1 Vulnérabilité dans les cartes réseau Broadcom
Cette semaine, lors de la conférence CanSecWest, des ingénieurs de l'ANSSI ont fait la démonstration de l'exploitation d'une vulnérabilité dans certains contrôleurs réseau permettant d'exécuter du code arbitraire à distance. Cette vulnérabilité permet via une série de paquets spécialement construits de mettre en place une attaque de type « Man in the middle » (homme au milieu), de récupérer des clés cryptographiques ou d'injecter du code malveillant dans la mémoire de la machine compromise.
L'impact de cette vulnérabilité concernant les modèles Broadcom NetXtreme est cependant à nuancer. En effet, une configuration spécifique est nécessaire. La fonctionnalité ASF (Alert Standart Format) doit être activée et configurée, ce qui n'est pas le cas par défaut.
Le CERTA invite donc les possesseurs de ce type d'équipements à se rendre sur le site Internet de l'intégrateur de leurs machines afin de télécharger la dernière version du microcode de la carte réseau et à installer cette dernière.
Le CERTA profite également de cette actualité pour attirer l'attention sur l'utilité de mettre à jour le code embarqué dans les périphériques matériels. En effet, en faisant la démonstration que la compromission d'une machine via son contrôleur est possible, l'ANSSI rappelle que le code embarqué dans les périphériques doit lui aussi être soumis aux bonnes pratiques de développement, de test et de maintien.
1.1 Documentation
- Support de la présentation faite à la CanSecWest :
http://www.ssi.gouv.fr/site_article186.html
- Article « Peut-on faire confiance aux cartes réseau ? » :
http://www.ssi.gouv.fr/site_article187.html
- Avis CERTA-2010-AVI-121 concernant le correctif fourni par HP :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-121
2 Durcissement de la configuration des systèmes Windows (5/8)
2.1 Désactivation du cache d'ouverture de sessions interactives
Par défaut, un système Windows conserve les empreintes des informations liées aux dix dernières connexions par des comptes membres du domaine : il s'agit des « caches de domaine ». Cette fonctionnalité est utilisée lorsque le poste de travail n'arrive plus à joindre un contrôleur de domaine. Dans ce cas, le système Windows authentifie l'utilisateur à l'aide de cette base de cache. Toutefois, un utilisateur malveillant ayant des droits d'administration ou un accès physique à la machine peut récupérer de cette manière les caches et effectuer une attaque par essais successifs sur les mots de passe.
Il est possible de configurer le nombre d'entrées de ce cache de domaine à l'aide de la GPO nommée : « Ouvertures de sessions interactives : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache ». Réduire à 1 cette valeur permettra de garder le dernier compte en cache (généralement le compte courant) et la mettre à 0 permet de désactiver cette fonctionnalité.
2.2 Augmentation du niveau de sécurité de l'authentification à distance
De manière à réduire très fortement les possibilités de cryptanalyse sur les mots de passe via l'écoute réseau dans un environnement Windows, il convient de ne pas permettre l'utilisation des protocoles d'authentification obsolètes que sont LM et NTLM. Seuls les mécanismes d'authentification NTLMv2 ou Kerberos doivent être acceptés.
Le paramètre intitulé « niveau de compatibilité LM » permet de gérer la configuration de la compatibilité LM, NTLM ou NTLMv2 en activant ou désactivant ces protocoles. Celui-ci est défini par la donnée de la valeur LMCompatibityLevel de la clé de registre HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlLSA.
Six niveaux peuvent être définis :
| 0 | Envoyer les réponses LM et NTLM |
| 1 | Envoyer LM & NTLM - Utiliser la sécurité de session NTLMv2 si négociée |
| 2 | Envoyer uniquement les réponses NTLM |
| 3 | Envoyer uniquement les réponses NTLMv2 |
| 4 | Envoyer uniquement les réponses NTLMv2Refuser LM |
| 5 | Envoyer uniquement les réponses NTLMv2Refuser LM et NTLM |
Le niveau de compatibilité LM peut être configuré dans les Options de sécurité. Sous Windows 2000, le paramètre s'appelle « Niveau d'authentification LAN Manager » et à partir de Windows XP « Sécurité réseau : niveau d'authentification LAN Manager ».
