S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 mars 2007
N° CERTA-2007-ACT-013
Affaire suivie par: CERT-FR
le 30 mars 2007

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2007-13

Gestion du document

Référence CERTA-2007-ACT-013
Titre Bulletin d’actualité 2007-13
Date de la première version 30 mars 2007
Date de la dernière version 30 mars 2007
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activités en cours

1.1 Alerte CERTA-2007-ALE-008 sur Windows Explorer

Le CERTA a publié jeudi une alerte concernant Microsoft Windows. Elle concerne notamment les fichiers de rendu animé des curseurs (format .ani), qui peuvent être imposés lors de la navigation sur certains sites ou à l’ouverture d’un courrier électronique au format HTML. Les informations détaillées sont fournies dans l’alerte, ainsi que quelques contournements provisoires.

Cette vulnérabilité est exploitable par des applications largement déployées, et ne nécessite aucune action particulière de l’utilisateur. Le CERTA invite donc vivement ses correspondants à prendre connaissance du problème.

1.2 Importance du Google hacking

L’analyse par le CERTA d’un serveur Web compromis montre la multitude d’intrusions et de tentatives dont le site a été victime. Les intrusions ne ciblaient pas le site en particulier mais relèvent plus d’une technique opportuniste. En d’autres termes, l’analyse a montré l’importance des moteurs de recherche dans la quête de sites vulnérables par des personnes malveillantes.



Les constatations sont les suivantes :

Les informations sur le manque de robustesse de l’application PhpmyBibli (ou PMB) qui circulent sur l’Internet sont accompagnées de moyens de détection de cibles potentielles. La détection consiste à faire des requêtes particulières sur des moteurs de recherche. Cette méthode est très prisée par les délinquants de l’Internet et peut être utilisée avec le moteur de recherche Google, d’où son nom, le Google hacking. Elle tire partie de certaines fonctionnalités offertes pour aider les recherches, en ajoutant des opérations de filtrage telles que :

  • limiter la recherche à certains sites (opérateur site: sous Google) ;
  • limiter la recherche aux pages contenant dans leur adresse réticulaire certaines chaînes de caractères (opérateurs inurl: et allinurl sous Google) ;
  • limiter la recherche à certains types de fichiers (opérateur filetype: sous Google) ;
  • limiter la recherche au contenu texte des pages Web (opérateur intext: et allintext: sous Google) ;
  • etc.



C’est avec cette méthode que la plupart des intrus ont été identifiés dans le cas de l’incident traité. Un des problèmes de PMB concernait une page particulière dans un répertoire nommé opac_css. Le journal des connexions inscrit tout naturellement la recherche adressée au moteur dans le champ referer.

La requête la plus courante est reproduite ci-dessous :
http://www.google.*/search?q=allinurl:opac_css&hl=*&lr=&start=10&…
 Les étoiles remplacent les indications de pays dans le nom du site Google utilisé et dans le paramètre hl qui est la langue utilisée. La valeur 10 du paramètre start permet de déduire que le site ciblé apparaît sur la deuxième page de réponse du moteur.

Ces requêtes ont permis à 45 intrus de se diriger sur le site en l’espace de deux jours.



Voici pour résumé le cheminement des actions :

  1. une personne publie sur l’Internet une vulnérabilité concernant PMB. Elle donne les détails, et notamment l’information que PMB est souvent identifiable sur un site par l’existence d’un répertoire opac_css.
  2. des personnes voulant exploiter cette vulnérabilité cherchent des sites utilisant PMB. Elles utilisent pour cela les méthodes de recherche précédemment citées, et obtiennent une liste de sites « candidats ».
  3. les journaux de ces sites peuvent contenir les traces, dans le champ HTTP referer de telles requêtes ayant conduit à accéder aux pages hébergées. Dans le cas de l’incident traité, et deux jours après la publication de la vulnérabilité, les requêtes émises depuis 45 adresses IPs distinctes possèdaient cette caractéristique.

