Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-018

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 06 mai 2011
No CERTA-2011-ACT-018

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-18


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-018

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-018.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-018/

1 Vague d'attaques par redirections involontaires (drive-by-downloads)

1.1 Description du phénomène

Une vague de redirections et de téléchargements involontaires associés à des navigations Web est en cours depuis quelques semaines, avec plusieurs constantes. Le principe est d'amener l'utilisateur, au cours de sa navigation, à contacter un site et à télécharger du code dangereux sur son poste. Ce code s'installera ensuite automatiquement ou par une action directe de l'utilisateur (fenêtre surgissante lui proposant d'installer le code).

L'attaque induit donc bien souvent la compromission d'un site légitime, par exemple en rajoutant un code dynamique JavaScript, forçant le navigateur à envoyer une nouvelle requête vers un autre site lui aussi compromis ou malveillant.

Dans la vague actuellement observée, le premier point commun entre ces téléchargements est la forme des noms de domaine utilisés. Ils contiennent tous les chaînes de caractères protection et scan et sont des sous-domaines du domaine de premier niveau .com. Ils sont également concaténés avec d'autres mots en anglais. Par exemple :

  • scannerprotectionofficesfree.com
  • desktopscannerprotectionxp.com
  • negativescannerxpprotection.com
  • compactscannerprotectionfast.com
  • mobilescannerwinprotection.com

Ces sites proposent l'installation d'un faux anti-virus après avoir fait semblant d'analyser la machine et de trouver des virus.

Le deuxième point commun est le format des adresses réticulaires, ou URI. La première page demandée est de la forme :

        /index2.php?[:base64:]{68}.

L'adresse réticulaire pour télécharger l'exécutable est de la forme :

        /download.php?[:base64:]{68}

Le paramètre encodé en base64 semble lui toujours commencer par 06abQDY3.

Enfin, les adresses IP des serveurs impliqués appartiennent à différentes plages, sans lien évident. Les exécutables téléchargés sont eux différents à chaque téléchargement (hachés MD5 multiples).

1.2 Mesures envisageables

Pour détecter ce phénomène, il est possible de rechercher dans les journaux des serveurs mandataires Web (et éventuellement dans les journaux DNS) les noms de domaine contenant les chaînes de caractères protection et scan. La validation des résultats se fait ensuite en observant directement si les adresses réticulaires observées sont de même format que celles précédemment citées, présentant la chaîne /download.php?06abQDY3. Il faut alors s'assurer que le contenu téléchargé a été bloqué préventivement (blocage d'exécutables ou antivirus) et qu'il n'a pas été installé sur le poste de l'utilisateur à l'origine involontaire de ce téléchargement.

De manière générale, il ne faut pas accepter le téléchargement d'exécutables au niveau des serveurs Web mandataires, sauf exceptions, par exemple sous forme de liste blanche. Les utilisateurs qui naviguent sur l'Internet doivent le faire à partir d'un système à jour et d'un compte aux droits très restreints, afin d'éviter tout téléchargement et installation involontaire et dangereuse. Les utilisateurs doivent également être sensibilisés pour ne pas tomber dans le piège de ces faux antivirus.

1.3 Références

http://blog.sucuri.net/2011/04/jquery4html-co-cc-malware-fake-av-redirections.hmtl

http://www.sophos.com/support/knowledgebase/article/110379.html

2 Moteurs de recherche et logiciels malveillants

Les techniques d'optimisation pour les moteurs de recherche (en anglais SEO - Search Engine Optimization) sont utilisées pour favoriser le référencement d'un contenu par un moteur de recherche tel que Google ou Bing.

Celles-ci, loin d'être nouvelles, sont de plus en plus utilisées pour référencer des sites malveillants avec des mots-clés légitimes. Souvent lié à l'actualité (comme l'annonce de la mort de Oussama Ben Laden ou l'accident nucléaire de Fukushima), ce référencement abusif se retrouve aussi bien classé que les sites de médias bien connus. Le but de la manoeuvre est de faire installer par l'internaute un logiciel ou un module d'extension malveillant.

