S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 11 septembre 2009 No CERTA-2009-ACT-037

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-37

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-037.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-037/

1 Vulnérabilités dans TCP/IP

En 2008, plusieurs failles de la pile TCP/IP trouvées par des chercheurs finlandais ont été largement médiatisées. Ces vulnérabilités ont été communiquées à divers éditeurs, parmi lesquels certains ont arrêté une date (mardi 08 septembre 2009) pour publier des correctifs. Cette date correspond à la publication mensuelle des mises à jour de Microsoft.

Ainsi, cette semaine, les éditeurs Microsoft, Cisco, et Check Point ont publié des correctifs concernant ces vulnérabilités de TCP. D'autres éditeurs ont annoncé que leurs produits ne sont pas affectés, et d'autres qu'ils ne publieraient pas de correctif (Red Hat) mais des contournements permettant d'atténuer les effets d'une potentielle attaque. En ce qui concerne Microsoft, si l'éditeur a émis des correctifs pour certains systèmes d'exploitation, il a également annoncé ne pas être en mesure de le faire pour Windows 2000 et Windows XP. L'éditeur Sun, en revanche, a déclaré que ses produits sont affectés mais seraient corrigés à une date ultérieure.

Dans cette optique, le CERTA a décidé de publier l'alerte CERTA-2009-ALE-017 concernant les produits non corrigés. Il est important de noter que même si un seul CVE a été attribué (CVE-2008-4609), il s'agit toutefois de plusieurs vulnérabilités. Le principe est généralement le même et consiste à saturer les systèmes au moyen de certains paramètres TCP tel que le window size. Les impacts peuvent également largement varier selon les systèmes.

S'agissant de failles dans l'implémentation du protocole TCP, il n'existe pas de contournement adapté notamment pour les serveurs. Les postes clients peuvent utiliser un pare-feu à état (stateful) pour bloquer les connexions entrantes non sollicitées. Les administrateurs de serveurs vulnérables peuvent éventuellement limiter le nombre de sessions TCP autorisées par adresse IP.

1.1 Documentation

• Vulnérabilités dans TCP/IP, alerte CERTA-2009-ALE-017 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-017/index.html
  

2 Actualité Microsoft

2.1 Vulnérabilité de SMBv2 dans Microsoft Windows Vista et Server 2008

L'alerte CERTA-2009-ALE-016 publiée cette semaine concerne une faille du pilote srv2.sys. Une personne malintentionnée peut provoquer un déni de service ou potentiellement exécuter du code arbitraire, au moyen d'un paquet SMBv2 spécialement conçu.

En attendant un correctif de sécurité la part de Microsoft, il est recommandé de désactiver SMBv2 sur les systèmes vulnérables. Cela peut évidemment avoir des effets secondaires. Le filtrage des ports tcp/139 et tcp/445 permettant de bloquer les paquets SMB, il convient également d'appliquer un tel filtrage sur le périmètre du système d'information. Seuls Windows Server 2008 et Windows Vista sont concernés par cette faille. Les versions finales de Windows 7 et Windows Server 2008 R2 ont, d'ores et déjà, été corrigées et SMBv2 n'est pas inclus dans les versions antérieures de Windows.

2.2 Les bulletins mensuels de Microsoft

Cette semaine, Microsoft a publié ses bulletins mensuels de sécurité. Le CERTA revient sur ces différents bulletins :

