1 Activités en cours

1.1 Nécessité des mesures de contournement

Le traitement d'un incident récent a mis en lumière la nécessité de mettre en œuvre des mesures de contournement permettant de limiter l'impact possible de l'exploitation des vulnérabilités.

A valeur d'exemple, la vulnérabilité dite « PHP include » est exploitée à travers sa présence dans de nombreux logiciels écrits en PHP, dont le codage manque parfois de rigueur. Le temps de publication des correctifs peut être long (de l'ordre de quelques mois) et donnent tout leur sens aux mesures de contournement.

Dans le cas de l'incident traité cette semaine, il s'agissait du module ExtCalendar. Ce dernier a fait l'objet d'une alerte CERTA-2006-ALE-008 le 11 juillet 2006.

Cependant, à la date de rédaction de ce bulletin d'actualité, aucun correctif n'a été officiellement publié, et la vulnérabilité est activement exploitée. Cela ne laisse que peu de choix à l'administrateur du site utilisant ExtCalendar : ou bien il prend la décision d'appliquer quelques contournements provisoires, comme par exemple retirer le module, dans l'attente d'une mise à jour, ou bien il accepte le risque que son serveur soit compromis (si ce n'est déjà le cas) à son insu et puisse servir à la cyber-délinquance.

Le mois de mars 2007 devrait aussi voir la publication de nombreuses vulnérabilités de PHP (langage ou applications). La vigilance doit donc être renforcée.

1.2.2 Recommandations

Le CERTA recommande de :

  • vérifier la version des logiciels PHP en exploitation et de les mettre à jour quand les correctifs existent ;
  • mettre en œuvre des mesures de contournement pour les logiciels dont les vulnérabilités connues ne sont pas toutes corrigées ;
  • inclure les paramètres des URL dans les journaux.

1.2 Ingénierie sociale et tromperie

1.2.1 Présentation

Le CERTA a été informé cette semaine de la diffusion de courriers électroniques particuliers. Semblant provenir d'organisations gouvernementales (services de police ou de renseignement), le message demande au destinataire s'il a été victime d'une escroquerie financière de type scam et propose de l'aider. L'arnaque scam se manifeste le plus souvent par une demande d'aide pour un transfert d'argent, en échange de quoi un pourcentage sur la somme serait reversé ; la version la plus connue étant la fraude 4-1-9, ou arnaque nigériane.

Le courriel explique de manière pédagogique ce qu'est une telle fraude, puis invite les personnes victimes à les contacter. Elles doivent envoyer pour cela toutes les informations pouvant aider à l'enquête, et le message garantit que l'argent qui a été perdu pendant la fraude sera rapidement récupéré (sous 24 heures dans le courriel analysé). Les informations demandées sont :

  • les prénoms et noms complets ;
  • le pays de résidence ;
  • les moyens de contact (téléphone mobile ou fixe, fax) ;
  • les personnes impliquées dans la transaction, avec tous les détails les concernant ;
  • une copie du courriel de la fraude ;
  • le montant total qui a été perdu au cours de la fraude ;
  • une garantie que ce montant a été effectivement versé.

Il s'agit bien entendu d'un piège. Le procédé utilisé par ce courriel est lui-même une arnaque. Il y a de fortes chances que, une fois ces informations communiquées, elles soient exploitées par des personnes malveillantes, et que la seconde étape consiste à envoyer des coordonnées bancaires, pour permettre (ou faire miroiter) le remboursement de l'argent perdu par la première fraude.

Ce courriel est donc un message purement malveillant. Il a pour particularité de cibler avant tout un ensemble de personnes, qui ont déjà fait preuve d'une certaine candeur (victime de l'arnaque de type scam). Celui analysé était rédigé en anglais, mais il est probable que la méthode soit également reprise en langue française.

1.2.2 Recommandations

Le CERTA rappelle à cette occasion que tout courrier électronique exigeant l'envoi d'informations est par nature suspect, dans la mesure où il n'y a par défaut aucune garantie sur la source du message (identité de l'expéditeur).

