Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-033

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 16 août 2013
No CERTA-2013-ACT-033

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-033


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-033

1 Mise à jour mensuelle Microsoft

Lors de la mise à jour mensuelle de Microsoft, huit bulletins de sécurité ont été publiés.

Les trois premiers bulletins sont considérés comme critiques :

  • MS13-059 qui concerne Internet Explorer, cette mise à jour corrige onze vulnérabilités ;
  • MS13-060 qui concerne le processeur de scripts Unicode, cette mise à jour corrige une vulnérabilité ;
  • MS13-061 qui concerne Microsoft Exchange Server, cette mise à jour corrige trois vulnérabilités provenant de Oracle Outside In.
Toutes ces vulnérabilités peuvent mener un attaquant à exécuter du code arbitraire à distance.


Cinq bulletins sont considérés comme importants :

  • MS13-062 qui concerne le Remote Procedure Call (RPC), cette mise à jour corrige une vulnérabilité ;
  • MS13-063 qui concerne le noyau Microsoft Windows, cette mise à jour corrige quatre vulnérabilités ;
  • MS13-064 qui concerne le pilote NAT Microsoft Windows, cette mise à jour corrige une vulnérabilités de Oracle Outside In ;
  • MS13-065 qui concerne ICMPv6, cette mise à jour corrige une vulnérabilité ;
  • MS13-066 qui concerne Active Directory Federation Services (ADFS), cette mise à jour corrige une vulnérabilité.

Le correctif MS13-063 / CVE-2013-2556 est plus amplement détaillé dans ce bulletin d'actualité.

Le CERTA recommande l'application de ces correctifs dès que possible.

Documentation

2 Correction d'une technique de contournement des protections DEP et ASLR sous Windows

Le 13 août 2013, Microsoft a publié une mise à jour de sécurité qui se distingue des mises à jour habituelles. En effet, celle-ci ne corrige pas une erreur d'implémentation mais supprime un moyen de contourner, sur les systèmes Windows, les techniques de protection ASLR (Address Space Layout Randomization) et le DEP (Data Execution Prevention).

Sous Windows, l'espace mémoire « SharedUserData », qui sert à échanger des informations entre le mode utilisateur et le mode noyau, est toujours accessible à l'adresse 0x7ffe0000. Cet espace contient notamment des pointeurs de fonctions :

  • 7ffe0340 77509e69 ntdll!LdrInitializeThunk
  • 7ffe0344 774e0124 ntdll!KiUserExceptionDispatcher
  • 7ffe0348 774e0028 ntdll!KiUserApcDispatcher
  • 7ffe034c 774e00dc ntdll!KiUserCallbackDispatcher
  • 7ffe0350 7756fc24 ntdll!LdrHotPatchRoutine
  • 7ffe0354 775026d1 ntdll!ExpInterlockedPopEntrySListFault
  • 7ffe0358 7750269b ntdll!ExpInterlockedPopEntrySListResume
  • 7ffe035c 775026d3 ntdll!ExpInterlockedPopEntrySListEnd
  • 7ffe0360 774e01b4 ntdll!RtlUserThreadStart
  • 7ffe0364 775735da ntdll!RtlpQueryProcessDebugInformationRemote
  • 7ffe0368 77527111 ntdll!EtwpNotificationThread

Parmi ces pointeurs, la fonction « ntdll!LdrHotPatchRoutine » peut être utilisée pour contourner DEP et ASLR. Elle permet en effet de charger de façon arbitraire un fichier DLL local ou pouvant être présent sur un partage réseau.

Le correctif remplace ces adresses de fonctions par des octets nuls, il ne sera donc plus possible d'exploiter de failles via ce contournement. Ce correctif constitue donc une mesure de défense en profondeur contre toute une catégorie de méthodes d'exploitation.

Le CERTA recommande d'appliquer ce correctif le plus rapidement possible sur tous les systèmes Microsoft Windows.

Documentation

3 Black Hat USA 2013

La conférence Black Hat s'est déroulée du 27 juillet au 1 août. Elle a regroupé un nombre important de présentations dans divers domaines liés à la cybersécurité. Outre le côté technique de certaines présentations, on peut noter que certains thèmes sont actuellement régulièrement abordés lors de ces évènements.

Parmi ces thèmes d'actualité, on peut noter :

  • les menaces envers les systèmes SCADA, industriels et embarqués ;
  • les menaces contre les smartphones et les problématiques associées au BYOD (Bring Your Own Device) ;
  • les attaques menées contre l'UEFI et le SecureBoot ;
  • les menaces contre les services Web.

Le suivi et l'identification des sujets traités lors de ce genre de conférences permettent une évaluation de la menace et des attaques possibles du moment contre les systèmes d'information.

Documentation


4 Rappel des avis émis

Dans la période du 09 au 15 août 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-AVI-466 : Multiples vulnérabilités dans Adobe Reader et Acrobat
  • CERTA-2013-AVI-467 : Multiples vulnérabilités dans PuTTY
  • CERTA-2013-AVI-468 : Multiples vulnérabilités dans Symfony
  • CERTA-2013-AVI-469 : Vulnérabilité dans Samba
  • CERTA-2013-AVI-470 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2013-AVI-471 : Vulnérabilité dans le processeur de scripts Unicode Microsoft
  • CERTA-2013-AVI-472 : Multiples vulnérabilités dans Microsoft Exchange Server
  • CERTA-2013-AVI-473 : Vulnérabilité dans Microsoft Remote Procedure Call
  • CERTA-2013-AVI-474 : Multiples vulnérabilités dans le noyau Microsoft Windows
  • CERTA-2013-AVI-475 : Vulnérabilité dans le pilote NAT de Microsoft Windows
  • CERTA-2013-AVI-476 : Vulnérabilité dans l'implémentation ICMPv6 de Microsoft Windows
  • CERTA-2013-AVI-477 : Vulnérabilité dans Microsoft Active Directory Federation Services

Gestion détaillée du document

16 août 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22