• MS09-045 : un défaut du moteur JScript permet à un utilisateur malveillant d'exécuter du code arbitraire avec les droits de l'utilisateur connecté ;
• MS09-046 : le composant d'édition DHTML sur les systèmes Microsoft Windows 2000, XP et Microsoft Windows Server 2003 présente une vulnérabilité exploitable par un utilisateur malveillant afin d'exécuter du code arbitraire avec les droits de l'utilisateur connecté ;
• MS09-047 : la lecture des fichiers ASF et MP3 malformés par Microsoft Windows Media Player n'est pas suffisamment robuste. Un utilisateur malveillant peut, par le biais de fichiers MP3 ou ASF spécialement conçus, exécuter du code arbitraire avec les droits de l'utilisateur connecté ;
• MS09-048 : des vulnérabilités dans la gestion du protocole TCP/IP, dont l'exploitation permet de réaliser un déni de service avec peu de ressources, sont corrigées pour les systèmes Microsoft Windows Server 2003 et 2008 et Microsoft Windows Vista. Aucun correctif ne sera développé pour Microsoft Windows 2000 dont la fin du support est en juillet 2010, et pour Microsoft Windows XP qui n'est vulnérable que si des exceptions sont autorisées dans la configuration du pare-feu. De nombreuses applications créent des exceptions lorsqu'elles s'installent. Il est donc fortement recommandé de vérifier les configurations et de fermer en entrée les ports inutiles ou devenus inutiles ;
• MS09-049 : l'utilitaire de configuration automatique des réseaux locaux sans fil est vulnérable. Avec des trames spécialement conçues, un utilisateur malveillant peut exécuter du code arbitraire à distance avec des droits complets sur l'ordinateur.

Le CERTA rappelle l'impérative nécessité d'appliquer au plus vite ces correctifs afin de protéger son système d'information. De plus l'utilisation de l'ordinateur avec un compte sans privilège inutile permet de réduire l'impact de l'exploitation des vulnérabilités mentionnées dans les trois premiers bulletins.

2.3 Documentation

• Vulnérabilités dans TCP/IP, alerte CERTA-2009-ALE-017 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-017/index.html
  

• Vulnérabilité dans SMBv2, alerte CERTA-2009-ALE-016 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-016/index.html
  

• Synthèse des bulletins de sécurité Microsoft de septembre 2009 :

  http://www.microsoft.com/france/technet/security/bulletin/ms09-sep.mspx
  

3 Un ver pour WordPress

Un ver ciblant des installations de WordPress non mises à jour se propage depuis quelques jours. Sa méthode d'attaque est la suivante :

• un utilisateur est enregistré ;
• une vulnérabilité permettant l'élévation des privilèges est exploitée. Cette vulnérabilité est corrigée dans la version 2.8.3 de WordPress (voir avis CERTA-2009-AVI-315) ;
• du code exécutable PHP est inséré dans un permalink ;
• un compte avec des droits d'administrateur est alors créé via une requête HTTP spécifique qui exploite le code inséré dans le permalink .

Le ver est susceptible de modifier des fichiers tels que .htaccess et de désactiver l'enregistrement des nouveaux comptes. Le compte avec les droits d'administrateur n'apparaît pas dans la liste des utilisateurs du WordPress. Le ver peut entraîner quelques dysfonctionnements pour le site attaqué, notamment au niveau des liens. Il est censé ajouter des publicités pour des produits pharmaceutiques ou des codes malveillants sur certaines pages. Les versions 2.8.3 et 2.8.4 de WordPress sont réputées insensibles à ce ver.

Les administrateurs de WordPress sont fortement incités à mettre à jour leur gestionnaire de contenu en version 2.8.4. Il est également conseillé de vérifier les permalinks et de regarder dans les journaux si des utilisateurs ont été ajoutés récemment. Enfin, une lecture du document « Hardening WordPress » (voir documentation) est encouragée.

Documentation

• Référence au ver WordPress :

  http://wordpress.org/development/2009/09/keep-wordpress-secure/
  

• Document « Hardening WordPress » :

  http://codex.wordpress.org/Hardening_WordPress
  

• Avis CERTA-2009-AVI-315 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-315/
  

4 XSS inter-protocolaire

4.1 Le XSS

Généralement, l'appréhension générale d'un XSS reste assez mauvaise. L'impact de telles attaques est souvent minimisé. Nous ne reviendrons pas dessus, mais différents articles du bulletin d'actualité du CERTA traitent de ce problème.

