Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-045

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 08 novembre 2013
No CERTA-2013-ACT-045

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-045

1 - Vulnérabilité critique dans les produits Microsoft

Cette semaine, le CERTA a diffusé l'alerte CERTA-2013-ALE-007 concernant une vulnérabilité majeure dans les produits Microsoft. Cette vulnérabilité est désormais publique et largement exploitée par les attaquants.

Cette vulnérabilité est un dépassement de tampon dans le tas dans le composant GdiPlus de Microsoft, en charge notamment du rendu graphique des images TIFF. Elle permet une exécution de code arbitraire à distance au moyen d'un fichier embarquant une image au format TIFF spécialement conçue. Ce fichier peut être intégré dans un document Microsoft Office, une page Web ou un message électronique.

La vulnérabilité touche les versions 2003, 2007 et 2010 de Microsoft Office, quel que soit le système d'exploitation Microsoft Windows installé. De plus, les installations de Microsoft Windows Vista et Server 2008 sont également vulnérables, même si la suite Office n'est pas installée.

Différents codes d'exploitation sont déjà présents dans la nature sous la forme d'un document Word spécialement conçu. Pour contourner la protection ASLR, ils utilisent un contrôle ActiveX permettant de remplir le tas. En ce qui concerne la fonctionnalité DEP, deux types de contournement ont été constatés :

  • le premier type de contournement utilise une bibliothèque chargée dans une zone fixe du processus pour effectuer le ROP (Return-Oriented Programming);
  • le deuxième type de contournement, un peu plus original, force l'utilisation de la bibliothèque VBE6.DLL. Ce module, lors de son chargement, appelle la fonction ntdll!ZwSetInformationProcess pour désactiver la protection DEP sur le processus courant. Cet appel est utilisé à des fins de rétro compatibilité.

Microsoft a publié un correctif provisoire (cf. bulletin d'alerte). Le CERTA recommande l'application de ce correctif dès que possible. De plus, le CERTA encourage l'utilisation des dernières versions supportées des produits Microsoft et de lire le bulletin d'actualité numéro 42 (CERTA-2013-ACT-042) sur la protection ASLR.

Documentation

2 - Bonnes pratiques lors de l'installation d'un logiciel

Il ressort des incidents traités par le CERTA que l'installation de logiciels sans vérifications préalables est régulièrement à l'origine de la compromission de postes de travail ou de serveurs.

Certaines précautions doivent être prises afin de garantir l'innocuité des logiciels installés sur un poste en production :

  • le téléchargement d'un logiciel ou de son code source doit être réalisé, si possible, sur le site original de l'éditeur. En effet, de nombreux sites de téléchargement ajoutent à l'installation des programmes à vocation publicitaire ou des fonctionnalités non désirées (exemple : barres d'outils), qui peuvent faire l'objet de vulnérabilités ;
  • les fichiers doivent être soumis à un ou plusieurs antivirus à jour;
  • l'intégrité des fichiers téléchargés (sources ou binaires) doit être vérifiée en s'assurant que les condensats (MD5, SHA1, etc.) sont identiques à ceux publiés sur le site de l'éditeur. De même, la présence d'une signature numérique valide et d'origine sure garantira que le contenu n'a pas été modifié.
  • la procédure d'installation doit être suivie avec attention afin de clairement identifier les composants installés et les options activées.

Ces précautions sont d'autant plus importantes lorsqu'il s'agit d'installer des composants de sécurité (exemple : OpenSSH) ou des services sensibles (exemple : Serveur Web).

Lors du déploiement dans un environnement critique, des précautions supplémentaires peuvent s'avérer utiles comme, par exemple, l'analyse du code source original, afin de s'assurer que le programme ne contient aucune fonction malveillante, ou la compilation d'un binaire directement depuis le code source.

Certaines attaques rencontrées redirigent l'utilisateur vers un site malveillant, visuellement identique au site de l'éditeur. Il convient donc de s'assurer que l'adresse Internet de téléchargement correspond bien à celle de l'éditeur.

