Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-033

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 18 août 2006
No CERTA-2006-ACT-033

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-33

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-033

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-033.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-033/

1 Les mises à jour Microsoft d'août 2006

1.1 Introduction

Microsoft a publié le 08 août 2006 12 bulletins de sécurité. Le CERTA a publié à ce sujet plusieurs avis les détaillant (CERTA-AVI-2006-338->CERTA-AVI-2006-349).

Cependant, ces bulletins ont été sujet, ces dernières semaines, à plusieurs discussions et remarques. Afin d'apporter quelques éclaircissements, le CERTA fournit dans les paragraphes suivants un rapide état des lieux les concernant.

1.2 Service Serveur de Microsoft ciblé par Graweg : MS06-040

Microsoft a corrigé dans le bulletin MS06-040 une vulnérabilité affectant le service Serveur du système d'exploitation Windows. Ce service est utilisé pour les RPC (Remote Procedure Call), et de manière générale, pour le partage de ressources (fichiers, imprimantes, etc) dans un réseau local. Il est accessbile à distance par les ports 139/TCP et 445/TCP.

Un code malveillant circule actuellement sur l'Internet, et exploiterait cette vulnérabilité pour se propager. Il est nommé Graweg par Microsoft, ou bien assimilé à une variante Mocbot ou IRCBOT par les vendeurs d'antivirus. Une fois la machine compromise, elle rejoint d'autres machines zombie pour former un botnet, administré par une personne malveillante. Cette dernière peut alors récupérer des informations confidentielles, ou lancer des attaques de manière indirecte par ce réseau de machines.

La propagation semble actuellement limitée, mais il est vivement conseillé de :

  1. mettre à jour les machines en appliquant les recommandations du bulletin MS06-040 ;
  2. vérifier que les politiques de filtrage des ports 139 et 445 sont bien respectées, aussi bien sur les machines que les pare-feux en bordure de réseau.

1.3 Internet Explorer : MS06-042

Microsoft a publié le 08 août 2006 un bulletin, corrigeant de nombreuses vulnérabilités dans Internet Explorer. Il semblerait cependant que l'application de la mise à jour pose problème, dans la version Internet Explorer 6 SP1, lors de la navigation vers des sites mettant en oeuvre HTTP1.1 et la compression de données. Le Content-Encoding (ou Transfer-Encoding) permet de transférer le contenu d'un serveur Web vers le navigateur de l'utilisateur, en utilisant des algorithmes standards de compression de données. La compression est également utilisée pour accéder à l'interface web de plusieurs applications.

Une mise à jour du correctif devrait être publiée le 22 août 2006. Comme contournement alternatif, le CERTA recommande :

  • de passer à la version SP2 d'Internet Explorer 6 ;
  • d'empêcher le navigateur de spécifier dans l'entête HTTP le champ Accept-Encoding (gzip, deflate, compress, etc), au moyen d'un proxy web sur la machine utilisateur, ou d'une passerelle proxy au niveau du réseau.

Notification par Microsoft du problème IE version 6 SP1 suite à la mise à jour MS06-042 918899:

http://support.microsoft.com/kb/923762/

1.4 Microsoft Visual Basic VBA : MS06-047

Quelques vendeurs d'antivirus signalent l'apparition d'un ver exploitant l'une des vulnérabilités corrigées par l'application du bulletin MS06-047. Ce ver circulerait dans un document .doc spécialement construit. Son existence n'est cependant pas encore vérifiée. Il permet néanmoins de rappeler certaines bonnes pratiques concernant l'ouverture de pièces jointesi :

  • filtrer en amont, si possible, les documents en pièce jointe des messageries (format, taille) ;
  • utiliser des antivirus mis à jour ;
  • ouvrir des documents venant de sites et de personnes de confiance.

1.5 Noyau Microsoft : MS06-051

Microsoft a publié un bulletin corrigeant plusieurs vulnérabilités du noyau de Windows. Parmi celles-ci, il existe une mauvaise manipulation de la routine SetUnhandledExceptionFilter. En d'autres termes, Microsoft Windows ne gère pas de manière correcte certains messages évènementiels (aussi appelés exceptions), et il est possible d'exploiter cette vulnérabilité pour exécuter du code arbitraire.

Suite à cela, un site rappelle les vulnérabilités qui ont été identifiées en juillet 2006 sur le navigateur Internet Explorer. Certaines ne permettaient pas directement d'exécuter du code arbitraire, mais provoquent une exception du noyau Windows.

L'idée de combiner les deux problèmes a été évoquée, et permettrait à une personne malveillante d'exécuter du code arbitraire à distance : il lui faut construire une page Web particulière, qui, à son ouverture par un navigateur Internet Explorer, exploiterait ces deux vulnérabilités.

Le CERTA recommande donc de vérifier la bonne application du bulletin de sécurité MS06-051 sur l'ensemble des machines potentiellement vulnérables.

2 Rappel des avis et mises à jour émis

Durant la période du 11 au 17 août 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-351 : Vulnérabilité de SquirrelMail
  • CERTA-2006-AVI-352 : Vulnérabilité dans SAP Internet Graphics Service
  • CERTA-2006-AVI-353 : Vulnérabilté dans Symantec Veritas Backup Exec
  • CERTA-2006-AVI-354 : Multiples vulnérabilités du noyau Linux 2.4
  • CERTA-2006-AVI-355 : Vulnérabilité de HP OpenView Storage Data Protector 5.x
  • CERTA-2006-AVI-356 : Plusieurs vulnérabilités dans MIT Kerberos krb5
  • CERTA-2006-AVI-357 : Vulnérabilités de Novell eDirectory
  • CERTA-2006-AVI-358 : Vulnérabilité sur Sun Solaris
  • CERTA-2006-AVI-359 : Multiples vulnérabilités dans IBM WebSphere Application Server
  • CERTA-2006-AVI-360 : Vulnérabilité dans Heartbeat
  • CERTA-2006-AVI-361 : Vulnérabilité dans ImageMagick
  • CERTA-2006-AVI-362 : Vulnérabilité du logiciel Symantec Veritas NetBackup

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-328-001 : Vulnérabilité dans GnuPG

    (ajout du bulletin de sécurité Mandriva)

  • CERTA-2006-AVI-351-001 : Vulnérabilité de SquirrelMail

    (ajout du bulletin de sécurité FreeBSD)

Gestion détaillée du document

18 août 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012