CERTA
|
CERTA Centre d'Expertise Gouvernemental de |
 |
|
Affaire suivie par : CERTA Objet : Bulletin d'actualité
N^2005-17
Gestion du document
Une gestion de version détaillée se trouve à la fin de ce document. 1 Activité en cours1.1 Ports observésLe tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 14 et le 21 avril 2005. Le nombre relativement faible (par rapport aux mois précédents) des rejets constatés sur le port 445/tcp s'explique par la mise en place de filtrage de ce port par un fournisseur d'accès sur ses routeurs. Suite à la découverte d'une compromission par l'exploitation d'une vulnérabilité du service Oracle XDB FTP (voir CERTA-2005-ALE-002), nous avons ajouté le port 2100/tcp à notre surveillance. Cet incident est actuellement en cours de traitement. 1.2 Incidents traités par le CERTATrois cas de défiguration de site web ont été traités par le CERTA. 2 Faux messages électroniques concernant les correctifs de MicrosoftDe faux messages électroniques au sujet des correctifs de Microsoft d'avril 2005 circulent actuellement. Ces messages vous incitent à cliquer sur un lien vers un site qui reproduit le site de Microsoft. Ce site contient des codes malveillants. Si vous avez reçu un tel message et que vous avez visité le site indiqué dans celui-ci, veuillez contacter le CERTA. 3 Problèmes avec l'application du correctif MS05-019Suite à l'application du correctif de sécurité Microsoft MS05-019 du 12 avril 2005, Microsoft a signalé dans un article que ce correctif pouvait entraîner certains dysfonctionnements réseau sur les systèmes mis à jour : incapacité à se connecter au serveur via Terminal Server, échec de réplication de contrôleur de domaine via une liaison WAN et enfin impossibilité de connexion pour un serveur Microsoft Exchange sur son contrôleur de domaine. L'article de Microsoft est consultable à l'adresse : http://support.microsoft.com/kb/898060 Dans le cas présent, une mise à jour a causé par effet de bord sur le système cible, des dysfonctionnements plus ou moins importants. De manière générale, il est recommandé, lorsque l'on effectue une mise à jour, de tester celle-ci sur une machine dite « de test ». Si, toutefois, elle engendrait un mauvais fonctionnement, il conviendrait alors de s'interroger sur la criticité de la faille corrigée comparée à ses conséquences sur le système mis à jour. Il est souvent préférable d'appliquer le correctif de sécurité mais ce n'est pas une règle absolue. Il n'appartient pas non plus au CERTA de vous donner une réponse définitive en la matière. Le bon choix se fera en fonction de vos besoins et de la pondération des risques inhérents à la situation, et conformément à la politique de sécurité du réseau. 4 Rappel des avis et mises à jour émisDurant la période du 18 au 22 avril 2005, le CERTA a émis les avis suivants :
Pendant cette même période, la mise à jour suivante a été publiée :
5 Actions suggérées5.1 Respecter la politique de sécuritéQuoique puisse suggérer ce document, la politique de sécurité en vigueur dans votre service doit primer. Cette section précise néanmoins quelques mesures générales de nature à vous prémunir contre les agressions décrites dans ce document. 5.2 Concevoir une architecture robusteA la lumière des enseignements tirés de ce qui
a été présenté dans les bulletins
d'actualité, il convient de vérifier que les
applications mises en 5.3 Appliquer les correctifs de sécuritéLe tableau 2 rappelle les avis du CERTA correspondant aux applications ou codes malveillants relatifs aux ports étudiés dans les sections précédentes. 5.4 Utiliser un pare-feuL'application des correctifs sur un parc informatique important n'est probablement pas immédiat. Un pare-feu correctement configuré peut retenir certaines attaques informatiques le temps d'appliquer les correctifs. Cependant un pare-feu peut donner une illusion de protection. Cette protection est brisée par la moindre introduction d'un ordinateur nomade dans la partie protégée. On remarque qu'il y a de nombreux paquets rejetés à destination de ports légitimement utilisés par des applications de prise de main à distance. La téléadministration correspond à une demande qui grandit avec la taille du parc à gérer. Les paquets rejetés montrent le risque associé à ce type d'application. Ce risque peut être amoindri par l'usage correct d'un pare-feu. 5.5 Analyser le réseauDe nombreux paquets rejetés étudiés correspondent aux ports ouverts par divers virus/vers/chevaux de Troie. Si votre politique de sécurité autorise le balayage des ports ouverts sur les postes de travail ou les serveurs, il peut s'avérer utile de le faire régulièrement afin de découvrir les machines potentiellement contaminées avant qu'un intrus ne le fasse à votre place. 5.6 Réagir aux incidents de sécuritéOrganisez-vous pour réagir aux incidents de sécurité, en particulier, pour assurer une certaine continuité dans les équipes d'administration et de sécurité. Le CERTA a pour mission de vous aider à répondre aux incidents de sécurité informatique. Ne traitez pas les dysfonctionnements des machines à la légère. Dans certains incidents dans lesquels le CERTA intervient, les administrateurs des machines font spontanément part de petits dysfonctionnements inexpliqués et d'apparence anodine qui s'avèrent, au cours de l'analyse, être liés à un incident majeur de sécurité. N'hésitez pas à prendre contact avec le CERTA si vous constatez de l'activité sur les ports décrits ci-dessus.
,D,,2 /D//2
Liste des tableaux
Gestion détaillée du document
CERTA 2012-01-04 |
|
||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
)
uvre (ou à
l'étude) ont une architecture qui résiste aux
incidents décrits.