Cette semaine, une campagne utilisant le moteur de recherche d'images de Google et relative à la mort de Oussama Ben Laden visait les utilisateurs de Windows et Mac. L'installation d'un faux antivirus était suggérée, après une prétendue infection lors de la redirection vers un site malveillant.

En identifiant le système de leur victime, ces sites malveillants ne se restreignent plus uniquement à Windows et ciblent désormais d'autres systèmes tels que MacOS et des utilisateurs ayant le sentiment d'être jusque là épargnés (à tort).

Le CERTA recommande de prêter une attention particulière aux résultats des moteurs de recherche lors de la navigation afin de ne pas être redirigé vers des sites malveillants.

3 Mise en liste noire de certains certificats SSL frauduleux

Le 25 mars dernier, le CERTA a émis un avis concernant une émission frauduleuse de certains certificats (CERTA-2011-AVI-169).

Les plates-formes susceptibles de recevoir ces mises à jours ne sont pas restreintes aux ordinateurs et serveurs. Les téléphones et les systèmes embarqués peuvent eux aussi être vulnérables.

Microsoft a mis à jour son bulletin de sécurité (254375) en ajoutant, entre autres, les téléphones fonctionnant sous Windows Mobile 6.X et Windows Phone 7.

Le CERTA recommande de procéder à la vérification de l'ensemble des systèmes pouvant interagir avec le système d'information et qui seraient potentiellement vulnérables.

Documentation


4 Rappel des avis émis

Dans la période du 29 avril au 05 mai 2011, le CERTA a émis les avis suivants :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-268/index.htmlCERTA-2011-AVI-268 : Vulnérabilité dans FFmpeg
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-269/index.htmlCERTA-2011-AVI-269 : Vulnérabilité dans HP Network Automation
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-270/index.htmlCERTA-2011-AVI-270 : Vulnérabilité dans Cisco IOS
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-271/index.htmlCERTA-2011-AVI-271 : Vulnérabilités dans VMware ESX et ESXi
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-272/index.htmlCERTA-2011-AVI-272 : Vulnérabilité dans des produits BlueCoat
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-273/index.htmlCERTA-2011-AVI-273 : Vulnérabilité dans Vino
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-274/index.htmlCERTA-2011-AVI-274 : Vulnérabilités dans HP Insight Control Performance Management
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-275/index.htmlCERTA-2011-AVI-275 : Vulnérabilités dans Horde

Durant la même période, les publications suivantes ont été mises à jour :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-590/index.htmlCERTA-2010-AVI-590-002 : Vulnérabilités dans OpenSSL (Ajout de la référence au bulletin de sécurité Oracle Solaris)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-073/index.htmlCERTA-2011-AVI-073-002 : Vulnérabilité dans OpenSSL (ajout de la référence au bulletin Fedora (mingw32-openssl))
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-098/index.htmlCERTA-2011-AVI-098-001 : Multiples vulnérabilités dans Asterisk (ajout de la référence CVE CVE-2011-1147 et du bulletin de sécurité Debian)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-156/index.htmlCERTA-2011-AVI-156-001 : Vulnérabilités dans Asterisk (ajout des références CVE CVE-2011-1174, CVE-2011-1175 et du bulletin de sécurité Debian)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-176/index.htmlCERTA-2011-AVI-176-001 : Vulnérabilité dans rsync (ajout du bulletin de sécurité Ubuntu)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-196/index.htmlCERTA-2011-AVI-196-001 : Vulnérabilité dans SPIP (ajout du bulletin de sécurité Debian)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-249/index.htmlCERTA-2011-AVI-249-001 : Multiples vulnérabilités dans Asterisk (ajout de la référence CVE CVE-2011-1599 et du bulletin de sécurité Debian)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-267/index.htmlCERTA-2011-AVI-267-002 : Multiples vulnérabilités dans les produits Mozilla (ajout du bulletins de sécurité Ubuntu pour Thunderbird)


Liste des tableaux

Gestion détaillée du document

06 mai 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-29