1 Le danger des barres d'outils additionnelles dans les navigateurs

De plus en plus de barres d'outils additionnelles sont proposées à l'utilisateur. Que ce soit dans un navigateur, dans un client de messagerie, ou plus directement pour le système d'exploitation, ces greffons sont censés faciliter la vie de l'utilisateur en offrant de nombreux services additionnels :

  • accès plus rapide à un moteur de recherche ;
  • accès plus rapide à un site commercial, la plupart du temps octroyant des remises ;
  • recherche optimisée (dans les messages électroniques, sur le disque dur, ...) ;
  • ...

Malheureusement, ces barres d'outils additionnelles présentent de gros risques pour le système d'information. En premier lieu, ces outils ne sont pas exempts de failles, et il n'est pas rare que celles-ci ne soient pas corrigées. Ainsi, un greffon de navigateur permettant d'accéder et de gérer plus facilement son compte sur un grand site de réseaux sociaux a été victime d'une faille cette semaine. Un simple script contenu dans une page web suffit à exploiter cette vulnérabilité, et à exécuter du code arbitraire à distance sur la machine victime.

Autre danger de ces greffons : l'atteinte à la confidentialité. En effet, le comportement sur le réseau de ces logiciels laisse parfois très perplexe, la plupart envoient des informations vers des serveurs non contrôlés. Le contenu de ces informations dépend des greffons, certains étant plus « indélicats » que d'autres, en envoyant un grand nombre de données personnelles.

Les problématiques sont donc sensiblement les mêmes que celles inhérentes aux extensions (cf. CERTA-2007-ACT-014 et CERTA-2007-ACT-023), et pour certains greffons, proche des problématiques posées par les espiogiciels. Le CERTA recommande donc de ne pas installer cette sorte de greffons, étant donné le risque induit par celui-ci par rapport à la faible valeur ajoutée proposée.

L'administrateur doit rester vigilant quant à l'installation de telles barres sur les navigateurs des utilisateurs. Une manière pour visualiser certaines d'entre elles consiste à analyser les journaux du serveur relai Web (ou proxy). En effet, les barres ont une tendance à modifier le champ User-Agent, qui devrait être par défaut celui du navigateur. Toute chaîne de caractères suspecte sera donc un signe, soit d'une compromission, soit d'une installation sauvage. Cette méthode n'est bien sûre pas absolue, car ce champ peut être aisément modifié, mais c'est l'observation d'anomalies comme celles-ci dans les journaux que l'administrateur peut mettre en évidence certains problèmes sur les machines du réseau.

2 Vulnérabilité dans BIND

Cette semaine, le CERTA a publié un avis de sécurité (CERTA-2007-AVI-333) relatif à une vulnérabilité dans le serveur DNS (Domain Name Server BIND. Ce serveur est largement deployé et utilisé sur l'Internet pour effectuer la résolution de noms de machines et de domaines. Une vulnérabilité dans la version 9.x de Bind a été découverte et concerne une faiblesse dans la façon dont les identifiants de requêtes DNS ou « Query IDs » sont fixés. Il est en effet possible de prévoir, dans certains cas, l'identifiant qui sera utilisé dans la prochaine requête. En connaissant celui-ci, il est alors possible de forger de fausses réponses à destination d'un serveur voulant mettre à jour son cache. Un utilisateur malintentionné peut ainsi réaliser une attaque de type DNS Cache Poisoning. Si l'attaque est fructueuse, le serveur cible pourtant légitime repondra dès-lors de fausses informations à ces clients.

Cette vulnérabilité mise en conjonction avec une faille comme celle décrite dans CERTA-2007-ACT-022 et CERTA-2007-ALE-012 relative aux mises à jour non-maîtrisées des extensions du navigateur Firefox pourrait permettre de propager de façon discrète du code malveillant. Ainsi lors de la mise à jour d'une extension Firefox, le navigateur pourrait télécharger une fausse mise à jour à partir d'un domaine usurpé avec cette technique de Cache Poisoning.

Le CERTA recommande de mettre à jour, s'il est utilisé, le serveur DNS BIND interne et/ou externe dans les plus brefs délais.

3 Sur la cohabitation de deux navigateurs, la suite

3.1 Nouvelle vulnérabilité sur Firefox

L'article Sur la cohabitation de deux navigateurs sur un poste de travail dans le bulletin d'actualité CERTA-2007-ACT-028 du 13 juillet 2007 détaillait une vulnérabilité fonctionnant seulement si Mozilla Firefox et Microsoft Internet Explorer sont installés. En effet, l'URI FirefoxURL appelée dans le contexte d'une navigation sur Internet Explorer permet de passer des commandes malveillantes non contrôlées, notamment du Javascript, au navigateur Firefox.

Cette semaine une nouvelle vulnérabilité nécessitant également la présence de deux navigateurs a été publiée par un chercheur. Elle est de nouveau causée par un mauvais traitement de certaines URI.

La rencontre d'une URI connue par un navigateur se traduit normalement par le lancement de l'application associée dans la base de registre, avec comme argument le reste de l'URL. La faille ici consiste à notamment utiliser les caractères %00 ce qui cause Firefox de ne pas lancer l'application associée, mais de traiter l'URI comme une de type Filetype (normalement inaccessible depuis l'extérieur). Il est ainsi possible de lancer des exécutables présents sur le poste d'une personne accédant à une URL de ce type, avec des arguments.

Cette vulnérabilité fonctionne au moins sur Microsoft Windows XP SP2 avec Firefox 2.0.0.5, seulement si Internet Explorer 7 est installé. A la date de rédaction de ce document, il n'est pas encore clair ce qu'est le rôle joué par Internet Explorer dans cette faille qui concerne au moins Mozilla Firefox et Netscape Navigator. Il semble que l'installation de Internet Explorer 7 change la manière dont Windows XP traite les URI, toutefois Internet Explorer 7 n'est pas directement touché par la faille. Il semble que les utilisateurs de Windows Vista ne sont pas touchés.

