1 Activité en cours

1.1 Défiguration

Cette semaine, le CERTA a traité un cas de défiguration faisant suite à l’exploitation de droits permissifs sur la requête PUT. Les auteurs de ces défigurations recherchent souvent les extensions WebDAV en essayant quelques requêtes telles que PROPFIND sur les serveurs.

Microsoft donne une méthode pour désactiver WebDAV :

http://support.microsoft.com/kb/241520/

Sous IIS, il existe également un outil fourni par Microsoft permettant de gérer des droits sur les méthodes. Cet outil est disponible à l’adresse :

http://www.microsoft.com/technet/security/tools/locktool.mspx

1.2 Les outils de découverte topologique du réseau

Le CERTA a traité cette semaine un incident, et a trouvé sur la machine analysée un outil de découverte de réseau. De telles applications se proposent de découvrir automatiquement la topologie du réseau, en balayant les plages adresses voisines, ainsi qu’en interrogeant certains services. Ces outils peuvent être installés aussi bien par l’administrateur que par un intrus cherchant à récupérer de l’information concernant le réseau de la machine qu’il vient de compromettre. Ils permettent d’obtenir des informations délicates, qui doivent rester confidentielles.

L’utilisation de ces outils doit susciter plusieurs questions :

  • l’outil est-il de confiance ? Dans le cas traité cette semaine, il s’agissait d’un outil d’origine méconnue. Il faut envisager que ce dernier, aussi performant soit-il, puisse communiquer les informations obtenues vers un site externe ;
  • l’outil conserve-t-il les informations localement ? Comme plusieurs applications, ces outils gardent souvent un historique des topologies effectuées. Si l’application n’est pas installée sur une machine dédiée, ou n’est pas proprement configurée, des informations résiduelles peuvent subsister sur le système ;
  • l’outil ne perturbe-t-il pas son environnement ? Ces applications ont un comportement actif (envoi de paquets et de requêtes), voire agressif, qui peuvent produire beaucoup de bruits dans les journaux ou provoquer de fausses alertes par les outils de détection et de surveillance (et donc, a fortiori, de dissimuler d’autres activités moins légitimes).

De manière générale, il est toujours regrettable que des outils de sécurité augmentent les risques. Il vaut mieux éviter de tester ces derniers à un moment critique (incident). Dans le doute, prenez contact avec le CERTA qui vous conseillera en cas d’incident.

2 Interface Google Search

Le CERTA informe ses correspondants qu’une vulnérabilité de type « cross site scripting », est apparue sur les sites web utilisant l’interface « Google Search Appliance ». Cette vulnérabilité permettrait aussi d’injecter des données sur le site vulnérable.

Le risque est limité dans la mesure où il est nécessaire de saisir une requête spéciale, encodée en UTF-7, dans le moteur de recherche du site vulnérable. Ce standard n’est pas très commun, mais peut être accepté par défaut dans certaines applications comme les serveurs Web.

Cette attaque permet, sous certaines conditions, de contourner les filtres mis en place pour valider les requêtes adressées au moteur de recherche.

Cette vulnérabilité, largement documentée sur le Web, peut être corrigée en effectuant un contrôle sémantique des requêtes, et en vérifiant que l’encodage UTF-7 ne soit pas accepté par le serveur Web.

3 Gestionnaire de mots de passe dans un navigateur

Une vulnérabilité de Firefox a été dévoilée le 21 novembre 2006. Nous l’avions déjà évoqué dans le bulletin d’actualité CERTA-2006-ACT-047. Elle repose sur une vérification insuffisante de l’adresse (URL) d’un formulaire d’authentification qui demande un identifiant et un mot de passe. Le site de destination de ces données confidentielles peut être autre que le site qui a présenté le formulaire. Si le gestionnaire de mot de passe est activé, alors le navigateur va remplir les champs et dévoiler ces données d’authentification à un destinataire qui n’est pas le site qui a présenté le formulaire.

Cette vulnérabilité ne se limite pas à Firefox. Elle concerne également les navigateurs Internet Explorer, versions 6 et 7, et Safari.

Recommandations :

Les bonnes pratiques consistent à ne pas utiliser les gestionnaires de mots de passe des navigateurs. Les utilisateurs qui ont déjà enregistré des mots de passe dans leur navigateur doivent, d’une part, désactiver le gestionnaire de mot de passe et, d’autre part, effacer les mots de passe déjà enregistrés.

Les gestionnaire de sites web, en particulier les sites sur lesquels les internautes peuvent déposer des contributions, doivent vérifier qu’aucun attaquant ne va utiliser cette fonction de dépôt pour inclure du code HTML piégeant le site et permettant d’explioiter la vulnérabilité des navigateurs.

4 Joomla!

Suite au bulletin d’actualité CERTA-2006-ACT-047, le CERTA a eu plusieurs remontées d’informations concernant des intrusions dans des serveurs Joomla! par l’exploitation d’une faille de ext_calendar. Ces remontées nous ont permis d’établir que les serveurs ainsi compromis étaient intensivement utilisés (au point d’être indisponibles) pour réaliser des dénis de service. Ces intrusions se sont manifestées par des connexions aux serveurs suivants :

  • blog156448.123-reg-blogs.co.uk
  • Bucharest.RO.EU.Ultra-Chat.Org
  • seks.irctr.net
  • linux.1rcd.net
  • 194.145.200.200

Il est conseillé de vérifier que tout trafic à destination de ces serveurs est légitime et d’en informer le CERTA.

Rappel des avis émis

Dans la période du 20 au 26 novembre 2006, le CERT-FR a émis les publications suivantes :