CERTA

Centre d'Expertise gouvernemental de
Réponse et de Traitement des Attaques informatiques

Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

Recherche

Rechercher un document

Les documents du CERTA

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

Les Flux RSS du CERTA

Flux RSS complet
Flux RSS des alertes
Flux RSS SCADA

CERTA-2008-ACT-002

Communauté CERT

À propos du CERTA

Archives du CERTA

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 janvier 2008
N^o CERTA-2008-ACT-002

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-02

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-002

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-002.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-002/

1 Les lecteurs multimédia

Les lecteurs multimédia ont fait l'objet de beaucoup d'attention ces derniers jours, avant la publication de ce bulletin d'actualité. Un chercheur en sécurité a travaillé sur le protocole RTSP mis en $\oe$ uvre dans différents lecteurs multimédia et a publié certains codes d'exploitation pour les vulnérabilités découvertes. Voici un récapitulatif des différents risques et vulnérabilités récents relatifs à ces lecteurs.

1.1 QuickTime

Le CERTA a publié une alerte CERTA-2008-ALE-001 relative à une vulnérabilité dans Apple QuickTime. Cette vulnérabilité permet à un individu malveillant d'exécuter du code arbitraire à distance. Cette vulnérabilité peut être exploitée via un lien du type rtsp://serveur_malveillant/fichier.mp3. Le serveur de flux étant indisponible QuickTime bascule en HTTP et une page d'erreur spécialement conçue permet l'exploitation de la vulnérabilité du lecteur. Ces codes d'exploitation étant en circulation sur l'Internet, le CERTA recommande de vérifier que l'option de gestion des flux RTSP est bien désactivée dans QuickTime. Cette action permet d'éviter l'ouverture de QuickTime via un lien malveillant mais ne corrige aucunement la vulnérabilité. Un autre palliatif est d'utiliser un lecteur alternatif pour la lecture de ces flux.

1.2 RealPlayer

Une nouvelle vulnérabilité a été publiquement révélée cette semaine. Cette vulnérabilité de RealPlayer permet d'exécuter du code arbitraire à distance par un individu malveillant. Le code d'exploitation de cette vulnérabilité est disponible sur l'internet. Il est recommandé de ne pas ouvrir de fichier multimédia dont la provenance est incertaine. Une autre vulnérabilité, découverte en octobre 2007, est aussi en cours d'exploitation par des individus malveillants. Cette dernière à été corrigée provisoirement par un correctif additionnel pour la version 10.5, il est donc nécessaire d'installer ce correctif afin de limiter les risques de compromission. La version stable n'est pas corrigée, à la date de rédaction de ce bulletin.

1.3 la bibliothèque `xine-lib`

La bibliothèque xine-lib est elle aussi victime d'une vulnérabilité non corrigée de type exécution de code arbitraire à distance. L'exploitation de cette vulnérabilité peut s'effectuer via un serveur de diffusion de flux vidéo. Il est recommandé de ne pas se connecter à des serveurs non sûrs. Cette bibliothèque est entre autres utilisée par les lecteurs : xine, totem ou VLC.

1.4 Flash Cross Site Scripting

1.4.1 L'injection de code indirecte

Un attaque par injection de code indirecte, ou cross site scripting (XSS), consiste à faire exécuter du script sur le navigateur d'un internaute, et cela dans le contexte d'une page web tierce.

Le CERTA a publié à ce sujet la note d'information CERTA-2002-INF-001 :

http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/

1.4.2 Pourquoi le Flash est potentiellement vulnérable aux XSS ?

Les interfaces Flash, pour être plus que de simples animations, doivent offrir de l'interactivité. Pour cela elles utilisent sur un langage de script permettant de traiter et de réagir aux actions des internautes. Ce langage est Actionscript. Les programmes flash, en fonction de leur finalité et réalisation, peuvent accepter des arguments, passables via l'adresse (URL) d'appel. Par exemple :

        http://mon_site/afficher_text_en_gros.swf?var=le_texte_a_afficher

Si la variable le_texte_a_afficher n'est pas vérifiée, il est possible d'y passer du script qui sera exécuté dans le contexte de l'application afficher_texte_en_gros.swf

1.4.3 La problématique

La majorité des outils d'édition de sites Web, lors de la création de fichiers flash, y insèrent automatiquement de l'Actionscript. Ces fonctions, inconnues de la personne réalisant l'animation flash, sont identiques pour tout les programmes ayant été créés à l'aide du même outil, voire communes à plusieurs outils. Ces fonctions acceptant des paramètres, elles rendent de nombreux sites vulnérables. Une recherche sur Google permet d'identifier plusieurs milliers de sites hébergeant des fichiers Flash vulnérables à une attaque par injection de code indirecte.

