S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 mars 2011
N° CERTA-2011-ACT-011
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2011-11

Gestion du document

Référence CERTA-2011-ACT-011
Titre Bulletin d'actualité 2011-11
Date de la première version 18 mars 2011
Date de la dernière version 18 mars 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incident de la semaine

Gestion des messages piégés et sensibilisation des utilisateurs

Cette semaine, le CERTA a pu constater que certains utilisateurs ont parfois tendance à transmettre à leurs collègues un courriel dont ils n'arrivent à ouvrir la pièce jointe. Dans le cas présent, cette pièce jointe était piégée par un code malveillant et c'est justement l'arrêt inopiné de l'application qui permet l'exécution du code. Le transfert de courriel et la pièce jointe à des collègues afin que ces derniers testent l'ouverture de la pièce jointe permet ainsi à l'attaquant que son code malveillant soit propagé à un plus grand nombre de victimes.

Le CERTA profite de cette anecdote pour rappeler certains signaux faibles dont la prise en compte peut limiter ou éviter la compromission d'une machine via un document piégé :

  • arrêt inopiné de l'application ;
  • apparition de fenêtre (notamment d'invite de commandes) ;
  • fermeture puis réouverture de l'application en charge de la lecture du document...

Les utilisateurs doivent être sensibilisés à l'ensemble de ces phénomènes pour qu'ils aient le réflexe de remonter ces alertes à leurs responsables informatiques. Il est également important de rappeler aux utilisateurs qu'il faut éviter de tenter de reproduire le problème sur d'autres postes, au risque d'infecter d'autres machines. De même, il est important que les utilisateurs soient sensibilisés au fait de ne pas ouvrir systématiquement toutes les pièces jointes surtout lorsque que l'expéditeur est inconnu ou qu'aucun message n'en est attendu.

Une bonne gestion des mises à jour des applicatifs de bureautique permet également de limiter la surface de vulnérabilité du système d'information.

2 0-day Adobe Flash Player (CVE-2011-0609)

Cette semaine le CERTA a émis une alerte concernant une vulnérabilité non corrigée dans Adobe Flash Player http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-002/index.html. Cette vulnérabilité non corrigée permet l'exécution de code arbitraire à distance sur les versions récentes d'Adobe Flash Player (9.x et 10.x).

Des attaques utilisant cette vulnérabilité sont activement menées sur l'Internet. Le vecteur d'infection diffère de ce qui est habituellement constaté pour les vulnérabilités Flash. Ici, on ne cherche pas à amener l'utilisateur sur une page Web diffusant un fichier Flash malveillant, mais un courriel est envoyé avec un fichier joint au format Microsoft Excel embarquant le fichier Flash malveillant. Il est en effet tout à fait possible d'embarquer des fichiers au format Flash en utilisant les menus d'Excel. Il est important de préciser que le fichier Excel est le vecteur actuellement observé de cette attaque, mais il est possible que cette vulnérabilité utilise d'autres vecteurs : autres formats MS-Office, PDF, page Web, ou encore fichier SWF brut.

La technologie Flash utilise le langage ActionScript et la machine virtuelle AVM (ActionScript Virtual Machine) servant à l'exécuter. La vulnérabilité se situe dans le vérifieur de bytecode ActionScript, dans l'AVM.

Un moyen de contournement pour les utilisateurs de Windows est l'installation du Enhanced Mitigation Evaluation Toolkit (EMET) de Microsoft. Cet outil permet d'activer un certain nombre de protections pour les applications exécutables sélectionnées. Dans le cadre de cette vulnérabilité, il est intéressant de l'activer pour les applications Microsoft Office (en priorité Excel) et pour le navigateur Web. Ces protections comprennent Data Execution Prevention (DEP), Export Address Table Access Filtering (EAF), et HeapSpray pre-allocation. Ces mesures de protection se sont montrées efficaces contre les attaques connues utilisant cette vulnérabilité, notamment parce que ces dernières utilisent la méthode HeapSpray pour se stabiliser.

Adobe a annoncé un correctif pour la semaine du 21 mars 2011. Google Chrome est, quant à lui, déjà corrigé : http://www.google.com/support/chrome/bin/answer.py?hl=en?answer=95414. En attendant la sortie du correctif, le CERTA recommande bien sûr de ne pas ouvrir de fichiers suspects, en particulier les fichiers Microsoft Excel que vous pourriez recevoir en pièce jointe d'un courriel.

3 Notes d'information du CERTA

Le CERTA a mis à jour deux notes d'information cette semaine.

3.1 Les systèmes et logiciels obsolètes

Le CERTA recommande continuellement de mettre à jour ses logiciels, d'appliquer les correctifs de sécurité. C'est une mesure élémentaire pour réduire la surface d'attaque offerte aux agresseurs. La conséquence directe est d'abandonner l'utilisation des logiciels (systèmes, applications et extensions diverses) qui ne sont plus maintenus.

Dans le but d'aider sa communauté, le CERTA met régulièrement à jour une note d'information qui indique des systèmes devenus obsolètes.

3.2 Tunnel et pare-feux : une cohabitation difficile

Ce sujet est toujours d'actualité. Les codes malveillants savent utiliser les protocoles admis dans la plupart des PSSI, comme HTTP et HTTPS pour traverser les pare-feux. La mise à jour porte sur l'ajout d'une référence à une circulaire de 2005 contenant des recommandations.

Par ailleurs, le mémento de la référence numéro 9 sera bientôt remplacé par un guide de sécurisation accessible en ligne. La note sera mise à jour en conséquence.

3.3 Documentation

Rappel des publications émises

Dans la période du 07 mars 2011 au 13 mars 2011, le CERT-FR a émis les publications suivantes :


Dans la période du 07 mars 2011 au 13 mars 2011, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 18 mars 2011
    version initiale.