S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 septembre 2009
N° CERTA-2009-ACT-037
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2009-37

Gestion du document

Référence CERTA-2009-ACT-037
Titre Bulletin d'actualité 2009-37
Date de la première version 11 septembre 2009
Date de la dernière version 11 septembre 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilités dans TCP/IP

En 2008, plusieurs failles de la pile TCP/IP trouvées par des chercheurs finlandais ont été largement médiatisées. Ces vulnérabilités ont été communiquées à divers éditeurs, parmi lesquels certains ont arrêté une date (mardi 08 septembre 2009) pour publier des correctifs. Cette date correspond à la publication mensuelle des mises à jour de Microsoft.

Ainsi, cette semaine, les éditeurs Microsoft, Cisco, et Check Point ont publié des correctifs concernant ces vulnérabilités de TCP. D'autres éditeurs ont annoncé que leurs produits ne sont pas affectés, et d'autres qu'ils ne publieraient pas de correctif (Red Hat) mais des contournements permettant d'atténuer les effets d'une potentielle attaque. En ce qui concerne Microsoft, si l'éditeur a émis des correctifs pour certains systèmes d'exploitation, il a également annoncé ne pas être en mesure de le faire pour Windows 2000 et Windows XP. L'éditeur Sun, en revanche, a déclaré que ses produits sont affectés mais seraient corrigés à une date ultérieure.

Dans cette optique, le CERTA a décidé de publier l'alerte CERTA-2009-ALE-017 concernant les produits non corrigés. Il est important de noter que même si un seul CVE a été attribué (CVE-2008-4609), il s'agit toutefois de plusieurs vulnérabilités. Le principe est généralement le même et consiste à saturer les systèmes au moyen de certains paramètres TCP tel que le window size. Les impacts peuvent également largement varier selon les systèmes.

S'agissant de failles dans l'implémentation du protocole TCP, il n'existe pas de contournement adapté notamment pour les serveurs. Les postes clients peuvent utiliser un pare-feu à état (stateful) pour bloquer les connexions entrantes non sollicitées. Les administrateurs de serveurs vulnérables peuvent éventuellement limiter le nombre de sessions TCP autorisées par adresse IP.

1.1 Documentation

2 Actualité Microsoft

2.1 Vulnérabilité de SMBv2 dans Microsoft Windows Vista et Server 2008

L'alerte CERTA-2009-ALE-016 publiée cette semaine concerne une faille du pilote srv2.sys. Une personne malintentionnée peut provoquer un déni de service ou potentiellement exécuter du code arbitraire, au moyen d'un paquet SMBv2 spécialement conçu.

En attendant un correctif de sécurité la part de Microsoft, il est recommandé de désactiver SMBv2 sur les systèmes vulnérables. Cela peut évidemment avoir des effets secondaires. Le filtrage des ports tcp/139 et tcp/445 permettant de bloquer les paquets SMB, il convient également d'appliquer un tel filtrage sur le périmètre du système d'information. Seuls Windows Server 2008 et Windows Vista sont concernés par cette faille. Les versions finales de Windows 7 et Windows Server 2008 R2 ont, d'ores et déjà, été corrigées et SMBv2 n'est pas inclus dans les versions antérieures de Windows.

2.2 Les bulletins mensuels de Microsoft

Cette semaine, Microsoft a publié ses bulletins mensuels de sécurité. Le CERTA revient sur ces différents bulletins :

  • MS09-045 : un défaut du moteur JScript permet à un utilisateur malveillant d'exécuter du code arbitraire avec les droits de l'utilisateur connecté ;
  • MS09-046 : le composant d'édition DHTML sur les systèmes Microsoft Windows 2000, XP et Microsoft Windows Server 2003 présente une vulnérabilité exploitable par un utilisateur malveillant afin d'exécuter du code arbitraire avec les droits de l'utilisateur connecté ;
  • MS09-047 : la lecture des fichiers ASF et MP3 malformés par Microsoft Windows Media Player n'est pas suffisamment robuste. Un utilisateur malveillant peut, par le biais de fichiers MP3 ou ASF spécialement conçus, exécuter du code arbitraire avec les droits de l'utilisateur connecté ;
  • MS09-048 : des vulnérabilités dans la gestion du protocole TCP/IP, dont l'exploitation permet de réaliser un déni de service avec peu de ressources, sont corrigées pour les systèmes Microsoft Windows Server 2003 et 2008 et Microsoft Windows Vista. Aucun correctif ne sera développé pour Microsoft Windows 2000 dont la fin du support est en juillet 2010, et pour Microsoft Windows XP qui n'est vulnérable que si des exceptions sont autorisées dans la configuration du pare-feu. De nombreuses applications créent des exceptions lorsqu'elles s'installent. Il est donc fortement recommandé de vérifier les configurations et de fermer en entrée les ports inutiles ou devenus inutiles ;
  • MS09-049 : l'utilitaire de configuration automatique des réseaux locaux sans fil est vulnérable. Avec des trames spécialement conçues, un utilisateur malveillant peut exécuter du code arbitraire à distance avec des droits complets sur l'ordinateur.

Le CERTA rappelle l'impérative nécessité d'appliquer au plus vite ces correctifs afin de protéger son système d'information. De plus l'utilisation de l'ordinateur avec un compte sans privilège inutile permet de réduire l'impact de l'exploitation des vulnérabilités mentionnées dans les trois premiers bulletins.

