Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2009-ACT-034

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERTs

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Le directeur		 République Française Paris, le 21 août 2009
No CERTA-2009-ACT-034

Affaire suivie par :

CERTA

N O T E

Objet : Bulletin d'actualité 2009-34

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-034

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-034.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-034/

1 Incidents de la semaine

Cette semaine, le CERTA a traité un cas de compromission d'un serveur Web fonctionnant avec SPIP. L'objectif apparent de l'intrusion était d'ajouter des pages Web faisant la promotion de produits pharmaceutiques spécifiques. Cette attaque a été rendue possible car certains paramétrages étaient trop permissifs, notamment l'écriture dans quelques répertoires étaient autorisée.

Le scénario de l'attaque pourrait se résumer ainsi :

  • l'attaquant recherche des serveurs fonctionnant avec SPIP ;
  • il profite de droits en écriture dans un répertoire particulier pour déposer un phpshell (programme écrit en PHP qui a la possibilité d'exécuter un certain nombre de commandes, à l'instar d'un shell classique) ;
  • il utilise son phpshell pour installer plusieurs fichiers, notamment un second phpshell (de secours ?) et un fichier qui, lorsqu'il est exécuté, provoque le téléchargement d'un ensemble de pages de promotion pour des produits pharmaceutiques.

La présence sur le serveur de ces pages au contenu inapproprié a été détectée à plusieurs reprises au cours des dernières semaines. Mais le traitement de l'incident n'avait pas été fait correctement. En effet, après la première détection de cet incident, seules les pages de publicité avaient été retirées. Suite au second signalement du problème, un des phpshell avait été supprimé. Ce n'est qu'après la troisième alerte que le disque dur a été analysé, ce qui a conduit à la découverte de l'autre phpshell et du fichier responsable de l'installation des pages de promotion.

Il est important de préciser que si un filtrage en sortie avait été mis en place, le contenu publicitaire ne serait pas apparu aussi facilement et cela aurait laissé une trace flagrante dans les journaux.

2 Microsoft Office Visualization Tool (OffVis)

Microsoft a présenté à la conférence Black Hat USA, qui a eu lieu du 25 au 30 juillet dernier à Las Vegas, un outil gratuit d'analyse du format Microsoft Office (pour les versions allant de 97 à 2003). Ce logiciel, baptisé OffVis, permet la détection des documents malveillants au format .doc, .xls, et .ppt. La version bêta 1.0 est disponible gratuitement à l'adresse :

http://go.microsoft.com/fwlink/?LinkId=158791

Il s'agit une application .NET et le framework 3.5 est recommandé.

Le format Microsoft Office (97 à 2003), nommé OLE Structured Storage (parfois également appelé Compound File), est en fait un système de fichiers dans un document. L'idée sous-jacente est de pouvoir stocker simplement plusieurs fichiers (images, objets OLE, etc.) dans un seul document, de pouvoir les modifier sans avoir à tout réécrire, de permettre des opérations telles que des annulations, etc.

L'analyse d'un document Office doit donc se faire à deux niveaux :

  • le OLE Structured Storage ;
  • son contenu, qui peut-être Word, Excel ou PowerPoint.

OffVis embarque quatre modules de traitement : celui pour le OLE Structured Storage, qui est indispensable à toute analyse de document Office, et un pour chacun des contenus Word, Excel, et PowerPoint. Ces éléments incluent également la possibilité de détecter les documents malveillants correspondant à huit vulnérabilités connues :

  • CVE-2006-0009, PowerPoint, mars 2006 ;
  • CVE-2006-0022, PowerPoint, juin 2006 ;
  • CVE-2006-2492, Word, juin 2006 ;
  • CVE-2006-3434, Word, octobre 2006 ;
  • CVE-2007-0671, Excel, février 2007 ;
  • CVE-2006-0081, Excel, mars 2008 ;
  • CVE-2006-0238, Excel, avril 2009 ;
  • CVE-2006-0556, PowerPoint, mai 2009.

L'interface de l'outil est composée de deux fenêtres, celle de gauche affiche la représentation hexadécimale du fichier analysé, et celle de droite permet la navigation dans les objets du document, sous forme arborescente.

Cependant, même si les bases sont indéniablement présentes, OffVis ne tient pas encore toutes ses promesses. Les modules de traitement sont encore incomplets, parfois incorrects. À titre d'exemple, l'arborescence du OLE Structured Storage est présentée de façon approximative, plusieurs noeuds manquent à l'appel. De plus, OffVis étant destiné à être un outil d'audit de document Office, il se doit d'embarquer une base de données de vulnérabilités connues. En effet, les huit actuellement détectées sont insuffisantes pour en faire un outil opérationnel. Enfin, l'outil étant en version bêta, il est encore instable et présente régulièrement des dysfonctionnements.

Malgré ses défauts de jeunesse, OffVis est très prometteur, en ce sens qu'il permet l'analyse des contenus Word, Excel, et PowerPoint, et soulage du développement fastidieux d'un analyseur de contenu Office dont les spécifications, aujourd'hui publiques, font plus de 2000 pages au total. Reste à savoir quand OffVis sortira dans une version finale, avec une base de données complète (et pouvant être mise à jour) de vulnérabilités.


3 Rappel des avis émis

Dans la période du 14 au 20 août 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-336 : Vulnérabilité dans GnuTLS
  • CERTA-2009-AVI-339 : Vulnérabilités dans JRun
  • CERTA-2009-AVI-340 : Multiples vulnérabilités dans Adobe ColdFusion
  • CERTA-2009-AVI-341 : Vulnérabilités dans IBM WebSphere Application Server
  • CERTA-2009-AVI-342 : Vulnérabilité dans CA Host-Based Intrusion Prevention System
  • CERTA-2009-AVI-343 : Vulnérabilité dans CA Internet Security Suite

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-316-001 : Vulnérabilité dans Fetchmail (ajout des références aux bulletins Debian, Mandriva et Ubuntu)
  • CERTA-2009-AVI-334-001 : Vulnérabilité dans WordPress (ajout de la référence CVE)
  • CERTA-2009-AVI-337-002 : Vulnérabilité du noyau Linux (correction de coquille et ajout de la référence au bulletin de sécurité Ubuntu)
  • CERTA-2009-AVI-338-001 : Vulnérabilité de cURL et libcurl (ajout des références aux bulletins RedHat et Ubuntu)

Gestion détaillée du document

21 août 2009
version initiale.


CERTA
2010-01-20

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 01/09/2010