S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 juin 2009
N^o CERTA-2009-ACT-024

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-24

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-024

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-024.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-024/

1 Incidents de la semaine

1.1 Traitement des dénis de service

Une remontée récente sur un déni de service auprès du CERTA a permis de constater l'état de détresse des techniciens chargés de gérer le problème. Le principe de ces attaques vise à rendre inaccessible un site ou un serveur, par exemple par saturation de requêtes, bien souvent dans le contexte d'un réseau de machines zombies.

Les contre-mesures sont quant à elles plutôt difficiles à mettre en place puisque la plupart de ces attaques reposent sur des services ou protocoles normaux sur l'Internet. Qui plus est, il est particulièrement difficile de distinguer les flux malfaisants des flux normaux licites. Seuls les fournisseurs d'accès peuvent généralement mettre en place un filtrage efficace. Cette opération est souvent contractuelle et nécessite une préparation.

Il est donc recommandé dans une telle situation :

en tout premier lieu, de veiller au recueil et à la conservation de toutes les traces et indices liés à l'incident et susceptibles de servir devant la justice ultérieurement. Les journaux doivent naturellement être activés et protégés (réf. note CERTA-2000-INF-001) ;
de procéder à une analyse des journaux afin de bien faire la différence entre un véritable déni de service et un dysfonctionnement du système l'amenant à s'auto saturer.

Note d'information CERTA-2000-INF-001, « le déni de service distribué », 21 février 2000 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-001/
```

1.2 Arnaque aux noms de domaine

Cette arnaque n'est pas nouvelle, des plaintes remontent au moins de mars 2009, mais elle touche des organismes français, administrations ou entreprises. Elle utilise des ressorts classiques.

1.2.1 Le scénario

Une société, par exemple ntwifinetworks.com à la date de rédaction de ce document, vous envoie un courriel au ton inquiétant et au sujet du style "Domaine Dispute et Enregistrement". Elle vous indique qu'elle a reçu une demande d'enregistrement semblable à votre nom de domaine avec simplement un suffixe ou un domaine de premier niveau différent. Par exemple, le possesseur de certa.ssi.gouv.fr apprend la demande de prétendu demande d'enregistrements de certa.ssi.gouv.cn, certa.ssi.gouv.com.cn, certa.ssi.gouv.net.cn, certa.ssi.gouv.hk, certa.ssi.gouv.asia. Le courriel stipule que la réponse doit impérativement parvenir rapidement, dans les cinq jours, pour éviter des différends.

Le site de la société précédemment citée arbore les logos des organismes officiels et bien connus de l'Internet et des télécommunications, l'IANA, l'ICANN, l'ITU, l'AFNIC...

1.2.2 L'effet recherché

Le client effrayé sera incité à acheter les noms de domaine mentionnés voire d'autres, pour une centaine de dollars pièce. La menace de typosquattage peut être avancée par les vendeurs pour pousser à la consommation.

1.2.3 Les enseignements et les recommandations

Les ficelles utilisées sont traditionnelles : suggérer une menace et donner un sentiment d'urgence à la réponse qui doit être apportée.

Face aux messages présentant ces caractéristiques, il faut garder la tête froide et se renseigner sur l'émetteur. Ces caractéristiques (élément affectif, menace, urgence) se retrouvent dans les canulars avec, en plus l'incitation à propager largement. La vigilance doit se déclencher sur les mêmes critères.

L'organisme destinataire doit évaluer lui-même les risques liés à la présence de noms de domaine plus ou moins voisins. Ainsi le nom de domaine cert.xx existe pour de nombreux pays sans que cela induise une confusion dans les esprits.

1.3 Des données confidentielles retrouvées sur Internet

1.3.1 Présentation

Une recherche de fichiers au format SQL a permis de mettre en évidence la présence d'une sauvegarde de base de données, contenant des informations ministérielles non publiques, accessibles sur l'Internet. Après analyse, il s'est avéré que ces fichiers appartenaient à un développeur qui avait réalisé des sauvegardes d'un projet sur son espace personnel sans avoir conscience qu'elles étaient publiquement accessibles, ni qu'elles seraient indexées et donc très facilement trouvables.

Le CERTA recommande la plus grande prudence lors de la manipulation de données confidentielles. C'est une bonne pratique de faire régulièrement ce type de recherches sur ses données et sur ses sites, comme cela l'a été présenté lors du dernier bulletin d'actualité (CERTA-2009-ACT-023, « Surveiller son site avec des moteurs de recherche »).

1.3.2 Documentation

Bulletin d'actualité du 05 juin 2009 :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-023.pdf

2 Bulletins Microsoft de Juin

Cette semaine, Microsoft a émis 10 bulletins de sécurité faisant état d'au moins 31 vulnérabilités et deux avis de sécurité. Selon les critères définis par l'éditeur, six bulletins sont critiques, trois importants et un modéré. Les produits suivants sont affectés :

toutes les versions maintenues de Microsoft Windows ;
toutes les versions maintenues d'Internet Explorer ;
Microsoft Internet Information Services 5.0, 5.1, et 6.0 ;
toutes les versions maintenues de Microsoft Office Excel ;
Microsoft Works 8.5 et 9.0 ;
toutes les versions maintenues de Microsoft Office Word.

L'une des mises à jour corrige l'alerte CERTA-2009-ALE-007 qui concernait le composant WebDav d'Internet Information Services. La vulnérabilité de Microsoft DirectShow, actuellement exploitée, n'est pas corrigée dans le lot de mises à jour. Il est urgent pour les personnes n'ayant pas appliqué les solutions de contournement proposées de le faire sans tarder.

Les deux avis de sécurité concernent d'une part, une mise à jour des « kill bits » ActiveX (désactivation des ActiveX vulnérables), et d'autre part une modification du comportement du DNS.

Dans le même temps, Microsoft a également émis les mises à jour manquantes du bulletin de sécurité MS09-017. Pour rappel, l'éditeur n'avait mis à disposition, au mois de mai, que les correctifs concernant PowerPoint sous Windows. Microsoft Office 2004 et 2008 pour Mac, ainsi que Microsoft Works 8.5 et 9.0 et le convertisseur de fichiers Open XML pour Mac, qui étaient également sujets à une ou plusieurs vulnérabilités, ont aujourd'hui des mises à jour disponibles. Il est très important d'effectuer les mises à jour pour ces produits. En effet, la vulnérabilité affectant Office 2004 pour Mac avait fait l'objet d'une alerte car des codes d'exploitation étaient apparus sur l'Internet pour la version PowerPoint de Windows (cf. alerte CERTA-2009-ALE-005 et bulletin CERTA-2009-ACT-020).

Comme à son habitude, Microsoft a également mis quelques informations intéressantes sur son bloc-notes « Security Research & Defense » pour certaines des vulnérabilités, notamment celles concernant Internet Explorer, Windows Search, les convertisseurs de Works et Windows RPC (cf. section documentation).

2.1 Documentation

Bloc-notes « Security Research & Defense »
```
http://blogs.technet.com/srd/
```
« Mise à jour Microsoft du mois de mai » , bulletin d'actualité CERTA-2009-ACT-020 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-020.pdf
```
Avis de sécurité KB971888, « Mise à jour pour la dévolution DNS », 09 juin 2009 :
```
http://www.microsoft.com/france/technet/security/advisory/971888.mspx
```
Avis de sécurité KB969898, « Ensemble de mises à jour pour les kill bits ActiveX », 09 juin 2009 :
```
http://www.microsoft.com/france/technet/security/advisory/969898.mspx
```