Il est recommandé de positionner la valeur au niveau 3 ou plus. Dans ce cas, le système utilise uniquement le protocole NTLMv2 pour s'authentifier (mais il accepte toujours les protocoles LM ou NTLM). La valeur 5 renforce encore la sécurité en permettant d'accepter uniquement le protocole NTLMv2.
De Windows 2000 à Windows 2003, le niveau de compatibilité est par défaut positionné à la valeur 0. En revanche, à partir de Windows Vista, ce niveau est porté à la valeur 3.
Par ailleurs, il est conseillé d'appliquer ce paramètre sur un premier échantillon de systèmes pour détecter une éventuelle incompatibilité, puis de généraliser cette configuration si aucun problème n'est détecté.
Pour plus d'informations, reportez-vous aux articles suivants sur le site Internet de Microsoft :
http://support.microsoft.com/kb/239869/fr
http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx
3 Arnaque aux SMS sur téléphones mobiles
Les courriers électroniques non sollicités (SPAM) sont malheureusement, depuis plusieurs années, monnaie courante sur Internet ; quiconque utilise un compte de messagerie a appris depuis longtemps à trier ces courriers, en écartant les publicités et autres tentatives de filoutage...Mais depuis quelques temps, les personnes malhonnêtes qui utilisaient ce média ont bien compris que d'autres supports pouvaient être intéressants. Ainsi sont apparus les SMS publicitaires. Dans ce domaine, l'imagination des attaquants est très forte. Ainsi, le CERTA est fréquemment informé de l'utilisation de scénarios plus évolués, destinés à tromper l'utilisateur, et si possible à lui soutirer de l'argent. Parmi eux, citons :
- le ping call : le téléphone portable sonne une seule fois, l'usager n'a généralement pas le temps de prendre l'appel. Le numéro de l'appelant restant affiché, l'utilisateur est tenté d'utiliser les fonctions automatiques de son téléphone afin de rappeler aussitôt le numéro. Problème, ce numéro est fortement surtaxé (par exemple de la famille des 08 99 xx xx xx) et mis à part un peu de musique, ou des messages enregistrés, aucun interlocuteur humain ne sera présent derrière ce numéro ;
- le faux SMS de messagerie : vous recevez un SMS vous indiquant qu'un message vous attend sur une boîte vocale externe. Pour le lire, il faut à votre tour envoyer un SMS vers un numéro surtaxé. Là encore, les attaquants ciblent votre portefeuille.
3.1 Un cas intéressant
Récemment, le CERTA a été informé d'une arnaque au SMS mettant aussi en œuvre un faux serveur web : l'utilisateur a reçu sur son téléphone portable un SMS de la forme :
� Messagerie Multim�dia : le 06xxxxxxxx a re�u 1 nouveau SMS vid�o � 8h03. Pour le lire : http://tinyurl.com/xxxxxxxx �
L'astuce ici repose sur l'utilisation du service « tinyurl » qui va cacher le nom du vrai serveur accédé, Tinyurl étant un simple service de redirection et de « raccourcissement » des URL. Si l'utilisateur clique sur le lien, il accède à une page contenant un lien actif qui, une fois activé, va, à l'insu de l'utilisateur, émettre un SMS surtaxé (dans le cas présent, il coûte 4,5 euros !).
Dans ce scénario, plusieurs éléments sont enchainés afin de tromper la vigilance de l'utilisateur, pour finalement l'amener à commettre la faute qui entrainera la facturation.
