S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 avril 2010
N° CERTA-2010-ACT-013
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2010-13

Gestion du document

Référence CERTA-2010-ACT-013
Titre Bulletin d'actualité 2010-13
Date de la première version 02 avril 2010
Date de la dernière version 02 avril 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Attaques contre SPIP

Après les services FTP et SSH, c'est au tour des CMS (Content Management Software) tels que SPIP de faire l'objet d'attaques par dictionnaire. Celles-ci se caractérisent par des rafales de requêtes POST.

Après avoir réussi à accéder frauduleusement au site, les attaquants ont déposé des pages à caractère publicitaire.

Les attaques qui nous ont été signalées remontent au début du mois de mars 2010.

Il est souhaitable que les administrateurs de site fonctionnant avec SPIP vérifient la présence ou non de traces de telles attaques. D'une manière générale, les webmestres doivent s'assurer que les mots de passe utilisés pour gérer leur site sont robustes. Il faut s'attendre à ce que dans un futur proche, tous les CMS fassent l'objet d'attaques par dictionnaire.

2 Durcissement de la configuration des systèmes Windows (6/8) : désactivation de l'autorun et de l'autoplay des lecteurs USB

Les fonctionnalités autorun et autoplay correspondent aux actions réalisées lors du montage d'un lecteur (fixe, amovible, CD-ROM, réseau ou autre), par l'explorateur de fichiers de Windows à travers la bibliothèque shell32.

La fonctionnalité autorun consiste à lire un fichier (autorun.inf) à la racine du lecteur nouvellement monté pour exécuter une action automatique, le plus souvent pour lancer un programme d'installation sur les CD-ROM. Les clés USB de type U3 émulent un CD-ROM et peuvent exécuter un code malveillant à l'insu de l'utilisateur lorsque celui-ci insère la clé dans son ordinateur.

La fonctionnalité autoplay est apparue avec Windows XP et consiste à parcourir le contenu du périphérique inséré pour proposer des actions qui dépendent des types de fichiers découverts (par exemple lire des fichiers son avec le lecteur par défaut, afficher des images, explorer le contenu, etc.). Depuis Windows XP, la fonctionnalité autorun n'est plus utilisée lors de l'insertion de périphériques de type amovible : seule la fonctionnalité autoplay est utilisée. Si un fichier autorun.inf est présent à la racine, les actions décrites dans ce fichier seront fusionnées avec les actions par défaut autoplay. Cette fonctionnalité a été pervertie par des virus en dupant l'utilisateur qui pouvait croire qu'il réalisait une action légitime d'affichage de contenu.

Les fonctionnalités autorun et autoplay peuvent être complètement désactivées pour tous les types de lecteurs en modifiant une valeur dénommée NoDriveTypeAutoRun de type DWORD pour que sa donnée vaille 0xFF dans la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.

Ce paramètre peut également être positionné via les stratégies de groupe. Il se trouve dans la Configuration ordinateur (Modèles d'administration, Système), et est dénommé « Désactiver le lecteur automatique ». Il doit avoir la valeur « activé », en spécifiant « tous les lecteurs ».

Une fois ce paramètre activé, aucun programme n'est lancé automatiquement lors de l'insertion d'un CD-ROM et aucune fenêtre de choix d'action n'est affichée lors de l'insertion d'une clé USB, limitant le risque d'exécution involontaire de code malveillant placé au préalable sur ces supports.

Un bogue avait pour conséquence d'utiliser quand même la fonctionnalité autorun lorsque l'utilisateur double-cliquait sur l'icône du lecteur ou utilisait son menu contextuel, malgré le fait que cette fonctionnalité ait été désactivée. Ce bogue a été corrigé par la mise à jour Microsoft 9677151 en 2009.

3 Journaux d'événements sur IPhone

L'importance et l'utilité des journaux d'événements n'est plus à démontrer dans le cadre de la résolution d'incidents, mais encore faut-il savoir les trouver.

Dans le cas de l'IPhone, Apple met à disposition l'application « Utilitaire de configuration IPhone » (IPCU) qui permet de configurer l'appareil (comme son nom l'indique) et de récupérer les journaux d'événements. À noter que l'appareil n'a pas besoin d'être synchronisé avec l'ordinateur utilisé, mais doit être déverrouillé par l'utilisateur.

En fonction de l'application, les données journalisées peuvent être plus ou moins verbeuses. Il est possible d'en modifier la granularité en obtenant un profil de configuration particulier auprès de Apple, dans le cadre d'un contrat de support. Parmi les informations intéressantes, on peut trouver les dates de déverrouillage de l'appareil, ce qui permet de savoir si quelqu'un y a accédé alors que celui-ci n'était pas en possession de l'utilisateur légitime.

5.1 Documentation

4 Mise à jour hors-cycle pour Internet Explorer

Microsoft a publié cette semaine le bulletin de sécurité MS10-018, qui correspond à une mise à jour hors-cycle pour Internet Explorer (avis CERTA-2010-AVI-146). Celle-ci corrige plusieurs vulnérabilités du navigateur Web, dont une particulièrement critique qui avait été signalée par le CERTA le 10 mars 2010 dans son alerte : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-004/index.html.

Cette alerte a donc été mise à jour cette semaine.

5 Fin du support de Firefox 3.0

Le CERTA a émis l'avis CERTA-2010-AVI-149 après la publication et la correction de dix vulnérabilités dans le navigateur Web Firefox. Les correctifs ont été publiés le 30 mars pour les branches 3.0, 3.5 et 3.6 du navigateur.

La fondation Mozilla, qui développe le logiciel Firefox, avait rappelé le 16 mars 2010 la fin du support de la branche 3.0 de Firefox. La version 3.0.19 est donc la dernière de cette branche.

Le premier avril, une vulnérabilité affectant la branche 3.6, démontrée lors de la conférence CanSecWest 2010, a été publiée et corrigée. Elle ne semble pas affecter la version 3.5.

La fondation Mozilla n'a pas étudié si la version 3.0 est vulnérable à cette attaque. Ceci illustre l'abandon du support de la branche 3.0 qui doit être implicitement considérée comme vulnérable.

Le CERTA invite fortement ses correspondants à migrer leur parc vers une branche maintenue (3.5 ou 3.6).

5.1 Documentation

Rappel des publications émises

Dans la période du 22 mars 2010 au 28 mars 2010, le CERT-FR a émis les publications suivantes :


Dans la période du 22 mars 2010 au 28 mars 2010, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 02 avril 2010
    version initiale.