Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-001

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 janvier 2013
No CERTA-2013-ACT-001

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-001


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-001

1 Vulnérabilité critique dans Internet Explorer

Cette semaine, le CERTA a diffusé l'alerte CERTA-2012-ALE-010, concernant une vulnérabilité majeure dans Internet Explorer. La faille est une vulnérabilité de type Use-After-Free (utilisation d'une donnée en mémoire après sa libération) dans la bibliothèque mshtml.dll. Son exploitation permet d'exécuter du code arbitraire à distance. Un outil exploitant cette vulnérabilité et utilisant une technique de bourrage du tas (heap spray) a été largement diffusé via une plate-forme très connue d'attaque. Un autre outil, basé sur une technique différente, a par la suite été rendu public. Ce dernier est plus difficilement reconnu par des outils de détection d'intrusion.

Microsoft a reconnu que cette vulnérabilité était exploité et a publié un correctif provisoire dit « Fix-it » (qui n'est pas diffusé par Windows Update). Le CERTA recommande son application au plus tôt.

Plus généralement, dans le cadre d'une défense en profondeur contre les vulnérabilités dites 0day, plusieurs actions peuvent être menées en parallèle. Elles ont pour but de limiter l'impact sur le système d'information, voire dans certains cas d'empêcher l'exploitation de celles-ci. L'une d'elles est l'utilisation de EMET : cet outil, une fois configuré, permet de limiter la surface d'exploitation des applications surveillées. Cette mesure à elle seule empêche un grand nombre d'attaques de fonctionner. Toutes ces mesures sont présentées dans le bulletin d'actualité CERTA-2012-ACT-038 (cf. Documentation).

Documentation

2 Découverte d'un certificat Google frauduleux

Un nouvel incident remettant en question le modèle actuel de gestion des certificats a récemment été constaté. Google a annoncé avoir découvert un certificat valide ne leur appartenant pas pour le domaine « *.google.com ». Ce certificat frauduleux a été émis par une autorité de certification (AC) intermédiaire, elle-même certifiée par une AC racine turque TURKTRUST.

Toujours selon Google, TURKTRUST aurait reconnu avoir délivré par erreur, en août 2011, deux certificats d'AC intermédiaires au lieu de certificats finaux à des organisations. Ces organisations, ou tout utilisateur ayant accès aux clés privées associées à ces certificats, ont donc eu la possibilité de créer des certificats valides pour n'importe quel site Web.

En plus de Google qui a révoqué les certificats concernés, Microsoft a publié une mise à jour pour ses systèmes. Les systèmes utilisant la mise à jour automatique de certificats révoqués, incluant Windows Vista et supérieurs ou Windows Server 2008 et supérieurs, devraient recevoir la mise à jour automatiquement. Par contre, les administrateurs des systèmes plus anciens dont Windows XP et Windows Server 2003, doivent passer par Windows Update ou appliquer la mise à jour manuellement (se référer au bulletin de sécurité Microsoft pour de plus amples détails).

Mozilla a annoncé une mise à jour pour Firefox qui sera disponible le 8 janvier 2013.

Le CERTA recommande l'application des mises à jour concernant ces certificats dès que possible.

Documentation


3 Rappel des avis émis

Dans la période du 28 décembre 2012 au 03 janvier 2013, le CERTA a émis les publications suivante :

  • CERTA-2013-AVI-001 : Vulnérabilité dans IBM SPSS Modeler
  • CERTA-2013-AVI-002 : Vulnérabilités dans Symfony
  • CERTA-2013-AVI-003 : Vulnérabilités dans Asterisk

Durant la même période, la publication suivante a été mise à jour :

  • CERTA-2012-ALE-010-001 : Vulnérabilité dans Internet Explorer (ajout du « Fix it » publié par Microsoft dans les contournements provisoires, ajout du lien dans les documentations)

Gestion détaillée du document

04 janvier 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-24