S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 décembre 2007
N° CERTA-2007-ACT-052
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2007-52

Gestion du document

Référence CERTA-2007-ACT-052
Titre Bulletin d'actualité 2007-52
Date de la première version28 décembre 2007
Date de la dernière version28 décembre 2007
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilités dans Dokeos

Plusieurs vulnérabilités affectant Dokeos (versions 1.8.4 et antérieures) ont été récemment rendues publiques. Elles se déclinent en deux catégories :

  • des vulnérabilités de type cross-site scripting. Ces problèmes sont généralement liés à un mauvais filtrage des données envoyées par des utilisateurs, par exemple dans des formulaires. Elles affectent généralement les internautes qui visitent le site. Leurs conséquences peuvent varier, allant du simple affichage d'un mot de passe à des vols de cookie. Si l'on considère que le webmestre est susceptible de visualiser ces pages, alors ce genre de risques est à prendre au sérieux ;
  • une vulnérabilité qui permet l'exécution de code arbitraire à distance. Ce problème vient du fait qu'un utilisateur légitime (c'est-à-dire disposant d'un compte Dokeos) du site peut installer un fichier (upload) dans une zone dédiée. Il est possible, par le biais d'une double extension, de contourner certains paramétrages de sécurité et de télécharger un fichier contenant du code PHP (par exemple). Ce fichier pourra ensuite être appelé (et donc exécuté par le serveur).

Ces vulnérabilités ont été évoquées dans l'avis CERTA-2007-AVI-564 et ont fait l'objet d'un correctif de sécurité de la part des développeurs de Dokeos. Elles seront également corrigées dans la future version 1.8.5.

En guise de contournement provisoire, il est possible, pour la vulnérabilité concernant le téléchargement de fichiers portant une double extension, de mettre en place un fichier .htaccess dans le répertoire main/upload/user/, avec le contenu suivant :

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi .phps .bash

Options -ExecCGI

Documentation :

2 Je reçois des cartes de vœux !

Comme chaque année à la même période les boites à lettres sont envahies de courriels intitulés par exemple "Happy new Year" ou "New Year Ecard" et autres "cartes de vœux". Ces prétendus messages de vœux peuvent contenir des pièces jointes malveillantes ou inviter les destinataires à cliquer sur un lien pour télécharger une carte de vœux virtuelle qui tentera d'infecter l'ordinateur.

Que le réseau de machines compromises dénommé Storm présenté dans le bulletin CERTA-2007-ACT-034 soit ou non à l'origine de ces messages malveillants, les bonnes pratiques pour se protéger de ce type d'attaque restent d'actualité:

  • mettre à jour régulièrement et systématiquement toutes les applications ;
  • ne jamais répondre aux pourriels ;
  • se méfier des courriels dont on ne reconnaît ni la langue ni l'émetteur ;
  • ne pas faire spontanément confiance dans le champ émetteur d'un courriel ;
  • ne jamais cliquer sur un lien inséré dans un message sans un minimum de précaution.

Les recommandations du CERTA restent également d'actualité :

3 Cadeaux de Noël, et codes multi plates-formes

3.1 La problématique

Des codes malveillants étaient déjà connus pour se propager sur différentes plates-formes, comme le ver W32/Mobler qui installe SymbOS/MultiDropper.CC sur les systèmes Windows et SymbOS/MultiDropper qui installe W32/Mobler sur les cartes mémoires amovibles qui sont connectées à l'ordinateur. Depuis quelques mois, il apparaît donc des vulnérabilités qui offrent la possibilité d'être utilisées sur différentes plates-formes. Cela a été constaté, par exemple, avec la vulnérabilité dans libTIFF qui a permis aux accros de la console de jeux PSP (Playstation Portable) de Sony d'installer les applications qu'ils avaient développées. L'exploit utilisé a été publié et a ainsi permis son étude et son adaptation. Cette même exploitation de vulnérabilité est réapparue pour contourner les protections mises en place par Apple dans son téléphone mobile multifonctions l'iPhone. Le fait de pouvoir porter des codes d'exploitation sur différentes plates-formes permet aux attaquants de capitaliser leurs recherches et d'accélérer la sortie de nouveau code exploitant les mêmes vulnérabilités. Il apparaît depuis quelques jours qu'une vulnérabilité semble offrir ces même possibilités grâce à une vidéo au format MP4 provoquant un dépassement de mémoire tampon dans plusieurs lecteurs multimédia. Cette vidéo spécialement conçue pourrait être portée sur des systèmes de téléphones mobiles et avoir les mêmes conséquences.

3.2 Les recommandations

Le CERTA tient à rappeler que ces systèmes multimédia, qu'ils se présentent sous la forme de consoles de jeux (portables ou de salon), de téléphones mobiles ou d'agendas personnels, sont des ordinateurs à part entière et présentent bien des opportunités pour des personnes malveillantes notamment grâce à leurs possibilités de communication ou leurs puissances de calcul. Il est donc nécessaire d'apporter la même attention et les mêmes précautions que pour un poste classique lorsque des supports amovibles ou des périphériques y sont connectés ou bien lorsque que ces systèmes sont connectés à un réseau.

