1 Le format de texte enrichi véhicule de logiciels malveillants
Le CERTA traite de plus en plus régulièrement des incidents dans lesquels l'origine de la compromission est un document RTF spécialement conçu pour exploiter des vulnérabilités dans les logiciels permettant d'afficher ce format.
Le Rich Text Format, ou format de texte enrichi, est un format de fichier créé par Microsoft, et supporté par de nombreux logiciels de traitement de texte. Il permet de créer des documents aux textes formattés.
À l'instar des formats PDF ou DOC, les documents RTF peuvent également être vecteurs de contenus malveillants tentant d'exploiter des vulnérabilités de traitements de texte. Une des cibles privilégiées par les attaquants est Microsoft Word, via la vulnérabilité identifiée par le numéro CVE CVE-2010-3333 et détaillée dans l'avis CERTA-2010-AVI-543. Particulièrement intéressante pour un attaquant, cette vulnérabilité permet l'exécution de code arbitraire à distance, est aisément exploitable, et existe sur de nombreuses versions du logiciel Microsoft Word pour les systèmes Windows comme MacOS. En outre, le format RTF est souvent, à tort, considéré comme inoffensif et l'utilisateur est plus susceptible d'ouvrir ce type de fichier.
D'autres vulnérabilités exploitables au travers de documents RTF ont été identifiées par le passé dans d'autres produits. On pourra citer par exemple les vulnérabilités CVE-2010-3451 et CVE-2010-3452 affectant des versions d'OpenOffice.org.
L'attention récente apportée aux documents PDF reçus en pièces jointes de courriers électroniques ne doit pas réduire la vigilance apportée à l'ensemble des documents échangés par ce biais. Aucun format de fichier ne doit être considéré comme inoffensif. Les différents formats sont régulièrement sujets à modifications, comme l'ajout de nouvelles fonctionalités, et les nombreux logiciels permettant de les afficher sont autant de vecteurs de compromission éventuels que ciblent les attaquants.
Documentation
- Avis CERTA-2010-AVI-543, traitant de la vulnérabilité CVE-2010-3333 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-543/
- Avis CERTA-2010-AVI-372, traitant des vulnérabilités CVE-2010-3451 et CVE-2010-3452 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-372/
- Avis CERTA-2010-AVI-039, traitant des vulnérabilités CVE-2010-1901 et CVE-2010-1902 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-039/
2 Osboléscence de Ubuntu 9.10
Comme cela était planifié dans le cycle de vie de cette distribution GNU/Linux, la version 9.10 de Ubuntu arrivera en fin de support le 30 avril 2011. Le responsable de sortie de version en a d'ailleurs fait l'annonce fin mars 2011 : https://lists.ubuntu.com/archives/ubuntu-announce/2011-March/000142.html.
La politique de cycle de vie chez Ubuntu est en effet très claire : les versions « normales » sont supportées deux ans alors que les versions estampillées LTS (pour Long Term Support) sont maintenues pendant cinq ans. Ainsi la version 6.06 est encore mise à jour à la date de ce bulletin et jusqu'au 30 juin 2011.
Bien que 2 ans soit déjà une durée confortable permettant la planification d'une mise à jour de version, il est tout de même recommandé d'utiliser des versions LTS pour des projets à long terme ou relativement complexes à mettre en œuvre.
Concernant la version 9.10, il est vivement recommandé à ses utilisateurs de migrer vers une version plus récente encore supportée.
3 Protection en profondeur et vulnérabilités
Lors de la conférence Infiltrate qui s'est tenue les 16 et 17 avril 2011 en Floride, les experts en sécurité Chris Valasek et Ryan Smith ont démontré qu'il était possible de contourner certaines protections anti-exploitation mises en place par Microsoft dans son système Windows. Leur attaque se base sur une vulnérabilité (CVE-2011-3972), aujourd'hui corrigée, de type dépassement de tampon (heap-overflow) présente dans IIS 7.
Malgré la présence des mécanismes de protection étendus mis en place par Microsoft afin de prévenir l'exécution de code, ces deux chercheurs ont réussi à prendre le contrôle de la machine vulnérable.
Cette attaque présente en soi un caractère relativement nouveau, puisque les protections mises en place au niveau du tas se sont révélées robustes. En fait, plutôt que de s'attaquer directement au système de protection et de tenter de le contourner, les deux chercheurs ont tout simplement réussi à le désactiver. Ils ont en fait forcé le programme à modifier sa gestion du tas pour qu'il utilise le mode Low-Fragmentation Heap introduit avec Windows Vista. Ce mode de gestion permet au programme de minimiser la fragmentation du tas et d'optimiser ainsi l'espace. Mais en contrepartie, toutes les protections du tas sont désactivées. A partir de cet instant, il devient relativement aisé d'exploiter la faille avec des techniques classiques.
Cet exemple démontre qu'aucun mécanisme de protection n'est infaillible, aussi sophistiqué soit-il. Il convient donc de s'appuyer sur une défense en profondeur qui multipliera les difficultés imposées à l'attaquant.
Documentation
- Windows function disable exploit protection:
http://www.h-online.com/security/news/item/Windows-function-disables-exploit-protection-1229943.html
- Preventing the exploitation of user mode heap corruption vulnerabilities :
http://blogs.technet.com/b/srd/archive/2009/08/04/preventing-the-exploitation-of-user-mode-heap-corruption-vulnerabilities.aspx
- MSDN Low-fragmentation Heap :
http://msdn.microsoft.com/en-us/library/aa366750(v=vs.85).aspx
- CVE Référence CVE-2010-3972 :
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3972
