1 Activité en cours
1.1 Incidents traités
1.1.1 Défigurations
Le CERTA a traité trois cas de défiguration cette semaine. Pour l'un de ces incidents, il s'agit de l'exploitation d'une faille de la version 2.0.10 de phpBB. Les deux autres incidents font l'objet d'investigations complémentaires afin de déterminer quelles ont été les vulnérabilités exploitées.
1.1.2 Propagation d'un ver
Un de nos correspondants nous a informés de l'infection de cinq machines sous Windows par un code malveillant de la famille Gaobot/Sdbot/Rbot. Le scénario de propagation a été le suivant : un poste nomade a été reconnecté sur un sous-réseau interne (après plusieurs semaines en dehors de ce réseau) alors qu'il avait déjà été infecté. Le code malveillant s'est ensuite propagé par les partages réseau.
Cet incident illustre bien la problématique posée par les postes nomades : il s'agit souvent de machines amenées à être exposées en étant directement connectées à l'Internet (sans aucune protection), qui sont par la suite introduites dans des sous-réseaux. Le code malveillant peut donc ainsi profiter des faiblesses liées au fonctionnement du sous-réseau : partages réseau, exploitation de vulnérabilités car les machines que l'on pense protégées ne sont pas mises à jour, etc.
2 Nouvelle vulnérabilité sous Windows - vgx.dll
Le CERTA a mis à jour l'alerte CERTA-2006-ALE-011 pour intégrer une vulnérabilité affectant la bibliothèque vgx.dll. Cette bibliothèque est utilisée pour prendre en compte le format VML (Vector Markup Language). Ce format, basé sur le langage XML, est utilisé pour éditer certaines images.
Deux vecteurs d'attaque pour cette vulnérabilité : l'un consiste à utiliser des pages HTML spécifiquement conçues pour exploiter la faille par l'intermédiaire d'Internet Explorer, l'autre repose sur des messages électroniques qui seraient lus à l'aide des clients de la famille d'Outlook avec prise en compte du langage HTML.
Microsoft, qui a admis l'existence de cette vulnérabilité, propose, dans l'attente d'un correctif, un contournement provisoire. Il s'agit de modifier le registre afin de ne plus prendre en compte la bibliothèque vgx.dll. Cela peut se faire à l'aide de la commande :
regsvr32.exe "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" -u
Il est possible que cette action entrave le bon fonctionnement de certaines applications.
Documentation :
- Alerte CERTA-2006-ALE-011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-ALE-011
- Bulletin de sécurité 925568 de Microsoft du 21 septembre 2006 :
http://www.microsoft.com/technet/security/advisory/925568.mspx
- Bulletin de sécurité VU#416092 de l'US-CERT du 21 septembre 2006 :
http://www.kb.cert.org/vuls/id/416092