Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-049

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 08 décembre 2006
No CERTA-2006-ACT-049

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-49

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-049

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-049.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-049/

1 Activité en cours

1.1 Code malveillant déposé sur un site défiguré

Un de nos correspondants a été infecté par un code malveillant suite à une visite sur un site défiguré. Le code malveillant, téléchargé sous la forme d'une bibliothèque dll, n'était pas reconnu par les antivirus. La visite sur le site défiguré a également provoqué l'arrêt inopiné du navigateur (Mozilla Firefox).

D'une manière générale, il est important de prendre conscience que les incidents de ce type peuvent survenir lorsque l'on navigue sur un site qui a subi une attaque. Il convient de prendre un maximum de précautions avant de vérifier la présence d'une page défigurée. Il est important de ne pas naviguer avec un compte ayant des privilèges d'administration, et des solutions basées sur des environnements virtuels (comme VMWare par exemple) peuvent être envisagées.

1.2 Alerte concernant Microsoft Word

Une nouvelle vulnérabilité, commune à de nombreuses versions du logiciel Word et fonctionnant sur les systèmes d'exploitation Windows et MacOS, est apparue. Elle n'est pas encore corrigée et le CERTA a publié une alerte le mercredi 6 décembre 2006 (CERTA-2006-ALE-014). Cette vulnérabilité est déjà exploitée.

Il est recommandé aux utilisateurs de ne pas ouvrir de documents Word dont la provenance est incertaine. Cette vulnérabilité est un vecteur idéal pour conduire des attaques ciblées, par exemple via une pièce jointe à un courriel. Par ailleurs, les fêtes de fin d'année seront propices à l'envoi de multiples messages électroniques contenant des pièces jointes de toutes sortes. Une grande vigilance est donc à nouveau recommandée dans l'ouverte des fichiers insérés en pièces jointes. Tout incident ou doute lors de l'ouverture d'un tel fichier devrait être immédiatement signalé.

Quelques liens utiles :

2 Nouvelle technique de contournement des antivirus

Une nouvelle technique de contournement des antivirus a été rendue publique cette semaine. Certains antivirus n'auraient pas le comportement attendu lors du traitement de fichiers encodés en base64. En particulier, lorsqu'un attachement contient un caractère ne faisant pas partie de « l'alphabet base64 », certains antivirus ne prennent pas correctement en compte le fichier attaché, alors que le client de messagerie l'affiche normalement.

Cette technique peut donc être utilisée pour échapper au contrôle de certains antivirus.

On peut donc s'attendre à la publication de correctifs par des éditeurs d'antivirus dans les jours à venir.

Pour plus d'informations, vous pouvez consulter le document à l'adresse suivante :

http://www.quantenblog.net/security/virus-scanner-bypass

3 Les clics dans les courriels

3.1 Introduction

Les courriers éléctroniques, tout comme les lettres postales, sont un moyen de communication aisé pour transmettre de l'information. Cependant, le processus standard pour les transmettre n'offre pas, sans service complémentaire, certaines garanties. Pour les lettres postales, l'expéditeur n'est pas vérifié, et l'entête du courrier (adresses, téléphone, dates) peut être falsifié. Il en va de même pour la messagerie électronique.

Ces problèmes sont à la source des attaques de filoutage (ou phishing), ou servent à conduire les utilisateurs vers des pages Web spécifiques.

3.2 Une origine incertaine

Parmi les protocoles de messagerie, SMTP (pour Simple Mail Transfer Protocol) est le plus fréquent, et est utilisé au transfert de courriers vers les serveurs de messagerie. Son fonctionnement est assez simple : après avoir indiqué l'expéditeur et le destinataire du message, le corps du message est transféré. C'est celui-ci qui s'affiche ensuite dans le client de messagerie. Il est possible de modifier l'expéditeur à tout moment. En général, ce dernier n'est pas vérifié, ni même la cohérence entre celui indiqué dans l'entête du message, et celui utilisé par l'envoi SMTP.

