Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2009-ACT-043

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 23 octobre 2009
No CERTA-2009-ACT-043

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-43

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-043

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-043.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-043/

1 MS08-067 : un an après

1.1 Rappel des faits

Une année s'est écoulée depuis la sortie hors cycle du correctif MS08-067 de Microsoft. Pour rappel, ce correctif comble une vulnérabilité du service Serveur de Microsoft Windows. Cette faille exploitable via RPC promettait l'apparition rapide de vers afin de compromettre tous les machines vulnérables.

En effet, moins d'un mois après l'édition du correctif, de nouveaux codes malveillants dénommés, en autre, Conficker font leurs apparitions. Conficker/Downadup/Kido obtient un très fort écho médiatique.

1.2 Constat et recommandations

Malheureusement, aujourd'hui encore, le CERTA et ses homologues relèvent de nombreuses compromissions de machines au travers de cette vulnérabilité. Cette date anniversaire est donc une occasion de rappeler les bonnes pratiques à mettre en \oeuvre pour éviter une infection par le ver Conficker ou tout autre code malveillant utilisant les mêmes méthodes de propagation :

  • appliquez le correctif de sécurité de Microsoft ;
  • n'ouvrir les partages de fichiers et d'imprimantes que si nécessaire ;
  • désactiver l'exécution automatique au branchement d'un support amovible (clé USB, CD-ROM, ...) ;
  • ne jamais connecter un support amovible d'origine inconnue ou non vérifié ;
  • vérifiez que les pare-feux n'autorisent pas de connexion entrante inutile, notamment sur le port 445 ;
  • modifiez les mots de passe par défaut des boitiers d'accès à l'Internet (box).

Enfin, d'autres bonnes pratiques, comme utiliser des mots de passe fort ou consulter régulièrement les journaux d'événements des équipements comme le pare-feu ou le serveur proxy restent toujours applicables.

1.3 Documentation

2 Linux s'invite dans les téléviseurs

Après les équipements informatiques, les smartphones et autres assistants personnels, c'est au tour des téléviseurs d'avoir leur firmware basé sur le noyau Linux. Il est en effet possible aujourd'hui d'acheter ce type de téléviseur, et donc d'ajouter un nouvel équipement dans le système informatique domestique, sans forcément en être conscient.

Et il n'aura pas fallu longtemps avant de voir des méthodes de modification de ces firmwares apparaître. Ces derniers sont chiffrés à l'aide d'une méthode relativement simple (chiffrement XOR avec une clé évidente). Il est donc très facile de télécharger un exemplaire du firmware sur le site du constructeur, de le déchiffrer, d'y appliquer des modifications. Il suffit ensuite de chiffrer de nouveau en suivant la même méthode et en s'assurant que les mécanismes de contrôle (non sécurisés, par exemple CRC-32) soient validés.
Typiquement, la modification classique apportée au firmware est le démarrage automatique d'un démon permettant l'ouverture d'un shell.

On peut imaginer un très large éventail de modifications possibles du téléviseur lorsqu'un shell est à disposition : connexion au réseau WiFi domestique, lecture des partages NFS et CIFS, etc.

Du point de vue de la sécurité, l'ajout du téléviseur dans le parc informatique augmente la surface d'attaque. On peut prédire l'apparition prochaine de vulnérabilités sur ce type d'équipements, voire de codes malveillants d'autant plus qu'ils fonctionnent bien souvent avec des processeurs ARM. C'est-à-dire ceux que l'on retrouve dans plusieurs smartphones bien connus.

Il est donc important d'intégrer ce risque pour le système d'information lorsque ce type d'équipement se situe dans le système d'information, via un port réseau traditionnel. Ce type de téléviseur moderne intègre aussi maintenant des capacités de traitement de protocole multimédia comme UPnP ou DLNA. Il est, par exemple, facile de dissimuler à l'arrière de la télévision une clé USB WiFi et une clé de stockage afin de voler des informations accessibles par ce réseau sans fil.

3 De l'information utile ?

Un constat assez rapide de l'existant : les journaux applicatifs des serveurs de résolution de noms (DNS) sont rarement exploités, voire souvent ignorés. Pourtant, ces mêmes journaux fournissent nombre d'informations qui peuvent se révéler utiles pour réaliser de multiples tâches :

  • la détection grossière de machines participant à des campagnes d'émission de pourriels ;
  • la surveillance de fuites d'informations par les techniques de tunnels cachés par DNS ;
  • la découverte de machines compromises cherchant à communiquer vers des domaines ou des noms de mauvaise réputation se retrouvant dans des listes noires fournies par différents éditeurs ou par des projets communautaires associés à la sécurité ou vers des pays avec lesquels l'organisme n'a aucune relation ;
  • le contrôle et la surveillance des procédures de mise à jour : la plupart des applications et des systèmes d'exploitation cherchent à communiquer vers des serveurs identifiables ou vers « leur maison-mères ». Il est donc possible :
    • de s'assurer que, si une base de mise à jour est fournie en interne dans le réseau (serveur miroir ou de type WSUS), cette politique est bien appliquée par tous les systèmes d'information ;
    • d'identifier des applications ne respectant pas la politique de sécurité en vigueur ;
    • de détecter des tentatives de corruption de cache DNS associé aux processus de mises à jour.

De petits scripts « maison » et des commandes standards (grep, cut, sed, perl, etc.) permettent bien souvent de mettre en place plusieurs vérifications et d'assurer assez simplement les tâches précédentes.

Il ne s'agit ici que d'illustrations de l'exploitation possible, à des fins de sécurité dans son réseau, des journaux des serveurs de résolution de noms. À cette fin, on notera l'importance que la politique de filtrage garantisse que tous les flux DNS transitent bien nécessairement par les serveurs dont les journaux sont analysés.

Il convient cependant de garder à l'esprit qu'il existe des contraintes juridiques fortes notamment en matière de surveillance du trafic réseau. Le CERTA recommande donc de respecter ces dernières et de se rapprocher d'un service juridique avant de mettre en place de telles mesures.


4 Rappel des avis émis

Dans la période du 16 au 22 octobre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-446 : Vulnérabilités dans Symantec SecurityExpressions
  • CERTA-2009-AVI-447 : Vulnérabilités dans phpMyAdmin
  • CERTA-2009-AVI-448 : Vulnérabilités dans Xpdf et dérivés
  • CERTA-2009-AVI-449 : Multiples vulnérabilités dans Cisco Unified Presence
  • CERTA-2009-AVI-450 : Vulnérabilité dans ZFS pour Sun Solaris et Sun OpenSolaris
  • CERTA-2009-AVI-451 : Multiples vulnérabiltés dans les produits VMware
  • CERTA-2009-AVI-452 : Multiples vulnérabilités des produits Oracle
  • CERTA-2009-AVI-453 : Multiples vulnérabilités dans WordPress

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-323-001 : Vulnérabilités dans Apache APR-Utility (ajout de la référence au bulletin de sécurité IBM PK93225)
  • CERTA-2009-AVI-391-001 : Multiples vulnérabilités dans Bugzilla (ajout de la référence au bulletin de sécurité Debian)

Gestion détaillée du document

23 octobre 2009
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 25/05/2012