2.3 Documentation

3 Un ver pour WordPress

Un ver ciblant des installations de WordPress non mises à jour se propage depuis quelques jours. Sa méthode d'attaque est la suivante :

  • un utilisateur est enregistré ;
  • une vulnérabilité permettant l'élévation des privilèges est exploitée. Cette vulnérabilité est corrigée dans la version 2.8.3 de WordPress (voir avis CERTA-2009-AVI-315) ;
  • du code exécutable PHP est inséré dans un permalink ;
  • un compte avec des droits d'administrateur est alors créé via une requête HTTP spécifique qui exploite le code inséré dans le permalink .

Le ver est susceptible de modifier des fichiers tels que .htaccess et de désactiver l'enregistrement des nouveaux comptes. Le compte avec les droits d'administrateur n'apparaît pas dans la liste des utilisateurs du WordPress. Le ver peut entraîner quelques dysfonctionnements pour le site attaqué, notamment au niveau des liens. Il est censé ajouter des publicités pour des produits pharmaceutiques ou des codes malveillants sur certaines pages. Les versions 2.8.3 et 2.8.4 de WordPress sont réputées insensibles à ce ver.

Les administrateurs de WordPress sont fortement incités à mettre à jour leur gestionnaire de contenu en version 2.8.4. Il est également conseillé de vérifier les permalinks et de regarder dans les journaux si des utilisateurs ont été ajoutés récemment. Enfin, une lecture du document « Hardening WordPress » (voir documentation) est encouragée.

Documentation

4 XSS inter-protocolaire

4.1 Le XSS

Les attaques par XSS sont désormais des attaques bien connues. Pour rappel, le principe consiste à injecter du code dans une page de manière volatile ou non afin d'exécuter un script externe sur une page Internet légitime. Les vecteurs permettant ces attaques sont tout aussi connus : formulaires mal construits, pages d'erreurs verbeuses, etc. Le concept est systématiquement le même : dès l'instant qu'une page émet un écho contrôlable par l'attaquant et non filtré par le serveur, l'injection permettant un XSS est possible.

Généralement, l'appréhension générale d'un XSS reste assez mauvaise. L'impact de telles attaques est souvent minimisé. Nous ne reviendrons pas dessus, mais différents articles du bulletin d'actualité du CERTA traitent de ce problème.

4.2 Les échos protocolaires

Le concept même d'un XSS reste parfois bien flou. Pour beaucoup de personnes, le XSS ne se cantonne qu'au seul protocole HTTP. Et qui dit protocole HTTP dit vulnérabilité web. C'est malheureusement faux. Il est tout à fait possible de réaliser un XSS en utilisant des faiblesses de différents protocoles d'échanges (DNS, FTP, POP3, SMTP, etc.). Le principe de l'attaque reste le même : il suffit de trouver un écho dont le contenu est peu ou pas contrôlé par le serveur. Prenons par exemple, la commande HELO (ou EHLO). Cette commande sert de poignée de main avec un serveur SMTP. Les standards définissent le principe même de cette poignée de main, mais le type de réponse (hors code retour) et son implémentation sont laissés libre. Ainsi chaque serveur pourra répondre à sa manière. Par exemple : 
               envoi client :             HELO mail@exemple.tld
               r�ponse du serveur :  250 hello mail@exemple.tld

Dans ce cas, on remarque la réponse en écho du serveur. Une personne malveillante peut alors utiliser cette faille pour obliger le serveur de mail à répondre par un script. Il faut alors trouver une méthode pour provoquer l'interrogation du serveur de messagerie via un navigateur. Certaines études récentes démontrent la faisabilité de ce type d'attaque.

4.3 Comment s'en protéger ?

Du côté serveur, on peut limiter l'exploitation de ces faiblesses en apportant une attention toute particulière aux produits utilisés et aux interactions entre le client et ce produit. Parfois, un audit pourra s'avérer utile.

Du côté client, le meilleur moyen de se protéger de manière générique des attaques de type XSS reste de désactiver l'interprétation de toute forme de script par le navigateur (vbscript, JavaScript, etc.) et de ne réactiver la fonctionnalité qu'en cas d'impérieuse nécessité vis à vis d'un site de confiance. Cette mesure draconienne semble pour beaucoup impossible à tenir et pourtant, il apparaît que la navigation sans script reste encore possible, même si la perte en ergonomie est grande.

5 Firefox : une mise à jour bienveillante

Cette semaine, une nouvelle version du navigateur Mozilla Firefox a été publiée. Cette nouvelle mouture corrige plusieurs vulnérabilités détaillées dans l'avis CERTA CERTA-2009-AVI-379, mais ajoute également une fonctionnalité intéressante.

En effet, après l'installation de la mise à jour, un message apparaît si le module Adobe Flash installé n'est dans sa dernière version. Un lien vers la page officielle du site d'Adobe est également présenté afin d'obtenir la dernière version du module. Cette initiative ne peut être que saluée surtout lorsque des mises à jour du système d'exploitation Apple Mac OS X provoquent une régression de ce module (cf. le bulletin d'actualité CERTA-2009-ACT-036). La fondation Mozilla projette d'intégrer ce contrôle de version pour d'autres modules dans une prochaine évolution de son navigateur.

Documentation

Rappel des publications émises

Dans la période du 31 août 2009 au 06 septembre 2009, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 11 septembre 2009
    version initiale.