1 Le générateur d'aléas de Microsoft Windows

Le CERTA a publié cette semaine un avis CERTA-2007-AVI-490 relatif à une vulnérabilité dans le serveur DNS de Microsoft Windows. La faille conserne la génération pseudo aléatoire des identifiants de transaction DNS, son exploitation pourrait ainsi permettre à une personne malintentionnée de prédire certaines valeurs.

Par ailleurs, de nombreuses discussions font état de faiblesse dans la fonction CryptGenRandom() de Microsoft Windows 2000. Des chercheurs auraient en effet réussi à prédire certains aléas déjà générés, sous reserve d'un accès à la mémoire. Il n'est pas exclu que d'autres versions de Microsoft Windows soient affectées. Microsoft prévoit une mise à jour pour cette vulnérabilité.

Pour l'instant rien ne permet d'affirmer que ces deux événements sont liés. Le CERTA tient à rappeler que le gestion des aléas est un élément fondamental dans la conservation du secret, notamment dans la fonctionnalité SSL.

Documentation

2 Que voyez-vous ? Qu'entendez-vous ?

Le CERTA présentait dans son bulletin d'actualité CERTA-2007-ACT-044 le MoBiC, ou Month of Bugs in Captchas.

L'auteur de l'événement a respecté son annonce initiale, et publie donc depuis le début du mois des vulnérabilités associées à cette technique de discrimination entre utilisateurs humains et robots.

2.1 Des modules largement déployés

Plusieurs personnes tendent, pour déployer rapidement de telles méthodes de tests, à utiliser des codes existants. Plusieurs modules sont ainsi disponibles sur l'Internet pour des éditeurs de contenus (CMS) comme WordPress ou Drupal. On retrouve la problématique de codes développés par des tiers, non validés et pas nécessairement maintenus.

Le fait que le code soit téléchargé un grand nombre de fois (indicateur souvent présent sur les sites de téléchargement) n'est pas un gage de la qualité du code.

L'auteur du MoBiC montre que l'un de ces modules ne présente en réalité que dix valeurs distinctes possibles aux visiteurs, suite à une erreur de programmation. Il n'est donc pas compliqué, pour une personne connaissant les caractéristiques de ce module, de faire des tests exhaustifs sur ces dix valeurs. Un outil automatique peut également s'en charger.

Un autre composant, cette fois dans PHP-Nuke, est contournable si l'outil, qui veut se faire passer pour un humain, envoie des requêtes au site en trichant sur les valeurs des variables envoyées, et en lui transmettant dans le cas présent toujours les mêmes : une valeur de contrôle et un nombre aléatoire.

Dans certains cas, il peut suffire d'envoyer des valeurs nulles pour perturber la création de l'image.

2.2 Les informations par défaut

Plusieurs méthodes déployées pour les captchas sont donc vulnérables, comme l'auteur le démontre depuis le début du mois de novembre.

Il est aussi possible d'utiliser les moteurs de recherche pour identifier rapidement des sites déployant de telle ou telle méthode pour les captchas. En effet, dans les modules existants, les phrases sont relativement standards ("Veuillez saisir le code de sécurité ci-dessus/dessous, etc.), le nom des images et des scripts également (XXX.cgi). On peut imaginer par exemple l'utilisation de Google Image Search... Les valeurs par défaut des variables sont également un indicateur, comme la chaîne 123456 dans le cas suivant :

     <p>Veuillez saisir le code de s&eacute;curit&eacute; dans la zone de droite :</p>
 &lt;p&gt;
    &lt;_img http://URL_de_monSite/crypto.php?imgcible=ABCD alt="" width="80" height="40"&gt;
    &lt;_input type="hidden" name="cryptocheck" value="123456"&gt;
    &lt;_input type="hidden" name="cryptoimg" value="ABCD"&gt;
    &lt;_input type="text" name="crypto"/&gt;
&lt;/p&gt;

Une option mentionnée par l'auteur consiste à modifier toutes ces valeurs par défaut au moment du déploiement. Il faut cependant bien comprendre qu'il ne s'agit pas là d'une mesure de sécurité, mais d'une bonne pratique. Cela ne protégera pas mieux une solution qui est vulnérable, mais peut rendre son exploitation moins automatique.

2.3 Conclusions

Dans tous les cas, l'utilisation de captchas doit être bien comprise par l'administrateur du site. Ils apportent une fonctionnalité de filtrage, afin de limiter trop d'actions malveillantes par des robots. Ce ne sont pas des méthodes d'authentification, et encore moins des techniques qui se suffisent à elles-même. Les problématiques des modules développés par des tiers sont également présentes.

3 Rétrogradation de version chez Apple

Un article disponnible sur le site d'Apple, prône la rétrogradation de version pour le logiciel QuickTime Player pour Windows XP. Afin de résoudre une erreur due à des fichiers manquants, Apple conseille de désinstaller la version 7.3 de QuickTime Player et d'installer la version 7.2.

Le CERTA tient à rappeler que le passage à une version antérieure d'un logiciel n'est pas sans risque. Il est possible que des vulnérabilités, corrigées dans la version la plus récente du logiciel, réapparraissent.

Dans ce cas précis, la version 7.3 du logiciel QuickTime Player permet de combler les failles suivantes :

  • des exécutions de code arbitraire (CVE-2007-2395, CVE-2007-3750, CVE-2007-4672, CVE-2007-4674, CVE-2007-4675, CVE-2007-4676, CVE-2007-4677) ;
  • et une élévation de privilèges (CVE-2007-3751).
L'ensemble des vulnérabilités ci-dessus ne sont pas corrigés dans la version 7.2 du logiciel QuickTime Player d'Apple. Le CERTA tient à mettre en garde les utilisateurs des dangers potentiels que représentent cette rétrogradation logicielle et leur conseille d'utiliser en attendant un lecteur alternatif.

4 Correction de la vulnérabilité URI

Cette semaine, Microsoft a publié un correctif pour la vulnérabilité des URI (Universal Resource Identifier) sur Windows XP ou Windows Server 2003 avec Internet Explorer 7. Elle permettait à une personne malintentionnée d'exécuter des commandes arbitraires à distance. Elle concernait un filtrage insuffisant, par les applications et Windows, sur les URIs passés en argument à la fonction ShellExecute().

Rappel, cette faille a fait l'objet de deux alertes par le CERTA :

  • l'alerte CERTA-2007-ALE-013 du 27 juillet 2007 portant sur l'appel par Mozilla Firefox de la fonction ShellExecute() ;
  • l'alerte CERTA-2007-ALE-015 du 10 octobre 2007 portant sur la faille de façon plus générale.

Au moins un code d'exploitation de cette vulnérabilité s'est diffusé sur l'Internet (Cf. le bulletin d'actualité CERTA-2007-ACT-043), sous la forme de courriers électroniques ayant une pièce jointe au format pdf. Ces fichiers exploitaient l'appel à une URI effectué par l'application Adobe Reader, ce que l'éditeur a rapidement corrigé par la suite. Mozilla avait également publié des correctifs pour ses applications touchées cet été.

Cette mise à jour de Microsoft devrait corriger le problème définitivitement, puisqu'elle résout le problème à sa source.

Documentation

Rappel des publications émises

Dans la période du 05 novembre 2007 au 11 novembre 2007, le CERT-FR a émis les publications suivantes :


Dans la période du 05 novembre 2007 au 11 novembre 2007, le CERT-FR a mis à jour les publications suivantes :