S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 février 2010
N° CERTA-2010-ACT-006
Affaire suivie par: CERT-FR
le 12 février 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-06

Gestion du document

Référence CERTA-2010-ACT-006
Titre Bulletin d’actualité 2010-06
Date de la première version 12 février 2010
Date de la dernière version 12 février 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incidents de la semaine

Cette semaine, le CERTA a traité un cas de courriel piégé avec une pièce jointe malveillante. Celle-ci, au format PDF, tentait d’exploiter plusieurs vulnérabilités selon la version du lecteur Adobe Reader utilisé. Cela est possible grâce à l’interprétation du JavaScript par le logiciel. En effet, l’exécution de scripts permet de cibler la version d’Adobe Reader utilisée et de faciliter l’exploitation des différentes vulnérabilités.

Si le PDF malveillant visait plusieurs versions d’Adobe Reader, fort heureusement le shellcode ensuite exécuté était plus capricieux. En effet, celui-ci tente de copier la charge malveillante dans un répertoire spécifique du système avant de l’exécuter. L’écriture dans ce répertoire nécessitait toutefois des droits administrateur, ce que le code ne vérifie pas. La victime ayant ouvert la pièce jointe utilisant un compte aux droits limités, son poste n’a finalement pas été compromis.

Si de nombreux codes malveillants fonctionnent quel que soit le type de compte utilisé, le CERTA rappelle que, selon le principe de défense en profondeur, outre la mise à jour des applications qui reste un principe fondamental, l’utilisation d’un poste pour des tâches bureautiques doit se faire avec un compte qui n’a pas de droits d’administration. De même, les utilisateurs d’Adobe Reader doivent désactiver l’interprétation du JavaScript qui est très rarement indispensable à la lecture d’un document.

2 Actualité Microsoft

2.1 Les correctifs du mois de février

Mardi, Microsoft a publié son lot mensuel de correctifs. Ils sont au nombre de 13 et corrigent 26 vulnérabilités. Voici un rappel des bulletins émis :

  • une vulnérabilité dans Microsoft Office permet d’exécuter du code arbitraire, avec les droits de l’utilisateur sur l’ordinateur vulnérable lors de l’ouverture d’un fichier spécialement conçu ;
  • six vulnérabilités dans Microsoft Powerpoint, permettant d’effectuer une exécution de code arbitraire, ont été corrigées ;
  • une vulnérabilité dans Microsoft Paint permet à une personne malintentionnée distante de provoquer l’exécution de code arbitraire via un fichier JPEG spécialement conçu ;
  • deux vulnérabilités dans le client SMB de Microsoft Windows ont été corrigées ;
  • une vulnérabilité est exploitable par le biais d’un navigateur Web envoyant des données spécialement conçues à la fonction ShellExecute via le gestionnaire de Shell Windows ;
  • une vulnérabilité permet l’exécution de code arbitraire à distance par le biais d’une page Web spécialement conçue appelant un contrôle ActiveX vulnérable ;
  • des erreurs dans l’implémentation du protocole IPv6 dans Microsoft Windows contient plusieurs vulnérabilités qui permettent, entre autre, à un utilisateur distant malintentionné d’exécuter du code arbitraire avec les privilèges « Système » ;
  • une vulnérabilité permet à une personne malintentionnée de créer un déni de service en bloquant l’exécution d’Hyper-V (le système d’hypervision de Microsoft) et de toutes les machines virtuelles en service. L’exploitation de cette vulnérabilité nécessite d’être authentifié dans l’une des machines virtuelles et de pouvoir y exécuter du code localement ;
  • une vulnérabilité dans le processus CSRSS (Client-Server Run-time Subsystem) permet à une personne malintentionnée d’élever ses privilèges sur le système ;
  • plusieurs vulnérabilités dans Microsoft Windows SMB permettent d’exécuter du code arbitraire à distance, de provoquer un déni de service ou d’élever ses privilèges ;
  • une vulnérabilité dans Microsoft DirectShow affecte le filtre AVI et permet à une personne malveillante d’exécuter du code arbitraire au moyen d’un fichier au format AVI spécialement construit ;
  • une vulnérabilité dans Kerberos due à un traitement incorrect de certaines requêtes permet à une personne malintentionnée de provoquer un déni de service sur un contrôleur de domaine Windows ;
  • une vulnérabilité dans le sous-système MS-DOS (ntvdm.exe) et affectant potentiellement toutes les versions 32 bits de Microsoft Windows, permet à un utilisateur local d’élever ses privilèges au moyen d’un exécutable spécialement construit. Ce correctif comble la vulnérabilité décrite dans l’alerte CERTA-2010-ALE-002.

Pour mémoire, la liste des avis publiés par le CERTA pendant la semaine (du jeudi au jeudi) précédent ce document est disponible dans la section « Rappel des avis émis » du bulletin d’actualité.

2.2 Vulnérabilités Microsoft liées à la gestion du SMB

2.2.1 Détails

Parmi les bulletins de sécurité Microsoft publiés cette semaine, deux concernent la gestion du protocole SMB.

