S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 mai 2012
N° CERTA-2012-ACT-019
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2012-19

Gestion du document

Référence CERTA-2012-ACT-019
Titre Bulletin d'actualité 2012-19
Date de la première version 11 mai 2012
Date de la dernière version 11 mai 2012
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risques liés aux mises à jour dans des réseaux non maitrisés

Les équipements informatiques de mobilité (ordinateurs portables, ordiphones), de par leur fonction, sont susceptibles d'être utilisés dans des réseaux locaux tiers non contrôlés (aéroports, hôtels, services de Wi-Fi gratuits ou payants à la durée). Les connexions dans ces réseaux induisent des risques particuliers. D'une part, l'utilisateur a rarement des garanties sur les responsables du service. D'autre part, ces réseaux publics sont accessibles à n'importe qui, y compris à des utilisateurs malveillants.

Ces spécificités mettent en danger la confidentialité des échanges et leur intégrité. Des attaques variées peuvent être réalisées dans ces environnements. Il est par exemple possible d'intercepter les pages Web recues par la victime avec des attaques par interposition (man in the middle), et d'insérer dans ces pages légitimes du contenu malveillant (par exemple un javascript). Le FBI a d'ailleurs publié cette semaine un bulletin signalant une recrudescence de ce type d'attaque. Dans cet article, nous nous intéresserons au problème des mises à jour logicielles.

La plupart des logiciels commerciaux ou libres modernes installent une fonction de mise à jour automatique. Le logiciel tente régulièrement de se connecter à un serveur Internet pour vérifier l'existence d'une nouvelle version. Lorsqu'une mise à jour est disponible, selon la configuration le logiciel la télécharge et l'installe automatiquement, ou bien demande l'accord de l'utilisateur pour le faire. Ce procédé est parfois vulnérable. Un attaquant qui est capable d'intercepter les requêtes d'interrogation et de fabriquer les réponses peut se faire passer pour le serveur de mise à jour, répondre au logiciel qui l'interroge qu'une mise à jour est disponible et lui envoyer à la place un logiciel malveillant qu'il installera sur la machine. Certains éditeurs se protègent en sécurisant le procédé par des moyens cryptographiques (chiffrement des échanges, authentification du serveur et signature des mises à jour). Cependant, ils sont encore une minorité.

Des développeurs de logiciels malveillants ont conçu des outils qui rendent très simples ce type d'attaque. L'attaquant va se placer avec un portable dans un réseau local public. Une fois lancé, le logiciel malveillant va utiliser des techniques classiques (par exemple l'empoisonnement ARP) pour identifier et intercepter les requêtes vers des serveurs de mise à jour connus, et répondre à leur place. Ils envoient alors à la victime la fausse mise à jour qui est le programme choisi par l'attaquant (logiciel espion, cheval de Troie, rançongiciel ) La fenêtre de mise à jour est dans ce cas la fenêtre légitime du logiciel, l'utilisateur est donc très facilement trompé.

Pour se protéger contre ce type d'attaque, le CERTA recommande :

  • de désactiver l'installation automatique des mises à jour sur les portables (configurer pour laisser le choix à l'utilisateur) ;
  • de n'accepter les mises à jour qu'à l'intérieur de réseaux de confiance ;
  • de désactiver les technologies de type roaming (connexion automatique aux réseaux gratuits) et plus généralement, de laisser le Wi-Fi désactivé hors utilisation volontaire.

Les technologies de type VPN permettent de sécuriser plus généralement le trafic des utilisateurs nomades. Encore faut-il s'assurer que tout le trafic de mise à jour de tous les logiciels installés est bien redirigé dans le VPN, ce qui n'est pas le cas quand seul le navigateur utilise le VPN.

Documentation

2 Stockage en clair du mot de passe FileVault dans Mac OS X Lion

Description

Une vulnérabilité a été corrigée cette semaine dans Mac OS X Lion. Cette vulnérabilité affecte les utilisateurs ayant activé FileVault sous Mac OS X Snow Leopard et ayant mis a jour leur système en Lion sans passer à FileVault2 (qui chiffre l'ensemble du disque contrairement à la version précédente qui chiffre seulement le répertoire personnel de l'utilisateur). Elle a pour conséquence de stocker en clair le mot de passe de l'utilisateur dans un fichier de journalisation. Ce fichier de journalisation n'est cependant accessible qu'à un utilisateur ayant les droits administrateur.

En supplément de la mise à jour de sécurité corrigeant cette vulnérabilité, Apple a mis à disposition une fiche technique expliquant comment supprimer les traces des mots de passe ayant pu être enregistrés dans le fichier de journalisation. L'éditeur attire également l'attention sur le fait que les copies de sauvegarde et les serveurs syslog peuvent également contenir les mots de passe des utilisateurs en clair.

