S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 18 juillet 2008 No CERTA-2008-ACT-029

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-29

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-029.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-029/

1 Retour sur les incidents traités cette semaine

Récupération d'identifiants de connexion par ingénierie sociale

Le bulletin d'actualité de la semaine dernière en parlait déjà, le CERTA a été informé de nombreux cas de tentatives de récupération d'identifiants de connexion suite à l'envoi de messages électroniques. Ces derniers sont rédigés en français de qualité variable et usurpent généralement, plus ou moins habilement, la signature des administrateurs du réseau. Les victimes sont invitées à envoyer leurs identifiants de compte webmail soit en réponse au message, soit sur un site web externe.

Jusqu'à présent, les personnes ayant reçu ces messages sont des utilisateurs de webmail construit à partir du logiciel Horde3. Les comptes ainsi obtenus frauduleusement sont ensuite réutilisés pour émettre du pourriel.

L'un des cas signalés a attiré notre attention : les victimes étaient dirigées vers un site Web effectuant un typosquatting sur leur domaine d'origine (les attaquants utilisaient un nom de domaine identique à celui de leurs victimes, à l'exception de deux lettres interverties).

Il s'agit du premier cas d'attaque de ce type (très proche du filoutage) s'appuyant sur du typosquatting et signalé au CERTA.

2 Correctifs Mozilla Firefox

Le CERTA a émis cette semaine l'avis CERTA-2008-AVI-368 mentionnant la publication de correctifs pour le navigateur Mozilla Firefox.

La version 3.0.1 corrige trois vulnérabilités importantes :

• MFSA2008-35 : cette vulnérabilité découle de l'interaction de différents produits et des protocoles associés. Ce type de vulnérabilité a déjà fait l'objet d'avis de sécurité et a impacté la grande majorité des navigateurs. Il laisse l'opportunité à une personne malveillante d'insérer un lien spécialement construit dans une page web. Lorsque celui-ci est interprété par le navigateur avec son protocole particulier (comme mailto:, firefoxurl:, etc.), il conduit à l'exécution de commandes. Cela est possible car le navigateur interprète incorrectement la ligne qui lui est présentée et dont il ne maîtrise pas complètement la syntaxe. Dans la vulnérabilité MFSA2008-35, il s'agirait d'une mauvaise interprétation du caractère « | ». Le protocole impliqué est ici chrome:.
• MFSA2008-34 : cette vulnérabilité provient d'une mauvaise manipulation par le navigateur du compteur de référence de la classe nsCSSValue:Array. Ce dernier est codé sur 16 bits et peut donc provoquer sous certaines conditions une exécution de code dès que le nombre maximal (65535) de références est atteint.
• MFSA2008-36 : l'interprétation de fichiers au format GIF sous Mac OS via le navigateur ne serait pas correctement effectuée. Cette vulnérabilité peut conduire au dysfonctionnement du navigateur et, sous certaines conditions, à l'exécution de code arbitraire.

Plusieurs remarques découlent de ces vulnérabilités :

• Les vulnérabilités mentionnées ci-dessus peuvent conduire à l'exécution de code arbitraire à distance. Il n'est pas suffisant de désactiver le JavaScript. Les mesures de prudence classiques restent applicables et montrent encore ici leur intérêt :
  • naviguer sur des sites de confiance uniquement ;
  • naviguer depuis un compte utilisateur aux droits restreints ;
  • mettre à jour ses applications et les configurer de manière restrictive.
• Thunderbird utilise le moteur de navigation de Firefox et peut également être affecté. Il est important de vérifier par exemple que son client de messagerie n'interprète pas les codes dynamiques comme le JavaScript (Options -> Avancé -> Général -> Editeur de configuration -> Javascript.enabled), comme le précise le bulletin Mozilla. De manière générale, il est plus prudent d'afficher les courriels au format texte brut (Affichage -> Corps du message en -> Texte seul). La version Thunderbird 2.0.0.16 existe mais n'est pas encore disponible en téléchargement à la date de publication de cet article. Aucune précision sur la date de publication n'est à ce jour donnée par Mozilla.
• Mozilla a publié les mises à jour pour la version 2.0.0.16 du navigateur mardi et a attendu mercredi pour la version 3.0.0.1. Les raisons ne sont pas connues.

  La mise à jour peut perturber le fonctionnement de certains modules additionnels. Mozilla explique dans un article que ces derniers sont développés par des tiers qui ont déclaré comme MaxVersion « 3.0 » au lieu de « 3.0.* » .

  L'utilisation de ces modules est à éviter car leur code n'est pas audité et ils peuvent augmenter la surface d'attaque via la navigation.

