1 Activité en cours

1.1 Webdav

Récemment, des sites publics ont subi l'insertion de pages de revendication par des cyber-délinquants. L'intrusion a été facilitée par l'ouverture sans restriction d'une fonction permettant la modification d'un site web (WebDAV). L'intrusion s'est répétée après la remise en service des sites. Le CERTA rappelle d'une part deux précautions minimales :

  • n'ouvrir que les services indispensables ;
  • authentifier les utilisateurs selon la politique de sécurité ;
D'autre part, à la suite d'une intrusion, la restauration doit se faire sur une base saine et corriger les erreurs de configuration qui ont permis l'incident. Le CERTA aborde cette bonne pratique dans la documentation suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/

1.2 Modification de site Web et indiscrétion

Le CERTA a constaté que des sites web publics sont modifiés ou restaurés tout en restant en ligne. Pendant la phase de modification, des informations sur le site ont été accessibles, tant sur la structure de fichiers que sur les logiciels employés et leur version.

Le CERTA recommande de suspendre la mise en ligne du site lors de telles opérations. L'utilisation d'une mire de type « en maintenance » permet d'informer l'internaute sur le caractère temporaire de l'inaccessibilité du site.

1.3 Cloisonnement des sites Internet

Le CERTA a traité cette semaine un incident lié à la défiguration d'un site. La conception de ce dernier n'est pas en cause, mais il était hébergé avec 90 autres sur une même machine.

L'attaque a eu lieu par une requête de type php-include via l'un des sites. Celle-ci a permis de lancer un outil donnant un accès à l'attaquant avec des droits de lecture et d'écriture. Dans ces conditions, il peut visiter toute l'arborescence de tous sites, et y modifier certaines pages.

Il est important pour l'hébergeur, dans le cas où plusieurs sites co-habitent sur une même machine, d'avoir une politique d'accès et de droits de modifications très stricte. Il faut distinguer :

  • les utilisateurs et les groupes qui peuvent lire les fichiers des sites ;
  • les utilisateurs et les groupes qui peuvent modifier les fichiers ; il en faut au minimum un différent par site, avec des droits particuliers.

La garantie d'un cloisonnement correct entre les sites co-hébergés doit faire partie des critères pour choisir la solution d'hébergement la plus adaptée.

Le CERTA a publié à ce sujet la note d'information :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/

2 Alerte concernant la gestion WMF de Microsoft

Le CERTA a publié ce vendredi, une alerte concernant la manipulation de WMF (pour Windows MetaFile) par Microsoft Windows : CERTA-2007-ALE-002.

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-002/

La vulnérabilité peut être exploitée au moyen d'un fichier WMF spécialement construit. Un individu peut, par ce biais, insérer le document dans un courriel, ou une page Web, afin de perturber le système vulnérable. Il pourrait, sous certaines conditions, exécuter du code arbitraire sur un système. Cependant, le CERTA n'a pour le moment pas connaissance de code permettant l'exécution de code arbitraire à distance. Il est à noter que cette vulnérabilité concerne toutes les applications qui utilisent le moteur de rendu graphique de Microsoft.

Les mises à jour Microsoft publiées mardi 09 janvier 2007 ne corrigent pas ce problème, mais le CERTA propose des contournements provisoires dans l'alerte CERTA-2007-ALE-002.

Cette alerte fait suite aux vulnérabilités WMF rendues publiques à la fin de l'année 2005. Les bulletins d'actualité mentionnent des cas d'attaques dans l'avis CERTA-2005-AVI-445 et le bulletin d'actualité CERTA-2006-ACT-002.

3 « Month of Apple Bug » (deuxième semaine)

Comme nous vous l'avions indiqué dans CERTA-2007-ACT-001, le projet continue de publier des vulnérabilités sur les produits Apple. Depuis vendredi dernier, on notera les publications suivantes :
  • une vulnérabilité dans l'utilitaire de disque de MacOS X permettant potentiellement une exécution de code arbitraire ou un élévation de privilège ;
  • une vulnérabilité concernant la gestion du format PDF par l'application Aperçu dans MacOS X. Il est à noter que cette faille implique le format PDF et serait présente également dans des applications comme Adobe Reader versions 5 à 7 mais également xpdf et d'autres logiciels dérivés. Le CERTA a publié la note de communication CERTA-2007-COM-001 sur le sujet ;
  • une faille dans la mise en œuvre de Javascript dans l'application Omniweb sous MacOS X ;
  • une vulnérabilité dans une application tierce fournie par Apple nommée Application Enhancer permettant une élévation de privilèges. Application Enhancer permet un contrôle plus fin de certaines applications sous MacOS X ;
  • plusieurs vulnérabilités concernant la mise en œuvre des images disques au format DMG. Ces images sont utilisées dans l'installation d'applications sous MacOS X.

