Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2007-ACT-011
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 16 mars 2007 No CERTA-2007-ACT-011 |
Affaire suivie par :
CERTA
Objet : Bulletin d'actualité
2007-11
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-011 |
Une gestion de version détaillée se trouve à la fin de ce document.
Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-011.pdf
Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-011/
Le CERTA a traité cette semaine plusieurs incidents concernant des serveurs web, suite à l'exploitation de vulnérabilités du logiciel PMB (appelé également PhpMyBibli).
Ce logiciel libre français de gestion de bibliothèque a fait l'objet de deux avis du CERTA cette semaine (CERTA-2007-AVI-117 et CERTA-2007-AVI-128).
Historique rapide :
Le 9 mars 2007, des sites Internet publient des informations permettant :
Quelques heures après, des sites web d'administrations nationales et locales sont défigurés. Le traitement de l'une de ces défigurations a révélé une compromission plus grave, avec l'installation de plusieurs outils sur le serveur, destinés à :
Un autre incident, remonté par un correspondant du CERTA, a montré que le serveur compromis a servi à transmettre des courriels à des internautes pour les inciter à se connecter à un site frauduleux.
La connexion à ce dernier provoquait le chargement sur le poste de l'internaute d'un cheval de Troie, reconnu par peu d'antivirus, et la possible intégration du poste infecté à un botnet.
Le CERTA a émis un premier avis (CERTA-2007-AVI-117), l'éditeur ayant corrigé une vulnérabilité. Ce correctif s'est révélé insuffisant. Le travail concerté avec un ministère et avec l'éditeur a conduit à colmater d'autres brèches dans le logiciel. Un second avis (CERTA-2007-AVI-128) indique la version qui pare aux attaques utilisées cette semaine.
D'autres attaques plus discrètes, avec utilisation des serveurs compromis, ont pu avoir lieu.
Ces incidents prouvent une fois encore que :
Le CERTA a été informé de l'infection de nombreuses machines par un code malveillant appelé SpamThru par certains éditeurs d'antivirus. Ce code malveillant a pour effet, entre autres, de transformer la machine infectée en robot de spam. La détection des machines infectées se fait essentiellement par l'analyse du trafic réseau. En effet, celles-ci tentent de se connecter par HTTPS (port 443/tcp) à quelques serveurs spécifiques afin de télécharger d'éventuelles mises à jour et les messages à propager (spam).
Les machines infectées sont également susceptibles d'engendrer un important trafic SMTP.
Il est recommandé de vérifier qu'aucune connexion ne s'effectue vers des serveurs de messagerie non légitimes (trafic SMTP) et qu'aucune machine n'est à l'origine d'un envoi massif de messages électroniques.
Cette semaine, le CERTA a traité une compromission de site internet. Le site était hébergé dans un serveur web mutualisé sur lequel il n'y avait pas suffisament de cloisonnement. L'un des sites des clients de ce serveur était vulnérable à des attaques de type PHP INCLUDE. La personne malveillante, ayant réussi à avoir accès au serveur, a pu compromettre l'ensemble des sites hébergés sur la machine. De plus, les fichiers journaux de chaque site web étaient stockés dans la même arborescence. Le malfaiteur, avant de quitter le serveur, a pu sans difficulté supprimer tous les fichiers journaux de la machine.
Le CERTA rappelle à cette occasion le besoin de déporter régulièrement les fichiers journaux sur une autre machine afin de ne pas risquer de perdre l'ensemble des informations en cas de panne ou de compromission.
Une vulnérabilité a été publiée cette semaine, à propos d'Internet Explorer 7. Elle n'est pas encore corrigée, mais pourrait être utilisée dans le cadre d'attaques par filoutage (phishing). En voici les détails :
Lorsqu'une tentative d'accès à une page Web, par exemple http://www.certa.ssi.gouv.fr échoue, le navigateur affiche une page par défaut, avec un lien vers la page inaccessible pour réessayer ultérieurement. Cela se présente alors sous la forme :
res://ieframe.dll/navcancl.htm#http://www.certa.ssi.gouv.fr
Internet Explorer 7 n'affichera que http://www.certa.ssi.gouv.fr dans la barre d'adressage. Cette technique peut donc être utilisée pour une attaque par filoutage. Le site de filoutage se trouve localement sur la machine. Il suffit alors de forcer la personne à cliquer sur un lien de type res://ieframe.dll/navcancl.htm#, pour la rediriger vers une page d'erreur, puis la page falsifiée du site de filoutage.
