S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 mai 2010
N° CERTA-2010-ACT-019
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2010-19

Gestion du document

Référence CERTA-2010-ACT-019
Titre Bulletin d'actualité 2010-19
Date de la première version14 mai 2010
Date de la dernière version14 mai 2010
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité dans Safari

Cette semaine, une vulnérabilité relative au navigateur Safari de Apple a été publiée sur l'Internet. Cette faille non-corrigée a fait l'objet de l'alerte CERTA-2010-ALE-006. Elle est relative à un problème dans la gestion des fermetures de fenêtres intempestives (pop-ups) et permet à un utilisateur distant malintentionné de provoquer un déni de service ou d'exécuter du code arbitraire via un site web construit de façon particulière.

Documentation

2 Actualité Microsoft

Les bulletins correctifs mensuels de Microsoft ont été publiés cette semaine. Les vulnérabilités découvertes sont les suivantes :

  • une vulnérabilité affectant Microsoft Outlook Express, Windows Mail et Windows Live Mail permet, à une personne malintentionnée d'exécuter du code arbitraire à distance. L'exploitation de cette vulnérabilité ne nécessite aucune authentification préalable, mais demande que l'utilisateur ciblé se connecte à un serveur de messagerie malveillant. Du code permettant d'exploiter cette vulnérabilité est déjà disponible sur l'Internet ;
  • la seconde permet, par le biais d'un fichier prenant en charge Visual Basic pour Applications (VBA), comme un document Office, d'exécuter du code arbitraire à distance.

Le CERTA rappelle qu'il est recommandé d'appliquer ces correctifs dès que possible.

Documentation

3 Month of PHP bugs, bilan à mi-parcours

Le mois de mai 2010 voit se dérouler un Month of PHP bugs, comme en mars 2007. Le principe consiste à publier chaque jour une vulnérabilité de PHP ou d'une application écrite avec ce langage. Des articles sur la sécurité de PHP sont également insérés.

À ce jour, 26 vulnérabilités ont été publiées, dont la plupart ont été découvertes antérieurement. Globalement :

  • 8 vulnérabilités concernent des applications développées en PHP ;
  • 9 vulnérabilités portent sur l'interpréteur de code PHP lui-même ;
  • 9 vulnérabilités se situent dans l'interaction entre PHP et le moteur de scripts Zend.

Six applications présentent des possibilités d'injections SQL. Deux seulement ont émis des correctifs en réponse aux informations publiées. Deux applications offrent des possibilités d'injection de fichiers.

Les vulnérabilités liées à l'interface avec Zend appartiennent à une classe de vulnérabilités présentée à BlackHat USA en 2009.

Le site du mois des bogues PHP donnant des preuves de faisabilité, il est à redouter que des individus malintentionnés utilisent ces informations à des fins malveillantes. Les administrateurs sont donc invités à :

  • surveiller les évolutions de leurs logiciels et à appliquer les correctifs dans les plus brefs délais ;
  • restreindre les accès au strict nécessaire ;
  • analyser les journaux de connexions à la recherche de requêtes suspectes.

4 Gestion des comptes de services sous Windows et les secrets LSA

Aujourd'hui nous allons nous intéresser à la gestion des mots de passe des comptes de services sous Windows.

De nombreuses applications métiers sont implémentées sous forme d'un service, et souvent ces services sont paramétrés pour utiliser un compte spécifique (compte local ou du domaine).

Le gestionnaire de services (CM) utilise les secrets LSA pour stocker les mots de passe des comptes de services. Nous parlons bien de mots de passe et non de condensés...

Les secrets LSA sont stockés dans la clé :

HKLM/Security/Policy/Secret
Cette clé n'est accessible qu'à l'utilisateur "Système" pardéfaut (bien entendu, un administrateur peut s'élever en tantqu'utilisateur "système" très facilement). De plus les mots depasse ne sont pas stockés en clair mais sont chiffrés.

Le mot de passe (chiffré) pour un service donné se trouve dans :

 HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_<Nom du Service>\CurrVal

Ensuite pour retrouver le compte associé à ce mot de passe il faut aller voir la valeur :

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Nom du Service>\ObjectName

Le problème est que ce chiffrement est facilement réversible et qu'il existe de nombreux outils disponibles sur internet pour afficher en clair la liste des mots de passe stockés dans les secrets LSA, et donc ceux des comptes de services...

Maintenant prenons le scénario suivant, un service lié à une application X a été déployé sur tous les serveurs (voire toutes les machines), avec le même couple "compte de service" / "mot de passe". Ajoutons que généralement ce type de compte de service a des droits importants, souvent de type administrateur.

Nous avons donc une situation où, si une des machines est compromise, toutes les autres machines le sont, car l'attaquant est maintenant en possession d'un compte utilisateur privilégié avec son mot de passe.

Évidemment le scénario est encore pire si le compte de service utilisé n'est pas un compte local mais un compte du domaine, et pourquoi pas de type administrateur du domaine...

Une des solutions à ce problème est de ne pas utiliser de comptes spécifiques mais plutôt d'utiliser les comptes de services par défaut (Local system , Network Service etc...). On peut aussi utiliser des comptes locaux, mais avec des mots de passe unique pour chaque machine.

L'effort en terme d'administration est important mais nécessaire vu la nature du risque ...

5 Avertissement concernant le site de PHP-Nuke

Le site officiel de PHP-Nuke (http://phpnuke.org) a fait l'objet d'une compromission aux alentours du 7 mai 2010. Celle-ci s'est caractérisée par l'injection d'un iframe resté actif pendant plusieurs jours. Les internautes navigant sur ce site avec l'exécution de JavaScript activée étaient redirigés vers un site malveillant exploitant plusieurs vulnérabilités (notamment une concernant Acrobat Reader, voir avis CERTA-2010-AVI-012).

Cette information a été diffusée par de nombreux sites d'antivirus, mais elle n'a pas été relayée sur le site officiel de PHP-Nuke. Il est donc assez difficile d'en évaluer la portée et de savoir si les sources du produit disponibles en téléchargement ont été modifiées.

Le CERTA recommande aux administrateurs de vérifier les postes ayant navigué sur ce site en mai 2010 ainsi que l'intégrité des sources (voir avec l'éditeur) téléchargées au cours de cette période.

Rappel des publications émises

Dans la période du 03 mai 2010 au 09 mai 2010, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 14 mai 2010
    version initiale.