Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-005

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 février 2011
No CERTA-2011-ACT-005

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-05


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-005

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-005.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-005/

1 Incident de la semaine

Rappel de bonnes pratiques

Dans le cadre d'un traitement d'incident, le CERTA a été amené à analyser une copie physique de la mémoire vive et du disque dur d'une machine. À l'analyse des deux copies, il apparaît que de nombreux utilitaires de détection de codes malveillants ont été lancés après la copie de la mémoire vive. Ces utilitaires ont malheureusement été exécutés par l'utilisateur lui-même qui les avait installés auparavant.

Le CERTA rappelle que ces utilitaires sont, au delà des aspects légaux, nuisibles à la conservation des certains éléments nécessaires à une analyse des traces et indices (date d'accès ou de modification, effacement de certains fichiers, ...). Le CERTA profite de cet événement pour rappeler certaines bonnes pratiques en matière de traitement d'incident :

  • déconnecter la machine du réseau afin de stopper toute action malveillante depuis et vers l'Internet ;
  • prévenir le responsable sécurité et/ou le CERT dont dépend votre entité ;
  • effectuer une copie physique du disque ;
  • rechercher les traces disponibles sur les équipements périphériques du réseau.

Documentation

2 Vulnérabilité non corrigée dans Microsoft Windows

Microsoft a récemment publié un nouveau bulletin de sécurité (#2501696) concernant une faille non corrigée dans toutes les versions supportées de Microsoft Windows.

La vulnérabilité concerne l'interprétation de MHTML (MIME HTML) par Windows. Une personne malintentionnée peut ainsi, au moyen d'une page web spécialement conçue, exécuter du code JavaScript hors du contexte normalement permis. Il s'agit donc d'une vulnérabilité de type cross-site scripting ; après exploitation de la faille, l'attaquant peut ainsi accéder à des informations confidentielles provenant d'autres sites et effectuer des requêtes sur ces sites.

Cette vulnérabilité ne serait pas corrigée dans le lot des mises à jour du mois de février, selon Microsoft. En attendant l'éditeur a cependant mis en ligne un fix-it qui désactive l'interprétation du MHTML. Il est fortement recommandé d'appliquer ce contournement. La désactivation du JavaScript permet également de se prémunir de cette vulnérabilité.

Aucun cas d'exploitation n'a pour le moment été observé mais des preuves de faisabilité existent sur l'Internet.

Documentation

3 Compte de service et vulnérabilité

Cette semaine le CERTA a rencontré le cas d'un produit comportant une vulnérabilité liée au fait qu'un compte de service aux droits élevés était nécessaire au sein de ce logiciel pour réaliser certaines actions. Le problème réside dans le fait que, d'une part, ce compte utilisateur était utilisé par un des composants de l'application disposant de privilèges élevés sur le système et que, d'autre part, il était possible, par le biais de ce code, d'exécuter des commandes arbitraires à distance.

Nous sommes ici en présence d'une vulnérabilité induite par un problème de conception et de design et non pas due à une quelconque faille dans une des fonctions du logiciel. En effet, le problème est qu'un des composants accessibles à distance utilise un compte système particulier et privilégié pour réaliser un certain nombre d'opérations.

Une bonne pratique aurait consisté pour le développeur à mettre en œuvre, par exemple, une séparation de privilège du type : celui qui reçoit les commandes et les requêtes n'est pas celui qui les exécute. Ainsi même si un compte système est indispensable dans une partie du logiciel, cette dernière ne sera pas accessible à distance. Elle sera protégée, par exemple, par mécanisme d'API (Application Programming Interface) restreignant au maximum les actions dangereuses possibles. Dans une démarche de défense en profondeur, le mieux est de faire en sorte :

  • que le niveau de privilège nécessaire au compte de service soit le plus bas possible ;
  • que le composant s'appuyant sur ce compte ne soit pas appelable directement à distance mais uniquement localement et via une API ;
  • que ce soit un autre composant qui face l'interface avec l'extérieur ; celui-ci jouant alors le rôle de mandataire.


4 Rappel des avis émis

Dans la période du 28 janvier au 03 février 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-040 : Vulnérabilité dans RealPlayer
  • CERTA-2011-AVI-041 : Vulnérabilité dans le serveur DHCPv6 d'ISC
  • CERTA-2011-AVI-042 : Vulnérabilités dans IBM DB2
  • CERTA-2011-AVI-043 : Vulnérabilités dans IBM Tivoli
  • CERTA-2011-AVI-044 : Vulnérabilité dans le paquet exim4
  • CERTA-2011-AVI-045 : Vulnérabilité dans Symantec IM Manager
  • CERTA-2011-AVI-046 : Vulnérabilité dans VLC Media Player
  • CERTA-2011-AVI-047 : Multiples vulnérabilités dans Apache CouchDB
  • CERTA-2011-AVI-048 : Vulnérabilité dans EMC NetWorker
  • CERTA-2011-AVI-049 : Vulnérabilité dans PMB
  • CERTA-2011-AVI-050 : Multiples vulnérabilités dans Cisco WebEx Player

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-465-001 : Vulnérabilité dans IBM DB2 Administration Server (ajout du bulletin IBM concernant les versions 91, 9.5 et 9.7.)
  • CERTA-2011-AVI-039-001 : Multiples vulnérabilités dans OpenOfficeorg (ajout des bulletins des distributions Debian et RedHat.)


Liste des tableaux

Gestion détaillée du document

04 février 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22