Cette attaque nécessite plusieurs conditions, comme une modification de la page navcancl.htm et des actions de l'utilisateur. Cependant, le scénario peut très bien survenir dans un environnement qui n'est pas de confiance, sur une machine tierce (cyber-café, ordinateurs partagés, etc.).
Dans l'attente d'un correctif pour Internet Explorer 7, il est recommandé de :
Le CERTA a été informé de nouvelles variantes dans les arnaques par filoutage (ou phishing) sur Internet. Le principal intérêt du filoutage est de récupérer des informations confidentielles, notamment bancaires à l'insu des victimes. Des variantes peuvent exister, par exemple une victime reçoit dans sa messagerie électronique un courrier de confirmation de son inscription payante à un site pour adultes. Le courrier l'informe du montant de son inscription, de ses identifiants de connexions (nom d'utilisateur et mot de passe) ainsi que du moyen de stopper les prélèvements sur son compte bancaire (en entrant ses coordonnées bancaires sur le site frauduleux). Par ce moyen, les auteurs de cette arnaque espèrent que des victimes rentreront leur coordonnées bancaires mais également que certaines d'entre elles essayeront de se connecter sur le site pour adulte avec les identifiants fournis. Si des victimes s'exécutent, il est à parier qu'elles recevront dans les prochains jours des courriers non solicités (SPAM) concernant des sites pour adultes.
Depuis la version 2.0 de Mozilla Firefox, le navigateur permet d'alerter l'utilisateur, au moyen d'un message visuel, lorsqu'il navigue sur un site suspecté d'être un site de phishing.
Une vulnérabilité non corrigée permet à un utilisateur malintentionné de contourner cette protection en ajoutant dans l'adresse réticulaire des caractères slash ('/') multiples. Le message d'alerte visuel n'apparaît alors plus à la victime.
Exemple : http://example.phishing.dot////sitefraduleux/
Il est donc important de vérifier, dans l'attente d'un correctif, que de telles URL n'apparaissent pas au niveau de serveurs proxy.
Le CERTA a publié l'avis CERTA-2007-AVI-113 concernant OpenBSD. Le problème provient initialement d'une vulnérabilité au niveau d'un tampon (mbuf). Ce dernier est utilisé pour manipuler les données IPv6, et un code d'exploitation a démontré qu'il était possible, en adressant un paquet spécialement construit au système vulnérable, d'exécuter du code arbitraire à distance sur celui-ci. Plus précisément, le débordement de tampon survient après la réception de paquets ICMPv6 fragmentés.
Cette vulnérabilité a fait grand bruit pour plusieurs raisons, la principale étant la configuration par défaut d'un système OpenBSD : le noyau dit GENERIC active IPv6, et le pare-feu pf d'OpenBSD ne filtre aucun paquet IPv6 arrivant sur les interfaces du système.
Cette vulnérabilité, qui ne serait pas toute récente, a poussé les développeurs d'OpenBSD à modifier leur fameuse phrase de bienvenue sur leur site : "Only one remote hole in the default install, in more than 10 years!" par "Only two remote holes in the default install, in more than 10 years!"
Un correctif provisoire est actuellement disponible, ainsi que des contournements pour filtrer le trafic IPv6.
http://www.coresecurity.com/?action=item&id=1703
ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/010_m_dup1.patch
Le CERTA a également publié cette semaine l'avis CERTA-2007-AVI-120, concernant une vulnérabilité de la fonction ipv6_getsockopt_sticky, qui se trouve dans les noyaux Linux (net/ipv6/ipv6_sockglue.c). Tout noyau ayant une version antérieure à la 2.6.20.2 serait potentiellement vulnérable. L'exploitation, qui peut se faire localement, permet à une personne malveillante d'accéder à une partie de la mémoire et d'élever ses privilèges.
