S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 25 mai 2007 No CERTA-2007-ACT-021

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-21

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-021.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-021/

1 Les incidents traités cette semaine

1.1 Incidents liés à une récente vulnérabilité dans Dokeos

Les 23 et 24 mai 2007, des outils permettant d'exploiter une vulnérabilité non corrigée des versions 1.6.5 et 1.8.0 de Dokeos ont été publiés. Cette vulnérabilité est de type SQL injection et permet d'obtenir les droits de l'administrateur de la base de données. Un attaquant peut ainsi facilement modifier l'aspect de l'interface Dokeos, notamment en ajoutant des images et du texte. L'attaquant doit disposer d'un SESSION_ID pour réaliser son attaque. Ceci peut être facilement obtenu en créant un compte utilisateur.

Le CERTA recense déjà 3 attaques sur des sites Dokeos 1.6.5 survenues le 25 mai 2007. Les traces laissées dans les journaux sont assez caractéristiques :

access_log-20070525.gz:IP_attaquant - - [25/May/2007:00:31:24 +0200] 
"GET /dokeos/claroline/tracking/courseLog.php?scormcontopen=-999)
%20UNION%20SELECT%20CONCAT[...]
HTTP/1.1" 200 3375 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"

Ces attaques peuvent être facilement mises en évidence à l'aide de commandes telles que :

grep "=-999" access_log

Dans les cas traités par le CERTA, l'attaquant avait recherché, à l'aide du moteur Google, les sites utilisant Dokeos en version 1.6.5. Il est donc fortement conseillé aux administrateurs d'effectuer ce type de recherche (sur les versions 1.6.5 et 1.8.0) sur les réseaux qui sont sous leur responsabilité.

En l'absence de correctif pour cette vulnérabilité, le CERTA recommande de désactiver les pages Dokeos.

1.2 La navigation et la confiance

Cette semaine, le CERTA a traité un incident qui montre l'intérêt de suivre les indications relatées dans ses différentes publications. En effet, l'analyse d'une machine a permis de mettre en évidence son infection par un enregistreur de frappes clavier (keylogger, cf. CERTA-2006-INF-002).

Le propriétaire de la machine a enchainé plusieurs erreurs issues d'un manque de précaution. Tout d'abord, il est allé consulter un site n'offrant pas toutes les garanties de confiance, tout en ayant autorisé l'interprétation de javascript. Malheureusement, ce site contenant un script hostile qui, une fois exécuté, cherche et installe un logiciel malveillant contenant un cheval de troie et un enregistreur de frappes du clavier. Cet utilisateur ne disposant pas de logiciel antivirus, l'installation du code malveillant n'a pas rencontré de problème.

L'effet néfaste d'un tel logiciel est qu'il est spécialement et exclusivement conçu pour enregistrer tout ce qui se fait sur un ordinateur, et transmettre ces informations à une personne tiers qui en fera par la suite usage suivant leur nature :

• informations à caractère personnel (formulaires en ligne, ...);
• informations bancaires (code de carte bleue, RIB, mot de passe d'accès à une gestion de compte en ligne, ...) ;
• informations autres (messages électroniques, documents de travail, ...).

Un tel incident aurait pu être évité en respectant des règles simples de comportement vis-à-vis de l'outil informatique :

• éviter de naviguer sur des sites qui n'inspirent pas une totale confiance ;
• désactiver l'interprétation de contenu dynamique par défaut (javascript, java, ActiveX, etc.), et ne réactiver cette possibilité qu'en cas de nécessité et sur un site de confiance ;
• éviter de cliquer sur des contenus suspects (liens HTML dans une page web ou dans un courriel, pièces jointes, ...) ;
• en complément, installer un logiciel antivirus et le mettre régulièrement à jour.

2 Quelques remarques pour les technologies sans-fil

2.1 Les pilotes de cartes sans-fil

Le CERTA a publié cette semaine l'avis CERTA-2007-AVI-223, concernant plusieurs vulnérabilités des pilotes Linux MadWifi. Certaines de ces vulnérabilités sont assez triviales à exploiter, car elles se limitent à envoyer un simple paquet « dans les airs ». Lorsque la trame est reçue par l'interface vulnérable, le passage des données au niveau des pilotes compromet la machine, avec les droits du pilote, i.e. ceux du système. Dans un autre cas, l'exploitation de la vulnérabilité a pour conséquence de rendre indisponible la connexion sans-fil jusqu'au redémarrage du service, voire du système.