4 Détournement de l'indexation des moteurs de recherche

4.1 Présentation des faits

Un correspondant du CERTA a signalé cette semaine que le moteur de recherche Google n'indexait plus directement son site, mais plutôt une adresse « étrange » de la forme :

        http://www.Adresse_Legitime/?ref=Autre_URL_inconnue

En réalité, des personnes malveillantes ont profité de la notoriété de certaines pages sur d'autres sites pour augmenter la cote de popularité de l'adresse ci-dessus. L'insertion de cadres (IFRAME) dans des sites est un moyen d'y parvenir.

Cette adresse « étrange » est consultée par le robot du moteur de recherche, ici googlebot. Si ce dernier reçoit une réponse positive (code HTTP 200) du serveur légitime, la page est bien indexée, mais avec cette URL « étrange ».

Les impacts sont variés, mais le premier est celui sur l'image du site légitime, associé contre son gré par le moteur de recherche à une autre adresse. Pour les personnes malveillantes, cette méthode qui consiste à détourner le principe d'indexation actuellement utilisé, permet aussi de diffuser rapidement des adresses, et de complexifier le système publicitaire mis en place.

4.2 Des mesures possibles

Il ne s'agit dans le cas présent pas d'une vulnérabilité directe du site. Cependant, afin de se prémunir d'un tel désagrément, quelques actions sont envisageables :

  • modifier le fichier robots.txt. La syntaxe de ce dernier n'est pas très souple, mais il est possible d'écrire des règles spécifiques pour les champs User-Agent caractéristiques des robots ;
  • construite une carte du site, pour la communiquer ensuite directement au moteur de recherche. Google détaille par exemple la réalisation de cette carte à l'adresse : 
    http://www.google.com/webmasters/tools/docs/fr/about.html
  • signaler le problème via l'interface dédiée du moteur de recherche. Sous Google, il faut préalablement créer un compte webmaster.

5 Mise à jour de Perl

Le 18 décembre 2007 est sortie une nouvelle version du langage de programmation Perl. La version 5.10, qui est maintenant la version en cours, est la première mise à jour depuis plus de cinq ans. Cette nouvelle version améliore les performances de l'interpréteur, garantit une meilleure portabilité ainsi qu'une moindre consommation de la mémoire. Il est également à noter un nouvel opérateur de comparaison -. Une documentation complète des changements apportés est disponible via le perldelta.

5.0.1 Documentation

6 Modification des fichiers hosts

6.1 Présentation

La plupart des systèmes d'exploitation maintiennent un fichier dans lequel il est possible d'entrer statiquement la correspondance entre un nom de machine et une adresse IP. Cette solution permet de ne pas chercher à résoudre la correspondance par des protocoles réseaux, comme DNS permet de faire par exemple.

Sous Linux ou Mac OS, il est donc possible de trouver le fichier /etc/hosts, dont le contenu est sous la forme :

Adresse_IP_1     nom_de_la_machine_1        alias_possibles 
Adresse_IP_2     nom_de_la_machine_2        alias_possibles

Sous Windows 2000/XP/Vista, un fichier très similaire existe :

C:%windir%\system32\drivers\etc\hosts

Ce fichier peut être modifié par des codes malveillants ayant obtenu un accès privilégié au système (administrateur).

Cette méthode est différente d'une modification de la configuration DNS du système par un cheval de Troie, que le CERTA a mentionné dans le bulletin CERTA-2007-ACT-044. Ce cheval de Troie se présente sous la forme d'un codec vidéo à installer pour visionner gratuitement certaines catégories de films. Ce cheval de Troie, aussi appelé DNSChanger, vise les postes MacOS et modifie le serveur DNS utilisé, afin de détourner les requêtes Web vers des pages de filoutage. Il ne s'agit donc pas d'une modification du fichier hosts, mais de la configuration même du DNS.

6.2 Une motivation

La modification du fichier hosts peut se faire par un code malveillant pour les mêmes raisons :

  • diriger certaines requêtes vers des serveurs particuliers, ou des machines relais dédiées, afin de jouer un rôle d'intermédiaire (voyeur).
  • afficher des contenus publicitaires dédiés, voire générer des revenus à partir de cette fraude.

La modification du fichier hosts sous Windows par le cheval de Troie Trojan.Qhost.WU est de la forme :

X.X.X.X         page2.googlesyndication.com

Cette modification permet, lorsque l'utilisateur navigue sur des pages, de changer les informations textuelles publicitaires initialement prévues. On pourrait également imaginer d'autres scénarios, comme ajouter du contenu malveillant à certaines pages.

6.3 Recommandations

Plusieurs mesures peuvent être entreprises pour ne pas subir ce genre de modification :

  • vérifier régulièrement l'intégrité des fichiers système et de configuration ;
  • naviguer avec des droits limités ;
  • ne pas installer de logiciels ne provenant pas de source de confiance. Tout logiciel installé avec des droits d'administration du système a la capacité de modifier les fichiers du système ;
  • surveiller les flux réseau afin de déterminer une quelconque anomalie.

7 Ce n'est qu'un au revoir...

L'année 2007 s'achève. Le CERTA profite donc de ce dernier numéro pour souhaiter d'excellentes fêtes à ses lecteurs.

Au cours de cette année, le CERTA a eu l'occasion de publier un peu plus de 300 articles différents dispersés dans ses bulletins d'actualité. Voici ci-dessous une liste, non exhaustive, de certains d'entre eux, qui peuvent faire l'objet de relecture, en ces fêtes de Noël :

Rappel des publications émises

Dans la période du 17 décembre 2007 au 23 décembre 2007, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 28 décembre 2007
    version initiale.