1 Les incidents traités par le CERTA cette semaine
1.1 Compromission par clé USB
Le CERTA a traité un incident lié à la compromission d’un poste nomade par un code malveillant se propageant par support amovible. Dans le cas présent, il s’agissait d’une clé USB. Les colloques sont souvent l’occasion d’échanger des informations et des données entre les différents intervenants et/ou les participants. Cependant, ils offrent également l’opportunité à des personnes ou des codes malveillants de compromettre de nombreux systèmes dans un cercle de relation limité.
Le CERTA rappelle que l’utilisation de supports de stockage amovibles, tels que des clés USB classiques ou U3, sont potentiellement des vecteurs de compromission ou des moyens permettant de porter atteinte à la confidentialité et/ou à l’intégrité des données.
Afin de limiter l’impact des compromissions utilisant ces vecteurs d’infection, il est recommandé de désactiver toutes les fonctions permettant l’exécution automatique lors de l’insertion d’un support de stockage amovible, en particulier sous Microsoft Windows.
Documentation :
- Risques associés aux clés USB :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006/CERTA-2006-INF-006.html
- Bulletin d’actualité n°38 du 21 septembre 2007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-038/CERTA-2007-ACT-038.html
1.2 Restauration d’un site Internet après incident
Il est nécessaire après un incident de sécurité informatique sur un site Internet de repartir sur des bases saines. Cette base est souvent issue d’une copie de sauvegarde antérieure à l’incident. Il est nécessaire pour bien restaurer les données de vérifier ces dernières mais également de vérifier l’intégrite de la configuration du serveur. En effet, il arrive que, malgré une bonne restauration des données, des traces de l’ancienne compromission subsistent. Le CERTA a cette semaine cru détecter un site de filoutage (phishing) qui n’en était en fait pas un. L’adresse recticulaire de ce site été de la forme :
http://lenomdedomaine.tld/adresse_usurpee/
L’adresse usurpée correspondait en fait à un alias enregistré dans la configuration de serveur. Cette alias pointait en réalité sur le répertoire racine du site. Après restauration des données, l’alias étant resté enregistré, l’adresse usurpée conduisait sur la page d’accueil du site qui était tout à fait légitime.
Le CERTA tient donc, à rappeler qu’une défiguration ou l’insertion d’un site de filouage n’est bien souvent que la partie émergée de l’iceberg. Il est donc important, avant de restaurer les données, de vérifier l’intégrité de la configuration du serveur et de l’arborescence du site afin de limiter les risques d’une nouvelle compromission.
2 Nouveau virus pour téléphone mobile
Cette semaine est apparu un nouveau virus dédié aux plates-formes de téléphones mobiles. Ce dernier cible plus particulièrement les téléphones Symbian Series 60. Il semblerait que les téléphones équipés de Windows Mobile soient également vulnérables à cette attaque.
L’originalité de ce code malveillant, nommé SymbOS/Kiazha.A par l’éditeur ayant fait sa découverte, se situe dans l’affichage d’un message en chinois demandant un versement de 50 RMB (environ 5 euros). Cette rançon doit être envoyé à l’auteur afin de pouvoir récupérer la pleine utilisation de l’appareil. Ce code malveillant se propage via les MMS pour infecter de nouveaux équipements.
Il s’avère que ce virus est en fait une partie d’un autre code malveillant regroupant plusieurs virus. Les personnes malveillantes agissant dans l’univers du mobile empruntent les techniques utilisées en informatique. Elles reprennent le travail d’autres auteurs à leur propre compte et se mettent à faire du chantage, technique déjà utilisée par des individus malveillants sur l’Internet.
Le CERTA tient donc à mettre en garde les utilisateurs de Smartphone. Ces appareils se rapprochant de plus en plus des ordinateurs, ils sont sensibles aux mêmes vulnérabilités et aux mêmes attaques. Il est donc important de mettre en pratique les mêmes principes de précaution lors de la réception d’un message contenant un objet multimédia sur ce genre d’équipement.
Rappel des avis émis
Dans la période du 25 février au 02 mars 2008, le CERT-FR a émis les publications suivantes :
- CERTA-2008-ALE-004-001 : Vulnérabilité dans VMware
- CERTA-2008-AVI-104 : Vulnérabilité dans Joomla!
- CERTA-2008-AVI-105 : Vulnérabilité dans Thunderbird
- CERTA-2008-AVI-106 : Vulnérabilité dans Sun Solaris
- CERTA-2008-AVI-107 : Vulnérabilités dans Symantec Decomposer
- CERTA-2008-AVI-108-001 : Vulnérabilités dans Wireshark
- CERTA-2008-AVI-109 : Vulnérabilité de OpenBSD
- CERTA-2008-AVI-110-001 : Vulnérabilité dans Cadic Intégrale (Ex-Libris)
- CERTA-2008-AVI-111 : Vulnérabilités dans Mambo
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2008-ALE-002-001 : Vulnérabilité dans Joomla!
- CERTA-2008-AVI-103-001 : Multiples vulnérabilités dans VMware ESX Server
