S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 mars 2007
N° CERTA-2007-ACT-011
Affaire suivie par: CERT-FR
le 16 mars 2007

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2007-11

Gestion du document

Référence CERTA-2007-ACT-011
Titre Bulletin d’actualité 2007-11
Date de la première version 16 mars 2007
Date de la dernière version 16 mars 2007
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activités en cours

1.1 Compromissions en exploitant des vulnérabilités de PMB

Le CERTA a traité cette semaine plusieurs incidents concernant des serveurs web, suite à l’exploitation de vulnérabilités du logiciel PMB (appelé également PhpMyBibli).

Ce logiciel libre français de gestion de bibliothèque a fait l’objet de deux avis du CERTA cette semaine (CERTA-2007-AVI-117 et CERTA-2007-AVI-128).

Historique rapide :

Le 9 mars 2007, des sites Internet publient des informations permettant :

  • d’exploiter des vulnérabilités de la version 3.0.13 de PMB ;
  • de trouver des sites utilisant ce logiciel.

Quelques heures après, des sites web d’administrations nationales et locales sont défigurés. Le traitement de l’une de ces défigurations a révélé une compromission plus grave, avec l’installation de plusieurs outils sur le serveur, destinés à :

  • attaquer le réseau local du serveur compromis ;
  • exécuter des dénis de services (flood) ;
  • inclure le serveur dans un réseau de machines compromises (botnet).

Un autre incident, remonté par un correspondant du CERTA, a montré que le serveur compromis a servi à transmettre des courriels à des internautes pour les inciter à se connecter à un site frauduleux.

La connexion à ce dernier provoquait le chargement sur le poste de l’internaute d’un cheval de Troie, reconnu par peu d’antivirus, et la possible intégration du poste infecté à un botnet.

Le CERTA a émis un premier avis (CERTA-2007-AVI-117), l’éditeur ayant corrigé une vulnérabilité. Ce correctif s’est révélé insuffisant. Le travail concerté avec un ministère et avec l’éditeur a conduit à colmater d’autres brèches dans le logiciel. Un second avis (CERTA-2007-AVI-128) indique la version qui pare aux attaques utilisées cette semaine.

D’autres attaques plus discrètes, avec utilisation des serveurs compromis, ont pu avoir lieu.

Ces incidents prouvent une fois encore que :

  • le mécanisme d’inclusion de PHP est intrinsèquement dangereux ;
  • la défiguration d’un site est la partie visible de l’iceberg, la compromission pouvant être plus grave.

Recommandations :

  • Vérifier l’intégrité des serveurs utilisant PMB et analyser les journaux des 7 derniers jours ;
  • en cas de défiguration, toujours penser que l’intrusion peut être plus grave ;
  • en cas de découverte de compromission, préserver les traces et alerter le responsable SSI (CERTA-2002-INF-002) ;
  • migrer vers la version 3.0.17 indiquée dans l’avis CERTA-2007-AVI-128 ;
  • respecter le principe de défense en profondeur :
    • appliquer les mises à jour du système et des logiciels ;
    • supprimer les services inutiles ;
    • filtrer les accès entrant selon la finalité du serveur ;
    • filtrer les accès sortant du serveur ;
  • analyser régulièrement les journaux de connexion aux serveurs et le trafic du réseau.

1.2 Infections SpamThru

Le CERTA a été informé de l’infection de nombreuses machines par un code malveillant appelé SpamThru par certains éditeurs d’antivirus. Ce code malveillant a pour effet, entre autres, de transformer la machine infectée en robot de spam. La détection des machines infectées se fait essentiellement par l’analyse du trafic réseau. En effet, celles-ci tentent de se connecter par HTTPS (port 443/tcp) à quelques serveurs spécifiques afin de télécharger d’éventuelles mises à jour et les messages à propager (spam).

Les machines infectées sont également susceptibles d’engendrer un important trafic SMTP.

Recommandations :

Il est recommandé de vérifier qu’aucune connexion ne s’effectue vers des serveurs de messagerie non légitimes (trafic SMTP) et qu’aucune machine n’est à l’origine d’un envoi massif de messages électroniques.

1.3 Externaliser les fichiers journaux

Cette semaine, le CERTA a traité une compromission de site internet. Le site était hébergé dans un serveur web mutualisé sur lequel il n’y avait pas suffisament de cloisonnement. L’un des sites des clients de ce serveur était vulnérable à des attaques de type PHP INCLUDE. La personne malveillante, ayant réussi à avoir accès au serveur, a pu compromettre l’ensemble des sites hébergés sur la machine. De plus, les fichiers journaux de chaque site web étaient stockés dans la même arborescence. Le malfaiteur, avant de quitter le serveur, a pu sans difficulté supprimer tous les fichiers journaux de la machine.