Documentation

3 - Amélioration de la gestion des greffons applicatifs au sein des navigateurs Internet

Le CERTA a pu constater que dans un grand nombre d'incidents le point d'entrée utilisé était le navigateur Internet.

Dans le but de réduire les risques, les principaux éditeurs de navigateur Internet s'accordent sur l'évolution de la sécurité de leur logiciel en proposant de nouvelles options de sécurité, en particulier sur la gestion des greffons applicatifs (ex : plug-ins, ActiveX).

Ainsi, à partir de janvier 2014, Google dotera la nouvelle version de son navigateur Google Chrome d'une fonction permettant de désactiver tous les greffons basés sur NPAPI (Netscape Plug-in API), format couramment utilisé. Afin de ne pas handicaper les internautes, Google propose une liste de greffons autorisés en liste blanche : Silverlight, Unity, Google Earth, Google Talk, Facebook Video. Celle-ci peut être modifiée et être enrichie selon les besoins métier. Le plug-in Java reste désactivé par défaut. Cette nouvelle option constitue un complément à la fonction de sécurité « Safe Browsing » permettant d'alerter l'internaute si le site visité a été considéré comme malveillant par Google.

Il y a quelques jours, Mozilla a également doté la dernière version bêta 26 de son navigateur Internet Firefox d'une fonction de sécurité semblable, qui désactive par défaut tous les greffons installés, hormis les dernières versions des greffons Flash Player. La liste des greffons autorisés est également modifiable. Comme Google Chrome, une fonctionnalité déjà intégrée dans les dernières versions de Firefox apporte un complément de sécurité en alertant l'internaute s'il visite un site considéré comme malveillant (option de vérification des sites d'attaque et de contrefaçon).

Les versions supportées d'Internet Explorer intègrent une fonction de gestion des greffons. Internet Explorer en version 11, installé par défaut sur Microsoft Windows 8.1, intègre une fonction d'analyse des contrôles ActiveX, via Windows Defender, empêchant leur exécution s'ils sont considérés comme malveillants. Le filtre SmartScreen (base de données de sites malveillants) permet quant à lui d'alerter l'internaute si un site visité est considéré comme malveillant.

Le CERTA insiste donc sur la nécessité de mettre à jour son navigateur Internet et les greffons associés. Pour garantir une sécurité renforcée, il est par ailleurs conseillé de limiter les greffons autorisés et de paramétrer correctement leur configuration. Il est toutefois indispensable, avant d'effectuer les mises à jour sur un parc informatique, de les vérifier sur un environnement de test afin de s'assurer de leur stabilité et de leur compatibilité avec le système et les applications métier. Il est recommandé également de consulter l'article sur le détournement des greffons disponibles dans le bulletin d'actualité (CERTA-2013-ACT-004) ainsi que celui sur la protection des navigateurs contre les 0day (CERTA-2012-ACT-038).

Documentation


4 - Rappel des avis émis

Dans la période du 31 octobre au 07 novembre 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-ALE-007 : Vulnérabilité dans un composant graphique de Microsoft
  • CERTA-2013-AVI-614 : Vulnérabilité dans EMC Unisphere
  • CERTA-2013-AVI-615 : Multiples vulnérabilités dans Cisco IOS XE Software
  • CERTA-2013-AVI-616 : Multiples vulnérabilités dans Wireshark
  • CERTA-2013-AVI-617 : Multiples vulnérabilités dans Xen
  • CERTA-2013-AVI-618 : Vulnérabilité dans Cisco IOS Software
  • CERTA-2013-AVI-619 : Vulnérabilité dans Cisco WAAS Mobile
  • CERTA-2013-AVI-620 : Vulnérabilité dans Cisco TelePresence VX Clinical Assistant

Gestion détaillée du document

08 novembre 2013
version initiale.
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-045

CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-08-22