1.4.4 Les solutions

Plusieurs éditeurs d'outils de réalisation de site Web ont déjà corrigé leurs solutions. Cependant, cela n'est pas suffisant. Il faut que ces nouvelles versions soient installées, et surtout que les Flash mis en ligne soient tous recréés. Plus drastiquement, il suffit de ne pas utiliser cette technologie pour réaliser un site. Au niveau des navigateurs, il est possible d'interdire simplement l'interprétation des fichiers SWF.

Le CERTA recommande de désactiver le Javascript et de ne pas installer de module permettant la lecture de Flash, et bien sûr de ne pas naviguer avec un compte aux droits administrateurs.

2 Storm Worm

Le CERTA a mentionné dans plusieurs bulletins d'actualité de l'année 2007 les évolutions du vers Storm Worm.

Dans le bulletin CERTA-2007-ACT-028, il est fait mention de son fonctionnement principal, qui s'appuie sur l'envoi de courriels pointant vers des adresses réticulaires (URL) dangereuses.

Le ver a connu un nouvel essor fin décembre 2007, avec les fêtes de Noël et de nouvel an. Le fonctionnement est très semblable, avec l'envoi de courriels aguicheurs contenant des liens vers des sites malveillants.

Quelques noms de domaine ont été liés à l'activité de Storm Worm pendant ces fêtes, en hébergeant notamment des fichiers dangereux :

merrychristmasdude.com
uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
hellosanta2008.com
happy2008toyou.com
freshcards2008.com
happysantacards.com
hohoho2008.com
parentscards.com
postcards-2008.com
santapcards.com
santawishes2008.com

Toute requête vers ces domaines, avec éventuellement dans l'adresse complète la mention d'un fichier exécutable, est suspecte. Il est donc vivement recommandé de vérifier au niveau des passerelles Web si de telles connexions sortantes sont visibles. Ces connexions révèleraient des machines en cours d'infection.

Des cas de filoutage viennent plus récemment d'être signalés. Ils impliquent des sous-ensembles de machines compromises par Storm Worm et visent des organismes bancaires étrangers.

Qu'il s'agisse de Storm Worm ne présente pas vraiment d'intérêt. Il faut noter que les deux vecteurs précédents, un courriel de filoutage ou un courriel contenant un lien vers du code cherchant à compromettre la machine, restent des méthodes pour piéger l'utilisateur. La meilleure protection reste donc la méfiance absolue vis-à-vis des courriels reçus. Par ailleurs, naviguer avec des droits d'utilisateurs limités empêche le code de s'installer correctement sur le système. Ces deux précautions ont l'avantage de ne pas dépendre de bases de signatures des antivirus.

3 L'injection d'ordre d'impression

L'injection d'ordre d'impression ou Cross Site Printing, est une technique qui peut être utilisée par des personnes malveillantes afin de lancer des commandes sur une imprimante simplement en invitant un utilisateur à visualiser une page web spécialement construite. D'un premier abord cette technique d'injection peut amener à sourire, toute fois avec le déploiement d'imprimantes multifonctions, cette technique peut permettre :

d'imprimer des documents ;
d'envoyer des télécopies ;
de modifier la configuration de l'imprimante ;
d'augmenter la crédibilité d'une attaque par ingénierie sociale ;
des fraudes à la surtaxation téléphonique ;
...

La plupart des imprimantes réseaux sont capables d'imprimer un document envoyé sur le port TCP 9100. La configuration par défaut de ces imprimantes n'exige pas de mot de passe lors de la connexion sur ce port. L'attaque consiste donc à amener l'utilisateur à visualiser une page spécialement construite incluant des directives de connexion sur le port 9100 de l'imprimante.

Plusieurs recommandations peuvent être appliquées pour réduire les possibilités d'attaque par injection d'ordre d'impression :

naviguer sur des sites de confiance ;
mettre en place un mot de passe administrateur sur les imprimantes ;
dans la mesure du possible limiter l'accès réseau des imprimantes aux seuls serveurs d'impression ;
dissocier les fonctions de télécopie et d'imprimante réseau en séparant les matériels.

4 Administration à distance et VNC

4.1 Présentation

VNC (Virtual Network Computing) est une suite logicielle permettant la connexion à distance sur des machines sous différents systèmes d'exploitation. Cette suite est composée d'une partie « serveur » installée sur la machine à administrer et d'une partie « cliente » installée sur une machine où l'on se connecte. Le principe de VNC est de permettre une connexion graphique à distance sur une machine. Ainsi, via le protocole VNC, il est possible d'accéder à un bureau sous Windows ou à un environnement graphique type GNOME ou KDE sous GNU/Linux.