Plus précisément, pour ne pas tomber dans le piège, il était possible d'y voir certains détails :

  • les images insérées dans le courrier au format HTML pointent vers un vrai site gouvernemental, tandis que les adresses électroniques pour contacter les pseudo forces de l'ordre sont bien plus étranges. Elles ont pour format : nom_force_d_ordre-pays.org. Le nom de domaine nom_force_d_ordre-pays.org n'est pas commun.
  • les forces de l'ordre n'ont pas pour habitude d'envoyer massivement des courriers électroniques pour s'adresser aux citoyens ;
  • un effort certain est fait dans la rédaction pour être persuasif : il contient des extraits en lettres capitales, et une argumentation très hierarchisée ;
  • le message insiste auprès du lecteur pour prendre contact rapidement, par l'emploi abusif d'adjectifs et d'adverbes de temps.

Une note rédigée par le CERTA mentionne ces arnaques : CERTA-2005-INF-004. Si de tels messages sont reçus, il est recommandé de le signaler à son responsable de sécurité, ou au CERTA.

2 Vulnérabilités de Sun Solaris

2.1 Vulnérabilité concernant telnetd

L'alerte CERTA-2007-ALE-005 décrit une vulnérabilité concernant l'utilisation conjointe du service telnetd et de la commande /usr/cmd/login de Solaris 10 et Solaris Express (ou Solaris 11). Cette faille permet à une personne malintentionnée de se connecter à une machine vulnérable sous le nom d'un utilisateur légitime, s'il est connu.

Un correctif a été publié sur le site de l'éditeur pour corriger cette vulnérabilité sur Solaris 10. Aucune mise à jour n'est cependant disponible pour Solaris Express. D'autres services de connexion à distance pouvant être vulnérables (notamment rlogind, klogin, et eklogin), il est également conseillé de les désactiver. Une autre précaution de sécurité est d'interdire l'accès au compte root à distance, par exemple en s'assurant que la ligne CONSOLE=/dev/console est bien présente et non commentée dans le fichier /etc/default/login. Ceci ne corrige en rien la vulnérabilité, mais limite les droits qu'une personne pourrait avoir en exploitant la vulnérabilité à ceux d'un utilisateur autre que root.

2.2 Autres vulnérabilités de Sun Solaris

D'autres vulnérabilités ont été annoncées cette semaine concernant Sun Solaris :

  • plusieurs vulnérabilités concernant les serveurs Xorg et Xsun sur Solaris 8, 9, et 10, détaillées dans l'avis CERTA-2007-AVI-025. Un correctif est seulement disponible pour Solaris 8.
  • deux vulnérabilités non corrigées touchant Solaris 8, 9, et 10, et qui concernent le navigateur Mozilla 1.7, détaillées dans les avis CERTA-2006-AVI-227 et CERTA-200-AVI-568 (CVE-2006-2776 et CVE-2006-6505) ;
  • une vulnérabilité dans la mise en oeuvre du protocole TCP sur Sun Solaris 10, détaillée dans l'avis CERTA-2007-AVI-087. Un correctif est disponible sur le site de l'éditeur.

6.1 Documentation

3 Vulnérabilité de Word

Microsoft a publié cette semaine un ensemble de correctifs, qui ont été documentés dans les avis du CERTA cités dans la section 9. Ils concernent une vingtaine de vulnérabilités de Microsoft Windows, Microsoft Office, Internet Explorer, ainsi que certaines solutions de sécurité Microsoft (Live One Care, Windows Defender, etc.).

L'alerte CERTA-2006-ALE-014 mentionnait plusieurs vulnérabilités de l'application bureautique Word. Elle a été créée le 06 décembre 2006, puis mise à jour régulièrement suivant les nouvelles vulnérabilités et les précisions trouvées. Le bulletin MS07-014 corrige ces dernières, et l'alerte pointe donc, suivant la terminologie du CERTA, vers l'avis associé : CERTA-2007-AVI-083.

Cependant, mercredi 14 février 2007, la société d'antivirus McAfee signale sur son site qu'une nouvelle vulnérabilité, référencée CVE-2007-0870, a été identifiée. Elle affecterait les versions 2000 et XP de Word, et serait différente de celles corrigées ce mois-ci par Microsoft. Cette information a été confirmée par Microsoft le même jour, dans son avis de sécurité 933052. Les détails de cette vulnérabilité ne sont cependant pas connus.

