Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-013

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 02 avril 2010
No CERTA-2010-ACT-013

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-13


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-013

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-013.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-013/

1 Attaques contre SPIP

Après les services FTP et SSH, c'est au tour des CMS (Content Management Software) tels que SPIP de faire l'objet d'attaques par dictionnaire. Celles-ci se caractérisent par des rafales de requêtes POST.

Après avoir réussi à accéder frauduleusement au site, les attaquants ont déposé des pages à caractère publicitaire.

Les attaques qui nous ont été signalées remontent au début du mois de mars 2010.

Il est souhaitable que les administrateurs de site fonctionnant avec SPIP vérifient la présence ou non de traces de telles attaques. D'une manière générale, les webmestres doivent s'assurer que les mots de passe utilisés pour gérer leur site sont robustes. Il faut s'attendre à ce que dans un futur proche, tous les CMS fassent l'objet d'attaques par dictionnaire.

2 Durcissement de la configuration des systèmes Windows (6/8) : désactivation de l'autorun et de l'autoplay des lecteurs USB

Les fonctionnalités autorun et autoplay correspondent aux actions réalisées lors du montage d'un lecteur (fixe, amovible, CD-ROM, réseau ou autre), par l'explorateur de fichiers de Windows à travers la bibliothèque shell32.

La fonctionnalité autorun consiste à lire un fichier (autorun.inf) à la racine du lecteur nouvellement monté pour exécuter une action automatique, le plus souvent pour lancer un programme d'installation sur les CD-ROM. Les clés USB de type U3 émulent un CD-ROM et peuvent exécuter un code malveillant à l'insu de l'utilisateur lorsque celui-ci insère la clé dans son ordinateur.

La fonctionnalité autoplay est apparue avec Windows XP et consiste à parcourir le contenu du périphérique inséré pour proposer des actions qui dépendent des types de fichiers découverts (par exemple lire des fichiers son avec le lecteur par défaut, afficher des images, explorer le contenu, etc.). Depuis Windows XP, la fonctionnalité autorun n'est plus utilisée lors de l'insertion de périphériques de type amovible : seule la fonctionnalité autoplay est utilisée. Si un fichier autorun.inf est présent à la racine, les actions décrites dans ce fichier seront fusionnées avec les actions par défaut autoplay. Cette fonctionnalité a été pervertie par des virus en dupant l'utilisateur qui pouvait croire qu'il réalisait une action légitime d'affichage de contenu.

Les fonctionnalités autorun et autoplay peuvent être complètement désactivées pour tous les types de lecteurs en modifiant une valeur dénommée NoDriveTypeAutoRun de type DWORD pour que sa donnée vaille 0xFF dans la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.

Ce paramètre peut également être positionné via les stratégies de groupe. Il se trouve dans la Configuration ordinateur (Modèles d'administration, Système), et est dénommé « Désactiver le lecteur automatique ». Il doit avoir la valeur « activé », en spécifiant « tous les lecteurs ».

Une fois ce paramètre activé, aucun programme n'est lancé automatiquement lors de l'insertion d'un CD-ROM et aucune fenêtre de choix d'action n'est affichée lors de l'insertion d'une clé USB, limitant le risque d'exécution involontaire de code malveillant placé au préalable sur ces supports.

Un bogue avait pour conséquence d'utiliser quand même la fonctionnalité autorun lorsque l'utilisateur double-cliquait sur l'icône du lecteur ou utilisait son menu contextuel, malgré le fait que cette fonctionnalité ait été désactivée. Ce bogue a été corrigé par la mise à jour Microsoft 9677151 en 2009.

3 Journaux d'événements sur IPhone

L'importance et l'utilité des journaux d'événements n'est plus à démontrer dans le cadre de la résolution d'incidents, mais encore faut-il savoir les trouver.

Dans le cas de l'IPhone, Apple met à disposition l'application « Utilitaire de configuration IPhone » (IPCU) qui permet de configurer l'appareil (comme son nom l'indique) et de récupérer les journaux d'événements. À noter que l'appareil n'a pas besoin d'être synchronisé avec l'ordinateur utilisé, mais doit être déverrouillé par l'utilisateur.

En fonction de l'application, les données journalisées peuvent être plus ou moins verbeuses. Il est possible d'en modifier la granularité en obtenant un profil de configuration particulier auprès de Apple, dans le cadre d'un contrat de support. Parmi les informations intéressantes, on peut trouver les dates de déverrouillage de l'appareil, ce qui permet de savoir si quelqu'un y a accédé alors que celui-ci n'était pas en possession de l'utilisateur légitime.