Le CERTA a mentionné dans quelques bulletins d'actualité fin 2006 d'autres vulnérabilités impliquant des pilotes différents. Dans tous les cas, les remarques suivantes restent valables :

• les attaques sont simples à mettre en uvre, et se limitent souvent à lancer une unique commande. Les détails intrinsèques de la vulnérabilité n'ont pas besoin d'être assimilés pour la réussite de l'exploitation ;
• les trames malveillantes sont difficilement détectables ;
• les paquets émis peuvent l'être à une distance importante, et il est possible de « tricher » sur les puissances d'émission ;
• les solutions de sécurité les plus courantes (WPA, IPsec par exemple) ne protègent pas de cette classe d'attaque, qui a lieu à un niveau protocolaire plus bas ;
• les mises à jour de pilotes sont souvent complexes, lorsqu'elles sont disponibles. Plusieurs systèmes utilisent de telles technologies (assistants personnels, disques durs externes, supports multimédia, etc.), mais qu'en est-il exactement de leurs mises à jour ?

Les motivations peuvent également être très variées :

• augmenter ses privilèges jusqu'au droit d'administration de la machine ;
• se servir du système vulnérable comme porte d'entrée à un réseau ;
• accéder aux données ;
• rendre le système inaccessible.

Quand plusieurs solutions reposent sur une telle technologie, il est important qu'elles n'en oublient pas les caractéristiques et les limites. Le sans-fil offre un accès difficilement maîtrisable à des interfaces. Cette problématique reste valable pour d'autres technologies comme le Bluetooth.

2.2 Les chevaux de Troie sur appareil mobile

Un éditeur d'antivirus a publié un article portant sur un nouveau code malveillant destiné au système d'exploitation Symbian. Généralement, ce système d'exploitation est utilisé sur certains téléphones portables.

Les codes malveillants affectant ce système d'exploitation tentent en général de se propager depuis l'équipement mobile au moyen de ses interfaces de communication, notamment via Bluetooth, ce qui limite la propagation de ce type de code malveillant. Ce dernier code malveillant est rendu disponible sur l'Internet par ses créateurs afin d'augmenter sa propagation (« Cheval de Troie »).

Il existe deux manières principales d'analyser un équipement mobile :

• installer une solution antivirale destinée au système d'exploitation, en l'occurrence Symbian ;
• synchroniser son équipement mobile avec son ordinateur personnel qui devra disposer d'une solution antivirale permettant l'analyse de tels appareils.

Il faut cependant considérer que la propagation de tels codes est souvent limitée, et que plusieurs variantes peuvent être méconnues des solutions antivirales basées sur des signatures. Par ailleurs, nettoyer le système mobile après l'infection n'est pas une opération toujours aisée.

Ces solutions sont relativement inefficaces. Actuellement, les meilleures pratiques recommandent de stocker peu d'informations sensibles sur un téléphone portable.

3 Les outils de travail à distance

Plusieurs articles sont apparus ces dernières semaines, vantant les mérites de nouvelles solutions offertes pour travailler à distance. Celles-ci fonctionnent sur le principe du « partage de contenu sur l'Internet ». Elles se présentent par exemple sous la forme suivante :

chaque utilisateur d'un même groupe partage un espace sur un site Internet. Ce site héberge leur informations personnelles, et notamment le suivi des modifications de projets (semblables aux solutions cvs - Concurrent Versions System) , leurs messages électroniques, leurs emplois du temps, etc. L'espace offert peut être important (plus de 50GB), et une conservation des interventions de chaque participant est activée. Pour plaire au plus grand nombre, les utilisateurs sont également accueillis par une page pouvant intégrer les divers logos et signes distinctifs du groupe ou de la société qui décide de l'utiliser. Sur leurs postes clients, ils peuvent également installer un logiciel, qui les prévient régulièrement des mises à jour.

