Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2014-ACT-014

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 avril 2014
No CERTFR-2014-ACT-014

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2014-ACT-014

1 - Vulnérabilités Silverlight

Recrudescence des tentatives d'exploitation de Microsoft Silverlight

Silverlight est une technologie développée par Microsoft permettant, à l'instar de Flash, de créer et de visualiser des contenus dynamiques sur le web. Si la majorité des greffons ciblés par les kits d'exploitation («exploit kit») concerne Java, Flash player ou encore Adobe Reader, le CERT-FR observe depuis peu une recrudescence des tentatives d'exploitation de vulnérabilités dans les greffons Silverlight. Par exemple, les vulnérabilités CVE-2013-0074 et CVE-2013-3896 visant Silverlight ont été intégrées au kit Angler en novembre 2013.

Recommandations

Afin de réduire les risques liés à l'utilisation de ce greffon, il est recommandé d'appliquer les mesures suivantes :

  • mettre à jour régulièrement le système d'information (système d'exploitation, navigateur, greffon, etc.) ;
  • privilégier un navigateur exécutant les greffons dans un bac à sable ;
  • activer une politique de restriction logicielle (SRP ou AppLocker) ;
  • appliquer les renforcements de sécurité apportés par EMET («Enhanced Mitigation Experience Toolkit») ;
  • mettre en place un blocage périmétrique à l'aide d'un serveur mandataire et d'une liste blanche.

Plus généralement afin de limiter la surface d'exposition d'un poste, si le greffon Silverlight n'est pas utilisé, le CERT-FR recommande de le désactiver ou le désinstaller.

Pour désactiver le greffon dans Firefox :

  • aller dans le menu "Outils" puis "Modules complémentaires" ;
  • choisir l'onglet "plugins" ;
  • sélectionner le greffon dans la liste et cliquer sur "Désactiver".

Pour désactiver le greffon dans Internet Explorer :

  • aller dans le menu "Outils" puis "Gérer les modules complémentaires" ;
  • choisir "Barres d'outils et extensions" ;
  • sélectionner le greffon dans la liste et cliquer sur "Désactiver".

Pour désactiver le greffon dans Google Chrome :

  • saisir "chrome://plugins/" dans la barre d'adresse ;
  • sélectionner le greffon et cliquer sur "Désactiver".

Documentation

2 - Avantages et limitations de la protection ASLR au niveau du noyau

La protection ASLR ( « Address Space Layout Randomization » ) a tout d'abord été implémentée sous Linux par le projet PaX en 2001 puis a été intégrée de façon stable dans le noyau linux 2.6.12 en 2005. Elle répond à un problème de sécurité qui est encore aujourd'hui d'actualité : si l'espace d'adressage d'un processus est le même sur différents systèmes, alors un attaquant est en mesure de prédire les adresses utilisées par le processus, ainsi que les données stockées à ces adresses. En cas de vulnérabilité dans un logiciel, un attaquant peut alors construire un code d'exploitation particulièrement fiable.

La protection ASLR tente de répondre à cette problématique en permettant de mettre en place un espace d'adressage aléatoire à chaque lancement d'un processus. Grâce à cette méthode, les codes d'exploitation ne peuvent plus, de façon simple, déterminer les adresses utilisées ou référencées en mémoire par un processus (sans exploiter à distance une vulnérabilité de type fuite d'informations).

Les systèmes d'exploitation récents ont implémenté cette technique de protection au niveau de l'espace utilisateur mais également au niveau de l'espace noyau. La protection de l'espace noyau a été mise en place pour la première fois avec Windows 7 (en 2009) et a depuis été implémentée dans plusieurs autres systèmes d'exploitation, notamment dans la version 3.14 du noyau Linux.

La protection ASLR sur l'espace noyau possède deux avantages principaux :

  • en cas d'attaque à distance, l'attaquant ne peut pas prédire les adresses à utiliser et ne pourra donc pas établir de code d'exploitation stable : des vulnérabilités telles que CVE-2011-1493 (protocole ROSE) ou CVE-2006-6332 (pilotes Madwifi), par exemple, auraient été beaucoup plus complexes à exploiter ;
  • en cas d'attaques physiques, comme avec une clé USB, les adresses ne pourront encore une fois pas être prédites et l'attaque aura alors de fortes chances d'échouer.

Pour les attaques en local, par exemple un programme utilisateur tentant d'exploiter une vulnérabilité du noyau, il est difficile de masquer totalement l'espace d'adressage du noyau. De nombreux échanges ayant lieu entre les modes noyau et utilisateur, il est assez difficile de pouvoir assurer qu'aucune adresse n'est transférée du noyau vers l'espace utilisateur. De plus certains appels systèmes permettent d'obtenir une quantité importante d'informations sur l'état du noyau : en utilisant ces informations, il est souvent possible d'obtenir directement ou de prédire l'espace d'adressage mis en place pour le noyau.

Le CERT-FR recommande donc d'utiliser des systèmes d'exploitation implémentant la protection ASLR, aussi bien au niveau de l'espace utilisateur que de l'espace noyau, tout en gardant à l'esprit que la protection au niveau du noyau peut être contournée par des attaques effectuées localement.

Documentation


3 - Rappel des avis émis

Dans la période du 28 mars au 03 avril 2014, le CERT-FR a émis les publications suivantes :

  • CERTFR-2014-AVI-154 : Multiples vulnérabilités dans EMC VPLEX GeoSynchrony
  • CERTFR-2014-AVI-155 : Multiples vulnérabilités dans Apple Safari

Gestion détaillée du document

04 avril 2014
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2014-ACT-014

CERT-FR
2014-08-28
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22