Le CERTA rappelle à cette occasion le besoin de déporter régulièrement les fichiers journaux sur une autre machine afin de ne pas risquer de perdre l’ensemble des informations en cas de panne ou de compromission.

2 Vulnérabilité dans Internet Explorer 7

2.1 Présentation

Une vulnérabilité a été publiée cette semaine, à propos d’Internet Explorer 7. Elle n’est pas encore corrigée, mais pourrait être utilisée dans le cadre d’attaques par filoutage (phishing). En voici les détails :

Lorsqu’une tentative d’accès à une page Web, par exemple http://www.certa.ssi.gouv.fr échoue, le navigateur affiche une page par défaut, avec un lien vers la page inaccessible pour réessayer ultérieurement. Cela se présente alors sous la forme :

res://ieframe.dll/navcancl.htm#http://www.certa.ssi.gouv.fr

Internet Explorer 7 n’affichera que http://www.certa.ssi.gouv.fr dans la barre d’adressage. Cette technique peut donc être utilisée pour une attaque par filoutage. Le site de filoutage se trouve localement sur la machine. Il suffit alors de forcer la personne à cliquer sur un lien de type res://ieframe.dll/navcancl.htm#, pour la rediriger vers une page d’erreur, puis la page falsifiée du site de filoutage.

Cette attaque nécessite plusieurs conditions, comme une modification de la page navcancl.htm et des actions de l’utilisateur. Cependant, le scénario peut très bien survenir dans un environnement qui n’est pas de confiance, sur une machine tierce (cyber-café, ordinateurs partagés, etc.).

2.2 Recommandations

Dans l’attente d’un correctif pour Internet Explorer 7, il est recommandé de :

  • filtrer les liens de type res:// pour récupérer des ressources personnalisées sous Windows. Leur utilisation dans le corps d’un courrier électronique ou sur une page Web externe est peu courante, voire très suspecte.
  • ne pas faire confiance à la touche ‘rafraichir’ en cas d’erreur. Il vaut mieux retaper directement l’adresse du site demandé.
  • comparer l’empreinte (MD5 par exemple) de la page navcancl.htm avec celle d’un système sein.

3 Les acteurs de filoutage veulent en savoir plus

Le CERTA a été informé de nouvelles variantes dans les arnaques par filoutage (ou phishing) sur Internet. Le principal intérêt du filoutage est de récupérer des informations confidentielles, notamment bancaires à l’insu des victimes. Des variantes peuvent exister, par exemple une victime reçoit dans sa messagerie électronique un courrier de confirmation de son inscription payante à un site pour adultes. Le courrier l’informe du montant de son inscription, de ses identifiants de connexions (nom d’utilisateur et mot de passe) ainsi que du moyen de stopper les prélèvements sur son compte bancaire (en entrant ses coordonnées bancaires sur le site frauduleux). Par ce moyen, les auteurs de cette arnaque espèrent que des victimes rentreront leur coordonnées bancaires mais également que certaines d’entre elles essayeront de se connecter sur le site pour adulte avec les identifiants fournis. Si des victimes s’exécutent, il est à parier qu’elles recevront dans les prochains jours des courriers non solicités (SPAM) concernant des sites pour adultes.

4 Filtre anti-filoutage sous Firefox

Depuis la version 2.0 de Mozilla Firefox, le navigateur permet d’alerter l’utilisateur, au moyen d’un message visuel, lorsqu’il navigue sur un site suspecté d’être un site de phishing.

Une vulnérabilité non corrigée permet à un utilisateur malintentionné de contourner cette protection en ajoutant dans l’adresse réticulaire des caractères slash (‘/’) multiples. Le message d’alerte visuel n’apparaît alors plus à la victime.

Exemple : http://example.phishing.dot////sitefraduleux/

Il est donc important de vérifier, dans l’attente d’un correctif, que de telles URL n’apparaissent pas au niveau de serveurs proxy.

5 Retour sur les vulnérabilités IPv6 de cette semaine

5.1 OpenBSD sous les projecteurs

Le CERTA a publié l’avis CERTA-2007-AVI-113 concernant OpenBSD. Le problème provient initialement d’une vulnérabilité au niveau d’un tampon (mbuf). Ce dernier est utilisé pour manipuler les données IPv6, et un code d’exploitation a démontré qu’il était possible, en adressant un paquet spécialement construit au système vulnérable, d’exécuter du code arbitraire à distance sur celui-ci. Plus précisément, le débordement de tampon survient après la réception de paquets ICMPv6 fragmentés.

Cette vulnérabilité a fait grand bruit pour plusieurs raisons, la principale étant la configuration par défaut d’un système OpenBSD : le noyau dit GENERIC active IPv6, et le pare-feu pf d’OpenBSD ne filtre aucun paquet IPv6 arrivant sur les interfaces du système.