3.2 Comment se protéger
Face à ces nouvelles menaces, il convient avant tout de conserver une attitude prudente et de ne jamais répondre à un SMS inconnu, ou rappeler un numéro étrange. Typiquement, les 08 9x xx xx xx doivent attirer votre attention.
Enfin, depuis un peu plus d'un an, les opérateurs télécom français ont mis en place une plateforme de signalement destinée à remonter ce type de problèmes survenant dans les environnements mobiles. Il est possible de faire suivre les SMS suspects au 33 700 afin que votre opérateur puisse les traiter et éventuellement engager des poursuites judiciaires. De plus amples informations sont disponible sur le site web du 33700, http://www.33700-spam-sms.fr/
4 Conférence CanSecWest 2010
La conférence CanSecWest 2010 qui se tient à Vancouver du 24 au 26 mars 2010, a annoncé le début du concours Pwn2Own. Ce concours, créé dans le contexte du Zero Day Initiative fondé par la société Tipping Point, a pour objectifs l'exploitation de vulnérabilités des navigateurs Internet et la découverte de vulnérabilités affectant divers téléphones mobiles.
Les navigateurs choisis pour ce concours sont les suivants :
- Microsoft Internet Explorer 8 pour Windows 7 ;
- Mozilla Firefox 3 sur Windows 7 ;
- Google Chrome 4 pour Windows 7 ;
- Apple Safari 4 pour MacOS X Snow Leopard.
Parmi les solutions de téléphones mobiles sélectionnées pour ce concours on peut citer :
- Apple iPhone 3GS ;
- RIM Blackberry Bold 9700 ;
- Nokia E72 fonctionnant sous SymbianOS ;
- HTC Nexus One fonctionnant sous Android.
À ce stade du concours, plusieurs vulnérabilités affectant ces solutions ont été annoncées. Ces vulnérabilités, dont les détails techniques ont pu être publiés, devront être confirmées par les éditeurs respectifs. Il ne peut être exclu qu'une ou plusieurs vulnérabilités annoncées fassent l'objet d'un code d'exploitation avant la publication d'un correctif de sécurité.
Les vulnérabilités suivantes ont d'ores et déjà été annoncées :
- exécution de code arbitraire dans Internet Explorer :
http://www.securityfocus.com/bid/38951
- exécution de code arbitraire dans Mozilla Firefox :
http://www.securityfocus.com/bid/38952
- exécution de code arbitraire dans Safari 4 pour MacOS :
http://www.securityfocus.com/bid/38955
- exécution de code arbitraire dans Safari pour iPhone :
http://www.securityfocus.com/bid/38957
Le CERTA recommande à ses lecteurs la plus grande vigilance sur ces produits et une veille active quant à la publication des correctifs les concernant.
Documentation
- Site web de la conférence CanSecWest 2010 :
http://cansecwest.com/index.html
- Annonce du concours Pwn2Own par Tipping Point / DVLabs :
http://www.dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010
5 Problème avec BitDefender
Le 20 mars 2010, une mise à jour automatique de BitDefender (versions 2008, 2009 et 2010) a posé de nombreux problèmes aux utilisateurs. En effet, après installation de cette mise à jour, l'antivirus considère que plusieurs fichiers de Windows et de BitDefender sont infectés par un code malveillant appelé Trojan.FakeAlert.5. Par conséquent, certains programmes -voire tout le système- deviennent inutilisables.
Une nouvelle mise à jour automatique de BitDefender a été proposée afin de remédier à ce problème. Toutefois, pour les utilisateurs qui rencontreraient des problèmes persistants, BitDefender a publié un lien vers un CD de restauration qui devrait remettre le système en état de marche.
Documentation
- Article de BitDefender relatif au problème du 20 mars 2010 :
http://www.bitdefender.com/site/KnowledgeBase/consumer/#638
- CD de restauration proposé par BitDefender :
http://www.bitdefender.com/site/KnowledgeBase/consumer/#650
