S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 février 2013
N° CERTA-2013-ACT-007
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2013-ACT-007

Gestion du document

Référence CERTA-2013-ACT-007
Titre Bulletin d'actualité CERTA-2013-ACT-007
Date de la première version 15 février 2013
Date de la dernière version 15 février 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Mise à jour mensuelle Microsoft

Lors de la mise à jour mensuelle de Microsoft, douze bulletins de sécurité ont été publiés.

Cinq bulletins sont considérés comme critiques :

  • MS13-009 qui concerne Microsoft Internet Explorer, cette mise à jour corrige treize vulnérabilités permettant à un attaquant, à l'aide d'une page Web spécialement conçue, d'exécuter du code arbitraire à distance ;
  • MS13-010 qui concerne Microsoft Vector Markup Language, cette mise à jour corrige une vulnérabilité permettant à un attaquant, à l'aide d'une page Web spécialement conçue, d'exécuter du code arbitraire à distance.
  • MS13-011 qui concerne Microsoft DirectShow Media Decompression, cette mise à jour corrige une vulnérabilité permettant à un attaquant, à l'aide d'un fichier multimedia spécialement conçu, d'exécuter du code arbitraire à distance.
  • MS13-012 qui concerne Microsoft Exchange Server, cette mise à jour corrige des vulnérabilités permettant à un attaquant, à l'aide d'un fichier spécialement conçu, d'exécuter du code arbitraire à distance.
  • MS13-020 qui concerne Microsoft OLE Automation, cette mise à jour corrige une vulnérabilité permettant à un attaquant, à l'aide d'un fichier spécialement conçu, d'exécuter du code arbitraire à distance.

Sept bulletins sont considérés comme importants, ils concernent :

  • des vulnérabilités dans Microsoft Fast Search Server 2010 (MS13-013) ;
  • une vulnérabilité dans Microsoft NFS (MS13-014) ;
  • une vulnérabilité dans Microsoft .NET Framework (MS13-015) ;
  • des vulnérabilités dans les pilotes en mode noyau de Microsoft Windows (MS13-016) ;
  • des vulnérabilités dans le noyau de Microsoft Windows (MS13-017) ;
  • une vulnérabilité dans Microsoft TCP/IP (MS13-018) ;
  • une vulnérabilité dans Microsoft CSRSS (MS13-019).

Microsoft a constaté que le CVE-2013-0030 (MS13-010) a été utilisé dans des attaques ciblées, et que les CVE-2013-0077 (MS13-011), MS13-012, MS13-013 et CVE-2013-0076 (MS13-019) ont été révélés publiquement. Le code d'exploitation pour le CVE-2013-0025 (MS13-009) est disponible publiquement et est activement utilisé.

Le CERTA recommande l'application de ces correctifs dès que possible.

Documentation

2 Alerte dans Adobe Reader et Acrobat

Cette semaine le CERTA a diffusé l'alerte CERTA-2013-ALE-002, concernant deux vulnérabilités majeures dans Adobe Reader et Acrobat. Les failles permettent d'exécuter du code arbitraire à distance au moyen d'un fichier PDF spécialement conçu. Elles ont été largement diffusées et sont activement exploitées. Dans le cas où Adobe Reader ou Acrobat ne sont pas nécessaires, il est recommandé de désactiver ces logiciels le temps qu'un correctif soit disponible. L'éditeur prévoie la diffusion d'un correctif de sécurité.

En revanche, si Adobe Reader ou Acrobat sont requis, la solution proposée par l'éditeur est d'utiliser le mode « Protected View » d'Adobe, qui permet de cloisonner ( sandbox ) le lecteur PDF. En plus de la solution de l'éditeur, le CERTA préconise de désactiver JavaScript dans le lecteur PDF et d'utiliser la version « XI » d'Adobe Reader ou Acrobat.

Nous recommandons également de ne pas ouvrir de documents PDF qui ne sont pas de confiance :

  • issu d'un site Web inconnu ;
  • en pièce jointe d'un courriel douteux (expéditeur inconnu, contenu incohérent, etc.).

Le CERTA rappelle qu'Adobe a corrigé cette semaine de multiples vulnérabilités dans Adobe Flash Player et Adobe Shockwave Player ( CERTA-2013-AVI-127, CERTA-2013-AVI-125 et CERTA-2013-AVI-104 ).

Documentation

3 Compromission de la société Bit9 et protection des éléments secrets

La société Bit9 propose une solution permettant de vérifier si un programme est inscrit dans une liste blanche. Contrairement aux antivirus qui identifient les fichiers infectés en utilisant des listes noires, ce système permet de déterminer les fichiers connus comme étant sains. Cette solution permet également de vérifier la signature numérique des logiciels. En particulier, tout programme signé par la société est considéré comme sain. Le 8 février 2013, Bit9 a annoncé avoir subi une intrusion dans ses systèmes d'information. D'après les investigations menées, seul leur programme permettant de signer numériquement des applications a été touché. Trois de leurs clients auraient ainsi été victimes de codes malveillants signés par un certificat valide et appartenant à Bit9.

Cet incident illustre bien la nécessité de protéger aussi bien les clefs privées que le mécanisme mis en place pour réaliser les opérations cryptographiques (signature ou chiffrement). Comme le recommande l'annexe B2 du RGS, « de par leur nature même, les éléments privés ou secrets ne peuvent être employés que dans un environnement de confiance ». La confiance de l'environnement peut être, par exemple, renforcée par l'utilisation de hardware security modules (HSM), dont certains ont été certifiés par l'ANSSI. Le CERTA souligne également l'importance de vérifier les révocations de certificat.

Documentation

Rappel des publications émises

Dans la période du 04 février 2013 au 10 février 2013, le CERT-FR a émis les publications suivantes :


Dans la période du 04 février 2013 au 10 février 2013, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 15 février 2013
    version initiale.