5.1 Documentation

4 Mise à jour hors-cycle pour Internet Explorer

Microsoft a publié cette semaine le bulletin de sécurité MS10-018, qui correspond à une mise à jour hors-cycle pour Internet Explorer (avis CERTA-2010-AVI-146). Celle-ci corrige plusieurs vulnérabilités du navigateur Web, dont une particulièrement critique qui avait été signalée par le CERTA le 10 mars 2010 dans son alerte : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-004/index.html.

Cette alerte a donc été mise à jour cette semaine.

5 Fin du support de Firefox 3.0

Le CERTA a émis l'avis CERTA-2010-AVI-149 après la publication et la correction de dix vulnérabilités dans le navigateur Web Firefox. Les correctifs ont été publiés le 30 mars pour les branches 3.0, 3.5 et 3.6 du navigateur.

La fondation Mozilla, qui développe le logiciel Firefox, avait rappelé le 16 mars 2010 la fin du support de la branche 3.0 de Firefox. La version 3.0.19 est donc la dernière de cette branche.

Le premier avril, une vulnérabilité affectant la branche 3.6, démontrée lors de la conférence CanSecWest 2010, a été publiée et corrigée. Elle ne semble pas affecter la version 3.5.

La fondation Mozilla n'a pas étudié si la version 3.0 est vulnérable à cette attaque. Ceci illustre l'abandon du support de la branche 3.0 qui doit être implicitement considérée comme vulnérable.

Le CERTA invite fortement ses correspondants à migrer leur parc vers une branche maintenue (3.5 ou 3.6).

5.1 Documentation


6 Rappel des avis émis

Dans la période du 26 mars au 01 avril 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-135 : Vulnérabilité dans spamass-milter
  • CERTA-2010-AVI-136 : Multiples vulnérabilités dans Cisco IOS
  • CERTA-2010-AVI-138 : Vulnérabilité dans cURL/LibCurl
  • CERTA-2010-AVI-139 : Multiples vulnérabilités dans HP Project and Portfolio Center
  • CERTA-2010-AVI-140 : Multiples vulnérabilités dans HP-UX
  • CERTA-2010-AVI-141 : Multiples vulnérabilités dans les produits VMware
  • CERTA-2010-AVI-142 : Vulnérabilités dans IBM WebSphere
  • CERTA-2010-AVI-143 : Multiples vulnérabilités dans Apple MacOS X
  • CERTA-2010-AVI-144 : Vulnérabilité dans phpCAS
  • CERTA-2010-AVI-145 : Multiples vulnérabilités dans IBM Web Interface for Content Management
  • CERTA-2010-AVI-146 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2010-AVI-147 : Multiples vulnérabilités dans Apple iTunes
  • CERTA-2010-AVI-148 : Multiples vulnérabilités dans HP SOA Registry Fondation
  • CERTA-2010-AVI-149 : Multiples vulnérabilités dans Firefox
  • CERTA-2010-AVI-150 : Multiples vulnérabilités dans Moodle
  • CERTA-2010-AVI-151 : Vulnérabilités dans Apache ActiveMQ
  • CERTA-2010-AVI-152 : Multiples vulnérabilités dans Oracle Java
  • CERTA-2010-AVI-153 : Multiples vulnérabilités dans Apple QuickTime

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-292-001 : Vulnérabilités dans HP-UX (ajout de la référence au bulletin de sécurité HP #01961959)
  • CERTA-2009-AVI-482-007 : Vulnérabilité du protocole SSL/TLS (ajout des bulletins de sécurité Apple, Bluecoat, Cisco, Debian, Fedora, Gentoo, openBSD, ProFTPd, RedHat et Suse)
  • CERTA-2010-AVI-002-001 : Vulnérabilité dans NTPD (ajout de la référence au bulletin de sécurité HP)
  • CERTA-2010-AVI-112-001 : Multiples vulnérabilités du serveur HTTP Apache (ajout des références aux bulletins de sécurité RedHat et Ubuntu)
  • CERTA-2010-AVI-137 : Vulnérabilités dans les imprimantes laser Lexmark (liens enrichis de &locale=EN&userlocale=EN_US (appel COTIC))


Liste des tableaux

Gestion détaillée du document

02 avril 2010
version initiale.



Notes

... 9677151
http://support.microsoft.com/kb/967715

CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22