Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-011

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 18 mars 2011
No CERTA-2011-ACT-011

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-11


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-011

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-011.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-011/

1 Incident de la semaine

Gestion des messages piégés et sensibilisation des utilisateurs

Cette semaine, le CERTA a pu constater que certains utilisateurs ont parfois tendance à transmettre à leurs collègues un courriel dont ils n'arrivent à ouvrir la pièce jointe. Dans le cas présent, cette pièce jointe était piégée par un code malveillant et c'est justement l'arrêt inopiné de l'application qui permet l'exécution du code. Le transfert de courriel et la pièce jointe à des collègues afin que ces derniers testent l'ouverture de la pièce jointe permet ainsi à l'attaquant que son code malveillant soit propagé à un plus grand nombre de victimes.

Le CERTA profite de cette anecdote pour rappeler certains signaux faibles dont la prise en compte peut limiter ou éviter la compromission d'une machine via un document piégé :

  • arrêt inopiné de l'application ;
  • apparition de fenêtre (notamment d'invite de commandes) ;
  • fermeture puis réouverture de l'application en charge de la lecture du document...

Les utilisateurs doivent être sensibilisés à l'ensemble de ces phénomènes pour qu'ils aient le réflexe de remonter ces alertes à leurs responsables informatiques. Il est également important de rappeler aux utilisateurs qu'il faut éviter de tenter de reproduire le problème sur d'autres postes, au risque d'infecter d'autres machines. De même, il est important que les utilisateurs soient sensibilisés au fait de ne pas ouvrir systématiquement toutes les pièces jointes surtout lorsque que l'expéditeur est inconnu ou qu'aucun message n'en est attendu.

Une bonne gestion des mises à jour des applicatifs de bureautique permet également de limiter la surface de vulnérabilité du système d'information.

2 0-day Adobe Flash Player (CVE-2011-0609)

Cette semaine le CERTA a émis une alerte concernant une vulnérabilité non corrigée dans Adobe Flash Player http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-002/index.html. Cette vulnérabilité non corrigée permet l'exécution de code arbitraire à distance sur les versions récentes d'Adobe Flash Player (9.x et 10.x).

Des attaques utilisant cette vulnérabilité sont activement menées sur l'Internet. Le vecteur d'infection diffère de ce qui est habituellement constaté pour les vulnérabilités Flash. Ici, on ne cherche pas à amener l'utilisateur sur une page Web diffusant un fichier Flash malveillant, mais un courriel est envoyé avec un fichier joint au format Microsoft Excel embarquant le fichier Flash malveillant. Il est en effet tout à fait possible d'embarquer des fichiers au format Flash en utilisant les menus d'Excel. Il est important de préciser que le fichier Excel est le vecteur actuellement observé de cette attaque, mais il est possible que cette vulnérabilité utilise d'autres vecteurs : autres formats MS-Office, PDF, page Web, ou encore fichier SWF brut.

La technologie Flash utilise le langage ActionScript et la machine virtuelle AVM (ActionScript Virtual Machine) servant à l'exécuter. La vulnérabilité se situe dans le vérifieur de bytecode ActionScript, dans l'AVM.

Un moyen de contournement pour les utilisateurs de Windows est l'installation du Enhanced Mitigation Evaluation Toolkit (EMET) de Microsoft. Cet outil permet d'activer un certain nombre de protections pour les applications exécutables sélectionnées. Dans le cadre de cette vulnérabilité, il est intéressant de l'activer pour les applications Microsoft Office (en priorité Excel) et pour le navigateur Web. Ces protections comprennent Data Execution Prevention (DEP), Export Address Table Access Filtering (EAF), et HeapSpray pre-allocation. Ces mesures de protection se sont montrées efficaces contre les attaques connues utilisant cette vulnérabilité, notamment parce que ces dernières utilisent la méthode HeapSpray pour se stabiliser.

Adobe a annoncé un correctif pour la semaine du 21 mars 2011. Google Chrome est, quant à lui, déjà corrigé : http://www.google.com/support/chrome/bin/answer.py?hl=en?answer=95414. En attendant la sortie du correctif, le CERTA recommande bien sûr de ne pas ouvrir de fichiers suspects, en particulier les fichiers Microsoft Excel que vous pourriez recevoir en pièce jointe d'un courriel.

3 Notes d'information du CERTA

Le CERTA a mis à jour deux notes d'information cette semaine.

3.1 Les systèmes et logiciels obsolètes

Le CERTA recommande continuellement de mettre à jour ses logiciels, d'appliquer les correctifs de sécurité. C'est une mesure élémentaire pour réduire la surface d'attaque offerte aux agresseurs. La conséquence directe est d'abandonner l'utilisation des logiciels (systèmes, applications et extensions diverses) qui ne sont plus maintenus.

Dans le but d'aider sa communauté, le CERTA met régulièrement à jour une note d'information qui indique des systèmes devenus obsolètes.

3.2 Tunnel et pare-feux : une cohabitation difficile

Ce sujet est toujours d'actualité. Les codes malveillants savent utiliser les protocoles admis dans la plupart des PSSI, comme HTTP et HTTPS pour traverser les pare-feux. La mise à jour porte sur l'ajout d'une référence à une circulaire de 2005 contenant des recommandations.

Par ailleurs, le mémento de la référence numéro 9 sera bientôt remplacé par un guide de sécurisation accessible en ligne. La note sera mise à jour en conséquence.

3.3 Documentation


4 Rappel des avis émis

Dans la période du 11 au 17 mars 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-149 : Vulnérabilité dans Majordomo 2
  • CERTA-2011-AVI-150 : Multiples vulnérabilités dans Apple Safari
  • CERTA-2011-AVI-151 : Multiples vulnérabilités dans Apple iOS
  • CERTA-2011-AVI-152 : Vulnérabilité dans Google Chrome
  • CERTA-2011-AVI-153 : Vulnérabilités dans SAP Crystal Reports
  • CERTA-2011-AVI-154 : Vulnérabilité dans Check Point SNX, EPS et EPC
  • CERTA-2011-AVI-155 : Vulnérabilité dans MIT Kerberos
  • CERTA-2011-AVI-156 : Vulnérabilités dans Asterisk

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2011-AVI-011-001 : Vulnérabilité dans Struts (ajout des références concernant VMware vCO)
  • CERTA-2011-AVI-077-001 : Multiples vulnérabilités dans Adobe Flash Player (ajout du bulletin de sécurité de Sun)
  • CERTA-2011-AVI-079-005 : Vulnérabilité dans plusieurs implémentations de Java (ajout de la référence au bulletin HP OpenView Network Node Manager)


Liste des tableaux

Gestion détaillée du document

18 mars 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-08-21