Outre le fait que VNC puisse faire l'objet de failles, le CERTA attire l'attention sur le fait que ce protocole ne prévoit pas dans ses spécifications de fonctionnalités de chiffrement. Nativement, VNC « ne sait pas » chiffrer les connexions entre le serveur et le client. Il est donc possible à un attaquant d'utiliser des techniques d'interceptions pour connaître les activités réalisées sur le « serveur ». De la même façon, l'authentification auprès du serveur VNC ne met pas en $\oe$ uvre, elle non plus, de méthodes sûres garantissant la confidentialité des données de connexions. Elle ne met en $\oe$ uvre qu'un couple (nom d'utilisateur, mot de passe).

4.2 Recommandations

Si toutefois VNC est indispensable, il est recommandé de mettre en $\oe$ uvre une solution de chiffrement sous-jacente à VNC comme ssh ou IPSEC par exemple. Il est aussi envisageable de préférer une administration en ligne de commande en particulier sur les machines de type GNU/Linux ou UNIX. En tout état de cause, un serveur VNC ne devra jamais être mis en écoute sur l'Internet même pour des raisons de commodité.

Une autre recommandation est de ne pas laisser le serveur en fonctionnement permanent, si cela est possible.

5 Spoofing sous Mozilla Firefox

Une nouvelle vulnérabilité de type usurpation, ouspoofing, dans Mozilla Firefox a été publiée la semaine dernière par un chercheur. Un descriptif (le champ realm) spécialement conçu dans une authentification HTTP de type basic (identifiant / mot de passe) permet en effet de tromper un utilisateur en lui faisant croire qu'il s'authentifie sur un site légitime, alors qu'il est en fait sur un site malveillant qui peut capturer ses identifiants.

Quelques informations circulent à propos de cette faille, signalant que Firefox effectue un filtrage insuffisant en ce qui concerne les caractères espace et guillemet simple. Ces caractères sont toutefois acceptés selon la RFC2617 ; le problème est donc plutôt que Firefox présente les informations d'une mauvaise manière en insérant la source de la requête à la fin, ce qui peut être déroutant pour l'utilisateur.

La faille, proche du phishing, ne permet de piéger que des utilisateurs peu vigilants. Toutefois, certains vecteurs d'attaque existent, par exemple :

l'utilisation d'un script qui dirige un utilisateur vers un site légitime sur une nouvelle page, et qui présente la fausse boîte de dialogue via la page d'origine laissée ouverte ;
l'utilisation d'une image (envoyée à un webmail, par exemple) pointant vers le serveur réclamant l'authentification.

Le problème a été publié sur le bloc-notes (blog) de Mozilla et devrait être corrigé prochainement.

Documentation

Entrée dans le blog de Mozilla :

http://blog.mozilla.com/security/2008/01/04/basicauth-dialog-realm-value-spoofing/

RFC 2617, "HTTP Authentication: Basic and Digest Access Authentication", juin 1999 :
```
http://www.ietf.org/rfc/rfc2617.txt
```

6 Rappel des avis émis

Dans la période du 04 au 11 janvier 2008, le CERTA a émis les avis suivants :

CERTA-2008-AVI-002 : Vulnérabilité dans PHP 4
CERTA-2008-AVI-003 : Vulnérabilité dans Novell ZENworks Endpoint Security Management
CERTA-2008-AVI-004 : Vulnérabilité dans AIX
CERTA-2008-AVI-005 : Vulnérabilités dans PostgreSQL
CERTA-2008-AVI-006 : Vulnérabilité dans Asterisk
CERTA-2008-AVI-007 : Multiples vulnérabilités dans Xerox WorkCentre
CERTA-2008-AVI-008 : Multiples vulnérabilités dans les produits VMware
CERTA-2008-AVI-009 : Vulnérabilités protocolaires dans Microsoft Windows
CERTA-2008-AVI-010 : Vulnérabilité dans LSASS de Windows
CERTA-2008-AVI-011 : Multiples vulnérabilités dans Apache
CERTA-2008-AVI-012 : Vulnérabilité d'IBM Websphere Application Server
CERTA-2008-AVI-013 : Vulnérabilité dans Novell Client
CERTA-2008-AVI-014 : Vulnérabilité dans l'environnement d'exécution Java (JRE)
CERTA-2008-AVI-015 : Vulnérabilité dans McAfee E-Business Server
CERTA-2008-AVI-016 : Vulnérabilité dans IBM Lotus Domino

Gestion détaillée du document

11 janvier 2008: version initiale.

CERTA
2012-12-10

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 22/05/2013