Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-019

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 10 mai 2013
No CERTA-2013-ACT-019

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-019


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-019

1 Vulnérabilité critique dans Internet Explorer 8

Cette semaine, le CERTA a diffusé l'alerte CERTA-2013-ALE-003, concernant une vulnérabilité majeure dans Internet Explorer 8. Cette vulnérabilité est de type Use-After-Free (utilisation d'une donnée en mémoire après sa libération), dans la bibliothèque mshtml.dll. Son exploitation permet d'exécuter du code arbitraire à distance. Les recommandations émises dans le bulletin d'alerte sont :

  • d'appliquer le correctif provisoire (fix) publié par Microsoft sur les navigateurs Internet Explorer à jour de leurs derniers correctifs afin de bloquer la majorité des attaques connues ;
  • d'installer et de configurer l'outil de sécurité EMET sur les applications sensibles (dont Microsoft Internet Explorer) afin de limiter les risques connus d'exploitation ;
  • d'utiliser Microsoft Internet Explorer 9 ou supérieur qui ne sont pas concernés par cette vulnérabilité ;
  • d'utiliser un navigateur alternatif maintenu et tenu à jour par son éditeur.

Dans le cadre d'une défense en profondeur contre les vulnérabilités dites 0day, plusieurs actions peuvent être menées en parallèle, afin de limiter l'impact des attaques les utilisant sur le système d'information, voire dans certains cas de les en empêcher. Ces mesures sont présentées dans le bulletin d'actualité CERTA-2012-ACT-038 (cf Documentation).

Documentation

2 Découverte de versions modifiées d'Apache comportant une porte dérobée

Lorsqu'un serveur Web est compromis, les attaquants peuvent injecter du contenu malveillant dans les pages Internet fournies par ce serveur. C'est une des raisons pour laquelle des utilisateurs qui visitent un site légitime, mais compromis, peuvent se retrouver infectés.

Les attaquants disposent de nombreuses méthodes pour injecter du contenu malveillant et cherchent généralement à les perfectionner afin de rester le plus discret possible. Cette tendance a récemment été constatée par la société Sucuri, spécialisée dans la sécurité Web. Cette société a découvert des serveurs compromis où le binaire du logiciel Apache a été remplacé par une version modifiée incorporant une porte dérobée. Selon des chercheurs d'ESET qui ont travaillé en collaboration avec Sucuri, cette porte dérobée est l'une des plus sophistiquées qu'ils ont observée jusqu'à présent.

Mis à part le binaire Apache modifié, aucune autre trace n'est présente sur le disque. Cette porte dérobée peut être contrôlée à distance grâce à des requêtes HTTP, non journalisées, et stocke sa configuration dans une zone de mémoire partagée, notamment entre tous les sous processus Apache. Son but est de rediriger les utilisateurs vers des kits d'exploitation, comme Blackhole, tout en essayant de ne pas rediriger les potentiels administrateurs, pour leur rendre plus difficile la détection et l'identification du problème.

Afin de déterminer si un serveur est infecté de cette manière, le CERTA recommande d'utiliser des utilitaires de vérification d'intégrité de fichiers. À titre d'exemple :

  • lorsqu'un serveur Web, ou tout autre logiciel, a été installé à l'aide d'un gestionnaire de paquet, il est possible d'utiliser :
    • debsums pour les systèmes à base de paquets Debian,
    • rpm avec l'option -verify pour les systèmes à base de paquets RPM.
  • il existe des solutions plus génériques comme le logiciel Samhain.
Il faut toutefois garder à l'esprit que les résultats de ces outils peuvent être faussés si les méta-données utilisées pour les vérifications ont également été modifiées par les attaquants.

Documentation

3 Contrôle d'accès aux zones sensibles

Les zones sensibles d'un organisme telles que des salles serveur, des centraux téléphoniques ou encore un coeur de réseau nécessitent une attention particulière en termes de contrôle d'accès.

L'établissement et la mise à jour d'états recensant les personnels autorisés à accéder aux les zones les plus sécurisées devraient être systématiques.

De même, le départ d'un employé doit impliquer la révocation immédiate de ses droits d'accès et le changement des codes secrets partagés des systèmes de contrôle d'accès (mots de passe, digicode, armoires fortes, etc.) dont il avait connaissance.

À l'instar des incidents rencontrés récemment chez un opérateur français, l'actualité illustre régulièrement des cas où un ex-employé peut continuer à pénétrer dans des locaux protégés après son départ de l'entreprise, et y mener des actions malveillantes à l'encontre des infrastructures de son ancien employeur.

Documentation


4 Rappel des avis émis

Dans la période du 03 au 09 mai 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-ALE-003 : Vulnérabilité dans Microsoft Internet Explorer 8
  • CERTA-2013-AVI-285 : Vulnérabilité dans F5 Bind
  • CERTA-2013-AVI-286 : Multiples vulnérabilités dans IBM Notes
  • CERTA-2013-AVI-287 : Vulnérabilité dans Novell iPrint
  • CERTA-2013-AVI-288 : Multiples vulnérabilités dans EMC Avamar
  • CERTA-2013-AVI-289 : Vulnérabilité dans EMC NetWorker
  • CERTA-2013-AVI-290 : Multiples vulnérabilités dans Xen
  • CERTA-2013-AVI-291 : Vulnérabilité dans Novell ZENworks
  • CERTA-2013-AVI-292 : Vulnérabilité dans des équipements Huawei
  • CERTA-2013-AVI-293 : Multiples vulnérabilités dans EMC Archer GRC
  • CERTA-2013-AVI-294 : Vulnérabilité dans nginx

Gestion détaillée du document

10 mai 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28