3.3 Un contenu pas nécessairement fiable

Le contenu que vous visualisez n'est pas nécessairement complet et exact. Par exemple, dans un message rédigé en HTML, un lien sera codé de la façon suivante :

<_a_ href="\emph{adresse-malveillante}">\emph{adresse-apparente}</_a_>

Le client de messagerie, s'il est configuré pour interpréter les messages en HTML, ne vous affichera que adresse-apparente, mais vous serez redirigé vers adresse-malveillante. Il y a également des questions d'encodage, qui peuvent perturber la visualisation correcte d'un courrier.

Recommandations du CERTA :

Comment pourriez-vous réagir étant donné les problèmes mentionnés dans les deux paragraphes précédents ?

Comme vous avez pu le constater, il n'est pas aisé de déterminer si un courriel a été envoyé à des fins malveillantes.

Quelques bons réflexes vous permettront, malgré la difficulté d'estimer le risque, de limiter les impacts d'une telle attaque :

  • soyez circonspect quand l'expéditeur ou le destinataire affiché vous est inconnu, ou quand le style ou la syntaxe sont approximatifs ;
  • soyez vigilant lorsqu'un courriel vous demande des actions urgentes, vous propose de l'argent facile ou des produits peu chers ;
  • si vous avez cliqué trop vite, ne fournissez pas d'information sur le site Internet qui s'affiche en remplissant par exemple un formulaire ou en renseignant un mot de passe ;
  • faites appel à votre correspondant informatique ou de sécurité si vous avez le moindre doute sur la nature d'un courriel reçu ou sur une page Internet visitée suite au clic depuis un courriel.

Quelques mesures plus techniques :

Pour aller plus loin, vous pouvez considérer des initiatives plus techniques :

  • tapez directement dans le navigateur Internet l'adresse indiquée par le courrier électronique, sans cliquer dessus, et après l'avoir vérifiée. En effet le lien qui s'affiche à l'écran n'est pas nécessairement la véritable adresse Internet cible ;
  • configurez votre client de messagerie pour lire tous vos courriers électroniques au format texte ;
  • configurez votre navigateur Internet pour qu'il n'interprète pas les ActiveX, Java et le Javascript par défaut ;
  • consultez le code source du courrier électronique pour vérifier les adresses incluses dans les liens HTML.

4 Rappel des avis émis

Durant la période du 01 au 07 décembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-518 : Vulérabilité dans KOffice
  • CERTA-2006-AVI-519 : Vulnérabilité de Kronolith
  • CERTA-2006-AVI-520 : Vulnérabilité Novell
  • CERTA-2006-AVI-521 : Vulnérabilité dans F-Secure Antivirus et F-Secure Internet Gatekeeper
  • CERTA-2006-AVI-522 : Multiples vulnérabilités de Xerox WorkCenter
  • CERTA-2006-AVI-523 : Vulnérabilité du logiciel GnuPG
  • CERTA-2006-AVI-524 : Multiples vulnérabilités de ProFTPD
  • CERTA-2006-AVI-525 : Vulnérabilité dans Novell ZENworks Asset Management
  • CERTA-2006-AVI-526 : Vulnérabilités dans SquirrelMail
  • CERTA-2006-AVI-527 : Vulnérabilités dans F-Prot Antivirus pour UNIX
  • CERTA-2006-AVI-528 : Vulnérabilité dans Sun Java System
  • CERTA-2006-AVI-529 : Vulnérabilités dans IBM Tivoli
  • CERTA-2006-AVI-530 : Vulnérabilité dans Ruby
  • CERTA-2006-AVI-531 : Vulnérabilité dans Novell ZENworks Patch Management
  • CERTA-2006-AVI-532 : Vulnérabilité de Citrix
  • CERTA-2006-AVI-533 : Multiples vulnérabilité du produit Trend Micro Office Scan
  • CERTA-2006-AVI-534 : Vulnérabilités dans SAP Internet Graphics Service
  • CERTA-2006-AVI-535 : Vulnérabilité de Adobe Download Manager
  • CERTA-2006-AVI-536 : Vulnérabilité dans Barracuda Spam Firewall
  • CERTA-2006-AVI-537 : Vulnérabilité dans les pilotes de cartes réseau Intel
  • CERTA-2006-AVI-538 : Vulnérabilité dans Novell Client

Gestion détaillée du document

08 décembre 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012