  • Bloc-notes Mozilla, « AMO adds Firefox 3-compatible versions » , 12 mai 2008 :

    http://blog.mozilla.com/basil/2008/05/12/amo-adds-firefox-3-compatible-versions/
    

  • Bloc-notes Mozilla, « Firefox 3.0.1 and add-on compatibility » , 17 juillet 2008 :

    http://blog.mozilla.com/basil/2008/07/17/firefox-301-and-add-on-compatibility/
    

• Mozilla a par ailleurs annoncé que la branche 2.0.0.x de Firefox sera maintenue jusqu'à la mi-décembre 2008.

  http://developper.mozilla.org/devnews/index.php/2008/07/15/firefox-20016-security-and-stability-update-now-available-for-download/
  

3 Exploitation de la vulnérabilité du contrôle ActiveX de Access Snapshot Viewer

Le bulletin de Microsoft #955179 concernant une vulnérabilité du contrôle ActiveX de Access Snapshot Viewer, qui a fait l'objet de l'alerte CERTA-2008-ALE-009, décrivait des cas d'exploitation isolés. Depuis, l'exploitation a été plus fréquemment observées, notamment par Symantec. Il semblerait que cette vulnérabilité soit maintenant exploitée avec le kit d'exploitation Neosploit.

L'éditeur décrit que deux attaques ont été observées, la première vise des systèmes en anglais et la deuxième en chinois. L'exploitation se fait sur des versions linguistiques particulières seulement car elle consiste à télécharger un fichier exécutable dans un répertoire spécifique de l'ordinateur. Ainsi, dans le cas d'un système anglais, le téléchargement de l'exécutable se fait dans le répertoire suivant :

Documents and Settings\All Users\Start Menu\Programs\Startup

Ceci provoque l'exécution automatique du fichier téléchargé au prochain redémarrage de Windows.

Le site exploitant la vulnérabilité du contrôle ActiveX de Access Snapshot Viewer contient également un iFRAME vers un autre site utilisant Neosploit. Ainsi, Symantec signale qu'au moins quatre autres vulnérabilités seraient exploitées, notamment :

• une vulnérabilité dans le contrôle ActiveX AOL SuperBuddy ;
• une vulnérabilité de débordement de mémoire dans Apple Quicktime ;
• une vulnérabilité dans le contrôle ActiveX Microsoft MDAC RDS.Dataspace ;
• une vulnérabilité dans le contrôle ActiveX ADODB.stream de Internet Explorer.

Ces quatre vulnérabilités sont corrigées. On remarque toutefois la présence forte de vulnérabilités dans les contrôles ActiveX. Le CERTA rappelle qu'il est vivement recommandé de désactiver l'utilisation des ActiveX, ou au minimum de demander une confirmation avant chaque exécution.

Pour rappel, il existe un contournement permettant de désactiver le contrôle ActiveX de Access Snapshot Viewer, décrit dans l'alerte CERTA-2008-ALE-009. Les administrateurs peuvent également filtrer certaines chaînes de caractères au niveau des serveurs mandataires inverses (cf. CERTA-2008-ACT-028).

3.1 Documentation

• Alerte CERTA-2008-ALE-009 du 08 juillet 2008 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-ALE-009/index.html
  

• Bulletin d'actualité CERTA-2008-ACT-028 du 11 juillet 2008 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-028.pdf
  

4 Nouvelle note d'information du CERTA

Cette semaine a été publiée sur le site Internet du CERTA une nouvelle note d'information. La note d'information CERTA-2008-INF-001 fait le point sur la balise HTML, iFRAME.

Il y est rappelé le principe de fonctionnement de cette balise ainsi que les risques associés aux détournements de fonctionnalité par des personnes malintentionnées. En effet, la balise iFRAME permet l'insertion dans une page d'un cadre contenant une page hébergée sur une autre source. Des personnes malintentionnées exploitent cette fonctionnalité afin de compromettre des ordinateurs d'internautes.

Le schéma de compromission est souvent le même :

• l'individu malveillant compromet un serveur web ;
• une fois une porte d'entrée trouvée, du code HTML, en l'occurrence des balises iFRAME, est ajouté dans des pages légitimes ;
• ces balises pointent vers des pages malveillantes contenant par exemple des JavaScript exploitant des vulnérabilités de navigateur ;
• ces iFRAMEs sont écrites de façon à ce qu'elles soient invisibles pour l'internaute ;
• ces balises provoquent ainsi des connexions vers le serveur malveillant de façon transparente pour l'utilisateur lors de la visite de la page.

La note d'information fournit également un ensemble de recommandations et de bonnes pratiques afin de limiter les risques et impacts de ces balises. Ces recommandations sont faites pour tous les niveaux d'utilisation d'un site web :

• le développement ;
• l'hébergement ;
• l'exploitation de site web :
• la navigation.

Documentation

• Note d'information CERTA-2008-INF-001 du 17 juillet 2008 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-001/
  

5 BlueCoat et vulnérabilité DNS

Le CERTA a publié de multiples avis sur la faille protocolaire touchant les DNS : CERTA-2008-AVI-353, CERTA-2008-AVI-358, CERTA-2008-AVI-359, CERTA-2008-AVI-360. Or , cette faille touche également les équipements de la marque BlueCoat. Les produits affectés sont :

• Proxy SG ;
• Director ;
• Proxy AV ;
• Proxy RA ;
• PacketShaper ;
• iShaper.

