Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-046

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 17 novembre 2006
No CERTA-2006-ACT-046

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-46

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-046

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-046.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-046/

1 Activité en cours

1.1 Défiguration

Un cas de défiguration de site web a été traité par le CERTA cette semaine. Il s'agit de l'exploitation d'une faille de phpMyAdmin qui a permis de voler des identifiants de connexion.

Le CERTA constate que de plus en plus d'incidents de sécurité sont liés au vol de mots de passe dans des bases SQL qui sont rejoués ensuite par FTP.

Recommandations :

Le CERTA recommande de ne pas utiliser les mêmes mots de passe pour les différents services d'une même machine afin de limiter les possibilités en cas d'exploitation d'une vulnérabilité. Par ailleurs, la multiplicité des services sur une même machine affaiblit considérablement la sécurité globale de celle-ci. Une séparation des services doit, dans certains cas, être envisagée.

1.2 Les postes en libre service

Le CERTA a traité cette semaine un incident impliquant un poste mis en libre service. Ce dernier a été utilisé par des personnes malintentionnées, afin de participer à une attaque informatique. Ce poste, bien que protégé par un antivirus, contenait pourtant plusieurs programmes malveillants (espiogiciels, virus, chevaux de troie et publiciels). Cet ordinateur ne semblait pas faire l'objet d'un traitement particulier dans le système d'information malgré son utilisation.

Le CERTA met en garde contre l'utilisation des machines dites à libre service. Celles-ci doivent faire l'objet de la plus grande surveillance, et les accès de ces ordinateurs doivent être restreints et journalisés.

2 Des vulnérabilités critiques pour cetains produits Wi-Fi

Cette semaine, plusieurs vulnérabilités ont été publiées, concernant des pilotes de matériels sans-fil Wi-Fi. Les pilotes concernés sont les suivants :

  • Broadcom BCMWL5.SYS (version 3.50.21.10) ;
  • D-Link A5AGU.SYS pour les adaptateurs USB D-Link DWL-G132 (version 1.0.1.41) ;
  • NetGear WG111v2.SYS pour les adaptateurs USB NetGear WG111v2 (version 5.1213.6.316).

Broadcom est pour l'instant le seul constructeur à avoir corrigé les problèmes. Cependant, les vendeurs d'ordinateurs portables adaptent souvent les pilotes pour leurs produits, et les mises à jour de ces derniers ne sont pas encore effectuées (à l'exception de Linksys).

Les vulnérabilités concernent les couches les plus basses des protocoles 802.11 :

  • les pilotes Broadcom concernés ne gèrent pas correctement des réponses aux requêtes de sondage (Probe) qui incluent un champ d'identifiant SSID trop long ;
  • les pilotes D-Link concernés ne gèrent pas correctement les balises (Beacons) qui contiennent des informations sur les taux de transfert excédant 36 octets ;
  • les pilotes NetGear concernés ne gèrent pas correctement les balises contenant des informations dont la taille totale excède 1100 octets.

Ces vulnérabilités ne sont pas très complexes, et ne sont pas corrigées pour le moment. Elles ciblent directement les pilotes des cartes sans-fil, ce qui signifie aussi que la grande majorité des solutions de sécurité existantes (WPA, VPN, 802.11i, IPsec, etc) ne protègent pas convenablement contre celles-ci.

Intuitivement, il est souvent plus facile d'adresser des paquets malveillants à une machine cible via une connexion sans-fil, à une distance de plusieurs centaines de mètres, que de s'introduire dans le réseau pour accéder directement à la même machine.

Recommandations du CERTA :

Le CERTA recommande donc les actions suivantes :
  • surveiller les mises à jour des constructeurs pour appliquer les correctifs. Ceci n'est pas nécessairement automatique ;
  • auditer et recenser les appareils sans-fil utilisés et déployés dans le réseau ;
  • sensibiliser les personnes utilisant des appareils communicants nomades à désactiver, quand cela n'est pas nécessaire, les interfaces sans-fil ;
  • ne pas utiliser de technologies sans-fil qui offriraient une porte d'entrée évidente à des réseaux sécurisés d'autre part (pare-feux, VPN, etc).

