Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-008

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 22 février 2013
No CERTA-2013-ACT-008

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-008


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-008

1 Recommandations de sécurité pour les dispositifs de vidéosurveillance

L'ANSSI a récemment publiqué une note technique intitulée Recommandations de sécurité pour la mise en oeuvre de dispositifs de vidéoprotection.

Ce document décrit un ensemble de mesures et de principes, dont la mise en oeuvre vise à contrer les vulnérabilités des dispositifs de vidéo surveillance, au travers des thématiques suivantes :

  • analyse des menaces ;
  • architecture du réseau support ;
  • choix et configuration des équipements de vidéoprotection ;
  • sécurité du centre de supervision ;
  • problématiques de signaux compromettants ;
  • aspects contractuels en cas de sous-traitance.

Documentation

2 Sécurisation de Adobe Reader sous environnement Microsoft Windows

La semaine dernière, le CERTA a diffusé l'alerte CERTA-2013-ALE-002 concernant un exploit qui utilisait deux vulnérabilités majeures dans Adobe Reader et Acrobat. Ces vulnérabilités ont été corrigées mais le risque d'un nouveau « 0-day » ne peut être écarté. Cet article présente quelques recommandations pour durcir la configuration du lecteur PDF d'Adobe dans l'environnement Microsoft Windows et réduire les risques de compromission au moyen de fichiers PDF spécialement conçus.

Le CERTA recommande :

  • de déployer la dernière version, apportant des améliorations de la configuration et davantage de mécanismes de sécurité ;
  • d'activer le mode protégé (sandbox) et la protection renforcée (restriction sur l'exécution des scripts ). Il faut également recommander d'activer la création d'un fichier journal pour le mode protégé et la protection renforcée ;
  • de désactiver des fonctionnalités inutilisées comme :
    • le moteur JavaScript,
    • les opérations multimedia (catégorie « fiabilité multimedia » ),
    • les fichiers PDF joints et les accès à Internet des fichiers PDF (Gestionnaire des approbations).

Ces paramètres doivent être déployés de préférence par GPO (fichiers ADMX fournis par Adobe) afin que tout le système d'information soit couvert de manière homogène.

Même si le moteur JavaScript est désactivé par l'administrateur, il est activable temporairement par l'utilisateur lors de l'ouverture d'un fichier PDF contenant du code JavaScript. Des messages de sensibilisation doivent donc être diffusés pour éviter ce comportement.

Ces mesures de durcissement d'Adobe Reader doivent être complétées par des mesures génériques relatives aux systèmes Microsoft Windows :

  • utiliser une version récente de Microsoft Windows (7 ou 8), pour bénéficier des améliorations au niveau des mécanismes de sécurité (notamment de sandbox) ;
  • utiliser une compte non privilégié (activation de UAC depuis Microsoft Windows Vista).

Enfin, quelques mesures génériques relatives à un parc Microsoft Windows peuvent être mises en place pour réduire les conséquences de la compromission d'un poste de travail :

  • créer des postes dédiées à l'administration, distinct des postes bureautiques standards ;
  • activer le pare-feu local des postes de travail pour empêcher les connexions entrantes depuis un autre poste de travail ;
  • créer des comptes dédiés à l'administration des postes de travail et pas plus privilégiés.

Le CERTA souligne également que ces éléments de configuration doivent être préalablement testés et qualifiés avant d'être appliqués.

Documentation

3 Oracle Java version 7 mise à jour 15

Le 19 février 2013, Oracle a publié la version 7 mise à jour 15 de Java (CERTA-2013-AVI-142). Elle corrige 6 vulnérabilités et s'agit d'une mise à jour « hors cycle » de Oracle. Cette mise à jour corrige entre autre la première vulnérabilité évoquée dans l'alerte (CERTA-2013-ALE-001). Cette vulnérabilité n'avait pas été corrigée dans les mises à jour 11 et 13 de Oracle Java . Elle permettait de charger une classe dans l'espace de noms (namespace) système depuis l'espace de nom « Applet » au moyen de la méthode « findClass » de la classe « MBeanInstantiator ». Avec la mise à jour 15 de Oracle Java, les vulnérabilités utilisées dans les codes d'exploitation publics sont maintenant toutes corrigées.

