S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 octobre 2009
N^o CERTA-2009-ACT-043

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-43

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-043

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-043.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-043/

1 MS08-067 : un an après

1.1 Rappel des faits

Une année s'est écoulée depuis la sortie hors cycle du correctif MS08-067 de Microsoft. Pour rappel, ce correctif comble une vulnérabilité du service Serveur de Microsoft Windows. Cette faille exploitable via RPC promettait l'apparition rapide de vers afin de compromettre tous les machines vulnérables.

En effet, moins d'un mois après l'édition du correctif, de nouveaux codes malveillants dénommés, en autre, Conficker font leurs apparitions. Conficker/Downadup/Kido obtient un très fort écho médiatique.

1.2 Constat et recommandations

Malheureusement, aujourd'hui encore, le CERTA et ses homologues relèvent de nombreuses compromissions de machines au travers de cette vulnérabilité. Cette date anniversaire est donc une occasion de rappeler les bonnes pratiques à mettre en $\oe$ uvre pour éviter une infection par le ver Conficker ou tout autre code malveillant utilisant les mêmes méthodes de propagation :

appliquez le correctif de sécurité de Microsoft ;
n'ouvrir les partages de fichiers et d'imprimantes que si nécessaire ;
désactiver l'exécution automatique au branchement d'un support amovible (clé USB, CD-ROM, ...) ;
ne jamais connecter un support amovible d'origine inconnue ou non vérifié ;
vérifiez que les pare-feux n'autorisent pas de connexion entrante inutile, notamment sur le port 445 ;
modifiez les mots de passe par défaut des boitiers d'accès à l'Internet (box).

Enfin, d'autres bonnes pratiques, comme utiliser des mots de passe fort ou consulter régulièrement les journaux d'événements des équipements comme le pare-feu ou le serveur proxy restent toujours applicables.

1.3 Documentation

Bulletin de sécurité Microsoft MS08-067 du 23 octobre 2008 :

http://www.microsoft.com/france/technet/security/bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

Référence CVE CVE-2008-4250 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250

Outil de suppression de logiciels malveillants Microsoft Windows :

http://support.microsoft.com/?kbid=890830

http://www.microsoft.com/france/securite/malwareremove/default.aspx

Déploiement de l'outil de suppression de logiciels malveillants Microsoft Windows dans un environnement d'entreprise :
```
http://support.microsoft.com/kb/891716
```

2 Linux s'invite dans les téléviseurs

Après les équipements informatiques, les smartphones et autres assistants personnels, c'est au tour des téléviseurs d'avoir leur firmware basé sur le noyau Linux. Il est en effet possible aujourd'hui d'acheter ce type de téléviseur, et donc d'ajouter un nouvel équipement dans le système informatique domestique, sans forcément en être conscient.

Et il n'aura pas fallu longtemps avant de voir des méthodes de modification de ces firmwares apparaître. Ces derniers sont chiffrés à l'aide d'une méthode relativement simple (chiffrement XOR avec une clé évidente). Il est donc très facile de télécharger un exemplaire du firmware sur le site du constructeur, de le déchiffrer, d'y appliquer des modifications. Il suffit ensuite de chiffrer de nouveau en suivant la même méthode et en s'assurant que les mécanismes de contrôle (non sécurisés, par exemple CRC-32) soient validés.
Typiquement, la modification classique apportée au firmware est le démarrage automatique d'un démon permettant l'ouverture d'un shell.

On peut imaginer un très large éventail de modifications possibles du téléviseur lorsqu'un shell est à disposition : connexion au réseau WiFi domestique, lecture des partages NFS et CIFS, etc.

Du point de vue de la sécurité, l'ajout du téléviseur dans le parc informatique augmente la surface d'attaque. On peut prédire l'apparition prochaine de vulnérabilités sur ce type d'équipements, voire de codes malveillants d'autant plus qu'ils fonctionnent bien souvent avec des processeurs ARM. C'est-à-dire ceux que l'on retrouve dans plusieurs smartphones bien connus.