Recommandations du CERTA

Il n’est pas simple d’éviter ce genre d’activité. Une bonne pratique, en revanche, serait, pour l’administrateur, d’avoir conscience des informations qui peuvent être accessibles par de telles requêtes et concernant son site. Il est aussi possible de s’adresser aux moteurs de recherche, pour leur demander de retirer certaines données indexées. Par exemple, sous Google, cela peut se faire via l’adresse :

http://www.google.com/remove.html

Il est important de maintenir certaines bonnes pratiques :

  • mettre à jour les applications Web utilisées ;
  • éviter de garder toutes les configurations par défaut (noms de fichiers, noms de variables, chemins d’accès) ;
  • désactiver les fonctions dangereuses, comme le parcours des répertoires (directory browsing).

2 Administrations des forums et des bloc-notes

Le CERTA a mentionné dans son précédent bulletin d’actualité (CERTA-2007-ACT-012) que le fonctionnement des publicités Web envahissantes (web spamming) était un phénomène réel, et bien organisé. Certains groupes d’individus se chargent ainsi de diffuser l’information, en maintenant par exemple une liste d’endroits où les liens publicitaires peuvent être affichés.

Voici quelques exemples possibles :

  • les bloc-notes permettent souvent aux lecteurs de formuler des commentaires. Le message publicitaire peut donc envahir ceux-ci ;
  • les forums permettent à chacun de participer aux conversations, et donc d’insérer liens et messages publicitaires ;
  • certains sites Web sont suffisamment permissifs pour permettre à des personnes d’insérer (de façon légitime ou pas) des images ou des documents. Cette permissivité est ensuite utilisée pour y déposer des données publicitaires ;
  • etc.

Les impacts sont variés. Outre la mauvaise image que cela peut apporter au site, voire à l’institution elle-même, il existe quelques aspects légaux qu’il faut prendre en considération. Sans avoir la prétention de fournir tous les éléments, voici les grandes lignes des problèmes rencontrés :

  • le site/forum/bloc-notes sert à diffuser des messages violents, pornographiques qui ne devraient pas être vus ou perçus par des mineurs ;
  • le site/forum/bloc-notes sert à inciter à la diffamation, la discrimination ou la haine.
  • le site/forum/bloc-notes sert à l’apologie ou la contestation de crimes graves (contre l’Humanité).
  • le site/forum/bloc-notes est un moyen de provocation de crime ou de délit par voie écrite et publique.
  • le site/forum/bloc-notes peut servir de diffusion de pornographie enfantine ou de procédés de fabrication d’explosifs.
  • le site/forum/bloc-notes peut provoquer les mineurs à la consommation de stupéfiants.

Il ne s’agit pas de restreindre la liberté d’expression , mais tous ces points peuvent être considérés comme des infractions et doivent donc être pris avec le plus grand sérieux.

Recommandations

Quelques bonnes pratiques peuvent éviter au site, ou forum, ou bloc-notes, de diffuser de l’information douteuse :

  • n’utiliser ces applications que si elles sont nécessaires, et pas pour un unique but cosmétique du site ;
  • maintenir à jour les applications utilisées ;
  • consulter régulièrement les messages qui circulent, et réguler les informations qui y sont déposées (désigner un ou plusieurs modérateurs);
  • utiliser des règles simples en fonction des utilisations, comme bloquer les adresses réticulaires (URLs) si elles ne sont pas indispensables ou restreindre l’insertion d’images ;
  • etc.

3 Problèmes sur Windows Vista

3.1 Vulnérabilité dans Windows Mail

Windows Mail est l’application de courrier électronique, qui remplace Outlook Express et qui est installée par défaut sur Microsoft Windows Vista.

Récemment, une vulnérabilité non corrigée a été identifée sur Windows Mail, permettant à une personne malintentionnée d’exécuter certains fichiers présents sur l’ordinateur de la victime. Ceci nécessite une action de l’utilisateur, qui doit cliquer sur un lien dans le courrier électronique qui pointe sur le fichier local à exécuter. Le fichier local doit cependant vérifier certains prérequis pour être directement exécutable.

Cette vulnérabilité n’est pas critique, mais montre une fois de plus qu’il est important de vérifier et de taper manuellement les liens contenus dans les courriers électroniques.

3.2 Problèmes recontrés lors de copies de fichiers

Certains utilisateurs de Windows Vista ont rencontré des problèmes lors de la copie de fichiers anodins depuis ou vers leur disque dur. Le problème a été reconnu par Microsoft qui propose un correctif après avoir pris contact auprès de leur support technique. Certains symptômes de ce problème sont une lenteur anormale ou surtout un blocage du processus de copie (avec un temps restant nul).

