Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-015

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 16 avril 2010
No CERTA-2010-ACT-015

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-15


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-015

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-015.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-015/

1 Bulletins Microsoft du mois d'avril

Cette semaine, Microsoft a publié son lot de correctifs de sécurité pour le mois d'avril dans le cadre de son cycle mensuel.

En tout, onze bulletins ont ainsi été publiés. Cinq sont considérés comme critiques, cinq comme importants et un comme modéré par l'éditeur. Les logiciels touchés sont :

  • le client SMB de Microsoft Windows ;
  • Microsoft Windows Media Services ;
  • le codec Microsoft MPEG Layer-3 ;
  • le lecteur Windows Media ;
  • le noyau de Windows ;
  • VBScript ;
  • Microsoft Office Publisher ;
  • Microsoft Visio ;
  • le composant ISATAP de Windows ;
  • la vérification de signature Authenticode.

La mise à jour concernant VBScript corrige l'alerte CERTA-2010-ALE-003. Il est recommandé d'appliquer les correctifs dans les plus brefs délais.

2 Fin de vie de la version 0.94.x de ClamAV

Cette semaine ClamAV a publié sur son site Internet un article faisant part de la fin de vie de la version 0.94.x de son antivirus.

Il est expliqué dans cette annonce qu'un bogue affecte toutes les versions antérieures à la 0.95 empêchant d'intégrer des signatures de plus de 980 octets dans les mises à jour incrémentielles. Cette limite diminue les capacités de l'antivirus dans son traitement de signature antivirale complexe. À partir du 15 avril 2010, ClamAV va donc propager une signature particulière désactivant toutes les installations de l'antivirus antérieures à la version 0.95.

ClamAV prévoit le début de la diffusion de base de signatures supérieure au mois de mai 2010. Le CERTA recommande donc aux utilisateurs de ce logiciel de migrer le plus rapidement possible vers la dernière version au risque de voir la protection antivirale totalement désactivée.

Documentation

Annonce de fin de vie de ClamAV :
http://www.clamav.net.lang/fr/2009/10/05/eol-clamav-094/

3 Durcissement de la configuration des systèmes Windows 8/8 : désactivation des services inutiles

Afin de réduire la surface d'attaque des systèmes Windows utilisés en tant que serveurs ou que postes de travail, les services applicatifs qui ne sont pas utilisés doivent être désactivés. La liste des services applicatifs et leur état (en cours d'exécution, arrêté, désactivé, exécution automatique ou manuelle, etc.) est récupérable grâce au composant enfichable services.msc ou via l'utilitaire en ligne de commande sc.

Ainsi, dans la mesure où ils ne sont pas utilisés, les services suivants devraient être désactivés. La plupart sont activées par défaut lors d'une installation standard, mais ces services peuvent affaiblir la sécurité du système. L'établissement de cette liste prend en compte l'historique des services en termes de vulnérabilités, la divulgation d'informations qu'ils entraînent ainsi que l'absence usuelle d'utilité fonctionnelle.

Browser (Explorateur d'ordinateur):
ce service met en œuvre le protocole Browser1 utilisé pour la résolution des noms NetBios. Son exécution entraîne la divulgation d'informations sur le réseau ainsi que des risques de rebond RPC.
Alerter (Avertissement):
ce service implémente la notification des alertes dites « administratives » aux utilisateurs ou aux ordinateurs. Ce service a été désactivé par défaut à partir de Windows XP Service Pack 2.
Messenger (Affichage des messages):
ce service permet de transporter sur le réseau les alertes du service Alerter ci-dessus. La commande « net send » repose sur ce mécanisme. Ce service a également été désactivé par défaut à partir de Windows XP Service Pack 2.
SSDPSRV (Service de découvertes SSDP):
à partir de Windows XP, ce service met en œuvre le protocole SSPD (Simple Service Discovery Protocol) qui permet de découvrir automatiquement sur un réseau les différents équipements, ainsi que les services offerts par ces derniers. Ce protocole se base sur des envois en multicast sur le port 1900/UDP.
upnphost (Hôte de périphérique universel Plug-and-Play):
à partir de Windows XP, ce service gère les différents mécanismes de la norme UPnP (Universal Plug and Play) offerts par le système. Les services UPnP permettent de simplifier et d'automatiser les configurations réseau au moyen de différents protocoles, mais restent très peu utilisés, a fortiori dans un environnement professionnel.
WebClient (WebClient):
à partir de Windows XP, ce service implémente l'accès distant à des fichiers via les protocoles HTTP et WebDAV (Web-based Distributed Authoring and Versioning).
WZCSVC (Configuration automatique sans fil):
à partir de Windows XP, ce service fournit deux fonctionnalités :
  • la gestion des réseaux sans-fil : énumération des différents points d'accès, traitement des phases d'authentification et stockage des clefs ;
  • le protocole 802.1x (authentification auprès d'un équipement réseau).
ERSvc (Service de rapport d'erreurs):
à partir de Windows XP, ce service offre la possibilité en cas d'arrêt intempestif d'une application d'envoyer un rapport d'erreur à Microsoft.
PolicyAgent (Services IPSEC):
ce service implémente le protocole IKE en charge de la négociation des associations de sécurité dans le cadre des communications IPsec.

Les noms des services applicatifs peuvent varier selon la version de Windows. De plus, de nouveaux services ont été ajoutés dans les systèmes récents, par exemple WinHttpAutoProxySvc.