Bloc-notes de P. Saulière, « Bulletins de sécurité du 9 juiin » :

http://blogs.technet.com/pascals/archive/2009/06/09/bulletins-de-s-curit-du-9-juin.aspx

3 Rappel des avis émis

Dans la période du 05 au 12 juin 2009, le CERTA a émis les avis suivants :

CERTA-2009-AVI-210 : Vulnérabilité dans Kerberos sous Sun Solaris
CERTA-2009-AVI-211 : Multiples vulnérabilités de Apache Tomcat
CERTA-2009-AVI-212 : Multiples vulnérabilités dans IBM WebSphere Application Server
CERTA-2009-AVI-213 : Vulnérabilité dans Microsoft Active Directory
CERTA-2009-AVI-214 : Multiples vulnérabilités dans Microsoft Internet Explorer
CERTA-2009-AVI-215 : Vulnérabilités dans Internet Information Services (IIS)
CERTA-2009-AVI-216 : Vulnérabilités dans Microsoft Office Excel
CERTA-2009-AVI-217 : Vulnérabilités dans le gestionnaire de files d'impression de Microsoft Windows
CERTA-2009-AVI-218 : Vulnérabilité dans Microsoft Windows Search
CERTA-2009-AVI-219 : Vulnérabilité dans Microsoft Works
CERTA-2009-AVI-220 : Vulnérabilités dans le noyau Windows
CERTA-2009-AVI-221 : Vulnérabilité de Windows RPC
CERTA-2009-AVI-222 : Vulnérabilité de Microsoft Office
CERTA-2009-AVI-223 : Multiples vulnérabilités dans Apple Safari
CERTA-2009-AVI-224 : Multiples vulnérabilités dans Adobe Reader et Acrobat
CERTA-2009-AVI-225 : Vulnérabilité de la bibliothèque libpng
CERTA-2009-AVI-226 : Vulnérabilité dans SonicWALL SSL-VPN
CERTA-2009-AVI-227 : Vulnérabilité dans le webmail de Kerio MailServer
CERTA-2009-AVI-228 : Vulnérabilité dans HP OpenView Network Node Manager
CERTA-2009-AVI-229 : Vulnérabilités dans FreeBSD
CERTA-2009-AVI-230 : Vulnérabilité dans Sun Solaris

Durant la même période, les deux avis suivants ont été mis à jour :

CERTA-2009-AVI-195-001 : Vulnérabilités dans ntpd
(ajout du bulletin de sécurité FreeBSD)
CERTA-2009-AVI-209-001 : Multiples vulnérabilités dans Joomla!
(ajout des bulletins 20090601 et 20090602)

Gestion détaillée du document

12 juin 2009: version initiale.

CERTA
2012-01-04