4.2 Les échos protocolaires

               envoi client :             HELO mail@exemple.tld
               réponse du serveur :  250 hello mail@exemple.tld

Dans ce cas, on remarque la réponse en écho du serveur. Une personne malveillante peut alors utiliser cette faille pour obliger le serveur de mail à répondre par un script. Il faut alors trouver une méthode pour provoquer l'interrogation du serveur de messagerie via un navigateur. Certaines études récentes démontrent la faisabilité de ce type d'attaque.

4.3 Comment s'en protéger ?

Du côté serveur, on peut limiter l'exploitation de ces faiblesses en apportant une attention toute particulière aux produits utilisés et aux interactions entre le client et ce produit. Parfois, un audit pourra s'avérer utile.

Du côté client, le meilleur moyen de se protéger de manière générique des attaques de type XSS reste de désactiver l'interprétation de toute forme de script par le navigateur (vbscript, JavaScript, etc.) et de ne réactiver la fonctionnalité qu'en cas d'impérieuse nécessité vis à vis d'un site de confiance. Cette mesure draconienne semble pour beaucoup impossible à tenir et pourtant, il apparaît que la navigation sans script reste encore possible, même si la perte en ergonomie est grande.

5 Firefox : une mise à jour bienveillante

Cette semaine, une nouvelle version du navigateur Mozilla Firefox a été publiée. Cette nouvelle mouture corrige plusieurs vulnérabilités détaillées dans l'avis CERTA CERTA-2009-AVI-379, mais ajoute également une fonctionnalité intéressante.

En effet, après l'installation de la mise à jour, un message apparaît si le module Adobe Flash installé n'est dans sa dernière version. Un lien vers la page officielle du site d'Adobe est également présenté afin d'obtenir la dernière version du module. Cette initiative ne peut être que saluée surtout lorsque des mises à jour du système d'exploitation Apple Mac OS X provoquent une régression de ce module (cf. le bulletin d'actualité CERTA-2009-ACT-036). La fondation Mozilla projette d'intégrer ce contrôle de version pour d'autres modules dans une prochaine évolution de son navigateur.

Documentation

• Avis CERTA-2009-AVI-379 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-379/
  

• Bulletin d'actualité CERTA-2009-ACT-036 du 04 septembre 2009 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-036/
  

6 Rappel des avis émis

Dans la période du 04 août au 10 septembre 2009, le CERTA a émis les avis suivants :

• CERTA-2009-AVI-366 : Vulnérabilité Java de Mac OS X
• CERTA-2009-AVI-367 : Vulnérabilité dans IBM Tivoli Identity Manager
• CERTA-2009-AVI-368 : Vulnérabilité dans IBM Lotus Domino Web Acess
• CERTA-2009-AVI-369 : Vulnérabilité de Microsoft JScript
• CERTA-2009-AVI-370 : Vulnérabilité dans le composant d'édition DHTML de Microsoft Windows
• CERTA-2009-AVI-371 : Vulnérabilités dans Windows Media Format
• CERTA-2009-AVI-372 : Multiples vulnérabilités dans TCP/IP sous Windows
• CERTA-2009-AVI-373 : Vulnérabilité dans Microsoft Wireless LAN AutoConfig Service
• CERTA-2009-AVI-374 : Vulnérabilité dans Asterisk
• CERTA-2009-AVI-375 : Vulnérabilité de Ruby on Rails
• CERTA-2009-AVI-376 : Vulnérabilité dans les produits Check Point
• CERTA-2009-AVI-377 : Vulnérabilités des produits Cisco
• CERTA-2009-AVI-378 : Multiples vulnérabilités dans Apple QuickTime
• CERTA-2009-AVI-379 : Vulnérabilités dans Mozilla Firefox

Pendant la même période, les avis suivants ont été mis à jour :

• CERTA-2009-AVI-335-001 : Multiples vulnérabilités dans libxml2 (ajout des références Sun et Ubuntu)
• CERTA-2009-AVI-362-001 : Vulnérabilités dans OpenOfficeorg (ajout des références aux bulletins Debian, Fedora et RedHat.)

Gestion détaillée du document

11 septembre 2009

version initiale.