Il est recommandé de n’appliquer ce correctif que si des problèmes de ce type ont été rencontrés. Une version officielle de celui-ci (hotfix) devrait être disponible dans le premier service pack de Windows Vista.

3.3 Liens utiles

4 Les moteurs d’antivirus

Choisir un outil de sécurité n’est pas chose aisée. Plusieurs paramètres font pencher la balance vers un éditeur plutôt qu’un autre : certification (CC), performance, confiance envers le pays de l’éditeur, maintenance, … Parfois, même, il est de bon ton d’accumuler des équipements et des technologies variés, suivant le principe de défense en profondeur.

Cependant, l’opacité des produits fait qu’il est difficile de s’apercevoir des liens étroits entre un éditeur à qui on accorde sa confiance, et un autre qui n’a pas la même faveur. Par exemple, plusieurs antivirus utilisent un moteur développé, maintenu et enrichi par d’autres éditeurs. Ceci pose plusieurs problèmes :

  • confiance envers l’éditeur du moteur ,
  • répercution de vulnérabilités et problèmes de mise à jour de base de signature ,
  • monoculture allant à l’encontre du principe de défense en profondeur

Ainsi, le CERTA tient à rappeler qu’il est fortement recommandé de se renseigner sur les fonctionnalités sous-jacente d’un logiciel ou d’un matériel informatique avant de lui accorder sa confiance.

5 Virus IE7.0.exe

Depuis le 29 mars 2007, un pourriel, ou spam, circule sur l’Internet. Ce spam, se faisant passer pour microsoft (le champ indiquant la source d’émission from est : admin[at]microsoft[dot]com), est construit afin de faire croire à l’utilisateur qu’une mise à jour d’Internet Explorer 7 est disponible. En réalité, le lien contenu dans le courrier électronique renvoie vers un certain nombre de sites hébergeant un exécutable nommé IE7.0.exe.

Cet exécutable est en fait un code malveillant. Une fois exécuté, ce code se réplique sur le système en :

  • se recopiant dans 
            \%temp%\winlogon.exe
  • ajoutant la valeur « Firewall auto setup = 
        \%temp%\winlogon.exe »
    dans la clef 
         HKCU\Software\Microsoft\CurrentVersion\Run

De plus, ce code malveillant embarque des fonctions de type Rootkit, permettant de dissimuler son activité propre sur la machine infectée.

Même si ce code est déjà reconnu par certains antivirus, le CERTA insiste sur le fait que, comme d’habitude, ce code utilise « le clic facile » comme moyen d’infection. Microsoft (comme beaucoup d’autres éditeurs de logiciels) n’envoie en aucun cas ses mises à jour par l’intermédiaire d’un courrier électronique. Il convient donc de supprimer tous les messages invitant à ce genre d’actions.

6 Vulnérabilité dans le protocole WPAD sous Windows

Un poste client peut être configuré pour utiliser le protocole WPAD (Web Proxy Automatic Discovery) pour obtenir automatiquement un serveur mandataire HTTP (proxy Web). Dans ce cas, la machine cherche à contacter un hôte qui possède le fichier de configuration wpad.dat. Il existe plusieurs méthodes pour rechercher un tel hôte, parmi lesquelles deux reposent sur l’utilisation du DNS et de WINS.

Le protocole WPAD peut être détourné à des fins malveillantes en ajoutant un nom d’hôte WPAD dans le serveur DNS ou le serveur WINS. Cette manipulation est particulièrement accessible aux utilisateurs du réseau interne. Le principe de cette attaque est de proposer par la suite un fichier wpad.dat configuré pour router le trafic HTTP vers un serveur malveillant.

Microsoft propose un palliatif : il s’agit d’entrer manuellement le nom d’hôte WPAD de façon statique dans le serveur DNS et/ou le serveur WINS. Cette manipulation est décrite dans l’article 934864 de Microsoft, disponible à l’adresse :

http://www.microsoft.com/kb/934864

Rappel des avis émis

Dans la période du 19 au 25 mars 2007, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 30 mars 2007
    version initiale.