S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 30 octobre 2009
N^o CERTA-2009-ACT-044

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-44

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044/

1 Microsoft EMET

Cette semaine Microsoft a publié un outil nommé EMET pour (Enhanced Mitigation Evaluation Toolkit) disponible en téléchargement gratuit à cette adresse :

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4a2346ac-b772-4d40-a750-9046542f343d

Cet outil, bien qu'en ligne de commande, reste très simple à utiliser. Il ne dispose pas, pour le moment, de programme d'installation mais la documentation fournie étant assez claire, on peut s'en affranchir aisément.

EMET propose de positionner, de façon indépendante sur les programmes binaires présents sur la machine, un certain nombre de protections limitant les effets des codes malveillants. Ainsi, parmi les protections proposées, on trouve :

l'activation du DEP (Data Execution Prevention) par binaire. Cette protection empêche l'exécution de certaines régions d'un processus en marquant explicitement ces zones comme non-exécutables. Cette fonctionnalité était déjà présente dans Windows XP SP2 ainsi que les versions suivantes pour les binaires Microsoft, mais EMET permet d'affiner les réglages en permettant ce positionnement binaire par binaire ;
un système de protection de la chaîne d'exceptions ou SEH (Structured Exception Handling) inclus dans chaque binaire. Ce mécanisme prévient la corruption de cette chaîne. En effet, il existe des moyen d'exécuter du code arbitraire si l'on arrive à corrompre cette structure ;
un système de protection des erreurs issu d'un type pointeur nul (NULL Pointer) présents dans certains programmes. EMET préviendra donc des attaques de type NULL Pointer même si le binaire protégé présente ce type de faille ;
une protection de la zone mémoire nommée « tas » qui sert aux mécanismes d'allocation dynamique de mémoire. Une attaque assez courante consistant à remplir le tas avec des données comprenant, entre autre, le code arbitraire à exécuter (shellcode), EMET l'empêchera ou, tout du moins, rendra plus difficile ce type d'attaque.

Concrètement, EMET gère la liste des applications qu'il protège. Son fonctionnement est binaire puisque si l'application figure dans cette liste elle disposera de l'ensemble des protections si elle n'y est pas, elle n'en aura aucune, sauf peut-être le DEP si il a été positionné globalement par ailleurs.

Cet outil devra tout de même être utilisé avec prudence et modération car, selon Microsoft et compte tenu des protections mises en place, il peut y avoir des effets de bord pour certaines applications. Celles-ci peuvent tout simplement cesser de fonctionner ou devenir instables. Néanmoins pour des applications sensibles et souvent sujettes à des attaques, EMET peut être d'un grand secours et le niveau de protection offert se révèle être très intéressant. De plus son utilisation en ligne de commande lui permet d'être inclus aisément dans des scripts de configuration.

2 Problèmes avec la mise à jour MS09-056

La mise à jour MS09-056 corrige deux vulnérabilités de la CryptoAPI de Microsoft Windows permettant d'usurper le certificat d'un site Web. Ce bulletin a fait l'objet de l'avis CERTA-2009-AVI-436.

Microsoft a mis à jour son bulletin de sécurité pour informer de problèmes éventuels pouvant être rencontrés avec certaines applications après installation de la mise à jour. Notamment, il est écrit que certains services ne s'exécutent plus dans les versions suivantes de Communications Server :

Live Communications Server 2005 et Live Communications Server 2005 SP1 ;
Office Communications Server 2007 Enterprise Edition, Standard Edition, et R2 Standard Edition ;
les versions d'évaluation d'Office Communicator 2007 et Office Communicator R2.

Le symptôme décrit est que l'activation des produits échoue ou que les produits se comportent comme si une version d'évaluation expirée est installée.

Un correctif est disponible sur le site de Microsoft (cf. section documentation).

Documentation

Article #974571 de la base de connaissances Microsoft :
```
http://support.microsoft.com/kb/974571
```

Avis CERTA-2009-AVI-436 :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-436/index.html

3 Le numéro de téléphone : une illusion d'authentification

Ne jamais faire confiance à un service demandant une authentification par numéro de téléphone.

Si votre messagerie vocale n'est pas protégée par un mot de passe, il est judicieux d'en configurer un. Car il n'est pas forcément facile de savoir la façon dont l'opérateur gère l'authentification sur son serveur de messagerie.

Il est aujourd'hui possible de se faire passer pour un autre en usurpant son numéro de téléphone. L'avènement de la VoIP a mis le spoofing téléphonique, c'est-à-dire l'usurpation de numéro de téléphone, à la portée de tous. Avec un PABX, il est envisageable de manipuler les flux téléphoniques et donc de modifier le numéro source de l'appel.

N'importe qui peut alors usurper un numéro de téléphone. Il existe des services « légitimes » sur le Web agissant comme proxy téléphonique et permettant de changer le numéro source de l'appel, ainsi que de modifier sa voix. Ces services sont faciles à utiliser, il suffit d'y souscrire, pour environ 10 euros de l'heure, et un code PIN sera fourni qui permettra l'accès au proxy téléphonique. Ensuite, il suffit d'appeler ce proxy téléphonique, d'entrer le code PIN, et de préciser le numéro à appeler et le numéro source de l'appel. Certains smartphones peuvent installer directement des applications permettant d'automatiser ce processus.

Beaucoup de services, aux États-Unis notamment, utilisent le numéro de téléphone pour authentifier l'utilisateur. Des banques, des sociétés de vente par correspondance, des fournisseurs d'accès à l'Internet ou téléphonique, et bien d'autres encore, utilisent de nos jours l'authentification par numéro de téléphone. C'est malheureusement une donnée à laquelle les gens ont appris à faire confiance. Pourtant, cette forme d'authentification est aujourd'hui clairement obsolète. Il est beaucoup facile d'usurper un numéro de téléphone qu'il y a 10 ans.

4 Rappel des avis émis

Dans la période du 23 au 29 octobre 2009, le CERTA a émis les avis suivants :

CERTA-2009-AVI-454 : Multiples vulnérabilités dans TYPO3
CERTA-2009-AVI-455 : Vulnérabilité dans IBM OS/400 HTTP Server
CERTA-2009-AVI-456 : Vulnérabilité dans ProFTPD
CERTA-2009-AVI-457 : Vulnérabilité dans Asterisk
CERTA-2009-AVI-458 : Vulnérabilité dans IBM Lotus Connections
CERTA-2009-AVI-459 : Multiples vulnérabilités dans Mozilla Firefox
CERTA-2009-AVI-460 : Vulnérabilités dans Opera
CERTA-2009-AVI-461 : Vulnérabilité dans Solaris Trusted Extensions
CERTA-2009-AVI-462 : Vulnérabilités dans les produits McAfee
CERTA-2009-AVI-463 : Multiples vulnérabilités dans Wireshark

Pendant la même période, les avis suivants ont été mis à jour :

CERTA-2009-AVI-211-001 : Multiples vulnérabilités de Apache Tomcat (ajout de référence CVE et du bulletin HP-UX)

Gestion détaillée du document

30 octobre 2009: version initiale.

CERTA
2012-01-04