interactives : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache ». Réduire à 1 cette valeur permettra de garder le dernier compte en cache (généralement le compte courant) et la mettre à 0 permet de désactiver cette fonctionnalité.

2.2 Augmentation du niveau de sécurité de l'authentification à distance

De manière à réduire très fortement les possibilités de cryptanalyse sur les mots de passe via l'écoute réseau dans un environnement Windows, il convient de ne pas permettre l'utilisation des protocoles d'authentification obsolètes que sont LM et NTLM. Seuls les mécanismes d'authentification NTLMv2 ou Kerberos doivent être acceptés.


Le paramètre intitulé « niveau de compatibilité LM » permet de gérer la configuration de la compatibilité LM, NTLM ou NTLMv2 en activant ou désactivant ces protocoles. Celui-ci est défini par la donnée de la valeur LMCompatibityLevel de la clé de registre HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlLSA
.


Six niveaux peuvent être définis :

0 Envoyer les réponses LM et NTLM
1 Envoyer LM & NTLM - Utiliser la sécurité de session NTLMv2 si négociée
2 Envoyer uniquement les réponses NTLM
3 Envoyer uniquement les réponses NTLMv2
4 Envoyer uniquement les réponses NTLMv2Refuser LM
5 Envoyer uniquement les réponses NTLMv2Refuser LM et NTLM


Le niveau de compatibilité LM peut être configuré dans les Options de sécurité. Sous Windows 2000, le paramètre s'appelle « Niveau d'authentification LAN Manager » et à partir de Windows XP « Sécurité réseau : niveau d'authentification LAN Manager ».


Il est recommandé de positionner la valeur au niveau 3 ou plus. Dans ce cas, le système utilise uniquement le protocole NTLMv2 pour s'authentifier (mais il accepte toujours les protocoles LM ou NTLM). La valeur 5 renforce encore la sécurité en permettant d'accepter uniquement le protocole NTLMv2.


De Windows 2000 à Windows 2003, le niveau de compatibilité est par défaut positionné à la valeur 0. En revanche, à partir de Windows Vista, ce niveau est porté à la valeur 3.


Par ailleurs, il est conseillé d'appliquer ce paramètre sur un premier échantillon de systèmes pour détecter une éventuelle incompatibilité, puis de généraliser cette configuration si aucun problème n'est détecté.


Pour plus d'informations, reportez-vous aux articles suivants sur le site Internet de Microsoft :

http://support.microsoft.com/kb/239869/fr

http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx

3 Arnaque aux SMS sur téléphones mobiles

Les courriers électroniques non sollicités (SPAM) sont malheureusement, depuis plusieurs années, monnaie courante sur Internet ; quiconque utilise un compte de messagerie a appris depuis longtemps à trier ces courriers, en écartant les publicités et autres tentatives de filoutage...Mais depuis quelques temps, les personnes malhonnêtes qui utilisaient ce média ont bien compris que d'autres supports pouvaient être intéressants. Ainsi sont apparus les SMS publicitaires. Dans ce domaine, l'imagination des attaquants est très forte. Ainsi, le CERTA est fréquemment informé de l'utilisation de scénarios plus évolués, destinés à tromper l'utilisateur, et si possible à lui soutirer de l'argent. Parmi eux, citons :

  • le ping call : le téléphone portable sonne une seule fois, l'usager n'a généralement pas le temps de prendre l'appel. Le numéro de l'appelant restant affiché, l'utilisateur est tenté d'utiliser les fonctions automatiques de son téléphone afin de rappeler aussitôt le numéro. Problème, ce numéro est fortement surtaxé (par exemple de la famille des 08 99 xx xx xx) et mis à part un peu de musique, ou des messages enregistrés, aucun interlocuteur humain ne sera présent derrière ce numéro ;
  • le faux SMS de messagerie : vous recevez un SMS vous indiquant qu'un message vous attend sur une boîte vocale externe. Pour le lire, il faut à votre tour envoyer un SMS vers un numéro surtaxé. Là encore, les attaquants ciblent votre portefeuille.

3.1 Un cas intéressant

Récemment, le CERTA a été informé d'une arnaque au SMS mettant aussi en œuvre un faux serveur web : l'utilisateur a reçu sur son téléphone portable un SMS de la forme :

� Messagerie Multim�dia : le 06xxxxxxxx a re�u 1 nouveau SMS vid�o � 8h03.
Pour le lire : http://tinyurl.com/xxxxxxxx �

L'astuce ici repose sur l'utilisation du service « tinyurl » qui va cacher le nom du vrai serveur accédé, Tinyurl étant un simple service de redirection et de « raccourcissement » des URL. Si l'utilisateur clique sur le lien, il accède à une page contenant un lien actif qui, une fois activé, va, à l'insu de l'utilisateur, émettre un SMS surtaxé (dans le cas présent, il coûte 4,5 euros !).

