Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2014-ACT-033

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 14 août 2014
No CERTFR-2014-ACT-033

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2014-ACT-033

1 - Vulnérabilités touchant Windows XP

Des vulnérabilités dans des modules noyaux (drivers) de Windows XP ont récemment été publiées sur Internet. Elles permettent de provoquer une écriture arbitraire dans l'espace noyau. Ces vulnérabilités peuvent mener un utilisateur maveillant à élever son niveau de privilèges sur le système. D'autres failles similaires, éventuellement plus graves encore, feront probablement leur apparition dans le futur. Le CERT-FR rappelle que Microsoft a cessé le support technique de Windows XP en avril 2014. De ce fait aucun correctif ne sera mis à disposition par Microsoft pour Windows XP.

Recommandations

Le CERT-FR recommande de migrer au plus tôt les systèmes d'exploitation obsolètes non maintenus par leur éditeur, vers des systèmes maintenus pour pouvoir bénéficier des derniers correctifs de sécurité. Il est également recommandé de ne pas utiliser de méthode permettant de contourner les restrictions mises en place au niveau du service de mise à jour et de ne pas chercher à recevoir des correctifs dédiés à une autre version du système d'exploitation. De plus, le CERT-FR alerte les utilisateurs sur le potentiel danger lié à la publication de faux correctifs pour des logiciels qui ne sont plus supportés par leur éditeur. En effet, des personnes malintentionnées peuvent être tentées de diffuser des codes malveillants en les faisant passer pour des correctifs. Dans ce cadre, le CERT-FR attire l'attention sur le fait qu'il est important de n'appliquer que des correctifs officiels publiés par l'éditeur.

Documentation

http://www.ssi.gouv.fr/fr/menu/actualites/arret-du-support-de-windows-xp-recommandations.html

2 - Publication Appel à commentaires sur le référentiel d'exigences cloud

Le 11 août 2014, l'ANSSI a publié un appel public à commentaires sur un référentiel d'exigences applicables aux prestataires de services sécurisés d'informatique en nuage.

Le référentiel de qualification de prestataires propose une offre de services en nuage qui recouvre les offres de type SaaS, PaaS et IaaS. Il se décline selon deux niveaux de sécurité :

  • le niveau élémentaire, qui correspond aux exigences portées par la PSSIE ;
  • le niveau standard, correpondant à une protection accrue, qui vise le traitement des données de niveau «_Diffusion Restreinte_».

Les exigences, relatives aux prestataires, sont déclinées en quatorze chapitres et portent notamment sur le contrôle d'accès et la gestion des identités, la sécurité liée à l'exploitation, et la gestion des incidents liés à la sécurité de l'information. Ces exigences seront vérifiées au travers d'un audit des lieux liés à la prestation visée par la qualification.

Les observations, commentaires et propositions peuvent être transmis d'ici lundi 3 novembre 2014.

Documentation

Appel à commentaires sur la publication du référentiel d'exigences applicables aux prestataires de services sécurisés d'informatique en nuage :
http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html

3 - Mise à jour mensuelle Microsoft

Lors de sa dernière mise à jour mensuelle, Microsoft a publié neuf bulletins de sécurité, dont deux considérés comme critiques et sept comme importants :

  • MS14-043 (critique) qui concerne Windows Media Player ;
  • MS14-044 (important) qui concerne SQL Server ;
  • MS14-045 (important) qui concerne le noyau de Windows ;
  • MS14-046 (important) qui concerne .NET ;
  • MS14-047 (important) qui concerne le mécanisme LRPC de Windows ;
  • MS14-048 (important) qui concerne OneNote ;
  • MS14-049 (important) qui concerne Windows Installer ;
  • MS14-050 (important) qui concerne SharePoint Server ;
  • MS14-051 (critique) qui concerne Internet Explorer.
La vulnérabilité dans Windows Media Player est de type use-after-free et pourrait être exploitée en persuadant un utilisateur d'ouvrir un document Microsoft Office malveillant. La majorité des vingt-six vulnérabilités corrigées dans Internet Explorer sont des corruptions mémoire susceptibles de conduire à de l'exécution de code arbitraire à distance. À ce jour, au moins l'une d'entre elles (CVE-2014-2817) est activement exploitée dans des attaques ciblées. Certaines des vulnérabilités importantes corrigées ce mois-ci, notamment celles situées dans le pilote win32k.sys (MS14-045), permettent une élévation de privilèges. D'autres permettent de contourner le mécanisme d'ASLR (MS14-046, MS14-047). Le CERT-FR recommande l'application des correctifs de sécurité dès que possible.

Documentation


4 - Rappel des avis émis

Dans la période du 08 au 13 août 2014, le CERT-FR a émis les publications suivantes :

  • CERTFR-2014-AVI-345 : Vulnérabilité dans Microsoft Windows Media Player
  • CERTFR-2014-AVI-346 : Multiples vulnérabilités dans Microsoft SQL Server
  • CERTFR-2014-AVI-347 : Multiples vulnérabilités dans Microsoft Windows
  • CERTFR-2014-AVI-348 : Vulnérabilité dans Microsoft .NET
  • CERTFR-2014-AVI-349 : Vulnérabilité dans Microsoft Windows LRPC
  • CERTFR-2014-AVI-350 : Vulnérabilité dans Microsoft OneNote
  • CERTFR-2014-AVI-351 : Vulnérabilité dans Microsoft Windows Installer
  • CERTFR-2014-AVI-352 : Vulnérabilité dans Microsoft SharePoint Server
  • CERTFR-2014-AVI-353 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTFR-2014-AVI-354 : Multiples vulnérabilités dans Adobe Flash Player
  • CERTFR-2014-AVI-355 : Multiples vulnérabilités dans Google Chrome

Gestion détaillée du document

14 août 2014
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2014-ACT-033

CERT-FR
2014-08-28
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-27