3 Vulnérabilités Microsoft

Microsoft a publié ses correctifs mensuels cette semaine : les bulletins MS06-066 à MS06-071 qui ont fait l'objet des avis CERTA-2006-AVI-495 à CERTA-2006-AVI-500. Il existe déjà des codes d'exploitation disponibles sur l'Internet pour les vulnérabilités MS06-067, MS06-070 et MS06-071 (respectivement avis CERTA-2006-AVI-496, CERTA-2006-AVI-499 et CERTA-2006-AVI-500). Il est possible que la vulnérabilité affectant le service Station de Travail de Microsoft Windows fasse l'objet d'un ver. Les machines sont Windows 2000 sont plus exposées que celles sous Windows XP (nécessité d'avoir des droits Administrateur pour réaliser l'attaque sous Windows XP).

D'autre part, Microsoft a cessé de publier des correctifs pour Windows XP SP1.

Recommandations :

Il est conseillé d'appliquer les correctifs de sécurité Microsoft (conformément à votre politique de sécurité) et de réfléchir à la migration des machines sous Windows XP SP1 vers un OS maintenu. Par ailleurs, le filtrage des ports 139/tcp et 445/tcp peut être mis en place pour empêcher l'exploitation depuis l'Internet de la vulnérabilité décrite dans l'avis CERTA-2006-AVI-499.

4 Simplification des installations par un tiers

Certains logiciels se proposent d'installer et de configurer un ensemble d'applications tierces, afin de simplifier cette succession d'opérations. A valeur illustrative, Google propose en version beta un outil nommé Google Pack (http://pack.google.com). Il s'agit d'une suite de logiciels, jugés essentiels par Google. Cela inclut pour le moment : Google Earth, Google Desktop, Google Picasa, et la barre d'outils Google pour Internet Explorer ; mais aussi Mozilla Firefox, Norton Antivirus 2005 (édition spéciale de démonstration), Adobe Reader 7, Real Player, Ad-Aware ou Skype.

Un autre exemple a été présenté dans la note d'information CERTA-2006-INF-06, à propos des applications fournies avec les clés de type U3.

Il est bien sûr possible de personnaliser les applications à installer mais ce procédé peut présenter divers désavantages qu'il est important de considérer :

  • les installations sont faites par un tiers ; on est donc obligé de faire confiance à ce dernier quant aux applications à configurer et à exécuter ;
  • un procédé de mise à jour est proposé par le tiers ; il n'est pas nécessairement validé par les éditeurs des applications ou par la PSSI.

Le fait de laisser installer par un tiers l'ensemble des applications de sa machine fournit à ce dernier l'occasion de centraliser une quantité d'informations non négligeable (voire presque totale) sur l'état de la machine.

Cette décision doit donc être mûrement réfléchie, et n'est pas recommandée par le CERTA.

5 Rappel des avis et mises à jour émis

Durant la période du 10 au 16 novembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-489 : Vulnérabilité dans HP OpenView
  • CERTA-2006-AVI-490 : Vulnérabilités des pilotes pour les puces Wi-Fi Broadcom
  • CERTA-2006-AVI-491 : Plusieurs vulnérabilités de Citrix MetaFrame
  • CERTA-2006-AVI-492 : Multiples Vulnérabilités dans AVG-Antivirus
  • CERTA-2006-AVI-493 : Vulnérabilité dans les produits 3Com SuperStack 3 Switch 4400
  • CERTA-2006-AVI-494 : Vulnérabilité de Novell BorderManager
  • CERTA-2006-AVI-495 : Vulnérabilités dans le service Client pour NetWare de Microsoft Windows
  • CERTA-2006-AVI-496 : Multiples vulnérabilités de Microsoft Internet Explorer
  • CERTA-2006-AVI-497 : Vulnérabilité de Microsoft Agent
  • CERTA-2006-AVI-498 : Multiples vulnérabilités dans Adobe Macromedia Flash Player pour Windows
  • CERTA-2006-AVI-499 : Vulnérabilité du service Station de Travail de Microsoft Windows
  • CERTA-2006-AVI-500 : Vulnérabilité de Microsoft XML Core Services
  • CERTA-2006-AVI-501 : Multiples vulnérabilités dans les produits VMware
  • CERTA-2006-AVI-502 : Vulnérabilité dans Lotus Domino NRPC
  • CERTA-2006-AVI-503 : Vulnérabilités dans Bugzilla

Pendant cette période, les avis suivants ont été mis à jour :

  • CERTA-2006-AVI-398-002 : Vulnérabilité dans Adobe Flash Player

    (ajout de la référence au bulletin Microsoft MS06-069)

  • CERTA-2006-AVI-482-001 : Vulnérabilités des produits Mozilla

    (ajout des références aux bulletins de sécurité Mandriva et Slackware)

Gestion détaillée du document

17 novembre 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012