3.2 Contournement

La vulnérabilité sera corrigée dans la prochaine version de Firefox (2.0.0.6) mais aucune date de sortie n'a pour le moment été annoncée. Les autres navigateurs basés sur le moteur de rendu Gecko semblent également concernés. Le CERTA a donc émis l'alerte CERTA-2007-ALE-013 et recommande ainsi l'application d'un contournement provisoire, consistant à désactiver la mise en oeuvre de tout protocole par défaut et à ne réactiver que ceux nécessaires à une navigation classique (HTTP, HTTPS ou FTP éventuellement). Cette mesure doit s'adapter aux besoins.

Pour désactiver tous les protocol handlers :

  • dans la barre d'adresse de Firefox, taper about:config ;
  • dans le filtre, taper protocol pour obtenir la liste des options utiles ;
  • mettre les valeurs network.protocol-handler.external.news, network.protocol-handler.external.snews, network.protocol-handler.external.mailto, network.protocol-handler.external.nntp et network.protocol-handler.expose-all à false en double-cliquant dessus ;

Pour activer les protocol handlers nécessaires à une navigation classique :

  • dans la fenêtre about:config, faire un clic-droit, choisir l'option Nouvelle et valeur booléenne ;
  • donner le nom network.protocol-handler.expose.http et lui donner la valeur true ;
  • faire de même en donnant les noms network.protocol-handler.expose.https et network.protocol-handler.expose.ftp.

Ce contournement peut toutefois être trop contraignant et gêner la navigation. Un autre contournement consiste à forcer l'affichage d'avertissements (champs network.protocol-handler.warn-external.X à true).

Le CERTA rappelle également l'importance de vérifier les liens, de cliquer avec précautioin, ou de taper manuellement l'adresse. Il est aussi recommandé de lancer le navigateur avec un utilisateur disposant de privilèges limités.

3.3 Références

Alerte du CERTA CERTA-2007-ALE-013 du 27 juillet 2007 :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-013/index.html

4 Production de codes malveillants

Les techniques de détection de codes malveillants ne permettent de détecter que ce qui est connu (signatures, ou heuristiques, comportements, etc.).

Depuis de nombreuses années, il existe des outils automatisés de création de codes malveillants, qui savent produire des programmes inconnus et par conséquent indétectables pendant un certain temps.

A titre d'illustration récente, certaines sources sur l'Internet ont publié des articles portant sur des applications permettant de créer simplement des codes malveillants (codes d'exploitation, chevaux de Troie, etc.) via une interface graphique. Le code malveillant est donc créée par des manipulations conviviales de tout utilisateur sachant cliquer, et sans compétence technique particulière.

Par exemple, certaines interfaces laissent le choix à l'utilisateur de la méthode de communication (tunnels de communication, les mots de passe pour déchiffrer les données échangées, ainsi que la technique d'obfuscation du code). Elles demandent également à l'utilisateur ce qu'il souhaite faire sur la machine infectée : modifier des données, dérober des informations, installer un outil de capture de frappes clavier, etc. L'utilisateur n'est pas obligé de connaître toutes les subtilités des choix offerts. Quelques clics lui permettent ainsi de créer un exécutable adapté.

De plus, cette même personne peut alors user d'ingénierie sociale destiné à améliorer la propagation de son code malveillant dans un environnement ciblé. D'ailleurs, il n'est pas exclu que ce type d'application soit également un code malveillant de type cheval de Troie.

L'élément qui a été souligné dans ces publications est que des personnes sont prêtes à acheter de telles applications. Pour se prémunir contre des codes malveillants, comme le CERTA le rappelle régulièrement, il n'est pas possible de s'appuyer uniquement sur des outils, et la méfiance et un comportement sage des utilisateurs restent souvent la meilleure parade.

5 Les courriers indésirables et les fichiers Excel

Après les courriers indésirables détournant la technologie des images (captcha) pour duper les filtres, les différents contenus publicitaires logés dans des documents au format PDF et donc la plupart du temps considérés à tort comme légitimes, le temps est venu pour les e-pollueurs de remplir les boîtes de tableaux Excel contenant les informations à propager. L'utilisation de ce format a une double utilité. En effet il s'agit ici d'un cas de tentative d'attaque en Pump-and-Dump consistant à essayé de manipuler artificiellement le cours d'actions boursières en propageant des informations contrefaites, et d'en profiter pour spéculer à moindre risque. Ces informations étant d'ordre financières, quoi de plus légitime qu'un tableau de chiffres et des graphiques pour donner de la crédibilité à la fausse fuite montée de toutes pièces. L'autre intérêt vient du format propre à ce type de document qui permet de fractionner les données et les textes parmi des spécifications de colonnes propres au format, et ainsi les rendre indétectables par les filtres.

Pour lutter contre ce nouveau type de pourriels les recommandations décrites dans la note d'information CERTA-2005-INF-004 restent valables. Les moyens mis en œuvre pour tromper les outils de sécurité sont toujours innovants, mais le principe reste identique, et la vigilance de l'utilisateur est la première protection. En cas de doute, il ne faut pas hésiter à poser la question à son responsable informatique RSSI, ou au CERTA.

Rappel des publications émises

Dans la période du 16 juillet 2007 au 22 juillet 2007, le CERT-FR a émis les publications suivantes :


Dans la période du 16 juillet 2007 au 22 juillet 2007, le CERT-FR a mis à jour les publications suivantes :