S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 avril 2010
N° CERTA-2010-ACT-015
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2010-15

Gestion du document

Référence CERTA-2010-ACT-015
Titre Bulletin d'actualité 2010-15
Date de la première version 16 avril 2010
Date de la dernière version 16 avril 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Bulletins Microsoft du mois d'avril

Cette semaine, Microsoft a publié son lot de correctifs de sécurité pour le mois d'avril dans le cadre de son cycle mensuel.

En tout, onze bulletins ont ainsi été publiés. Cinq sont considérés comme critiques, cinq comme importants et un comme modéré par l'éditeur. Les logiciels touchés sont :

  • le client SMB de Microsoft Windows ;
  • Microsoft Windows Media Services ;
  • le codec Microsoft MPEG Layer-3 ;
  • le lecteur Windows Media ;
  • le noyau de Windows ;
  • VBScript ;
  • Microsoft Office Publisher ;
  • Microsoft Visio ;
  • le composant ISATAP de Windows ;
  • la vérification de signature Authenticode.

La mise à jour concernant VBScript corrige l'alerte CERTA-2010-ALE-003. Il est recommandé d'appliquer les correctifs dans les plus brefs délais.

2 Fin de vie de la version 0.94.x de ClamAV

Cette semaine ClamAV a publié sur son site Internet un article faisant part de la fin de vie de la version 0.94.x de son antivirus.

Il est expliqué dans cette annonce qu'un bogue affecte toutes les versions antérieures à la 0.95 empêchant d'intégrer des signatures de plus de 980 octets dans les mises à jour incrémentielles. Cette limite diminue les capacités de l'antivirus dans son traitement de signature antivirale complexe. À partir du 15 avril 2010, ClamAV va donc propager une signature particulière désactivant toutes les installations de l'antivirus antérieures à la version 0.95.

ClamAV prévoit le début de la diffusion de base de signatures supérieure au mois de mai 2010. Le CERTA recommande donc aux utilisateurs de ce logiciel de migrer le plus rapidement possible vers la dernière version au risque de voir la protection antivirale totalement désactivée.

Documentation

Annonce de fin de vie de ClamAV : 
http://www.clamav.net.lang/fr/2009/10/05/eol-clamav-094/

3 Durcissement de la configuration des systèmes Windows 8/8 : désactivation des services inutiles

Afin de réduire la surface d'attaque des systèmes Windows utilisés en tant que serveurs ou que postes de travail, les services applicatifs qui ne sont pas utilisés doivent être désactivés. La liste des services applicatifs et leur état (en cours d'exécution, arrêté, désactivé, exécution automatique ou manuelle, etc.) est récupérable grâce au composant enfichable services.msc ou via l'utilitaire en ligne de commande sc.

Ainsi, dans la mesure où ils ne sont pas utilisés, les services suivants devraient être désactivés. La plupart sont activées par défaut lors d'une installation standard, mais ces services peuvent affaiblir la sécurité du système. L'établissement de cette liste prend en compte l'historique des services en termes de vulnérabilités, la divulgation d'informations qu'ils entraînent ainsi que l'absence usuelle d'utilité fonctionnelle.

Browser (Explorateur d'ordinateur):
ce service met en œuvre le protocole Browser1 utilisé pour la résolution des noms NetBios. Son exécution entraîne la divulgation d'informations sur le réseau ainsi que des risques de rebond RPC.
Alerter (Avertissement):
ce service implémente la notification des alertes dites « administratives » aux utilisateurs ou aux ordinateurs. Ce service a été désactivé par défaut à partir de Windows XP Service Pack 2.
Messenger (Affichage des messages):
ce service permet de transporter sur le réseau les alertes du service Alerter ci-dessus. La commande « net send » repose sur ce mécanisme. Ce service a également été désactivé par défaut à partir de Windows XP Service Pack 2.
SSDPSRV (Service de découvertes SSDP):
à partir de Windows XP, ce service met en œuvre le protocole SSPD (Simple Service Discovery Protocol) qui permet de découvrir automatiquement sur un réseau les différents équipements, ainsi que les services offerts par ces derniers. Ce protocole se base sur des envois en multicast sur le port 1900/UDP.
upnphost (Hôte de périphérique universel Plug-and-Play):
à partir de Windows XP, ce service gère les différents mécanismes de la norme UPnP (Universal Plug and Play) offerts par le système. Les services UPnP permettent de simplifier et d'automatiser les configurations réseau au moyen de différents protocoles, mais restent très peu utilisés, a fortiori dans un environnement professionnel.
WebClient (WebClient):
à partir de Windows XP, ce service implémente l'accès distant à des fichiers via les protocoles HTTP et WebDAV (Web-based Distributed Authoring and Versioning).
WZCSVC (Configuration automatique sans fil):
à partir de Windows XP, ce service fournit deux fonctionnalités :
  • la gestion des réseaux sans-fil : énumération des différents points d'accès, traitement des phases d'authentification et stockage des clefs ;
  • le protocole 802.1x (authentification auprès d'un équipement réseau).
ERSvc (Service de rapport d'erreurs):
à partir de Windows XP, ce service offre la possibilité en cas d'arrêt intempestif d'une application d'envoyer un rapport d'erreur à Microsoft.
PolicyAgent (Services IPSEC):
ce service implémente le protocole IKE en charge de la négociation des associations de sécurité dans le cadre des communications IPsec.

