Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2009-ACT-044

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERTs

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Le directeur		 République Française Paris, le 30 octobre 2009
No CERTA-2009-ACT-044

Affaire suivie par :

CERTA

N O T E

Objet : Bulletin d'actualité 2009-44

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-044/

1 Microsoft EMET

Cette semaine Microsoft a publié un outil nommé EMET pour (Enhanced Mitigation Evaluation Toolkit) disponible en téléchargement gratuit à cette adresse :

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4a2346ac-b772-4d40-a750-9046542f343d
.

Cet outil, bien qu'en ligne de commande, reste très simple à utiliser. Il ne dispose pas, pour le moment, de programme d'installation mais la documentation fournie étant assez claire, on peut s'en affranchir aisément.

EMET propose de positionner, de façon indépendante sur les programmes binaires présents sur la machine, un certain nombre de protections limitant les effets des codes malveillants. Ainsi, parmi les protections proposées, on trouve :

  • l'activation du DEP (Data Execution Prevention) par binaire. Cette protection empêche l'exécution de certaines régions d'un processus en marquant explicitement ces zones comme non-exécutables. Cette fonctionnalité était déjà présente dans Windows XP SP2 ainsi que les versions suivantes pour les binaires Microsoft, mais EMET permet d'affiner les réglages en permettant ce positionnement binaire par binaire ;
  • un système de protection de la chaîne d'exceptions ou SEH (Structured Exception Handling) inclus dans chaque binaire. Ce mécanisme prévient la corruption de cette chaîne. En effet, il existe des moyen d'exécuter du code arbitraire si l'on arrive à corrompre cette structure ;
  • un système de protection des erreurs issu d'un type pointeur nul (NULL Pointer) présents dans certains programmes. EMET préviendra donc des attaques de type NULL Pointer même si le binaire protégé présente ce type de faille ;
  • une protection de la zone mémoire nommée « tas » qui sert aux mécanismes d'allocation dynamique de mémoire. Une attaque assez courante consistant à remplir le tas avec des données comprenant, entre autre, le code arbitraire à exécuter (shellcode), EMET l'empêchera ou, tout du moins, rendra plus difficile ce type d'attaque.

Concrètement, EMET gère la liste des applications qu'il protège. Son fonctionnement est binaire puisque si l'application figure dans cette liste elle disposera de l'ensemble des protections si elle n'y est pas, elle n'en aura aucune, sauf peut-être le DEP si il a été positionné globalement par ailleurs.

Cet outil devra tout de même être utilisé avec prudence et modération car, selon Microsoft et compte tenu des protections mises en place, il peut y avoir des effets de bord pour certaines applications. Celles-ci peuvent tout simplement cesser de fonctionner ou devenir instables. Néanmoins pour des applications sensibles et souvent sujettes à des attaques, EMET peut être d'un grand secours et le niveau de protection offert se révèle être très intéressant. De plus son utilisation en ligne de commande lui permet d'être inclus aisément dans des scripts de configuration.

2 Problèmes avec la mise à jour MS09-056

La mise à jour MS09-056 corrige deux vulnérabilités de la CryptoAPI de Microsoft Windows permettant d'usurper le certificat d'un site Web. Ce bulletin a fait l'objet de l'avis CERTA-2009-AVI-436.

Microsoft a mis à jour son bulletin de sécurité pour informer de problèmes éventuels pouvant être rencontrés avec certaines applications après installation de la mise à jour. Notamment, il est écrit que certains services ne s'exécutent plus dans les versions suivantes de Communications Server :

  • Live Communications Server 2005 et Live Communications Server 2005 SP1 ;
  • Office Communications Server 2007 Enterprise Edition, Standard Edition, et R2 Standard Edition ;
  • les versions d'évaluation d'Office Communicator 2007 et Office Communicator R2.

Le symptôme décrit est que l'activation des produits échoue ou que les produits se comportent comme si une version d'évaluation expirée est installée.

Un correctif est disponible sur le site de Microsoft (cf. section documentation).

Documentation

3 Le numéro de téléphone : une illusion d'authentification

Ne jamais faire confiance à un service demandant une authentification par numéro de téléphone.

Si votre messagerie vocale n'est pas protégée par un mot de passe, il est judicieux d'en configurer un. Car il n'est pas forcément facile de savoir la façon dont l'opérateur gère l'authentification sur son serveur de messagerie.

Il est aujourd'hui possible de se faire passer pour un autre en usurpant son numéro de téléphone. L'avènement de la VoIP a mis le spoofing téléphonique, c'est-à-dire l'usurpation de numéro de téléphone, à la portée de tous. Avec un PABX, il est envisageable de manipuler les flux téléphoniques et donc de modifier le numéro source de l'appel.

N'importe qui peut alors usurper un numéro de téléphone. Il existe des services « légitimes » sur le Web agissant comme proxy téléphonique et permettant de changer le numéro source de l'appel, ainsi que de modifier sa voix. Ces services sont faciles à utiliser, il suffit d'y souscrire, pour environ 10 euros de l'heure, et un code PIN sera fourni qui permettra l'accès au proxy téléphonique. Ensuite, il suffit d'appeler ce proxy téléphonique, d'entrer le code PIN, et de préciser le numéro à appeler et le numéro source de l'appel. Certains smartphones peuvent installer directement des applications permettant d'automatiser ce processus.

Beaucoup de services, aux États-Unis notamment, utilisent le numéro de téléphone pour authentifier l'utilisateur. Des banques, des sociétés de vente par correspondance, des fournisseurs d'accès à l'Internet ou téléphonique, et bien d'autres encore, utilisent de nos jours l'authentification par numéro de téléphone. C'est malheureusement une donnée à laquelle les gens ont appris à faire confiance. Pourtant, cette forme d'authentification est aujourd'hui clairement obsolète. Il est beaucoup facile d'usurper un numéro de téléphone qu'il y a 10 ans.


4 Rappel des avis émis

Dans la période du 23 au 29 octobre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-454 : Multiples vulnérabilités dans TYPO3
  • CERTA-2009-AVI-455 : Vulnérabilité dans IBM OS/400 HTTP Server
  • CERTA-2009-AVI-456 : Vulnérabilité dans ProFTPD
  • CERTA-2009-AVI-457 : Vulnérabilité dans Asterisk
  • CERTA-2009-AVI-458 : Vulnérabilité dans IBM Lotus Connections
  • CERTA-2009-AVI-459 : Multiples vulnérabilités dans Mozilla Firefox
  • CERTA-2009-AVI-460 : Vulnérabilités dans Opera
  • CERTA-2009-AVI-461 : Vulnérabilité dans Solaris Trusted Extensions
  • CERTA-2009-AVI-462 : Vulnérabilités dans les produits McAfee
  • CERTA-2009-AVI-463 : Multiples vulnérabilités dans Wireshark

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-211-001 : Multiples vulnérabilités de Apache Tomcat (ajout de référence CVE et du bulletin HP-UX)

Gestion détaillée du document

30 octobre 2009
version initiale.


CERTA
2010-01-20

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 01/09/2010