S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 30 août 2013
N° CERTA-2013-ACT-035
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2013-ACT-035

Gestion du document

Référence CERTA-2013-ACT-035
Titre Bulletin d'actualité CERTA-2013-ACT-035
Date de la première version 30 août 2013
Date de la dernière version 30 août 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Courriels malveillants exploitant des vulnérabilités connues

Le CERTA observe en continu des tentatives d'attaques par courriel qui cherchent à exploiter des vulnérabilités connues et corrigées. Ces courriels contiennent en pièce-jointe des charges malveillantes qui peuvent être compressées (notamment lorsqu'il s'agit d'un exécutable).

Les formats exploités par les attaquants correspondent aux formats les plus usités tels que Word, Excel ou PDF. Ainsi, entre 2011 et 2012, de nombreux documents Word et documents PDF visant à exploiter respectivement la CVE-2010-3333 et la CVE-2010-0188 ont été utilisés par des attaquants. Récemment, le CERTA a pu constater l'envoi de nombreux documents Excel visant à exploiter la vulnérabilité CVE-2012-0158.

Dans ces tentatives d'attaques, les attaquants utilisent des couriels et des noms de pièces-jointes génériques comme l'envoi d'un curriculum vitae ou le suivi d'une commande. L'adresse de l'émetteur est généralement usurpée ou correspondant à un compte de webmail. Il a également été observé des cas où l'attaquant reprend des sujets de l'actualité pour amener l'utilisateur à ouvrir le fichier joint malveillant.

Ces attaques visent des systèmes non à jour et à faible hygiène informatique, qui sont malheureusement encore trop souvent rencontrés. Il est donc indispensable pour s'en prémunir de s'assurer de la bonne mise à jour de l'intégralité du parc informatique. La mise en place de stratégie de restriction logicielles (SRP) ou d'AppLocker à partir de Windows 7 permettent aussi de se protéger efficacement contre ce type d'attaque.

Documentation

2 Recrudescence des codes d'exploitation dans Oracle Java 6

Lors de la dernière mise à jour Java 7 update 25, de nombreuses vulnérabilités ont été corrigées dans le composant Java2D. Certaines de ces vulnérabilités sont aussi présentes dans la version 6 de Java. Depuis avril 2013, Oracle ne délivre plus de mise à jour et de correctif de sécurité gratuits pour Java SE version 6. Les vulnérabilités en question n'ont donc pas été corrigées pour la version 6 de Java et entraînent une recrudescence des codes d'exploitation ciblant cette version de Java encore largement employée.

De plus, de nombreux kits d'exploitation ont déjà intégré les codes d'exploitation et sont activement et massivement utilisés. Le CERTA incite donc à migrer au plus vite vers une version supportée de Java (version 7).

D'une manière générale, le CERTA recommande la plus grande vigilance sur la fin de support des versions de produits utilisés, afin de pouvoir anticiper les migrations nécessaires pour continuer à disposer des produits tenus à jour par les editeurs. Nous recommandons d'utiliser systématiquement la derniere version stable des produits et de veiller à la bonne mise à jour des correctifs de sécurité.

Documentation

3 Traitement des contenus hétérogènes SSL dans les navigateurs

La mise à jour récente de Firefox en version 23 introduit une fonctionnalité déjà présente dans les dernières versions d'Internet Explorer et de Chrome : le blocage des données fournies par HTTP sur les pages HTTPS.

Lorsqu'un utilisateur navigue en utilisant le protocole HTTP sur TLS (https), la page HTML fournie peut référencer des ressources pointées par des liens en HTTP. Ce type de comportement pose plusieurs problèmes de sécurité, entre autres :

  • un attaquant pouvant réaliser une attaque de l'homme du milieu (man in the middle) peut aisément remplacer des contenus actifs chargés via HTTP : par exemple un code Javascript d'analyse statistique pourrait être remplacé par un code malveillant exfiltrant les mots de passe des utilisateurs ;
  • certaines ressources peuvent être chargées en spécifiant un Cookie, si celui-ci n'a pas été marqué par l'application Web comme secure, c'est-à-dire comme devant être transmis uniquement sur un canal sécurisé.

Firefox fait pour l'instant la distinction entre les contenus ``actifs'' et ``passifs''. Les contenus dits ``actifs'' sont ceux qui permettent de modifier le comportement du navigateur : scripts, feuilles de style, cadres, etc. Contrairement aux contenus ``passifs'', qui sont autorisés, les contenus ``actifs'' sont tout simplement bloqués lorsqu'ils sont chargés de manière non sécurisée et une icône de bouclier gris est présentée dans la barre d'adresse.

Chrome et Internet Explorer utilisent la même approche, même si quelques détails diffèrent.

Ces évolutions renforcent la sécurité des navigateurs Web, mais certains sites utilisant des contenus mixtes HTTP et HTTPS peuvent alors déclencher des alertes ou présenter des dysfonctionnements.

Le CERTA recommande aux éditeurs de sites de s'assurer que leurs pages HTTPS ne référencent pas de contenu HTTP et recommande aux utilisateurs de ne pas autoriser le chargement des contenus bloqués par les navigateurs.

Documentation

Rappel des publications émises

Dans la période du 19 août 2013 au 25 août 2013, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 30 août 2013
    version initiale.