1 Les incidents traités cette semaine
1.1 La propagation de codes malveillants par support USB
Le CERTA a traité cette semaine la compromission d'une machine. Il apparaît que l'infection ait eu lieu suite à l'insertion d'une clé USB contenant un code malveillant. La clé contient un fichier particulier, nommé autorun.inf, qui exécute une application au moment de l'insertion. L'application installe un Cheval de Troie, et attend également que d'autres supports de données amovibles USB soient branchés pour y copier les mêmes fichiers dont le autorun.inf.
Le CERTA souhaite insister sur trois points particuliers :
- tout support de données amovible peut servir pour la propagation a priori. Cela inclut les lecteurs multimedia, comme les iPod, les disques durs externes, les appareils de photo numériques, ou bien même les assistants digitaux personnels (PDA) branchés en USB ;
- l'infection se fait automatiquement, à cause de la propriété autorun du système d'exploitation Windows. Des clés USB particulières U3 utilisent la même approche. Il est donc important de désactiver par défaut cette fonctionnalité ;
- il ne faut pas sous-estimer les risques d'infection par USB. Plusieurs codes malveillants ont récemment vus le jour et ont été signalés par des éditeurs d'antivirus.
Le CERTA rappelle à cette occasion que la note d'information CERTA-2006-INF-006 a été publiée à ce sujet. Elle évoque la problématique de ces supports, ainsi que quelques bonnes pratiques à appliquer.
2 Activités sur les ports TCP 3628 ou 5168
Le CERTA a publié cette semaine l'avis CERTA-2007-AVI-210 concernant le produit ServerProtect de Trend Micro. Parmi les vulnérabilités identifiées, certaines concernent les démons SpntSvc.exe et EarthAgent.exe, en écoute sur les ports TCP 5168 et 3628 respectivement par défaut.
Cet outil, par ailleurs, permet de centraliser l'administration de l'antivirus distribué sur les machines. Il doit donc être suffisamment sécurisé, à la hauteur de son rôle dans les tâches antivirales effectuées sur les systèmes du réseau.
Quelques personnes ont signalé sur des forums de sites Web un accroissement de l'activité sur les ports susmentionnés ces derniers jours. Ceux-ci ne sont pas communément sollicités dans le bruit de fond global de l'Internet. Cette augmentation a également été constatée par le CERTA, même si le nombre absolu de tentatives de balayage reste encore faible. Il y a donc une forte probabilité que de premières machines (zombies ?) cherchent à exploiter les récentes vulnérabilités.
Recommandations du CERTA
- il est conseillé aux utilisateurs de cette application de vérifier la politique de filtrage mise en place et la bonne application des mises à jour ;
- il est conseillé de filtrer, sauf exception, ces ports en connexions sortantes, afin d'éviter qu'une machine interne compromise génère un tel trafic. De manière générale, il est primordial d'avoir une politique de connexion sortante restrictive.
- il est conseillé de consulter les journaux de rejets des pare-feux, afin de vérifier que ces ports n'apparaissent pas. Toute activité anormale impliquant ces ports peut être signalée au CERTA.
3 Lancement de la plate-forme Signal Spam
Depuis jeudi 10 mai 2007, la plate-forme Signal Spam est ouverte au publique. Cette association à pour vocation de réduire le nombre de courriels indésirés (spam) qui circulent sur l'Internet. Après une inscription rapide sur le site, chaque internaute a la possibilité de déclarer un courrier non-sollicité simplement, par un formulaire sur le site Web ou en cliquant sur le bouton de l'extension (plugin) de son gestionnaire de courrier. Actuellement, les logiciels de messagerie pris en compte sont Microsoft Outlook 2003 et 2007 et Mozilla Thunderbird.
Cette extension est disponible par téléchargement après inscription sur le site. Une version Webmail de cette extension est envisagée.
Références
- site officiel du projet Signal Spam :
http://www.signal-spam.fr
- note d'information du CERTA sur la limitation de l'impact du SPAM :
http://www.certa.ssi.gouv.fr/CERTA-2005-INF-004
4 Vol de comptes de jeu en ligne
Depuis la fin des années 90, les jeux en ligne ne cessent de se développer. Certains d'entre eux sont regroupés dans une catégorie appelée MMOG (Massively Multiplayer Online Game). Il est généralement nécessaire de disposer d'un compte pour pouvoir jouer à un MMOG, et de payer un abonnement. Le paiement de cet abonnement se fait typiquement par carte bancaire, ce qui implique de transmettre des coordonnées bancaires. Les coordonnées personnelles telles que le nom, le prénom, la date de naissance, l'adresse et le numéro de téléphone sont parfois demandées.