Les noms des services applicatifs peuvent varier selon la version de Windows. De plus, de nouveaux services ont été ajoutés dans les systèmes récents, par exemple WinHttpAutoProxySvc.

Cette liste de services n'est pas exhaustive et doit être adaptée selon le contexte d'utilisation de la machine concernée. Il faudra notamment prendre en compte la présence de programmes spécifiques d'administration à distance ou requérant des fonctionnalités particulières. À titre d'exemple, d'autres services peuvent être désactivés : accès du périphérique d'interface utilisateur, acquisition d'image Windows (WIA), agent de protection d'accès réseau, assistance TCP/IP NetBIOS, audio Windows, client DHCP, gestionnaire de connexion automatique d'accès distant, gestionnaire de l'album, etc.

Enfin, la désactivation d'un service peut avoir des conséquences, il est donc nécessaire de valider l'absence d'impact dans un environnement de qualification avant de mettre en production une configuration dans laquelle les services activés sont réduits.

Conclusion

Cet article termine une série de recommandations sur le durcissement de la configuration des systèmes Windows. Bien d'autres éléments peuvent être configurés par GPO (grâce aux composants enfichables gpedit.msc et secpol.msc) et d'autres fonctionnalités peuvent être désactivées (support des protocoles IPX, IPv6, interface FireWire, mode débogage noyau, etc.) ou activées (DEP, pare-feu local, signature des échanges RPC, ordre de chargement des fichiers de type DLL, etc.). Microsoft fournit des guides de sécurisation détaillant la configuration conseillée d'une grande partie des GPO disponibles. Il est également nécessaire de réaliser une veille technique pour se tenir informé de nouveaux éléments de durcissement (contenus par exemple dans les contre-mesures temporaires des bulletins de sécurité Microsoft).

D'autre part, un travail identique de durcissement de la configuration doit être effectué sur les différents programmes installés sur les postes de travail (navigateurs, suite bureautique, Acrobat Reader, etc.) et sur les différents services offerts par les serveurs (Exchange, serveurs Web, serveurs de gestion de base de données, etc.).

Enfin, des audits réguliers de configuration doivent être réalisés, de façon manuelle ou automatique, pour vérifier que les éléments configurés n'ont pas subît de régression ou d'erreurs de configuration.

4 Du problème de configuration à l'incident de sécurité

De très nombreux sites fonctionnant avec WordPress ont récemment fait l'objet d'attaques. Celles-ci ont consisté, pour l'essentiel, à modifier la valeur siteurl dans la base de données pour rediriger les visiteurs vers un site malveillant.

A priori, ce n'est pas une vulnérabilité du logiciel qui a été exploitée, mais un défaut de configuration du serveur. En effet, les sites WordPress attaqués étaient presque tous hébergés chez le même prestataire. Or, les paramétrages des droits de fichier des différents serveurs du prestataire permettaient d'accéder en lecture au fichier de configuration de WordPress, ce dernier contenant en clair les identifiants de connexion à la base de données.

Cet incident est loin d'être un cas isolé. De nombreux administrateurs (ou webmestres) commettent l'erreur de positionner des droits trop permissifs pour des fichiers sensibles, notamment ceux contenant des identifiants de connexion. Ces informations sont généralement facilement retrouvées à l'aide de moteurs de recherche, et font parfois l'objet de publications sur des sites spécialisés.

D'une manière générale, il est fortement recommandé aux administrateurs et aux webmestres de vérifier que les fichiers de configuration des sites ne sont pas accessibles depuis l'Internet. La lecture régulière des journaux d'accès donne également des indications quant à la fuite éventuelle d'informations sensibles.

Rappel des publications émises

Dans la période du 05 avril 2010 au 11 avril 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 16 avril 2010
    version initiale.