Cependant, les articles oublient souvent de mentionner quelques problèmes de sécurité, qu'il est important de prendre en compte :

• l'ensemble des données, mais aussi des actions, du groupe de travail se trouvent hébergées chez une machine tiers, et éventuellement à l'étranger. Celle-ci n'apporte aucune garantie sur les moyens mis en uvre pour protéger la confidentialité et l'intégrité des données.
• il peut se produire un déséquilibre, entre l'effort mis d'une part pour sécuriser le réseau administré, et la volonté explicite d'autre part d'exporter un maximum d'informations et de données par le biais de ce logiciel. Connaître les emplois du temps, les relations entre personnes, leurs contributions aux différents projets sont autant d'informations qui peuvent ensuite être exploitées à des fins malveillantes (courriers ciblés de phishing, tentatives d'ingénierie sociale, etc.) ;
• le logiciel implique (c'est aussi son argument de vente) une connexion permanente entre les machines de l'utilisateur et le site de partage. Ce dernier doit donc être en mesure de contacter les machines clientes quand une intervention du groupe est faite. Comment cela est-il géré au niveau des pare-feux locaux ? Très souvent, de tels logiciels ajoutent des exceptions, ouvrant un accès supplémentaire à la machine de l'utilisateur. L'authentification est-elle robuste ?

L'objectif n'est pas ici de dénigrer de telles solutions, mais d'insister sur le fait que des problèmes de sécurité peuvent apparaître avec leurs utilisations. L'utilisateur doit donc rester vigilant, malgré les éloges publiées dans certains magazines. Le CERTA recommande également aux administrateurs de sensibiliser les utilisateurs à ces problématiques et vérifier régulièrement dans leurs journaux que des connexions depuis leur réseau vers de tels sites de partage de travail n'apparaissent pas.

4 Publications de Microsoft : MOICE

Microsoft a publié cette semaine deux mises à jour qui sont de simples corrections de bogues et non des correctifs de sécurité.

La première concerne une correction dans le système d'analyse des mises à jour déjà présente sur le système qui pouvait dans certaines conditions cesser de répondre. La seconde concerne l'installation d'un outil permettant de convertir des documents Microsoft Office 2007 avec la suite Office 2003 de façon sécurisée. Ainsi, selon Microsoft, ce système nommé MOICE (Microsoft Office Isolated Conversion Environment) permet d'effectuer la conversion dans un contexte limité réduisant ainsi les possibilités qu'un éventuel document construit d'une façon particulière exécute du code arbitraire.

5 Rappels sur la vulnérabilité ANI

La vulnérabilité ANI, qui a fait l'objet de l'alerte CERTA-2007-ALE-008, est corrigée depuis le 03 avril 2007. Pour rappel, elle permet l'exécution de code arbitraire à distance au moyen d'un fichier de données animées spécialement construit. Ceci ne nécessite aucune interaction de la part de l'utilisateur car les navigateurs interprètent directement ces types de fichiers.

Du code d'exploitation circule massivement sur l'Internet, profitant de la vulnérabilité pour installer des chevaux de Troie (par exemple sous la forme de keyloggers). Même si le correctif est disponible, il faut savoir que tout nouvel ordinateur, notamment sous Windows Vista, est vulnérable lors de son premier démarrage. Il est également vulnérable aux autres failles dernièrement corrigées par Microsoft et donc publiques. Ceci est d'autant vrai que les antivirus pouvant être inclus avec la solution commerciale ne sont également pas à jour avant la première connexion.

Il faut donc faire très attention à effectuer les mises à jour du système d'exploitation dès la première utilisation de l'ordinateur et sa connexion à l'Internet. Parmi les actions dangereuses, il y a :

• la navigation vers des sites Web autres que celui de Microsoft Update ;
• le branchement de supports multimédia (clés USB, disques durs externes, lecteurs de musique, etc.) ;
• l'installation de logiciels annexe comme ceux de messagerie instantanée ;
• l'utilisation d'un client de messagerie pour recevoir et lire le courrier.

5.0.1 Liens utiles

• Alerte CERTA-2007-ALE-008 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-008/CERTA-2007-ALE-008.html
  

  -
• Avis CERTA-2007-AVI-156 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-156/CERTA-2007-AVI-156.html
  

6 Rappel des avis émis

Durant la période du 18 au 24 mai 2007, le CERTA a émis les avis suivants :

• CERTA-2007-AVI-221 : Vulnérabilité dans Norton Personal Firewall 2004
• CERTA-2007-AVI-222 : Vulnérabilités dans MySQL
• CERTA-2007-AVI-223 : Vulnérabilités dans les pilotes sans-fil MadWifi
• CERTA-2007-AVI-224 : Multiples vulnérabilités dans des produits Cisco
• CERTA-2007-AVI-225 : Vulnérabilité dans Vim
• CERTA-2007-AVI-226 : Vulnérabilité dans FreeType
• CERTA-2007-AVI-227 : Vulnérabilité dans Opera

Gestion détaillée du document

25 mai 2007

version initiale.