Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-016

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 22 avril 2011
No CERTA-2011-ACT-016

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-16


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-016

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-016.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-016/

1 Le format de texte enrichi véhicule de logiciels malveillants

Le CERTA traite de plus en plus régulièrement des incidents dans lesquels l'origine de la compromission est un document RTF spécialement conçu pour exploiter des vulnérabilités dans les logiciels permettant d'afficher ce format.

Le Rich Text Format, ou format de texte enrichi, est un format de fichier créé par Microsoft, et supporté par de nombreux logiciels de traitement de texte. Il permet de créer des documents aux textes formattés.

À l'instar des formats PDF ou DOC, les documents RTF peuvent également être vecteurs de contenus malveillants tentant d'exploiter des vulnérabilités de traitements de texte. Une des cibles privilégiées par les attaquants est Microsoft Word, via la vulnérabilité identifiée par le numéro CVE CVE-2010-3333 et détaillée dans l'avis CERTA-2010-AVI-543. Particulièrement intéressante pour un attaquant, cette vulnérabilité permet l'exécution de code arbitraire à distance, est aisément exploitable, et existe sur de nombreuses versions du logiciel Microsoft Word pour les systèmes Windows comme MacOS. En outre, le format RTF est souvent, à tort, considéré comme inoffensif et l'utilisateur est plus susceptible d'ouvrir ce type de fichier.

D'autres vulnérabilités exploitables au travers de documents RTF ont été identifiées par le passé dans d'autres produits. On pourra citer par exemple les vulnérabilités CVE-2010-3451 et CVE-2010-3452 affectant des versions d'OpenOffice.org.

L'attention récente apportée aux documents PDF reçus en pièces jointes de courriers électroniques ne doit pas réduire la vigilance apportée à l'ensemble des documents échangés par ce biais. Aucun format de fichier ne doit être considéré comme inoffensif. Les différents formats sont régulièrement sujets à modifications, comme l'ajout de nouvelles fonctionalités, et les nombreux logiciels permettant de les afficher sont autant de vecteurs de compromission éventuels que ciblent les attaquants.

Documentation

2 Osboléscence de Ubuntu 9.10

Comme cela était planifié dans le cycle de vie de cette distribution GNU/Linux, la version 9.10 de Ubuntu arrivera en fin de support le 30 avril 2011. Le responsable de sortie de version en a d'ailleurs fait l'annonce fin mars 2011 : https://lists.ubuntu.com/archives/ubuntu-announce/2011-March/000142.html.

La politique de cycle de vie chez Ubuntu est en effet très claire : les versions « normales » sont supportées deux ans alors que les versions estampillées LTS (pour Long Term Support) sont maintenues pendant cinq ans. Ainsi la version 6.06 est encore mise à jour à la date de ce bulletin et jusqu'au 30 juin 2011.

Bien que 2 ans soit déjà une durée confortable permettant la planification d'une mise à jour de version, il est tout de même recommandé d'utiliser des versions LTS pour des projets à long terme ou relativement complexes à mettre en œuvre.

Concernant la version 9.10, il est vivement recommandé à ses utilisateurs de migrer vers une version plus récente encore supportée.

3 Protection en profondeur et vulnérabilités

Lors de la conférence Infiltrate qui s'est tenue les 16 et 17 avril 2011 en Floride, les experts en sécurité Chris Valasek et Ryan Smith ont démontré qu'il était possible de contourner certaines protections anti-exploitation mises en place par Microsoft dans son système Windows. Leur attaque se base sur une vulnérabilité (CVE-2011-3972), aujourd'hui corrigée, de type dépassement de tampon (heap-overflow) présente dans IIS 7.

Malgré la présence des mécanismes de protection étendus mis en place par Microsoft afin de prévenir l'exécution de code, ces deux chercheurs ont réussi à prendre le contrôle de la machine vulnérable.

Cette attaque présente en soi un caractère relativement nouveau, puisque les protections mises en place au niveau du tas se sont révélées robustes. En fait, plutôt que de s'attaquer directement au système de protection et de tenter de le contourner, les deux chercheurs ont tout simplement réussi à le désactiver. Ils ont en fait forcé le programme à modifier sa gestion du tas pour qu'il utilise le mode Low-Fragmentation Heap introduit avec Windows Vista. Ce mode de gestion permet au programme de minimiser la fragmentation du tas et d'optimiser ainsi l'espace. Mais en contrepartie, toutes les protections du tas sont désactivées. A partir de cet instant, il devient relativement aisé d'exploiter la faille avec des techniques classiques.

Cet exemple démontre qu'aucun mécanisme de protection n'est infaillible, aussi sophistiqué soit-il. Il convient donc de s'appuyer sur une défense en profondeur qui multipliera les difficultés imposées à l'attaquant.

Documentation


4 Rappel des avis émis

Dans la période du 15 au 21 avril 2011, le CERTA a émis les publications suivantes :

  • CERTA-2011-AVI-225 : Vulnérabilité dans Dotclear
  • CERTA-2011-AVI-226 : Vulnérabilités dans Safari
  • CERTA-2011-AVI-227 : Vulnérabilités dans Google Chrome
  • CERTA-2011-AVI-228 : Vulnérabilités dans Apple iOS
  • CERTA-2011-AVI-229 : Vulnérabilités dans CA Total Defense
  • CERTA-2011-AVI-230 : Multiples vulnérabilités dans Joomla!
  • CERTA-2011-AVI-231 : Vulnérabilités dans kde4libs
  • CERTA-2011-AVI-232 : Vulnérabilités dans Wireshark
  • CERTA-2011-AVI-233 : Vulnérabilités dans SAP NetWeaver Web Application Server
  • CERTA-2011-AVI-234 : Vulnérabilité de Adobe Flash Player
  • CERTA-2011-AVI-235 : Multiples vulnérabilités dans itunes
  • CERTA-2011-AVI-236 : Vulnérabilité dans RSA Adaptive Authentication
  • CERTA-2011-AVI-237 : Vulnérabilité dans HP Network Node Manager i
  • CERTA-2011-AVI-238 : Multiples Vulnérabilités dans les produits Oracle
  • CERTA-2011-AVI-239 : Multiples Vulnérabilités dans les produits Oracle Sun
  • CERTA-2011-AVI-240 : Multiples Vulnérabilités dans HP Systems Management Homepage
  • CERTA-2011-AVI-241 : Multiples Vulnérabilités dans HP Systems Insight Manager
  • CERTA-2011-AVI-242 : Multiples vulnérabilités dans HP Insight Control
  • CERTA-2011-AVI-243 : Vulnérabilités dans IBM Lotus Symphony
  • CERTA-2011-AVI-244 : Vulnérabilité dans HP Virtual Server Environment pour Windows
  • CERTA-2011-AVI-245 : Vulnérabilité dans les systèmes FreeBSD
  • CERTA-2011-AVI-246 : Vulnérabilité dans HP Performance Insight

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2011-ALE-003-003 : Vulnérabilité dans Adobe Flash Player, Adobe Reader et Acrobat (annonce des dates de publication des correctifs)
  • CERTA-2011-AVI-218 : Vulnérabilité dans VLC (ajout du numéro de CVE)
  • CERTA-2011-AVI-224-001 : Vulnérabilité dans IBM Tivoli Directory Server (ajout du numéro CVE)


Liste des tableaux

Gestion détaillée du document

22 avril 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23