Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2007-ACT-005

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 02 février 2007
No CERTA-2007-ACT-005

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-05

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-005

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-005.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-005/

1 Activités en cours

1.1 Cacti

Réactivité des attaques suite à l'apparition d'une vulnérabilité :

Le 02 janvier 2007 nous avons publié un avis de sécurité (http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-001) concernant une vulnérabilité du logiciel Cacti. Cacti est un logiciel de supervision de l'activité de l'architecture informatique. Ce logiciel était vulnérable à des attaques par injection de requêtes SQL.

L'analyse des fichiers journaux d'un serveur, montre, dès le 29 décembre 2006, des tentatives de connexion à un service Cacti. A partir du 26 janvier 2007, le serveur recevait directement des tentatives d'injection de requêtes SQL, tentant d'exploiter la vulnérabilité de Cacti.

Le CERTA rappelle que la surveillance des fichiers journaux doit faire partie des pratiques naturelles lors de l'exploitation des serveurs. Dès l'apparition d'une vulnérabilité, celle-ci est rapidement exploitée et intégrée dans des outils de balayage, ou scan. Les avis de sécurité du CERTA indiquent où trouver les correctifs de sécurité. Les tentatives d'exploitation de la vulnérabilité doivent être attentivement surveillées au niveau des journaux. Ceux-ci doivent alors être appliqués une fois validés.

2 La reconnaissance vocale sous Windows Vista

2.1 Présentation

Cette semaine, une version du système d'exploitation de Microsoft Windows, nommée Vista, est apparue dans le commerce en France.

Elle offre plusieurs fonctionnalités, dont l'une faisait grand bruit médiatique, avant même sa sortie : il s'agit de la reconnaissance vocale, ou Speech Recognition.

Ce service permet avec la voix et l'aide d'un microphone, de lancer des commandes, ouvrir des applications, écrire des documents, etc.

Il ne nécessite pas un étalonnage très strict, ce qui présente moins de contraintes liées à l'utilisation.

Le service n'est pas activé par défaut à l'installation de Windows Vista. Il le sera après sa configuration par

démarrer => Tous les programmes => Accessoires =>

Options d'ergonomie => Reconnaissance Vocale de Windows.

Une vulnérabilité a été identifiée cette semaine, associée à ce service. Il prendrait en compte le signal restitué par les haut-parleurs. Des exemples ont montré qu'il était possible, lors de la navigation sur une page Web pointant vers des fichiers contenant du son, d'exécuter des commandes sur la machine, à l'insu de l'utilisateur.

Cette vulnérabilité, déjà rencontrée sous un autre système d'exploitation, permettrait à une personne malveillante d'exécuter des commandes, soit par le biais de fichiers audio diffusés (envoyés par courrier électronique, téléchargés, etc.), soit au cours de la visite de pages Web.

Cette vulnérabilité n'est pas, à la date de la publication de ce bulletin, corrigée par l'éditeur Microsoft.

2.2 Recommandations du CERTA

Le CERTA rappelle à cet égard quelques bonnes pratiques qui restent valables :

  • Vérifier que la reconnaissance vocale est désactivée par défaut : elle se manifeste par l'entrée sapisvr.exe dans le gestionnaire de tâches.
  • Désactiver, ou mieux, débrancher le microphone quand celui-ci n'est pas nécessaire ;
  • Naviguer sur des sites de confiance, avec un navigateur correctement configuré (par défaut, l'interprétation des codes ActiveX, Java et Javascript doit être désactivée) ;
  • N'ouvrir que des documents de confiance ;
  • Avoir un système et un antivirus mis à jour ;
  • Ouvrir par défaut une session sans droit d'administration particulier.

De manière générale, il est toujours préférable, en terme de sécurité du moins, de patienter un peu avant de se lancer dans l'installation opérationnelle d'un produit « tout beau tout neuf », qu'il s'agisse d'un système d'exploitation, d'un navigateur, ou d'un autre logiciel.

3 Les systèmes d'exploitation sur appareil mobile

3.1 Le problème

Il existe de nombreux dispositifs nomades (téléphone mobile, assistant personnel numérique, etc.) qui utilisent des systèmes d'exploitation, comme par exemple Microsoft Windows Mobile, Symbian, PalmOS, Linux. Il s'agit de versions adaptées au matériel.

De la même manière que leur grand frère sur PC, ces systèmes d'exploitation embarqués peuvent également souffrir de vulnérabilités. Si la procédure de mise à jour est très souvent automatique dans un cas, elle l'est beaucoup moins dans l'autre.

Les éditeurs ne corrigent pas systématiquement les vulnérabilités affectant les systèmes d'exploitation pour appareil mobile ; ou sinon, suite à une mise à jour corrigeant une liste cumulée de failles, cela peut impliquer une réinstallation complète du système. Dans cette dernière situation, il se peut aussi que l'appareil perde sa guarantie, plaçant l'utilisateur dans un cruel dilemme.

Dans tous les cas, la mise à jour de ces systèmes d'exploitation est un problème complexe pour l'utilisateur.

