S . G . D . S . N Agence nationale de la sécurité des systèmes d'information Le directeur

Paris, le 04 septembre 2009 No CERTA-2009-ACT-036

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-36

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-036.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-036/

1 Vulnérabilité dans le service FTP de IIS

Cette semaine le CERTA a publié l'alerte CERTA-2009-ALE-015 relative à une vulnérabilité non corrigée dans le service FTP de Microsoft Internet Information Services (IIS). Cette faille entraîne différentes conséquences selon les versions :

• une exécution de code arbitraire à distance est possible sur la version IIS 5.0 ;
• un déni de service à distance est possible pour les versions IIS 5.1, 6.0 et 7.0.

Cette vulnérabilité nécessite, pour son exploitation, un compte utilisateur avec les droits en écriture et la possibilité de créer un répertoire sur le serveur cible. Afin de limiter les risques afférents à cette vulnérabilité, le CERTA recommande les actions suivantes :

• désactiver le support de l'écriture de fichiers dans la configuration du serveur FTP de Microsoft IIS pour les utilisateurs non identifiés (compte anonymous) ;
• supprimer la permission NTFS de créer des répertoires pour les utilisateurs du service FTP ;
• restreindre l'accès du serveur FTP aux seules personnes de confiance ;
• désactiver le service FTP si ce dernier n'est pas nécessaire.

Documentation

• Alerte CERTA CERTA-2009-ALE-015 du 02 septembre 2009 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-015
  

• Bulletin de sécurité Microsoft 975191 du 01 septembre 2009 :

  http://www.microsoft.com/technet/security/advisory/975191.mspx
  

2 Incidents de la semaine

Attaques par dictionnaire sur POP3

Cette semaine, plusieurs correspondants nous ont informés, après avoir dépouillé leurs journaux de connexion, d'attaques par dictionnaire sur leurs serveurs POP3 (port 110/tcp). Le rythme d'une des attaques était relativement lent, avec une tentative environ toutes les 9 secondes. Les autres essais, provenant tous de la même source, avaient une cadence plus soutenue, comparable à celle des attaques visant les serveurs SSH.

Le CERTA recommande donc aux administrateurs de vérifier dans leurs journaux les tentatives d'accès au service POP3, et de s'assurer que les mots de passe utilisés ne sont pas triviaux. En période de rentrée scolaire, de nombreux comptes de messagerie sont souvent créés. Il est conseillé d'éviter les mots de passe prévisibles, notamment ceux basés sur le nom du compte. Il est également possible de mettre en place des mécanismes automatiques de mise en quarantaine et ou d'interdiction définitive de connexion lorsqu'une adresse fait trop de tentatives de connexion infructueuses dans un délai préalablement défini.

3 Attaque du chiffrement TKIP

En 2008, lors d'une célèbre conférence de sécurité, deux chercheurs allemands, Martin Beck et Eric Tews, ont démontré des faiblesses sur le chiffrement TKIP utilisé pour assurer la sécurité dans les réseaux sans fil WiFi 802.11. L'attaque décrite permettait d'envoyer des paquets légitimes à une station WiFi, pour peu que certaines conditions soient présentes (notamment le support de la QoS 802.11e, et un temps d'une quinzaine de minutes nécessaires pour obtenir les éléments permettant l'attaque). L'attaque avait beaucoup fait parler d'elle, car bien que non critique (TKIP n'étant pas à proprement parlé « cassé »), elle ouvrait cependant la porte à une attaque réelle sur ces mécanismes de sécurité.

Début août 2009, deux chercheurs japonais, Toshihiro Ohigashi et Masakatu Morii ont publié un nouveau document améliorant l'attaque de Beck et Tews. Ils expliquent comment reproduire la même attaque, mais avec des conditions nécessaires plus simples (QoS non active, durée de la phase de préparation de l'attaque plus courte, de l'ordre d'une minute). Encore une fois, la réalisation de l'attaque présente encore une complexité forte, et ne « casse » pas totalement TKIP. Cependant, ce type de publication démontre que la sécurité de TKIP s'effrite peu à peu. Le CERTA recommande, si l'utilisation du WiFi est indispensable, de migrer rapidement vers les nouvelles solutions de sécurité intégré dans la norme 802.11i, notamment l'utilisation de CCMP comme méthode de sécurité.

Documentation

• Recommandation CERTA CERTA-2002-REC-002 Sécurité des réseaux sans fil (Wi-Fi) :

  http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002
  

• Bulletin d'actualité du CERTA CERTA-2008-ACT-045 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-045
  

• Bulletin d'actualité du CERTA CERTA-2008-ACT-047 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-047
  

4 Mise à jour et régression

Cette semaine Apple a publié la dernière version de son système d'exploitation : Mac OS X version 10.6 aussi appelée Snow Leopard. Cette sortie implique donc que la version 10.4 ou Tiger ne sera bientôt plus maintenue. Il faudra donc envisager une mise à jour des machines sous ce système d'exploitation vers une version plus récente : 10.5 ou 10.6.

En outre, il a été découvert cette semaine, suite à cette sortie, que le système était livré en standard avec une version vulnérable du logiciel Adobe Flash Player. En effet, la version du lecteur Flash présente sur les supports d'installation est la 10.0.23.1 alors que la version à jour à la date de cet article est la 10.0.32.18.

Il est donc indispensable après une installation de Mac OS X 10.6, et ce dans les plus brefs délais, de mettre à jour le lecteur, cette version obsolète présentant un risque d'attaque certain. Plus généralement, avant tout usage d'un système d'exploitation, il est impératif de le mettre à jour ainsi que les logiciels qui y sont installés.

5 Publications de vulnérabilités non corrigées

Certaines sociétés sur l'Internet commercialisent des vulnérabilités de type 0-day ainsi que les méthodes d'exploitation. Cette constatation démontre, s'il en était en besoin, qu'il n'existe pas de solution ou de système d'information sûr à 100%. Le CERTA rappelle donc que, même si un système est complètement à jour, il est important d'y appliquer quelques bonnes pratiques :

• appliquer les principes de défense en profondeur et multiplier les couches de protection, de filtrage et journalisation ;
• journaliser au maximum les événements ;
• consulter régulièrement les journaux afin d'y détecter toute activité anormale ou suspecte ;
• former et sensibiliser les utilisateurs ;

Ces recommandations sont rappelées chaque semaine dans la partie « statique » du bulletin d'actualité au format PDF du CERTA (voir les sections suivantes). De plus, le CERTA met à disposition sur son site Internet de nombreuses notes d'information permettant d'obtenir des recommandations sur différents sujets.

Documentation

• Les notes d'information du CERTA :

  http://www.certa.ssi.gouv.fr/site/index_inf.html
  

6 Rappel des avis émis

Dans la période du 28 août au 03 septembre 2009, le CERTA a émis les avis suivants :

• CERTA-2009-AVI-359 : Vulnérabilité dans Norton AntiVirus et Symantec Client Security Email
• CERTA-2009-AVI-360 : Multiples vulnérabilités dans Opera
• CERTA-2009-AVI-361 : Vulnérabilité dans Dnsmasq
• CERTA-2009-AVI-362 : Vulnérabilités dans OpenOfficeorg
• CERTA-2009-ALE-015 : Vulnérabilité du serveur FTP de Microsoft IIS
• CERTA-2009-AVI-363 : Vulnérabilité de wget
• CERTA-2009-AVI-364 : Vulnérabilité dans Qt
• CERTA-2009-AVI-365 : Vulnérabilités dans IBM Java

Gestion détaillée du document

04 septembre 2009

version initiale.