Le bulletin MS10-006 concerne la partie cliente de la gestion du protocole SMB. Dans ce bulletin nous nous intéresserons plus spécifiquement à la vulnérabilité CVE-2010-0016. Pour cette vulnérabilité, le scénario d’attaque typique suppose qu’un serveur ait été compromis. Dans ce cas, chaque client se connectant à ce serveur sera à son tour compromis (via une exécution de code) lors de la réception d’une requête SMB spécialement malformée qui lui sera envoyée par le serveur.

On peut aussi envisager qu’une machine cliente infectée se transforme en serveur infectant via, par exemple, l’usurpation de paquets NBNS (NetBIOS Name Service).

Il est à noter que le chercheur à l’origine de la découverte de la vulnérabilité a publié un document détaillé expliquant le savoir faire nécessaire à l’exploitation de cette vulnérabilité.

L’autre bulletin, MS10-012, concerne la partie serveur de la gestion du protocole SMB. L’une des vulnérabilités (CVE-2010-0020) couverte par ce bulletin permet l’exécution de code arbitraire à distance en envoyant une requête SMB malformée à toute machine dont le service serveur est démarré.

Pour les deux vulnérabilités dont nous venons de parler, l’exécution de code s’effectue avec les privilèges « Système » permettant un contrôle total de la machine.

Le fait que l’exploitation de ces deux vulnérabilités nécessite une authentification n’est qu’un facteur atténuant partiel car c’est le cas dans la plupart des réseaux d’entreprises utilisant un annuaire.

2.2.2 Recommandation

L’exploitation de ces vulnérabilités pouvant potentiellement servir à la propagation d’un ver, le CERTA recommande l’installation au plus tôt de ces deux correctifs.

2.2.3 Documentation

2.3 Problème de stabilité lié à la mise a jour du bulletin Microsoft MS10-015

2.3.1 Détails

Il a été remonté par plusieurs utilisateurs que suite à l’application du correctif MS10-015 un redémarrage inopiné de la machine pouvait survenir (redémarrage en boucle). Comme spécifié dans le blog MSRC, ce problème est en cours d’étude chez Microsoft.

La diffusion par Windows Update de cette mise à jour est pour le moment suspendue.

2.3.2 Recommandations

Le CERTA recommande de tester exhaustivement ce correctif avant toute mise en production ou d’appliquer temporairement les contournements proposés par l’éditeur.

2.3.3 Documentation

3 Annonce d’une mise à jour pour Adobe Reader et Adobe Acrobat

L’éditeur Adobe annonce la publication de correctifs pour le mardi 16 février 2010, donc hors du cycle trimestriel annoncé l’été dernier.

Les vulnérabilités corrigées lors de cette mise à jour sont considérées critiques par l’éditeur. Cette qualification laisse supposer la possibilité pour l’attaquant d’exécuter du code arbitraire à l’insu de l’utilisateur.

Les logiciels concernés sont :

  • Adobe Acrobat 9.3 et 8.2 sur Windows et MacOS ;
  • Adobe Reader 9.3 sur Windows, Unix et MacOS ;
  • Adobe Reader 8.2 sur Windows et MacOS.

3.1 Documentation

4 Home Network Administration Protocol

4.1 De quoi s’agit-il

Il s’agit d’un protocole basé sur HTTP-SOAP (Simple Object Access Protocol) qui peut servir à administrer des équipements (routeurs, caméras, NAS …). Plus simplement, il s’agit d’envoyer un message en XML, respectant un certain format, en utilisant le protocole HTTP. Ce message peut par exemple contenir une demande d’informations (GetDeviceSetting) ou des consignes de configurations (SetDeviceSetting). Il est censé faciliter la réalisation d’une topologie précise du réseau, chaque appareil se décrivant à la demande (type, model, version de logiciel, …). Pour savoir si un équipement supporte le protocole HNAP, il suffit de lui demander à l’aide d’un simple GET sur http://[IPdevice]/HNAP1/.

4.2 Le danger

Il est décrit comme « simple, rapide et facile à mettre en œuvre ». Avec une telle approche, sans parler des risques hypothétiques du protocole ou des problématiques d’avoir un serveur Web embarqué et potentiellement vulnérable, il est fort à parier que le développement et l’intégration d’un tel protocole suive l’idée du « rapide » et « simple », trop peut être.

4.3 Les conséquences

Il y a quelques semaines, une présentation a montré que certains matériels ont une implémentation vulnérable du protocole HNAP. Si ceux-ci demandent bien un identifiant et un mot de passe pour accéder aux informations sensibles, la demande d’informations est elle librement accessibles. Le problème est qu’elle permet de contourner la demande d’authentification en encapsulant des commandes de configurations, dans un message de type demande d’informations. Le CERTA recommande, dans la mesure du possible la désactivation de ce type de service, ou de ne les laisser accessible qu’a des réseaux dédiés ou tout du moins contrôlés.

4.4 Documentation

Rappel des avis émis

Dans la période du 01 au 07 février 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 12 février 2010
    version initiale.