Documentation

3 Informations sur les correctifs de la vulnérabilité CGI de PHP

Le 03 mai 2012 l'organisation PHP a corrigé une vulnérabilité liée à l'utilisation de PHP au moyen de CGI. Cette vulnérabilité permettait de lire le code source des fichiers PHP et d'exécuter du code arbitraire à distance (voir CVE-2012-1823). Le 08 mai 2012 un deuxième correctif a été diffusé, cette fois avec l'identifiant CVE-2012-2311. Le premier correctif ne prenait pas en compte tous les moyens d'appels de la vulnérabilité, celle-ci était donc toujours présente sur de nombreux systèmes. Des outils permettant l'exploitation automatique de cette vulnérabilité ont été publiés.

Le CERTA recommande l'application de ces deux mises à jours

Documentation

4 Mise à jour mensuelle Microsoft

L'éditeur Microsoft a émis le 08 mai 2012 sept bulletins de sécurité pour des correctifs couvrant 23 vulnérabilités. Parmi ces sept bulletins, deux sont considérés comme critiques et les cinq autres sont considérés comme importants.

Les vulnérabilités corrigées permettent d'exécuter du code arbitraire à distance et d'éléver ses privilèges.

Les produits corrigés sont :

  • Microsoft Office ;
  • Microsoft Visio Viewer ;
  • la pile TCP/IP de Windows ;
  • le gestionnaire de partition de Windows ;
  • Silverlight ;
  • le framework .NET.

Le CERTA recommande l'application de ces mises à jour dès que possible.

5 Rappel des avis émis

Dans la période du 04 au 10 mai 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-AVI-246 : Vulnérabilité dans PHP
  • CERTA-2012-AVI-247 : Vulnérabilités dans HP Insight Management Agents
  • CERTA-2012-AVI-248 : Vulnérabilités dans HP System Health Application and Command Line Utilities
  • CERTA-2012-AVI-249 : Multiples vulnérabilités dans VMware
  • CERTA-2012-AVI-250 : Multiples vulnérabilités dans Drupal
  • CERTA-2012-AVI-251 : Vulnérabilité dans IBM AIX
  • CERTA-2012-AVI-252 : Vulnérabilité dans Adobe Flash Player
  • CERTA-2012-AVI-253 : Vulnérabilités dans FFmpeg
  • CERTA-2012-AVI-254 : Vulnérabilité dans Microsoft Office
  • CERTA-2012-AVI-255 : Vulnérabilités dans Microsoft Office
  • CERTA-2012-AVI-256 : Vulnérabilité dans Microsoft Visio Viewer
  • CERTA-2012-AVI-257 : Vulnérabilités dans la pile TCP/IP de Windows
  • CERTA-2012-AVI-258 : Vulnérabilité dans le gestionnaire de partitions de Windows
  • CERTA-2012-AVI-259 : Multiples vulnérabilités dans Office, Windows, NET et Silverlight
  • CERTA-2012-AVI-260 : Vulnérabilités dans NET Framework
  • CERTA-2012-AVI-261 : Vulnérabilités dans Pidgin
  • CERTA-2012-AVI-262 : Multiples vulnérabilités dans les produits Apple
  • CERTA-2012-AVI-263 : Multiples vulnérabilités dans Adobe Illustrator
  • CERTA-2012-AVI-264 : Vulnérabilités dans Adobe Photoshop
  • CERTA-2012-AVI-265 : Vulnérabilité dans Adobe Flash Professionnel
  • CERTA-2012-AVI-266 : Multiples vulnérabilités dans Adobe Shockwave Player
  • CERTA-2012-AVI-267 : Vulnérabilités dans PHP
  • CERTA-2012-AVI-268 : Vulnérabilités dans HP Performance Insight
  • CERTA-2012-AVI-269 : Vulnérabilité dans CiscoWorks Prime LAN Management
  • CERTA-2012-AVI-270 : Vulnérabilités dans Horde IMP
  • CERTA-2012-AVI-271 : Multiples vulnérabilités dans Safari
  • CERTA-2012-AVI-272 : Multiples vulnérabilités dans OS X Lion
  • CERTA-2012-AVI-273 : Vulnérabilité dans IBM AIX

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2012-AVI-224-001 : Vulnérabilité dans OpenSSL (ajout du bulletin IBM OS/400)

Rappel des publications émises

Dans la période du 30 avril 2012 au 06 mai 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 11 mai 2012
    version initiale.