S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 24 décembre 2010
N° CERTA-2010-ACT-051
Affaire suivie par: CERT-FR
le 24 décembre 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-51

Gestion du document

Référence CERTA-2010-ACT-051
Titre Bulletin d’actualité 2010-51
Date de la première version 24 décembre 2010
Date de la dernière version 24 décembre 2010
Source(s) -
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Des vœux pas si sincères

Durant cette période de fêtes, accompagnée des traditionels échanges de vœux, le CERTA vous conseille fortement de rester vigilant car il est tentant pour des personnes malveillantes d’exploiter cette tradition. En effet, ceux-ci profitent de l’enthousiasme de cette saison festive pour, entre autre, récolter des données personnelles via des sites d’hameçonnage, mettre en place des arnaques, ou encore diffuser des codes malveillants.

Depuis la rentrée 2010, de nombreuses vulnérabilités ont été détectées dans les navigateurs Web, les logiciels de messagerie, les lecteurs de fichiers PDF ou de contenu multimédia tels que Adobe Flash qu’il est possible d’intégrer dans une carte de vœux au format électronique. Une partie de ces vulnérabilités permettent l’exécution de code arbitraire à distance.

Le CERTA vous recommande également de refréner l’envie d’installer sur vos postes et ordiphones des thèmes et animations de source douteuse, qui sont autant de portes d’entrées pour des logiciels malveillants.

2.2.4 Documentation

2 Vulnérabilités de la semaine

2.1 OpenSC

OpenSC est un ensemble de librairies et d’utilitaires permettant d’interagir avec une carte à puce. Il cible plus particulièrement celles supportant des opérations cryptographiques pour les intégrer dans des systèmes d’authentification, de chiffrement et de signature.

Une vulnérabilié dans OpenSC a fait l’objet cette semaine d’un avis sur le site du CERTA.

En effet, un débordement de tampon dans la lecture du numéro de série de certaines cartes à puce permettait à un attaquant ayant accès au système, avec une carte spécialement conçue, d’exécuter du code sur la machine vulnérable.

2.1.1 Impact

Sur les systèmes de type UNIX, OpenSC est utilisé, entre autre, pour gérer l’authentification par carte à puce en utilisant le module PAM-PKCS#11. L’impact est donc important pour ces systèmes si OpenSC est utilisé pour gérer des opérations cryptographiques à partir d’une carte à puce.

OpenSC est également prévu pour être utilisé sur des systèmes fonctionnant sous Microsoft Windows. Cependant, la plupart des constructeurs fournissent alors leurs propres bibliothèques. L’impact semble donc être limité sur ces systèmes mais ne doit cependant pas être exclu.

Le CERTA recommande l’application de la mise à jour sur tout système ou logiciel utilisant (directement ou indirectement) la bibliothèque OpenSC.

Documentation

2.2 Service FTP dans IIS

Un code d’exploitation d’une vulnérabilité de la version 7.5 du serveur IIS de Microsoft, livré avec Windows 7 et Windows Server 2008 R2, a donné lieu à quelques discussions.

2.2.1 Plateformes vulnérables

Les plateformes vulnérables sont celles sur lesquelles :
  • le serveur IIS s’exécute ;
  • le service FTP d’IIS a été installé, ce qui n’est pas la configuration standard ;
  • ce service a été activé, ce qui n’est pas automatique lors de l’installation.

Ces conditions rendent peu probable la présence « involontaire » d’un service FTP d’IIS actif. En cas de doute, la commande en ligne service control (SC) permet connaitre l’état du service FTP d’IIS :
prompt>sc query ftpsvc

2.2.2 Impact

L’impact est encore incertain. En l’état actuel des recherches, le code d’exploitation ne provoque qu’un arrêt inopiné du service FTP. Le reste du serveur IIS n’est pas touché, en particulier les services HTTP et HTTPS.

S’il a été fait mention d’exécution de code arbitraire à distance, l’auteur de la preuve de faisabilité ne le prétend pas et l’éditeur ne l’atteste pas.

Le CERTA reste attentif à l’évolution de la situation et tiendra sa communauté informée.

2.2.3 Recommandations

En tout état de cause et sous réserve du respect de la PSSI, le CERTA recommande :
  • de désactiver, voire de désinstaller le service FTP d’IIS si celui-ci n’est pas utilisé ;
  • de restreindre l’accès aux seuls utilisateurs autorisés et de mettre en place les mesures de filtrage adaptées ;
  • de journaliser les évènements, les accès et les tentatives, sur le serveur et sur les dispositifs de filtrage ;
  • d’analyser les journaux ainsi produits, si possible au fil de l’eau, pour détecter au plus vite des attaques.

2.2.4 Documentation

2.3 Microsoft Internet Explorer

Microsoft Internet Explorer a fait l’objet d’une alerte cette semaine. Toutes les versions (6, 7 et 8) du navigateur sont vulnérables et permettent à un utilisateur malveillant d’exécuter du code arbitraire à distance au moyen d’une page web spécialement conçue.

Une preuve de faisabilité est désormais disponible sur l’Internet. Elle exploite une vulnérabilité dans les feuilles de styles CSS due à une utilisation de mémoire libérée. L’ASLR (Address Space Layout Randomization) et le DEP (Data Execution Prevention) ont été contournés. Cependant l’utilisation d’EMET (Enhanced Mitigation Experience Toolkit) et la désactivation du Javascript permettent de limiter la possibilité d’exploitation de la vulnérabilité. Dans l’attente d’un correctif de la part de l’éditeur, le CERTA recommande de ne naviguer que sur des sites de confiance ou d’utiliser un navigateur alternatif.

Documentation


3 Rappel des avis émis

Dans la période du 17 au 24 décembre 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-614 : Multiples vulnérabilités dans TYPO3
  • CERTA-2010-AVI-615 : Multiples vulnérabilités dans Opera
  • CERTA-2010-AVI-616 : Vulnérabilité dans phpMyFAQ
  • CERTA-2010-AVI-617 : Vulnérabilité dans Symantec Endpoint Protection
  • CERTA-2010-AVI-618 : Vulnérabilités dans PHP
  • CERTA-2010-AVI-619 : Vulnérabilité dans le noyau Linux
  • CERTA-2010-AVI-620 : Vulnérabilités dans AirPort Extreme Base Station et Time Capsule
  • CERTA-2010-AVI-621 : Vulnérabilités dans IBM Tivoli Storage Manager
  • CERTA-2010-AVI-622 : Vulnérabilités dans IBM Rational ClearQuest
  • CERTA-2010-AVI-623 : Vulnérabilité dans ISC DHCP
  • CERTA-2010-AVI-624 : Vulnérabilités dans MyBB
  • CERTA-2010-AVI-625 : Vulnérabilité de produits Kerio
  • CERTA-2010-AVI-626 : Vulnérabilité dans VMware ESXi
  • CERTA-2010-AVI-627 : Vulnérabilités dans Blue Coat Reporter
  • CERTA-2010-AVI-628 : Vulnérabilité dans HP Power Manager
  • CERTA-2010-AVI-629 : Vulnérabilité dans HP StorageWorks Storage Mirroring
  • CERTA-2010-AVI-630 : Vulnérabilité dans OpenSC

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-575-001 : Vulnérabilités dans BIND (ajout de la référence au bulletin de sécurité Red Hat)

Rappel des avis émis

Dans la période du 13 au 19 décembre 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 24 décembre 2010
    version initiale.