1 Une mauvaise gestion du DNS

1.0.1 Présentation

Cette semaine le CERTA a traité un incident lié à une entrée DNS obsolète. L’adresse IP du site Internet d’une administration française a changé sans que le responsable du service DNS ne prenne en compte cette modification. De ce fait, les requêtes à destination de ce site n’affichaient plus les pages demandées. Pire encore, l’adresse IP d’origine ayant été réattribuée le site Web a donné l’apparence de présenter un tout autre contenu provoquant un problème d’image pour cette administration.

Le CERTA recommande de contrôler régulièrement les enregistrements DNS afin de supprimer les entrées inutiles et appliquer les modifications. Les changements d’adressage doivent être planifiés et contrôlés avant de libérer les anciennes adresses.

1.1 Documentation

2 Le retour de la tempête

2.1 Contexte

Le CERTA a régulièrement alerté le public sur les dangers que représente la banalisation des cartes de vœux électroniques. L’actualité indique qu’un nouveau code malveillant se propage via une e-card malveillante.

2.2 Description

Ce code, nommé par certains Waledac, ressemble dans sa conception au désormais très célèbre StormWorm, apparu sur l’Internet au cours de l’année dernière. Sa méthode de propagation repose sur l’envoi d’une carte de vœux électronique rédigée en anglais et contenant un lien. Le lien redirige l’internaute naïf vers un site d’aspect anodin (cf. image [*]) contenant deux codes malveillants:
  • un javascript ;
  • un code exécutable (Waledac) proposé au téléchargement dès lors que l’internaute clique sur la page.
Figure 1: Capture d’écran de la carte de voeux électronique
Image capture

Une fois un poste infecté, Waledac récupère par différents biais un maximum d’adresses méls en local, et renvoie la même e-card à tous ces contacts. En outre, le poste infecté fait alors partie d’un réseau de machines compromises (botnet) utilisables pour tous types d’actions (DDoS, téléchargement et installation d’exécutables, etc.).

2.3 Contre-mesures

Fort heureusement, même si le code en lui même n’est pas facile à analyser, il n’en reste pas moins aisé de le détecter. En effet, le nom de l’exécutable des souches actuelles sont toutes formées sur le schéma suivant : [préfixe]card[suffixe].exe, sachant que [prefixe] et [suffixe] peuvent être vides.

De plus, une fois installé, le code ne cache pas son activité :

  • le processus [prefixe]card[suffixe].exe est présent dans la liste des processus ;
  • la clef de registre suivante est créée :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVerion\Run\PromoReg
    

En revanche, partant du principe que, une fois installé, le code peut télécharger et installer d’autres programmes malveillants, le désinfection du poste passe par une réinstallation complète de celui-ci. Sachant que le meilleur moyen pour ne pas être infecté est de ne jamais cliquer sur une carte de vœux électronique, même venant d’expéditeurs connus, et plus particulièrement ne jamais cliquer sur une pièce jointe ou sur un lien contenu dans un courriel suspect.

3 Forme de phishing originale

Une forme originale de filoutage a fait l’objet de discussions sur plusieurs sites de l’Internet cette semaine. Cette technique ne repose plus sur le classique courriel invitant l’utilisateur à se connecter sur un site frauduleux imitant un site officel mais se fait au cours de la navigation. En effet, il est possible pour une personne malintentionnée, via différentes méthodes (JavaScript, xul, …), de déterminer quels sont les sites qu’un utilisateur est en train de visiter sur les différents onglets de son navigateur.

On peut alors imaginer que, si l’utilisateur est en train de consulter via l’un de ses onglets le site d’un établissement financier ou un site commercial, la personne malveillante veuille l’exploiter. Il est alors possible de faire apparaitre une fenêtre, en JavaScript par exemple, imitant la charte graphique du site visé afin de forcer l’utilisateur à entrer de nouveau ses identifiants et mots de passe sous le prétexte d’une session expirée. Il est alors facile d’intercepter ces derniers, l’utilisateur pensant à une demande légitime du site sur lequel il était connecté.

Le CERTA profite de l’exposé de ce scénario malveillant afin de rappeler quelques règles :

  • n’activer l’exécution de code dynamique (Flash, JavaScript, …) que sur les sites de confiance ;
  • toujours se déconnecter proprement des sites nécessitant une authentification ;
  • limiter sa navigation à un seul site lorsque celui est sensible (banques, commerces en ligne, extranet, …) afin d’éviter des fuites d’information ;
  • naviguer sur l’Internet avec un compte utilisateur aux droits limités ;
  • toujours appliquer les correctifs sur l’ensemble des applicatifs (système d’exploitation, navigateur, logiciels, …).

4 Systèmes embarqués et politique de mots de passe

4.1 Présentation

Plusieurs constructeurs proposent des équipements multimédia ou de stockage disposant de fonctionnalités avancées comme de la connectivité réseau filaire ou pas. On peut par ce biais accéder directement au contenu stocké dans l’équipement via différents protocoles : FTP, SMB, NFS, etc. Ces solutions peuvent être intéressantes car elles permettent de mutualiser un espace de stockage sur lequel on pourra réaliser des opérations de sauvegarde ou de duplication des données s’y trouvant. Il peuvent aussi constituer une zone d’échange pratique à utiliser.

En fonction de la nature des données stockées et de sa position dans le SI, le contrôle d’accès à ce type de ressources devra être irréprochable. Or les différentes solutions rencontrées n’offrent pas toutes les même niveaux de sécurité. Ainsi on pourra trouver, dans le pire des cas, des équipements proposant tous ces services activés avec un accès anonyme en lecture/écriture.

D’autres présenteront également l’intégralité de leurs services par défaut protégés par un mot de passe faible car disponible dans la documentation ou issu d’une dérivation d’un paramètre de l’équipement comme son adresse MAC. Dans ce dernier cas, on pourrait penser qu’utiliser l’adresse physique du périphérique réseau est une bonne idée mais il faut garder à l’esprit que les trois premiers blocs de l’adresse MAC varient seulement en fonction du constructeur. Ainsi dans l’adresse : 00:DE:AD:00:BE:EF, la partie 00:DE:AD représente le constructeur. La partie pseudo-aléatoire ne dépend plus que des trois blocs suivants (00:BE:EF dans l’exemple). Si l’attaquant a connaissance de la marque de l’équipement, il devient alors plus facile pour lui de trouver le mot de passe.

4.2 Recommandations

Concernant ces équipements, il faudra s’attacher entre autres, aux points suivants :

  • s’assurer que l’on peut mettre à jour le système embarqué, et si oui, appliquer les mises à jour ;
  • configurer l’équipement avec des mots de passe robustes chaque fois que cela est possible car certains ne permettent pas de changer le mot de passe ;
  • désactiver les services non-utilisés et en préférer un seul ;
  • définir une politique d’accès précise à l’équipement.

Rappel des avis émis

Dans la période du 05 au 11 janvier 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :