Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-048

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 02 décembre 2011
No CERTA-2011-ACT-048

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-48


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-048

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-048.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-048/

1 Tunnel PPTP

Un incident récemment traité par le CERTA a mis en évidence le mode opératoire peu commun de l'attaquant. Celui-ci se connectait au réseau compromis par l'intermédiaire d'un tunnel PPTP (Point-to-Point Tunneling Protocol).

Le tunnel PPTP est une implémentation de VPN (Virtual Private Network). Il se décompose en deux parties :

  • la gestion du canal de contrôle qui se fait par le port 1723/tcp ;
  • l'échange des données, via un tunnel GRE (Generic Routing Encapsulation, protocole 47) qui encapsule des paquets PPP (Point-to-Point Protocol).

Les fonctionnalités de sécurité, telles que le chiffrement ou l'authentification, sont gérées au niveau de PPP.

Le CERTA recommande le filtrage, en entrée et en sortie, du port 1723/tcp, le tunnel ne pouvant s'établir lorsqu'il est privé de son canal de contrôle. Le filtrage du protocole GRE devrait aussi être mis en place.

Documentation :

2 Fichiers xdp

Le format de fichier xdp (XML Data Package) est un format créé par Adobe pour pouvoir assembler des fichiers PDF dans un fichier XML. Ce type de fichiers est ouvert par defaut par Adobe Acrobat Reader qui va lire les fichiers PDF contenus dedans, qui sont encodés en base64.

2.1 Problème de sécurité

Les fichiers xdp peuvent être utilisés par des attaquants pour embarquer un fichier PDF malveillant. En utilisant cette technique, ils peuvent contourner certains produits de sécurité.

Un tel exemple de fichier xdp malveillant a récemment été traité par le CERTA. Ce fichier est détecté comme malveillant par 3 anti-virus sur 42 sur Virustotal, alors que le fichier PDF contenu est détecté par 20 anti-virus sur 42. Ces chiffres montrent l'efficacité de cette encapsulation.

2.2 Recommandations

2.2.1 Mise à jour du logiciel

Une mise-à-jour régulière du lecteur Adobe Acrobat Reader constitue la meilleure des protections. Dans notre exemple, le fichier au format XDP encapsulait un document au format PDF exploitant une vulnérabilité connue et corrigée.

2.2.2 Analyse des messages reçus

Les fichiers XDP arrivant par courriels sont très rares. Il est recommandé de regarder si des pièces jointes avec cette extension sont arrivées pour analyser les messages concernés.

2.2.3 Modification de l'association XDP

Par défaut, lors de l'installation d'Adobe Acrobat Reader, les associations suivantes sont créées dans le registre (avec Adobe X 10.1.1) :

  • .acrobatsecuritysettings=AcroExch.acrobatsecuritysettings
  • .api=AcroExch.Plugin
  • .fdf=AcroExch.FDFDoc
  • .pdf=AcroExch.Document
  • .pdfxml=AcroExch.pdfxml
  • .secstore=AcroExch.SecStore
  • .xdp=AcroExch.XDPDoc
  • .xfdf=AcroExch.XFDFDoc

Ces associations sont utilisées par Windows pour déterminer quelle application lancer lorsque l'on double-clique sur un fichier.

Afin de prévenir une exploitation malveillante de l'extension .xdp, il est possible de l'associer avec une autre application. Par exemple, on pourra associer l'extension avec notepad (type txtfile).

Pour désactiver l'aasociation avec Adobe Acrobat Reader, exécuter la commande :

                assoc .xdp=txtfile
                reg.exe add HKCR\.xdp /v "Content Type" /d "text/xml" /f

Pour la réactiver:

                assoc .xdp=AcroExch.XDPDoc
                reg.exe add HKCR\.xdp /v "Content Type" /d "application/vnd.adobe.xdp+xml" /f

Cette désactivation permet de prévenir l'activation automatique de Adobe Acrobat Reader lors de l'ouverture d'un document .xdp (double-clic dans l'explorateur). Attention néanmoins, cette mesure ne prémunit pas d'une exploitation si l'utilisateur ouvre le fichier directement depuis l'application Adobe Acrobat Reader (Fichier -> Ouvrir). Enfin, nous attirons votre attention sur le risque de supprimer l'association (assoc .xdp=) qui déclenche une invite de l'utilisateur qui pourrait alors sélectionner Adobe Acrobat Reader et compromettre son poste.

Dans notre exemple avec txtfile, l'utilisateur verra s'ouvrir le bloc-notes de Windows avec le contenu du fichier XML (en cas d'ouverture via l'explorateur) ou un contenu en XML dans son navigateur.

Ces mesures ont été testées sur la plateforme suivante (configuration par défaut) :

        Windows 7
        Microsoft Office 2010 (Outlook)
        Mozilla Firefox 8.0.1
        Mozilla Thunderbird 6.0
        Google Chrome 15.0.874.121

Nous vous recommandons de tester ces mesures dans votre environnement logiciel avant tout déploiement à grande échelle.

2.3 Références

3 Alerte du CERTA concernant une vulnérabilité dans FTPD

Cette semaine, le CERTA a émis une alerte concernant le service FTPD dans FreeBSD. En effet, une vulnérabilité permet à un utilisateur malintentionné de prendre le contrôle à distance du serveur avec des droits administrateur (root). Afin d'exploiter la vulnérabilité, l'attaquant doit avoir les droits nécessaires lui permettant de déposer des fichiers sur le serveur.

Des preuves de faisabilité sont présentes sur l'Internet. Un contournement provisoire est disponible afin d'empêcher ces fichiers d'être déposés (voir alerte CERTA-2011-ALE-007).

Documentation


4 Rappel des avis émis

Dans la période du 25 novembre au 02 décembre 2011, le CERTA a émis les publications suivantes :

  • CERTA-2011-AVI-667 : Vulnérabilité dans IBM Tivoli Netcool/Reporter
  • CERTA-2011-AVI-668 : Vulnérabilité dans Novell Open Enterprise Server
  • CERTA-2011-AVI-669 : Vulnérabilité dans Lighttpd

Gestion détaillée du document

02 décembre 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-21