Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-034

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 26 août 2010
No CERTA-2010-ACT-034

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-34


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-034

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-034.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-034/

1 Un filtre ralentit le traitement d'incident

Cette semaine, le CERTA et l'un de ses correspondants ont constaté un effet pervers d'un filtre dont le but initial est de protéger le réseau de l'administration en question.

L'été rend les correspondants du CERTA moins disponibles. En congés ou occupés à suppléer des absents, ils ne peuvent répondre immédiatement au téléphone. La messagerie électronique, par son caractère asynchrone, offre la possibilité de déposer un message et de transmettre un contenu technique.

En l'espèce, les non-réponses téléphoniques ont conduit le CERTA à transmettre les informations précises (un lien malveillant inséré sur plusieurs pages d'un site Web), par courriel. Ce courriel ne contenait que du texte brut. Cette information n'est pas parvenue aux destinataires. En effet, un filtre antipourriel détectant dans le corps du message un lien vers un site malveillant « bien connu » aura conclu hâtivement à la nature inopportune du message et l'aura bloqué de manière silencieuse. Une première relance a subi le même sort. Une deuxième relance, rédigée différement, a réussi à parvenir à un destinataire.

Le résultat de ce blocage est un retard de trois semaines dans le traitement de l'incident.

Ce blocage est connu des correspondants du CERTA pour des fichiers infectés par des virus, qu'il faut encapsuler pour traverser les fourches caudines des passerelles antivirus.

Il faut désormais prendre des précautions supplémentaires pour transmettre des données de nature textuelle. La mise en liste blanche des serveurs SMTP des équipes de traitement d'incident peut éviter les blocages intempestifs par les filtres.

2 Mise à jour de sécurité Mac OS X

Lors de la mise à jour de sécurité numéro 2010-005 du 24 août 2010, Apple a corrigé 13 vulnérabilités (cf avis CERTA-2010-AVI-403). Cinq d'entre elles concernaient l'interpréteur de langage PHP, embarqué dans la version Serveur de Mac OS X, mais aussi dans la version réservée aux ordinateurs personnels. Bien que le serveur Web ne soit pas activé par défaut sur cette dernière, la plus sérieuse de ces failles (CVE-2010-2225) permet une exécution de code arbitraire à distance.

Il est également intéressant de noter que le système d'Apple est vulnérable à des attaques via des fichiers PDF malveillants (CVE-2010-1801) pouvant entraîner une exécution de code arbitraire. Toutefois, il s'agit ici bien d'un composant graphique dédié à Mac OS X qui a été corrigé et non pas un logiciel d'un développeur tiers. Il convient donc d'être prudent lors de la réception de documents de ce type, même lorsqu'on n'utilise pas de logiciel créé par le créateur du format.

L'application de ce correctif, quoique volumineux, est donc impératif pour rétablir le niveau de sécurité des postes et serveurs utilisant le système d'exploitation d'Apple.

3.1 Documentation

3 Vulnérabilité liée au chargement de DLLs (DLL Hijacking)

Le 23 août dernier, Microsoft a publié un avis de sécurité concernant l'exploitation d'une vulnérabilité dans des applications Windows.

Cette vulnérabilité repose sur la manière dont les applications chargent des bibliothèques dynamiques (DLL) via l'API LoadLibrary.

Si une application charge une DLL sans spécifier le chemin (par exemple LoadLibrary(DLL_a_Charger.dll) au lieu de LoadLibrary(c:\MonApplication\DLL_a_Charger.dll)), alors l'algorithme utilisé par Windows par défaut commence par vérifier si la DLL se trouve dans le répertoire courant. Si c'est le cas, c'est cette DLL qui sera chargée.

Imaginons le scénario suivant :

  • Un attaquant a déposé sur un partage réseau un document qui peut être ouvert par l'application XY ;
  • dans le même répertoire se trouve une DLL malveillante (DLL_a_Charger.dll) dont le nom est identique à une DLL légitime qui est connue pour etre chargée par l'application XY ;
  • l'utilisateur double-clique sur le document pour l'ouvrir (via l'explorateur de fichiers ou via un lien) ;
  • l'ouverture du document va déclencher le chargement de l'application XY qui prend en charge ce type de document ;
  • l'application XY ayant besoin de la DDL "DLL_a_Charger.dll" , elle appelle LoadLibrary(DLL_a_Charger.dll) ;
  • l'API LoadLibrary vérifie si le fichier DLL_a_Charger.dll se trouve dans le répertoire courant (répertoire où se trouve le document à ouvrir) ;
  • Le fichier étant bien présent, LoadLibrary charge et exécute la DLL malveillante DLL_a_Charger.dll.

