Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-007

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 15 février 2013
No CERTA-2013-ACT-007

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-007


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-007

1 Mise à jour mensuelle Microsoft

Lors de la mise à jour mensuelle de Microsoft, douze bulletins de sécurité ont été publiés.

Cinq bulletins sont considérés comme critiques :

  • MS13-009 qui concerne Microsoft Internet Explorer, cette mise à jour corrige treize vulnérabilités permettant à un attaquant, à l'aide d'une page Web spécialement conçue, d'exécuter du code arbitraire à distance ;
  • MS13-010 qui concerne Microsoft Vector Markup Language, cette mise à jour corrige une vulnérabilité permettant à un attaquant, à l'aide d'une page Web spécialement conçue, d'exécuter du code arbitraire à distance.
  • MS13-011 qui concerne Microsoft DirectShow Media Decompression, cette mise à jour corrige une vulnérabilité permettant à un attaquant, à l'aide d'un fichier multimedia spécialement conçu, d'exécuter du code arbitraire à distance.
  • MS13-012 qui concerne Microsoft Exchange Server, cette mise à jour corrige des vulnérabilités permettant à un attaquant, à l'aide d'un fichier spécialement conçu, d'exécuter du code arbitraire à distance.
  • MS13-020 qui concerne Microsoft OLE Automation, cette mise à jour corrige une vulnérabilité permettant à un attaquant, à l'aide d'un fichier spécialement conçu, d'exécuter du code arbitraire à distance.

Sept bulletins sont considérés comme importants, ils concernent :

  • des vulnérabilités dans Microsoft Fast Search Server 2010 (MS13-013) ;
  • une vulnérabilité dans Microsoft NFS (MS13-014) ;
  • une vulnérabilité dans Microsoft .NET Framework (MS13-015) ;
  • des vulnérabilités dans les pilotes en mode noyau de Microsoft Windows (MS13-016) ;
  • des vulnérabilités dans le noyau de Microsoft Windows (MS13-017) ;
  • une vulnérabilité dans Microsoft TCP/IP (MS13-018) ;
  • une vulnérabilité dans Microsoft CSRSS (MS13-019).

Microsoft a constaté que le CVE-2013-0030 (MS13-010) a été utilisé dans des attaques ciblées, et que les CVE-2013-0077 (MS13-011), MS13-012, MS13-013 et CVE-2013-0076 (MS13-019) ont été révélés publiquement. Le code d'exploitation pour le CVE-2013-0025 (MS13-009) est disponible publiquement et est activement utilisé.

Le CERTA recommande l'application de ces correctifs dès que possible.

Documentation

2 Alerte dans Adobe Reader et Acrobat

Cette semaine le CERTA a diffusé l'alerte CERTA-2013-ALE-002, concernant deux vulnérabilités majeures dans Adobe Reader et Acrobat. Les failles permettent d'exécuter du code arbitraire à distance au moyen d'un fichier PDF spécialement conçu. Elles ont été largement diffusées et sont activement exploitées. Dans le cas où Adobe Reader ou Acrobat ne sont pas nécessaires, il est recommandé de désactiver ces logiciels le temps qu'un correctif soit disponible. L'éditeur prévoie la diffusion d'un correctif de sécurité.

En revanche, si Adobe Reader ou Acrobat sont requis, la solution proposée par l'éditeur est d'utiliser le mode « Protected View » d'Adobe, qui permet de cloisonner ( sandbox ) le lecteur PDF. En plus de la solution de l'éditeur, le CERTA préconise de désactiver JavaScript dans le lecteur PDF et d'utiliser la version « XI » d'Adobe Reader ou Acrobat.

Nous recommandons également de ne pas ouvrir de documents PDF qui ne sont pas de confiance :

  • issu d'un site Web inconnu ;
  • en pièce jointe d'un courriel douteux (expéditeur inconnu, contenu incohérent, etc.).

Le CERTA rappelle qu'Adobe a corrigé cette semaine de multiples vulnérabilités dans Adobe Flash Player et Adobe Shockwave Player ( CERTA-2013-AVI-127, CERTA-2013-AVI-125 et CERTA-2013-AVI-104 ).