Le CERTA recommande d'appliquer la mise à jour 15 le plus rapidement possible lorsque la désactivation de Java dans le navigateur n'est pas possible et de suivre les règles de base de sécurité qui sont :

  • de prendre garde aux liens qui sont dans les courriels ;
  • de faire preuve de vigilance lorsque vous consultez des sites Web non vérifiés.

Pour plus d'information, nous vous conseillons de lire le bulletin d'actualité 006 ( CERTA-2013-ACT-006 ).

Documentation

4 Exploitation de vulnérabilités visant la plate-forme Max OS X

Comme l'a illustré le code malveillant « Flashback » l'année dernière, la plate-forme Mac OS X est également la cible de codes d'exploitation. Ainsi à l'instar d'autres systèmes, celle-ci a récemment été sujette aux vulnérabilités Java largement utilisées par des codes malveillants ou des plates-formes d'exploitation. Ces vulnérabilités ont été corrigées dans la nouvelle version Java 1.6.0_41 maintenue par Apple pour ses systèmes d'exploitation OS X 10.6 et Mountain Lion. Ce dernier correctif désactive désormais par défaut le greffon Java pour l'exécution d'applet au sein du navigateur, ce qui réduit immédiatement la surface d'exploitation pour l'attaquant. Il est désormais à la charge de l'utilisateur d'installer le greffon distribué par Oracle.

Des attaques ont déjà été relatées concernant d'autres produits de la plate-forme Mac OS X. Ce fut par exemple le cas de campagnes d'attaques visant certaines communautés l'année dernière : des codes d'exploitation visant Microsoft Office pour Mac ont été utilisés afin de délivrer les charges malveillantes.

L'exposition de Mac OS X aux attaques n'est pas marginale: ce système possède des vulnérabilités comme n'importe quel autre système d'exploitation. Ainsi les précautions de mises à jour habituellement préconisées par le CERTA sont applicables de la même manière sur cette plate-forme.

Documentation


5 Rappel des avis émis

Dans la période du 15 février au 22 février 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-AVI-131 : Vulnérabilité dans Xen oxenstored
  • CERTA-2013-AVI-132 : Vulnérabilité dans Xen
  • CERTA-2013-AVI-133 : Multiples vulnérabilités dans Ruby on Rails
  • CERTA-2013-AVI-134 : Multiples vulnérabilités dans IBM WebSphere Message Broker
  • CERTA-2013-AVI-135 : Multiples vulnérabilités dans Symantec Encryption Desktop
  • CERTA-2013-AVI-136 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2013-AVI-137 : Vulnérabilité dans les systèmes SCADA Siemens CP 1616 et CP 1604
  • CERTA-2013-AVI-138 : Multiples vulnérabilités dans IBM InfoSphere DataStage
  • CERTA-2013-AVI-139 : Multiples vulnérabilités dans les produits IBM
  • CERTA-2013-AVI-140 : Multiples vulnérabilités dans IBM Data Studio Help System
  • CERTA-2013-AVI-141 : Multiples vulnérabilités dans les produits Hitachi
  • CERTA-2013-AVI-142 : Multiples vulnérabilités dans Oracle Java
  • CERTA-2013-AVI-143 : Multiples vulnérabilités dans Apple OS X et Mac OS X
  • CERTA-2013-AVI-144 : Multiples vulnérabilités dans Mozilla Firefox
  • CERTA-2013-AVI-145 : Multiples vulnérabilités dans Oracle Solaris

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2013-ALE-002-002 : Vulnérabilités dans Adobe Reader et Acrobat (ajout du correctif et fermeture alerte)

Gestion détaillée du document

22 février 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-08-17