Il est donc important d'intégrer ce risque pour le système d'information lorsque ce type d'équipement se situe dans le système d'information, via un port réseau traditionnel. Ce type de téléviseur moderne intègre aussi maintenant des capacités de traitement de protocole multimédia comme UPnP ou DLNA. Il est, par exemple, facile de dissimuler à l'arrière de la télévision une clé USB WiFi et une clé de stockage afin de voler des informations accessibles par ce réseau sans fil.

3 De l'information utile ?

Un constat assez rapide de l'existant : les journaux applicatifs des serveurs de résolution de noms (DNS) sont rarement exploités, voire souvent ignorés. Pourtant, ces mêmes journaux fournissent nombre d'informations qui peuvent se révéler utiles pour réaliser de multiples tâches :

la détection grossière de machines participant à des campagnes d'émission de pourriels ;
la surveillance de fuites d'informations par les techniques de tunnels cachés par DNS ;
la découverte de machines compromises cherchant à communiquer vers des domaines ou des noms de mauvaise réputation se retrouvant dans des listes noires fournies par différents éditeurs ou par des projets communautaires associés à la sécurité ou vers des pays avec lesquels l'organisme n'a aucune relation ;
le contrôle et la surveillance des procédures de mise à jour : la plupart des applications et des systèmes d'exploitation cherchent à communiquer vers des serveurs identifiables ou vers « leur maison-mères ». Il est donc possible :
- de s'assurer que, si une base de mise à jour est fournie en interne dans le réseau (serveur miroir ou de type WSUS), cette politique est bien appliquée par tous les systèmes d'information ;
- d'identifier des applications ne respectant pas la politique de sécurité en vigueur ;
- de détecter des tentatives de corruption de cache DNS associé aux processus de mises à jour.

De petits scripts « maison » et des commandes standards (grep, cut, sed, perl, etc.) permettent bien souvent de mettre en place plusieurs vérifications et d'assurer assez simplement les tâches précédentes.

Il ne s'agit ici que d'illustrations de l'exploitation possible, à des fins de sécurité dans son réseau, des journaux des serveurs de résolution de noms. À cette fin, on notera l'importance que la politique de filtrage garantisse que tous les flux DNS transitent bien nécessairement par les serveurs dont les journaux sont analysés.

Il convient cependant de garder à l'esprit qu'il existe des contraintes juridiques fortes notamment en matière de surveillance du trafic réseau. Le CERTA recommande donc de respecter ces dernières et de se rapprocher d'un service juridique avant de mettre en place de telles mesures.

4 Rappel des avis émis

Dans la période du 16 au 22 octobre 2009, le CERTA a émis les avis suivants :

CERTA-2009-AVI-446 : Vulnérabilités dans Symantec SecurityExpressions
CERTA-2009-AVI-447 : Vulnérabilités dans phpMyAdmin
CERTA-2009-AVI-448 : Vulnérabilités dans Xpdf et dérivés
CERTA-2009-AVI-449 : Multiples vulnérabilités dans Cisco Unified Presence
CERTA-2009-AVI-450 : Vulnérabilité dans ZFS pour Sun Solaris et Sun OpenSolaris
CERTA-2009-AVI-451 : Multiples vulnérabiltés dans les produits VMware
CERTA-2009-AVI-452 : Multiples vulnérabilités des produits Oracle
CERTA-2009-AVI-453 : Multiples vulnérabilités dans WordPress

Pendant la même période, les avis suivants ont été mis à jour :

CERTA-2009-AVI-323-001 : Vulnérabilités dans Apache APR-Utility (ajout de la référence au bulletin de sécurité IBM PK93225)
CERTA-2009-AVI-391-001 : Multiples vulnérabilités dans Bugzilla (ajout de la référence au bulletin de sécurité Debian)

Gestion détaillée du document

23 octobre 2009: version initiale.

CERTA
2012-01-04