4 De l'importance des barres d'état d'un navigateur

4.1 Présentation

Les navigateurs offrent plusieurs options d'affichage. Outre la page de visite, il est souvent possible d'afficher la barre d'état (ou Status Bar), qui se trouve généralement en bas de la fenêtre de navigation. Elle se caractérise par différentes zones, comme :

  1. la zone de message d'état (Status Message) ;
  2. la barre de progression (Progress Bar) ;
  3. les icônes d'état ;
  4. la zone de sécurité ;
  5. etc.

Cette barre permet de visualiser un certain nombre d'informations dont :

  • l'évolution des transactions des pages Web, telle l'adresse du site contacté ou l'état de la connexion (en attente de la réponse du serveur Web, terminée, etc) ;
  • l'icône du cadenas associé à une connexion HTTPS ;
  • activation de fonctions compémentaires (par exemple les options d'anti-filoutage/phishing sous IE7) ;

Les données présentées dans cette barre d'état sont informelles, et peuvent être modifiées : le CERTA a déjà publié des avis concernant des déficiences de l'affichage de celles-ci, mais elles apportent néanmoins une bonne visibilité sur les activités du navigateur en cours. Il est donc important d'afficher cette barre en permanence.

4.2 Motivations

Une vulnérabilité a été identifiée dans les versions récentes d'Internet Explorer pour les versions 6 et 7. Il s'agit d'un mauvais ordonnancement des tâches, entre les événements asynchrones du navigateur et le rendu synchrone du contenu d'une page.

Une démonstration a été publiée, et consiste à recharger très périodiquement dans la page une section (ou iframe) faisant appel à un fichier XML particulier. Elle permettrait à une personne malveillante d'exécuter des commandes par le biais du navigateur vulnérable de l'utilisateur visitant cette page.

Cette vulnérabilité n'est pas encore corrigée. Mais en premier abord, le chargement intempestif du fichier XML est visible dans la barre d'état. Une première façon de détecter que l'on se trouve sur une page suspecte est de voir un état de connexion qui ne se termine jamais, et qui continue à se raffraîchir pendant plusieurs dizaines de secondes. Sans barre d'état, la détection est moins évidente.

4.3 Comment afficher la barre d'état dans les navigateurs ?

Les navigateurs permettent aisément de choisir cette option. Par exemple :

  • sous Mozilla Firefox : aller dans l'onglet "Affichage", puis sélectionner "Barre d'état" ;
  • sous Microsoft Internet Explorer : aller dans l'onglet "Affichage", puis sélectionner "Barre d'état" ;
  • sous Apple Safari : aller dans l'onglet "Présentation", puis sélectionner "Afficher la barre d'état" ;

5 Vulnérabilités sur BrightStor ARCserve

Le CERTA a publié un avis de sécurité concernant plusieurs vulnérabilités dans Computer Associates BrightStor ARCserve (avis CERTA-2007-AVI-029). Ces vulnérabilités ne sont pas tout à fait nouvelles, l'une d'entre elles avait été rendue publique en novembre 2006, mais aucun correctif n'existait.

Le 05 janvier 2007, un outil permettant d'exploiter automatiquement cette vulnérabilité a été publié sur l'Internet, et depuis cette date, le SANS constate une augmentation des rejets sur le port 6502/tcp. Le CERTA, pour sa part, n'a pas constaté la moindre activité sur ce port, ni sur les ports 6503/tcp et 6504/tcp (qui sont concernés par d'autres vulnérabilités récentes de BrightStor ARCserve), mais recommande toutefois l'application des correctifs de sécurité, et le filtrage de ces ports au niveau des pare-feux.

Rappel des publications émises

Dans la période du 01 janvier 2007 au 07 janvier 2007, le CERT-FR a émis les publications suivantes :