1 Activité en cours

1.1 Défiguration

Un cas de défiguration de site web a été traité par le CERTA cette semaine. Il s'agit de l'exploitation d'une faille de phpMyAdmin qui a permis de voler des identifiants de connexion.

Le CERTA constate que de plus en plus d'incidents de sécurité sont liés au vol de mots de passe dans des bases SQL qui sont rejoués ensuite par FTP.

Recommandations :

Le CERTA recommande de ne pas utiliser les mêmes mots de passe pour les différents services d'une même machine afin de limiter les possibilités en cas d'exploitation d'une vulnérabilité. Par ailleurs, la multiplicité des services sur une même machine affaiblit considérablement la sécurité globale de celle-ci. Une séparation des services doit, dans certains cas, être envisagée.

1.2 Les postes en libre service

Le CERTA a traité cette semaine un incident impliquant un poste mis en libre service. Ce dernier a été utilisé par des personnes malintentionnées, afin de participer à une attaque informatique. Ce poste, bien que protégé par un antivirus, contenait pourtant plusieurs programmes malveillants (espiogiciels, virus, chevaux de troie et publiciels). Cet ordinateur ne semblait pas faire l'objet d'un traitement particulier dans le système d'information malgré son utilisation.

Le CERTA met en garde contre l'utilisation des machines dites à libre service. Celles-ci doivent faire l'objet de la plus grande surveillance, et les accès de ces ordinateurs doivent être restreints et journalisés.

2 Des vulnérabilités critiques pour cetains produits Wi-Fi

Cette semaine, plusieurs vulnérabilités ont été publiées, concernant des pilotes de matériels sans-fil Wi-Fi. Les pilotes concernés sont les suivants :

  • Broadcom BCMWL5.SYS (version 3.50.21.10) ;
  • D-Link A5AGU.SYS pour les adaptateurs USB D-Link DWL-G132 (version 1.0.1.41) ;
  • NetGear WG111v2.SYS pour les adaptateurs USB NetGear WG111v2 (version 5.1213.6.316).

Broadcom est pour l'instant le seul constructeur à avoir corrigé les problèmes. Cependant, les vendeurs d'ordinateurs portables adaptent souvent les pilotes pour leurs produits, et les mises à jour de ces derniers ne sont pas encore effectuées (à l'exception de Linksys).

Les vulnérabilités concernent les couches les plus basses des protocoles 802.11 :

  • les pilotes Broadcom concernés ne gèrent pas correctement des réponses aux requêtes de sondage (Probe) qui incluent un champ d'identifiant SSID trop long ;
  • les pilotes D-Link concernés ne gèrent pas correctement les balises (Beacons) qui contiennent des informations sur les taux de transfert excédant 36 octets ;
  • les pilotes NetGear concernés ne gèrent pas correctement les balises contenant des informations dont la taille totale excède 1100 octets.

Ces vulnérabilités ne sont pas très complexes, et ne sont pas corrigées pour le moment. Elles ciblent directement les pilotes des cartes sans-fil, ce qui signifie aussi que la grande majorité des solutions de sécurité existantes (WPA, VPN, 802.11i, IPsec, etc) ne protègent pas convenablement contre celles-ci.

Intuitivement, il est souvent plus facile d'adresser des paquets malveillants à une machine cible via une connexion sans-fil, à une distance de plusieurs centaines de mètres, que de s'introduire dans le réseau pour accéder directement à la même machine.

Recommandations du CERTA :

Le CERTA recommande donc les actions suivantes :
  • surveiller les mises à jour des constructeurs pour appliquer les correctifs. Ceci n'est pas nécessairement automatique ;
  • auditer et recenser les appareils sans-fil utilisés et déployés dans le réseau ;
  • sensibiliser les personnes utilisant des appareils communicants nomades à désactiver, quand cela n'est pas nécessaire, les interfaces sans-fil ;
  • ne pas utiliser de technologies sans-fil qui offriraient une porte d'entrée évidente à des réseaux sécurisés d'autre part (pare-feux, VPN, etc).

3 Vulnérabilités Microsoft

Microsoft a publié ses correctifs mensuels cette semaine : les bulletins MS06-066 à MS06-071 qui ont fait l'objet des avis CERTA-2006-AVI-495 à CERTA-2006-AVI-500. Il existe déjà des codes d'exploitation disponibles sur l'Internet pour les vulnérabilités MS06-067, MS06-070 et MS06-071 (respectivement avis CERTA-2006-AVI-496, CERTA-2006-AVI-499 et CERTA-2006-AVI-500). Il est possible que la vulnérabilité affectant le service Station de Travail de Microsoft Windows fasse l'objet d'un ver. Les machines sont Windows 2000 sont plus exposées que celles sous Windows XP (nécessité d'avoir des droits Administrateur pour réaliser l'attaque sous Windows XP).

D'autre part, Microsoft a cessé de publier des correctifs pour Windows XP SP1.

Recommandations :

Il est conseillé d'appliquer les correctifs de sécurité Microsoft (conformément à votre politique de sécurité) et de réfléchir à la migration des machines sous Windows XP SP1 vers un OS maintenu. Par ailleurs, le filtrage des ports 139/tcp et 445/tcp peut être mis en place pour empêcher l'exploitation depuis l'Internet de la vulnérabilité décrite dans l'avis CERTA-2006-AVI-499.

4 Simplification des installations par un tiers

Certains logiciels se proposent d'installer et de configurer un ensemble d'applications tierces, afin de simplifier cette succession d'opérations. A valeur illustrative, Google propose en version beta un outil nommé Google Pack (http://pack.google.com). Il s'agit d'une suite de logiciels, jugés essentiels par Google. Cela inclut pour le moment : Google Earth, Google Desktop, Google Picasa, et la barre d'outils Google pour Internet Explorer ; mais aussi Mozilla Firefox, Norton Antivirus 2005 (édition spéciale de démonstration), Adobe Reader 7, Real Player, Ad-Aware ou Skype.

Un autre exemple a été présenté dans la note d'information CERTA-2006-INF-06, à propos des applications fournies avec les clés de type U3.

Il est bien sûr possible de personnaliser les applications à installer mais ce procédé peut présenter divers désavantages qu'il est important de considérer :

  • les installations sont faites par un tiers ; on est donc obligé de faire confiance à ce dernier quant aux applications à configurer et à exécuter ;
  • un procédé de mise à jour est proposé par le tiers ; il n'est pas nécessairement validé par les éditeurs des applications ou par la PSSI.

Le fait de laisser installer par un tiers l'ensemble des applications de sa machine fournit à ce dernier l'occasion de centraliser une quantité d'informations non négligeable (voire presque totale) sur l'état de la machine.

Cette décision doit donc être mûrement réfléchie, et n'est pas recommandée par le CERTA.

Rappel des publications émises

Dans la période du 06 novembre 2006 au 12 novembre 2006, le CERT-FR a émis les publications suivantes :


Dans la période du 06 novembre 2006 au 12 novembre 2006, le CERT-FR a mis à jour les publications suivantes :