Figure 1: Exemple d'un SMS frauduleux
Image Capture-sms2

Dans ce scénario, plusieurs éléments sont enchainés afin de tromper la vigilance de l'utilisateur, pour finalement l'amener à commettre la faute qui entrainera la facturation.

3.2 Comment se protéger

Face à ces nouvelles menaces, il convient avant tout de conserver une attitude prudente et de ne jamais répondre à un SMS inconnu, ou rappeler un numéro étrange. Typiquement, les 08 9x xx xx xx doivent attirer votre attention.

Enfin, depuis un peu plus d'un an, les opérateurs télécom français ont mis en place une plateforme de signalement destinée à remonter ce type de problèmes survenant dans les environnements mobiles. Il est possible de faire suivre les SMS suspects au 33 700 afin que votre opérateur puisse les traiter et éventuellement engager des poursuites judiciaires. De plus amples informations sont disponible sur le site web du 33700, http://www.33700-spam-sms.fr/

4 Conférence CanSecWest 2010

La conférence CanSecWest 2010 qui se tient à Vancouver du 24 au 26 mars 2010, a annoncé le début du concours Pwn2Own. Ce concours, créé dans le contexte du Zero Day Initiative fondé par la société Tipping Point, a pour objectifs l'exploitation de vulnérabilités des navigateurs Internet et la découverte de vulnérabilités affectant divers téléphones mobiles.

Les navigateurs choisis pour ce concours sont les suivants :

  • Microsoft Internet Explorer 8 pour Windows 7 ;
  • Mozilla Firefox 3 sur Windows 7 ;
  • Google Chrome 4 pour Windows 7 ;
  • Apple Safari 4 pour MacOS X Snow Leopard.

Parmi les solutions de téléphones mobiles sélectionnées pour ce concours on peut citer :

  • Apple iPhone 3GS ;
  • RIM Blackberry Bold 9700 ;
  • Nokia E72 fonctionnant sous SymbianOS ;
  • HTC Nexus One fonctionnant sous Android.

À ce stade du concours, plusieurs vulnérabilités affectant ces solutions ont été annoncées. Ces vulnérabilités, dont les détails techniques ont pu être publiés, devront être confirmées par les éditeurs respectifs. Il ne peut être exclu qu'une ou plusieurs vulnérabilités annoncées fassent l'objet d'un code d'exploitation avant la publication d'un correctif de sécurité.

Les vulnérabilités suivantes ont d'ores et déjà été annoncées :

Le CERTA recommande à ses lecteurs la plus grande vigilance sur ces produits et une veille active quant à la publication des correctifs les concernant.

Documentation

5 Problème avec BitDefender

Le 20 mars 2010, une mise à jour automatique de BitDefender (versions 2008, 2009 et 2010) a posé de nombreux problèmes aux utilisateurs. En effet, après installation de cette mise à jour, l'antivirus considère que plusieurs fichiers de Windows et de BitDefender sont infectés par un code malveillant appelé Trojan.FakeAlert.5. Par conséquent, certains programmes -voire tout le système- deviennent inutilisables.

Une nouvelle mise à jour automatique de BitDefender a été proposée afin de remédier à ce problème. Toutefois, pour les utilisateurs qui rencontreraient des problèmes persistants, BitDefender a publié un lien vers un CD de restauration qui devrait remettre le système en état de marche.

Documentation


6 Rappel des avis émis

Dans la période du 19 au 25 mars 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-128 : Multiples vulnérabilités dans CA ARCserve Backup
  • CERTA-2010-AVI-129 : Vulnérabilité dans IBM DB2 Content Manager
  • CERTA-2010-AVI-130 : Vulnérabilité dans Firefox
  • CERTA-2010-AVI-131 : Vulnérabilités dans Opera
  • CERTA-2010-AVI-132 : Multiples vulnérabilités dans Qt
  • CERTA-2010-AVI-133 : Vulnérabilité dans Samba
  • CERTA-2010-AVI-134 : Vulnérabilités dans Cisco Unified Communications Manager Express


Liste des tableaux

Gestion détaillée du document

26 mars 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-29