1 Incidents de la semaine
Cette semaine, le CERTA a traité un cas de compromission d'un serveur Web fonctionnant avec SPIP. L'objectif apparent de l'intrusion était d'ajouter des pages Web faisant la promotion de produits pharmaceutiques spécifiques. Cette attaque a été rendue possible car certains paramétrages étaient trop permissifs, notamment l'écriture dans quelques répertoires étaient autorisée.
Le scénario de l'attaque pourrait se résumer ainsi :
- l'attaquant recherche des serveurs fonctionnant avec SPIP ;
- il profite de droits en écriture dans un répertoire particulier pour déposer un phpshell (programme écrit en PHP qui a la possibilité d'exécuter un certain nombre de commandes, à l'instar d'un shell classique) ;
- il utilise son phpshell pour installer plusieurs fichiers, notamment un second phpshell (de secours ?) et un fichier qui, lorsqu'il est exécuté, provoque le téléchargement d'un ensemble de pages de promotion pour des produits pharmaceutiques.
La présence sur le serveur de ces pages au contenu inapproprié a été détectée à plusieurs reprises au cours des dernières semaines. Mais le traitement de l'incident n'avait pas été fait correctement. En effet, après la première détection de cet incident, seules les pages de publicité avaient été retirées. Suite au second signalement du problème, un des phpshell avait été supprimé. Ce n'est qu'après la troisième alerte que le disque dur a été analysé, ce qui a conduit à la découverte de l'autre phpshell et du fichier responsable de l'installation des pages de promotion.
Il est important de préciser que si un filtrage en sortie avait été mis en place, le contenu publicitaire ne serait pas apparu aussi facilement et cela aurait laissé une trace flagrante dans les journaux.
2 Microsoft Office Visualization Tool (OffVis)
Microsoft a présenté à la conférence Black Hat USA, qui a eu lieu du 25 au 30 juillet dernier à Las Vegas, un outil gratuit d'analyse du format Microsoft Office (pour les versions allant de 97 à 2003). Ce logiciel, baptisé OffVis, permet la détection des documents malveillants au format .doc, .xls, et .ppt. La version bêta 1.0 est disponible gratuitement à l'adresse :
http://go.microsoft.com/fwlink/?LinkId=158791
Il s'agit une application .NET et le framework 3.5 est recommandé.
Le format Microsoft Office (97 à 2003), nommé OLE Structured Storage (parfois également appelé Compound File), est en fait un système de fichiers dans un document. L'idée sous-jacente est de pouvoir stocker simplement plusieurs fichiers (images, objets OLE, etc.) dans un seul document, de pouvoir les modifier sans avoir à tout réécrire, de permettre des opérations telles que des annulations, etc.
L'analyse d'un document Office doit donc se faire à deux niveaux :
- le OLE Structured Storage ;
- son contenu, qui peut-être Word, Excel ou PowerPoint.
OffVis embarque quatre modules de traitement : celui pour le OLE Structured Storage, qui est indispensable à toute analyse de document Office, et un pour chacun des contenus Word, Excel, et PowerPoint. Ces éléments incluent également la possibilité de détecter les documents malveillants correspondant à huit vulnérabilités connues :
- CVE-2006-0009, PowerPoint, mars 2006 ;
- CVE-2006-0022, PowerPoint, juin 2006 ;
- CVE-2006-2492, Word, juin 2006 ;
- CVE-2006-3434, Word, octobre 2006 ;
- CVE-2007-0671, Excel, février 2007 ;
- CVE-2006-0081, Excel, mars 2008 ;
- CVE-2006-0238, Excel, avril 2009 ;
- CVE-2006-0556, PowerPoint, mai 2009.
L'interface de l'outil est composée de deux fenêtres, celle de gauche affiche la représentation hexadécimale du fichier analysé, et celle de droite permet la navigation dans les objets du document, sous forme arborescente.
Cependant, même si les bases sont indéniablement présentes, OffVis ne tient pas encore toutes ses promesses. Les modules de traitement sont encore incomplets, parfois incorrects. À titre d'exemple, l'arborescence du OLE Structured Storage est présentée de façon approximative, plusieurs noeuds manquent à l'appel. De plus, OffVis étant destiné à être un outil d'audit de document Office, il se doit d'embarquer une base de données de vulnérabilités connues. En effet, les huit actuellement détectées sont insuffisantes pour en faire un outil opérationnel. Enfin, l'outil étant en version bêta, il est encore instable et présente régulièrement des dysfonctionnements.
Malgré ses défauts de jeunesse, OffVis est très prometteur, en ce sens qu'il permet l'analyse des contenus Word, Excel, et PowerPoint, et soulage du développement fastidieux d'un analyseur de contenu Office dont les spécifications, aujourd'hui publiques, font plus de 2000 pages au total. Reste à savoir quand OffVis sortira dans une version finale, avec une base de données complète (et pouvant être mise à jour) de vulnérabilités.