A valeur d'illustration, deux vulnérabilités, affectant Microsoft Windows Mobile 5.0, Windows 2003 et Windows CE, ont été annoncées cette semaine. Elles permettraient à un utilisateur distant malintentionné de provoquer un déni de service de l'appareil. Par exemple, certaines images au format .JPEG construites de manière spéciale pourraient, par le biais de l'application Images & Vidéos, bloquer l'utilisation normale de l'appareil pendant plusieurs minutes.

Ces éléments réunis font que cette catégorie d'appareil mobile, vulnérables et aux mises à jour hasardeuses ou inexistantes, présentent un risque conséquent pour les systèmes d'informations auxquels ils sont connectés, quelles qu'en soient les motivations :

  • pour synchroniser l'agenda ou sa liste de contacts ;
  • pour télécharger et mettre à jour un ensemble de documents ;
  • pour lire des fichiers multimédias audio ou vidéos ;
  • pour installer de nouvelles applications ;
  • etc.

Ce problème doit être pris en considération dans la politique de sécurité des systèmes d'information.

3.2 Documentation

4 Problèmes de configuration

Une récente vulnérabilité dans Cisco IOS permet à un utilisateur malintentionné de provoquer un déni de service au moyen d'un paquet SIP (pour Session Initiation Protocol) malformé. Cette vulnérabilité n'affecte que les équipements qui offrent le support du protocole SIP avec une configuration par défaut. Cette vulnérabilité ne toucherait pas les périphériques dont le service a été correctement configuré.

Tout service offert pas un système d'information doit avoir été configuré au préalable, ou il n'a pas raison d'être. Les configurations par défaut sont parfois beaucoup trop laxistes en matière de sécurité : on y retrouve des comptes par défaut, des mots de passe par défaut, des interface(s) et/ou port(s) d'écoute(s) par défaut, etc. De tels services ainsi configurés, souvent par facilité ou par négligeance, offrent une très bonne opportunité à un utilisateur distant malintentionné de compromettre un système d'information.

5 Month Of Apple Bugs

Voici pour cette semaine les vulnérabilités sur les produits Apple publiées par le projet « Month Of Apple Bugs » :

  • Une vulnérabilité le système d'installation de logiciel de Apple MacOS X permettrait de provoquer un déni de service ou léxécution de code arbitraire ;
  • une erreur dans la mise en \oeuvre de la fonctionnalité Bonjour de iChat permettrait de provoquer un déni de service à distance.

5.1 Réflexions sur la visite de sites

De manière générale, il est à noter que la consultation de sites relevant de la mise à disposition de codes de démonstration comme le projet « MOAB » doit être à éviter. En effet, la vulnérabilité testée par le code mis à disposition peut cacher l'exploitation d'une autre faille non documentée et dont la finalité ne sera pas forcement le simple « test » de vulnérabilité. Il convient donc d'être très prudent vis-à-vis de ce type de sites.

De la même façon, le site hébergeant le code de démonstration ou d'exploitation peut lui-même contenir du code malveillant. Ce cas s'est produit au cours du projet « MOAB », où une image jpeg2000 spécialement construite perturbait le navigateur Safari, à l'ouverture de la page Web. Celle-ci contenait les lignes suivantes :

 <_img src="bug-files/heat-up.jp2" alt="" height="1" width="1" />
<!-- Never use the macbook at bed again when browsing the MoAB ... -->

6 Rappel des avis émis

Durant la période du 26 janvier au 01 février 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-056 : Vulnérabilité du serveur DNS BIND
  • CERTA-2007-AVI-057 : Vulnérabilités sur Hitachi Web Server
  • CERTA-2007-AVI-058 : Vulnérabilités sur CA firewall
  • CERTA-2007-AVI-059 : Vulnérabilité dans Trend Micro VirusWall
  • CERTA-2007-AVI-060 : Vulnérabilité dans PHP
  • CERTA-2007-AVI-061 : Vulnérabilité de Drupal

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2007-AVI-001-001 : Vulnérabilités dans Cacti

    (ajout des références aux bulletins de sécurité de Suse, Mandriva et Debian)

  • CERTA-2007-AVI-002-001 : Vulnérabilité dans VLC media player

    (ajout des références aux bulletins de sécurité de Gentoo et Debian)

  • CERTA-2007-AVI-020-001 : Multiples vulnérabilités dans Fetchmail

    (ajout des références aux bulletins de sécurité Gentoo, Mandriva et Ubuntu)

  • CERTA-2007-AVI-025-002 : Multiples vulnérabilités de Xorg

    (ajout des références aux bulletins de sécurité Gentoo et Debian)

  • CERTA-2007-AVI-035-001 : Vulnérabilités de Squid

    (ajout des références aux bulletins de sécurité de Suse, Mandriva et Ubuntu)

  • CERTA-2007-AVI-055-002 : Vulnérabilité de GTK2

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2007-AVI-056-004 : Vulnérabilité du serveur DNS BIND

    (ajout de la référence au bulletin de sécurité Fedora)

Et l'alerte suivante a été modifiée :

  • CERTA-2006-ALE-014 : Vulnérabilités dans Microsoft Word

    (annonce d'une nouvelle vulnérabilité par Symantec et ajout des références au bulletin de sécurité Microsoft)

Gestion détaillée du document

02 février 2007
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 25/05/2012