L'éditeur a publié par ailleurs un bulletin de sécurité précisant que la vulnérabilité serait corrigée dans les prochaines versions de ses systèmes d'exploitation embarqués. Cependant, pour l'instant, ces produits restent vulnérables et il n'est proposé à l'utilisateur par BlueCoat qu'un contournement provisoire.

Recommandations :

Dans l'attente de la publication des correctifs, il convient d'appliquer les mesures présentées dans le bulletin de sécurité : http://www.bluecoat.com/support/security-advisories/dns_cache_poisoning.

En l'espèce, il faudra configurer ces équipements pour qu'ils n'interrogent que des serveurs DNS « fiables » comme, par exemple, un autre serveur DNS non-vulnérable du réseau local. Remarque : Si les éditeurs et distributeurs Linux ont proposé des correctifs, les systèmes embarqués (appliances) ne sont pas forcément corrigés.

6 Poppler, Xpdf et produits dérivés

Poppler est une bibliothèque de fonctions sous licence libre (GPL v2) utilisée pour manipuler des fichiers PDF. Cette bibliothèque est portable et disponible pour les principales plates-formes : GNU/Linux, *BSD, Unix et Windows. Elle est en fait basée sur le code d'une autre application : Xpdf.

La vocation de Poppler est de proposer une bibliothèque unifiée sur laquelle d'autres projets vont s'appuyer pour manipuler des fichiers au format PDF.

Cependant, en l'état, Poppler n'est pas le passage obligé pour développer un analyseur de PDF et nombre de projets, bien que basés sur Xpdf ou Poppler, font encore leur propre maintien de versions spécifiques insérées « en dur » dans leur propre code.

Ainsi, généralement, quand une vulnérabilité est identifiée dans Xpdf, on la retrouve également dans Poppler mais également dans un certain nombre d'autres applications comme le serveur d'impression CUPS par exemple. Dès lors, plutôt que d'avoir une seule mise à jour pour une bibliothèque (Poppler), on devra donc appliquer des correctifs spécifiques pour chaque application de ce type.

Ici, le problème peut être que la même vulnérabilité qui a été corrigée dans Xpdf ou Poppler, ne le sera peut-être pas forcement dans d'autres applications.

Le cas de Poppler et Xpdf est assez classique. Cette pratique de développement qui consiste à insérer une copie d'un code existant dans un autre projet plutôt que d'utiliser une bibliothèque unifiée peut avoir des conséquences désastreuses en termes de politique de maintenance (problème de coût) mais également en termes de sécurité et d'application de correctif.

7 Prolongation du support pour Microsoft XP

Fin juin, Microsoft publiait sur son site Internet une lettre de son vice-président, Bill Veghte, annonçant la prolongation du support et de la vente de Windows XP.

Depuis le 30 juin 2008, il est impossible pour les revendeurs d'acheter des versions seules de Windows XP (les revendeurs pouvant néanmoins finir d'écouler leurs stocks). En revanche, afin de faire face à l'émergence du marché des ordinateurs ultra-portables à bas coûts (comme le EEE PC d'Asus, les Wind U100 de MSI, l'Aspire One d'Acer, etc.), Microsoft a décidé de fournir des versions OEM jusqu'au 31 janvier 2009.

Malgré cette fin de vie commerciale annoncée à court terme, le support de Microsoft continuera de proposer des mises à jours (et en particulier des mises à jour de sécurité) jusqu'en avril 2014, soit 13 ans après le lancement du premier Windows XP.

Documentation

• Politique de support Microsoft :

  http://support.microsoft.com/lifecycle/
  

• Lettre ouverte de Bill Veghte :

  http://www.microsoft.com/windows/letter.html
  

• Note d'information du CERTA numéro CERT-2005-INF-003 sur les logiciels et systèmes obsolètes :

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html
  

8 Rappel des avis émis

Dans la période du 11 au 17 juillet 2008, le CERTA a émis les avis suivants :

• CERTA-2008-AVI-364 : Vulnérabilité du langage Ruby
• CERTA-2008-AVI-365 : Multiples vulnérabilités dans Drupal
• CERTA-2008-AVI-366 : Multiples vulnérabilités dans la machine virtuelle Java de Sun
• CERTA-2008-AVI-367 : Multiples vulnérabilités dans les produits Oracle et Weblogic
• CERTA-2008-AVI-368 : Vulnérabilités dans Mozilla Firefox
• CERTA-2008-AVI-369 : Multiples vulnérabilités dans Claroline

Pendant la même période, les avis suivants ont été mis à jour :

• CERTA-2008-AVI-359-002 : Vulnérabilités dans ISC BIND

  (ajout de la référence au bulletin de sécurité FreeBSD )

Gestion détaillée du document

18 juillet 2008

version initiale.