Cette liste de services n'est pas exhaustive et doit être adaptée selon le contexte d'utilisation de la machine concernée. Il faudra notamment prendre en compte la présence de programmes spécifiques d'administration à distance ou requérant des fonctionnalités particulières. À titre d'exemple, d'autres services peuvent être désactivés : accès du périphérique d'interface utilisateur, acquisition d'image Windows (WIA), agent de protection d'accès réseau, assistance TCP/IP NetBIOS, audio Windows, client DHCP, gestionnaire de connexion automatique d'accès distant, gestionnaire de l'album, etc.

Enfin, la désactivation d'un service peut avoir des conséquences, il est donc nécessaire de valider l'absence d'impact dans un environnement de qualification avant de mettre en production une configuration dans laquelle les services activés sont réduits.

Conclusion

Cet article termine une série de recommandations sur le durcissement de la configuration des systèmes Windows. Bien d'autres éléments peuvent être configurés par GPO (grâce aux composants enfichables gpedit.msc et secpol.msc) et d'autres fonctionnalités peuvent être désactivées (support des protocoles IPX, IPv6, interface FireWire, mode débogage noyau, etc.) ou activées (DEP, pare-feu local, signature des échanges RPC, ordre de chargement des fichiers de type DLL, etc.). Microsoft fournit des guides de sécurisation détaillant la configuration conseillée d'une grande partie des GPO disponibles. Il est également nécessaire de réaliser une veille technique pour se tenir informé de nouveaux éléments de durcissement (contenus par exemple dans les contre-mesures temporaires des bulletins de sécurité Microsoft).

D'autre part, un travail identique de durcissement de la configuration doit être effectué sur les différents programmes installés sur les postes de travail (navigateurs, suite bureautique, Acrobat Reader, etc.) et sur les différents services offerts par les serveurs (Exchange, serveurs Web, serveurs de gestion de base de données, etc.).

Enfin, des audits réguliers de configuration doivent être réalisés, de façon manuelle ou automatique, pour vérifier que les éléments configurés n'ont pas subît de régression ou d'erreurs de configuration.

4 Du problème de configuration à l'incident de sécurité

De très nombreux sites fonctionnant avec WordPress ont récemment fait l'objet d'attaques. Celles-ci ont consisté, pour l'essentiel, à modifier la valeur siteurl dans la base de données pour rediriger les visiteurs vers un site malveillant.

A priori, ce n'est pas une vulnérabilité du logiciel qui a été exploitée, mais un défaut de configuration du serveur. En effet, les sites WordPress attaqués étaient presque tous hébergés chez le même prestataire. Or, les paramétrages des droits de fichier des différents serveurs du prestataire permettaient d'accéder en lecture au fichier de configuration de WordPress, ce dernier contenant en clair les identifiants de connexion à la base de données.

Cet incident est loin d'être un cas isolé. De nombreux administrateurs (ou webmestres) commettent l'erreur de positionner des droits trop permissifs pour des fichiers sensibles, notamment ceux contenant des identifiants de connexion. Ces informations sont généralement facilement retrouvées à l'aide de moteurs de recherche, et font parfois l'objet de publications sur des sites spécialisés.

D'une manière générale, il est fortement recommandé aux administrateurs et aux webmestres de vérifier que les fichiers de configuration des sites ne sont pas accessibles depuis l'Internet. La lecture régulière des journaux d'accès donne également des indications quant à la fuite éventuelle d'informations sensibles.


5 Rappel des avis émis

Dans la période du 09 au 15 avril 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-162 : Multiples vulnérabilités dans les produits VMware
  • CERTA-2010-AVI-163 : Vulnérabilité dans TYPO3
  • CERTA-2010-AVI-164 : Vulnérabilité dans TheGreenBow
  • CERTA-2010-AVI-165 : Multiples vulnérabilités dans les produits VMware
  • CERTA-2010-AVI-166 : Vulnérabilité dans F-Secure
  • CERTA-2010-AVI-167 : Vulnérabilités dans Microsoft Windows Authenticode Verification
  • CERTA-2010-AVI-168 : Vulnérabilités dans le client SMB de Microsoft
  • CERTA-2010-AVI-169 : Vulnérabilités dans le noyau Windows
  • CERTA-2010-AVI-170 : Vulnérabilité dans Microsoft VBScript
  • CERTA-2010-AVI-171 : Vulnérabilité dans Microsoft Office Publisher
  • CERTA-2010-AVI-172 : Multiples vulnérabilités dans Microsoft Exchange et Windows SMTP
  • CERTA-2010-AVI-173 : Vulnérabilité dans Microsoft Windows Media Services
  • CERTA-2010-AVI-174 : Vulnérabilité du Codec Microsoft MPEG Layer-3
  • CERTA-2010-AVI-175 : Vulnérabilité dans Windows Media Player
  • CERTA-2010-AVI-176 : Multiples vulnérabilités dans Microsoft Visio
  • CERTA-2010-AVI-177 : Vulnérabilités dans Microsoft Windows ISATAP
  • CERTA-2010-AVI-178 : Multiples vulnérabilités dans Adobe Reader et Adobe Acrobat
  • CERTA-2010-AVI-179 : Multiples vulnérabilités dans les produits Oracle
  • CERTA-2010-AVI-180 : Vulnérabilité dans Cisco Secure Desktop
  • CERTA-2010-AVI-181 : Vulnérabilité dans Apple Mac OS X
  • CERTA-2010-AVI-182 : Multiples vulnérabilités dans CUPS
  • CERTA-2010-AVI-183 : Vulnérabilité dans IBM WebSphere Portal


Liste des tableaux

Gestion détaillée du document

16 avril 2010
version initiale.



Notes

...Browser1
http://support.microsoft.com/kb/188001

CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28