Du code d'exploitation est actuellement disponible, et il permettrait l'exécution de code arbitraire sur la machine ayant une application vulnérable.

Documentation

4 Vulnérabilités dans les téléphones multi-fonctions (smartphones)

4.1 Présentation

Une vulnérabilité découverte dans les smartphones Palm OS Treo permet à un utilisateur malintentionné de porter atteinte à la confidentialité des données contenues dans l'appareil, malgré la fonction permettant de verrouiller son dispositif.

Une personne malveillante peut porter atteinte à la confidentialité des informations présentes sur le système (messages SMS, mémos, agenda, tâches, etc) en utilisant le moteur de recherche de documents : celui-ci reste accessible, bien que l'appareil soit verrouillé, par le biais d'une combinaison de touches. Dans le bulletin de sécurité publié par l'éditeur (cf. section Documentation) aucune publication de correctif n'est prévue prochainement. Le bulletin d'actualité CERTA-2007-ACT-005 du 02 février 2007 fait mention des difficultés rencontrées pour mettre à jour ces équipements mobiles.

D'une manière générale, il est recommandé pour tout équipement mobile de bien considérer les informations qu'il peut contenir, étant donnés les risques existants actuellement pour ces matériels.

Documentation

5 Les dangers de l'autorun

5.1 Pour désactiver l'autorun

Le CERTA rappelle le danger de l'exécution automatique de programmes sur des clés USB de type U3 ou sur des CD-ROM/DVDROM. Cette fonctionnalité, aussi appelée autorun, permet l'exécution automatique de programmes contenus sur ces supports amovibles, lors de leur insertion. Normalement réservée aux CDROM/DVDROM, l'autorun est également possible sur des clés USB U3 car celles-ci sont reconnues en tant que CDROM USB. Un programme malveillant sur une clé de ce type pourrait donc s'exécuter dès son insertion (CERTA-2006-INF-006).

Pour désactiver la fonctionnalité autorun sous Windows, il suffit de modifier la clé suivante dans la base de registres :

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom

Si la valeur "Autorun" est 0, l'autorun est désactivé. Si sa valeur est 1, il est activé.

Cette méthode fonctionne sur les systèmes Windows 95, Windows 98, windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, et Windows Vista.

Sur Windows Vista, il est également possible de paramétrer l'exécution automatique dans le menu Démarrer/Panneau de Configuration/Lire des CD ou d'autres medias automatiquement. Le paramètre "Installer ou exécuter un programme" ne doit pas être activé pour la liste déroulante logiciels et jeux.

6 Ver Storm Worm

Storm Worm, également connu sous le nom de W32/Small.DAM ou Trojan.Peacomm, est un ver qui se répand par la messagerie. Dès l'infection de la machine, le ver tente de se connecter à une liste de machines compromises en utilisant les techniques des réseaux pair à pair. Le protocole utilisé est identique à celui des logiciels eDonkey et Overnet. Une fois connecté à ce réseau de machines compromises, le ver obtient une adresse réticulaire lui permettant de télécharger plusieurs outils d'attaques.

L'un des Chevaux de Troie installé par le ver lui permet de réaliser des attaques par déni de service en envoyant massivement des requêtes ICMP (ping) ou HTTP (TCP 80). Les adresses des cibles de ces attaques sont susceptibles d'être mises à jour fréquemment.

Les éditeurs de logiciels antivirus constatent que ce type d'attaques est de plus en plus fréquent. Afin d'éviter que votre réseau ne soit utilisé dans ce genre de compromission, vous pouvez surveiller (ou le cas échéant interdire) les connexions sortantes de type ICMP ou utilisant le protocole associé à eDonkey ou Overnet (identifiant 0xE3 dans l'en-tête UDP).

Afin d'éviter l'infection, il convient de suivre les bonnes pratiques de la messagerie décrites dans la note d'information ci-dessous ainsi que les recommandations présentes dans le mémento du CERTA sur les virus informatiques.

6.1 Documentation

Rappel des publications émises

Dans la période du 05 février 2007 au 11 février 2007, le CERT-FR a émis les publications suivantes :