On voit donc qu'il s'agit d'une vulnérabilité concernant la façon dont est appelé LoadLibrary par l'application, et non d'une vulnérabilité dans l'API LoadLibrary elle-même.

On a vu dans le scénario précédent qu'un document sur un partage réseau (type SMB) peut servir de vecteur d'attaque.

A ce vecteur il faut ajouter les partages WebDav. WebDav est un protocole qui s'appuie sur HTTP pour permettre la manipulation de document sur Internet (ouvrir/modifier/... un document).

On peut donc imaginer un scénario dans lequel un attaquant a placé un document et sa DLL malveillante sur un serveur WebDav qu'il contrôle. Ensuite par ingénierie sociale (courriel, page Web spécialement construite, etc., il amène l'utilisateur à cliquer sur un lien pour ouvrir ce document. Ouverture qui provoquera le chargement de la DLL malveillante depuis le serveur WebDav.

A ce jour des dizaines d'applications (navigateurs, suites bureautique, outils, etc.) sont impactées par cette vulnérabilité.

Dans l'attente des correctifs, le CERTA recommande les contournements suivants :

  • Désactiver le service client WebDav (WebClient) sur les postes de travail (cela peut potentiellement entraîner des effets de bord sur des applications nécessitant ce service, à tester donc) ;
  • déployer et configurer la mise à jour Microsoft KB2264107 qui permet, via une nouvelle entrée de registre (CWDIllegalInDllSearch), d'interdire le chargement de DLLs depuis un dossier WebDav ou un partage réseau SMB (effets de bord potentiels aussi dans ce cas, principalement pour les partages réseaux, des tests s'imposent donc aussi ici) ;
  • bloquer les ports tcp/139 et tcp/445 au niveau des pare-feux périmétriques.

Les proxies / sondes peuvent aussi être configurés pour bloquer les requêtes WebDav tentant de charger des fichiers avec l'extension ".dll" (cela ne fonctionnera pas pour les bibliothèques n'ayant pas l'extension .dll).

Cette vulnérabilité applicative peut s'exploiter sur toutes les versions de Windows.

Outre les vecteurs réseaux, l'exploitation peut aussi avoir lieu en local via, par exemple, une clé USB ou encore une archive ZIP contenant le couple document/DLL.

3.1 Documentation


4 Rappel des avis émis

Dans la période du 20 au 26 août 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-390 : Multiples vulnérabilités dans IBM Tivoli Storage Manager FastBack
  • CERTA-2010-AVI-391 : Vulnérabilité dans le module pam_xauth
  • CERTA-2010-AVI-392 : Vulnérabilité dans le noyau Linux
  • CERTA-2010-AVI-393 : Vulnérabilité dans des produits Blue Coat
  • CERTA-2010-AVI-394 : Vulnérabilité dans Adobe Acrobat et Reader
  • CERTA-2010-AVI-395 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2010-AVI-396 : Vulnérabilité dans Novell iPrint Client
  • CERTA-2010-AVI-397 : Vulnérabilités dans phpMyAdmin
  • CERTA-2010-AVI-398 : Vulnérabilités dans phpCAS
  • CERTA-2010-AVI-400 : Multiples vulnérabilités dans Adobe Shockwave Player
  • CERTA-2010-AVI-401 : Vulnérabilité dans Xorg
  • CERTA-2010-AVI-402 : Vulnérabilités dans Quagga
  • CERTA-2010-AVI-403 : Multiples vulnérabilités dans Apple Mac OS X
  • CERTA-2010-AVI-404 : Vulnérabilité dans Squid
  • CERTA-2010-AVI-405 : Vulnérabilité dans Trend Micro Internet Security Pro 2010
  • CERTA-2010-AVI-406 : Vulnérabilité dans AIX ftpd
  • CERTA-2010-AVI-407 : Vulnérabilités dans Cisco Unified Communications Manager
  • CERTA-2010-AVI-408 : Vulnérabilités dans Cisco Unified Presence

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-359-001 : Multiples vulnérabilités dans FreeType (ajout du bulletin Ubuntu)
  • CERTA-2010-AVI-399-001 : Vulnérabilités dans MySQL (rectification des liens vers les bulletins de l'éditeur)


Liste des tableaux

Gestion détaillée du document

26 août 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-29