Les données personnelles et bancaires ainsi transmises sont souvent conservées en ligne par l'éditeur du jeu. Ainsi, en cas de réabonnement, l'utilisateur n'a pas à ressaisir toutes ces informations. La saisie et la modification de ces informations se fait généralement par l'interface de gestion du compte (éventuellement, il peut s'agir d'un site web). L'éditeur prétend que son site est sûr en s'appuyant sur l'utilisation du protocole https et d'un mot de passe pour garantir la confidentialité des données pendant le transport entre le navigateur et le site du jeu. En d'autres termes, la confidentialité des données personnelles et bancaires reposent sur les seuls identifiants et mots de passe utilisés pour accéder au jeu en ligne.
Comme bien souvent dans les transactions en ligne, le point le plus fragile est le poste de l'internaute qui utilise ce jeu. Prendre le contrôle d'un poste d'un joueur qui se connecte à un tel site permet d'avoir accès avec les droits du joueur à ses coordonnées bancaires et personnelles.
Ainsi, un ou plusieurs codes malveillants exploitent actuellement la vulnérabilité des ordinateurs des joueurs du jeu en ligne très populaire World of Warcraft afin de capturer les données bancaires accessibles sur le compte du joueur sur le jeu en ligne.
Le CERTA attire l'attention sur le point faible de tout service en ligne : l'ordinateur de l'utilisateur. Afin de limiter les risques lors de la consommation en ligne, il est important de limiter l'exposition de ses données personnelles : par exemple en utilisant des pseudonymes quand c'est possible ou en payant à la livraison, dans une boutique ou en ligne mais avec des cartes prépayées.
5 Mises à jour et fins de support
Le CERTA a mis à jour aujourd'hui sa note d'information concernant les logiciels obsolètes : CERTA-2005-INF-003. Dans ce rafraîchissement, on notera en particulier :
- la fin du support de Windows 2003 RTM (Service Pack 0) ;
- la sortie de la version 4.0 (Etch) de Debian ;
- la sortie de la version 4.1 de OpenBSD.
Le CERTA réinvite à cette occasion ses correspondants à lui fournir des listes des logiciels utilisés, afin d'affiner sa veille technologique.
6 Particularités du Cheval de Troie Trojan.Kardphisher
Récemment, un nouveau cheval de Troie, nommé par certains éditeurs d'antivirus Trojan.Kardphisher, a été découvert. Celui-ci n'utilise aucune nouveauté particulière mais son fonctionnement est intéressant.
Après installation et redémarrage du système d'exploitation, le cheval de Troie présente une fausse fenêtre d'activation Windows très ressemblante à celle de Microsoft sur Windows XP. Il est expliqué que la clé du produit a été utilisée plusieurs fois et qu'il est donc nécessaire, pour vérification, que l'utilisateur entre ses informations bancaires (numéro, code PIN, date d'expiration...). Il est spécifié, pour rassurer la victime, que son compte ne sera pas débité. L'utilisateur ne peut pas interagir avec Windows tant que la fenêtre est ouverte.
Si l'utilisateur refuse d'entrer ses informations l'ordinateur s'éteint. En revanche, s'il accepte de les fournir il peut continuer à travailler sur Windows. Les informations entrées sont envoyées à l'attaquant.
Pour le moment, les systèmes d'exploitation Microsoft Windows 95, 98, NT, 2000, XP et Server 2003 sont concernés. Il est cependant possible que certaines variantes affectent Windows Vista.
Des instructions de suppression de ce code malveillant se trouvent sur le site suivant :
http://www.symantec.com/security_response/writeup.jsp?docid=2007-042705-0108-99
7 Courriers liés à Internet Explorer 7.0 Bêta
Une nouvelle campagne de courriels non sollicités contenant des liens vers un code malveillant prend de l'ampleur. Ces messages ont pour expéditeur admin@microsoft.com et pour sujet : Internet Explorer 7.0 Beta. Le code malveillant serait hébergé sur de nombreux sites.
Le texte contient une URL de la forme http://XXXXX/update.exe. Le fichier exécutable est bien évidemment un code malveillant, qui cherche ensuite à se connecter vers un serveur distant. L'originalité de ce courriel est qu'il a réussi à contourner plusieurs filtres antispam mis en œuvre. La raison est la suivante : le corps du texte est inséré dans des balises HTML <style></style>. Le contenu de ses balises ne sera pas affiché par la majorité des clients de messagerie. Ce texte est visible en affichant le code source du courriel. Il est de la forme :
From : X-Account-Key : (...) Subject : Internet Explorer 7.0 Beta From : admin@microsoft.com Importance : High Content-Type : text/html Date : ...<_style> texte - liste de mots sans r�elle importance </_style> <_a target="_blank" href="http://XXXXXX/update.exe" ><img http://YYY/ie.jpg> <_style> texte - liste de mots sans r�elle importance </_style>
Le CERTA rappelle à cette occasion que le courrier électronique n'est pas, à la date de rédaction de ce document, le moyen de communication normal de Microsoft pour effectuer des mises à jour.