Documentation

3 Compromission de la société Bit9 et protection des éléments secrets

La société Bit9 propose une solution permettant de vérifier si un programme est inscrit dans une liste blanche. Contrairement aux antivirus qui identifient les fichiers infectés en utilisant des listes noires, ce système permet de déterminer les fichiers connus comme étant sains. Cette solution permet également de vérifier la signature numérique des logiciels. En particulier, tout programme signé par la société est considéré comme sain. Le 8 février 2013, Bit9 a annoncé avoir subi une intrusion dans ses systèmes d'information. D'après les investigations menées, seul leur programme permettant de signer numériquement des applications a été touché. Trois de leurs clients auraient ainsi été victimes de codes malveillants signés par un certificat valide et appartenant à Bit9.

Cet incident illustre bien la nécessité de protéger aussi bien les clefs privées que le mécanisme mis en place pour réaliser les opérations cryptographiques (signature ou chiffrement). Comme le recommande l'annexe B2 du RGS, « de par leur nature même, les éléments privés ou secrets ne peuvent être employés que dans un environnement de confiance ». La confiance de l'environnement peut être, par exemple, renforcée par l'utilisation de hardware security modules (HSM), dont certains ont été certifiés par l'ANSSI. Le CERTA souligne également l'importance de vérifier les révocations de certificat.

Documentation


4 Rappel des avis émis

Dans la période du 8 février au 15 février 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-ALE-002 : Vulnérabilités dans Adobe Reader et Acrobat
  • CERTA-2013-AVI-103 : Vulnérabilité dans PostgreSQL
  • CERTA-2013-AVI-104 : Multiples vulnérabilités dans Adobe Flash Player
  • CERTA-2013-AVI-105 : Vulnérabilité dans VMware
  • CERTA-2013-AVI-106 : Multiples vulnérabilités dans HP LeftHand Virtual SAN Appliance hydra
  • CERTA-2013-AVI-107 : Vulnérabilité dans cURL libcurl
  • CERTA-2013-AVI-108 : Multiples vulnérabilités dans IBM Netezza WebAdmin
  • CERTA-2013-AVI-109 : Vulnérabilité dans GnuTLS
  • CERTA-2013-AVI-110 : Multiples vulnérabilités dans Microsoft Windows Flash Player
  • CERTA-2013-AVI-111 : Multiples vulnérabilités dans IBM InfoSphere
  • CERTA-2013-AVI-112 : Multiples vulnérabilités dans IBM Tivoli
  • CERTA-2013-AVI-113 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2013-AVI-114 : Vulnérabilité dans Microsoft Vector Markup Language
  • CERTA-2013-AVI-115 : Vulnérabilité dans Microsoft DirectShow Media Decompression
  • CERTA-2013-AVI-116 : Multiples vulnérabilités dans Microsoft Exchange Server
  • CERTA-2013-AVI-117 : Vulnérabilité dans Microsoft FAST Search Server 2010
  • CERTA-2013-AVI-118 : Vulnérabilité dans Microsoft NFS Server
  • CERTA-2013-AVI-119 : Vulnérabilité dans Microsoft NET Framework
  • CERTA-2013-AVI-120 : Multiples vulnérabilités dans Microsoft Windows Kernel-Mode Driver
  • CERTA-2013-AVI-121 : Multiples vulnérabilités dans Microsoft Windows Kernel
  • CERTA-2013-AVI-122 : Vulnérabilité dans Microsoft Windows TCP/IP
  • CERTA-2013-AVI-123 : Vulnérabilité dans Microsoft CSRSS
  • CERTA-2013-AVI-124 : Vulnérabilité dans Microsoft OLE Automation
  • CERTA-2013-AVI-125 : Multiples vulnérabilités dans Adobe Shockwave Player
  • CERTA-2013-AVI-126 : Multiples vulnérabilités dans Google Chrome Adobe Flash Player
  • CERTA-2013-AVI-127 : Multiples vulnérabilités dans Adobe Flash Player
  • CERTA-2013-AVI-128 : Vulnérabilité dans Cisco Unified MeetingPlace
  • CERTA-2013-AVI-129 : Vulnérabilité dans le système SCADA Moxa EDR-G903
  • CERTA-2013-AVI-130 : Vulnérabilité dans IBM WebSphere

Gestion détaillée du document

15 février 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-24