Cette vulnérabilité, qui ne serait pas toute récente, a poussé les développeurs d’OpenBSD à modifier leur fameuse phrase de bienvenue sur leur site : « Only one remote hole in the default install, in more than 10 years! » par « Only two remote holes in the default install, in more than 10 years!« 

Un correctif provisoire est actuellement disponible, ainsi que des contournements pour filtrer le trafic IPv6.

http://www.coresecurity.com/?action=item&id=1703

ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/010_m_dup1.patch

5.2 Le noyau Linux

Le CERTA a également publié cette semaine l’avis CERTA-2007-AVI-120, concernant une vulnérabilité de la fonction ipv6_getsockopt_sticky, qui se trouve dans les noyaux Linux (net/ipv6/ipv6_sockglue.c). Tout noyau ayant une version antérieure à la 2.6.20.2 serait potentiellement vulnérable. L’exploitation, qui peut se faire localement, permet à une personne malveillante d’accéder à une partie de la mémoire et d’élever ses privilèges.

Le code d’exploitation est disponible publiquement. Le problème vient du fait qu’IPv6 est activé par défaut dans la plupart des distributions Linux récentes.

5.3 Les recommandations du CERTA

Les évènements de cette semaine montrent bien toute l’ambiguïté d’IPv6. Les nouveaux protocoles s’imposent d’eux-même dans les systèmes d’exploitation récents, alors que deux problèmes subsistent :

  • les administrateurs ne sont pas encore formés à cette technologie ;
  • cette technologie continue d’évoluer, et les mises en œuvre ne sont pas nécessairement très fiables.

Le CERTA avait publié en 2006 une note d’information concernant IPv6. La section 6.2 a été enrichie cette semaine, pour apporter quelques méthodes de désinstallations. Des règles de filtrage sont également explicitées.

6 Le Javascript est omniprésent

Quand l’occasion se présente, le CERTA conseille de désactiver par défaut l’exécution de codes (scripts, applets, ActiveX, etc.). Cela est valable pour les codes Javascript interprétés dans les navigateurs les plus courants (Firefox, Internet Explorer).

Le CERTA tient à attirer l’ attention sur le fait que Javascript est de plus en plus utilisé et intégré à d’autres formats de données que les pages HTML. Ainsi, le bulletin d’actualité du CERTA de la semaine dernière (CERTA-2007-ACT-010) mentionnait l’interprétation du javascript par Adobe Acrobate Reader, ce qui a induit une faille dans ce logiciel, exploitée par un code disponible sur l’Internet.

Cette semaine, le logiciel Quicktime est à l’honneur. Un cheval de Troie nommé JS/SpaceTalk Trojan a été découvert, se présentant sous la forme d’un fichier vidéo au format .mov. Il rappelle brutalement que ce format peut intégrer du code Javascript. Cette propriété se nomme HREF track chez Apple et sera également reconnue sous iTunes.

Ces trois logiciels ne semblent pas être les seuls à interpréter ce langage, qui peut aussi être intégré insidieusement dans des formats flash ou MP3. Il semblerait que d’autres logiciels interprétent le Javascript : lecteurs audio, lecteurs videos, lecteurs Flash, lecteurs PDF, … Plus important, certains logiciels ne proposent même pas à l’utilisateur de désactiver l’interprétation automatique de ce langage.

Face à ce problème, le CERTA recommande à ses lecteurs la plus grande vigilance envers les logiciels qu’ils emploient. Il convient de désactiver le support du javascript quand c’est possible, et de migrer vers un logiciel alternatif lorsque la désactivation n’est pas possible.

Une bonne pratique consiste à regarder attentivement les options de configuration, avant toute utilisation d’une nouvelle application, aussi réputée soit-elle.

7 Publications Microsoft de cette semaine

Les versions anglaises des services packs 2 pour Windows Server 2003 version 32 bits et Windows XP Professionel version 64 bits ont été publiés respectivement le 12 et 13 mars 2007. Les versions françaises ne sont pas encore disponibles.

Cette mise à jour comporte de nombreux correctifs, dont 51 de sécurité, et quelques améliorations, parmi lesquelles :

  • le « Scalable Networking Pack » (SNP), qui permet une gestion du réseau moins coûteuse pour le processeur ;
  • le support du WPA2 qui permet une meilleure sécurité du sans-fil Wi-Fi ;
  • les « Windows Deployment Services » (WPS), qui permettent notamment de déployer des machines sous Windows Vista plus facilement ;
  • des améliorations pour IPSEC, le pare-feu de Windows, la virtualisation, les performances de SQL-Server, etc.

Attention toutefois, cette mise à jour désinstalle certains « hotfixes » précédemment installés qu’il faudra réinstaller par la suite. Un utilitaire développé par Microsoft est disponible pour les identifier avant ou après la mise à jour.

Rappel des avis émis

Dans la période du 05 au 11 mars 2007, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 16 mars 2007
    version initiale.