Le code d'exploitation est disponible publiquement. Le problème vient du fait qu'IPv6 est activé par défaut dans la plupart des distributions Linux récentes.
Les évènements de cette semaine montrent bien toute l'ambiguïté d'IPv6. Les nouveaux protocoles s'imposent d'eux-même dans les systèmes d'exploitation récents, alors que deux problèmes subsistent :
uvre ne sont pas nécessairement
très fiables.Le CERTA avait publié en 2006 une note d'information concernant IPv6. La section 6.2 a été enrichie cette semaine, pour apporter quelques méthodes de désinstallations. Des règles de filtrage sont également explicitées.
Quand l'occasion se présente, le CERTA conseille de désactiver par défaut l'exécution de codes (scripts, applets, ActiveX, etc.). Cela est valable pour les codes Javascript interprétés dans les navigateurs les plus courants (Firefox, Internet Explorer).
Le CERTA tient à attirer l' attention sur le fait que Javascript est de plus en plus utilisé et intégré à d'autres formats de données que les pages HTML. Ainsi, le bulletin d'actualité du CERTA de la semaine dernière (CERTA-2007-ACT-010) mentionnait l'interprétation du javascript par Adobe Acrobate Reader, ce qui a induit une faille dans ce logiciel, exploitée par un code disponible sur l'Internet.
Cette semaine, le logiciel Quicktime est à l'honneur. Un cheval de Troie nommé JS/SpaceTalk Trojan a été découvert, se présentant sous la forme d'un fichier vidéo au format .mov. Il rappelle brutalement que ce format peut intégrer du code Javascript. Cette propriété se nomme HREF track chez Apple et sera également reconnue sous iTunes.
Ces trois logiciels ne semblent pas être les seuls à interpréter ce langage, qui peut aussi être intégré insidieusement dans des formats flash ou MP3. Il semblerait que d'autres logiciels interprétent le Javascript : lecteurs audio, lecteurs videos, lecteurs Flash, lecteurs PDF, ... Plus important, certains logiciels ne proposent même pas à l'utilisateur de désactiver l'interprétation automatique de ce langage.
Face à ce problème, le CERTA recommande à ses lecteurs la plus grande vigilance envers les logiciels qu'ils emploient. Il convient de désactiver le support du javascript quand c'est possible, et de migrer vers un logiciel alternatif lorsque la désactivation n'est pas possible.
Une bonne pratique consiste à regarder attentivement les options de configuration, avant toute utilisation d'une nouvelle application, aussi réputée soit-elle.
Les versions anglaises des services packs 2 pour Windows Server 2003 version 32 bits et Windows XP Professionel version 64 bits ont été publiés respectivement le 12 et 13 mars 2007. Les versions françaises ne sont pas encore disponibles.
Cette mise à jour comporte de nombreux correctifs, dont 51 de sécurité, et quelques améliorations, parmi lesquelles :
Attention toutefois, cette mise à jour désinstalle certains « hotfixes » précédemment installés qu'il faudra réinstaller par la suite. Un utilitaire développé par Microsoft est disponible pour les identifier avant ou après la mise à jour.
Durant la période du 08 au 15 mars 2007, le CERTA a émis les avis suivants :
Pendant la même période, les avis suivants ont été mis à jour :
(ajout des références à Red Hat, Sun, SuSE, Gentoo)
(ajout de la référence SuSE)
(ajout des références Debian, SuSE et Gentoo)
(ajout des mises à jour de sécurité Gentoo, Fedora, Mandriva, Red Hat)
(ajout de la référence au correctif pour Gentoo)
(ajout des références aux mises à jour de sécurité Ubuntu, Gentoo, SuSE, Mandri va)
(ajout du caractère distant de la vulnérabilité via un paquet ICMPv6)
(ajout des références aux mises à jour de Fedora et Red Hat)