S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 12 février
2010
No CERTA-2010-ACT-006 |
Affaire suivie par :
CERTA
Objet : Bulletin d'actualité
2010-06
Le bulletin d'actualité est disponible dans son
intégralité et au format PDF à l'adresse
suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-006.pdf
Un extrait du bulletin, ne reprenant que les articles de la
semaine, se trouve en HTML à l'adresse
suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-006/
Cette semaine, le CERTA a traité un cas de courriel
piégé avec une pièce jointe malveillante.
Celle-ci, au format PDF, tentait
d'exploiter plusieurs vulnérabilités selon la
version du lecteur Adobe Reader utilisé. Cela
est possible grâce à l'interprétation du
JavaScript par le logiciel. En
effet, l'exécution de scripts permet de cibler la
version d'Adobe Reader utilisée et de faciliter
l'exploitation des différentes
vulnérabilités.
Si le PDF malveillant visait
plusieurs versions d'Adobe Reader, fort heureusement
le shellcode ensuite
exécuté était plus capricieux. En effet,
celui-ci tente de copier la charge malveillante dans un
répertoire spécifique du système avant de
l'exécuter. L'écriture dans ce répertoire
nécessitait toutefois des droits administrateur, ce que
le code ne vérifie pas. La victime ayant ouvert la
pièce jointe utilisant un compte aux droits
limités, son poste n'a finalement pas été
compromis.
Si de nombreux codes malveillants fonctionnent quel que soit
le type de compte utilisé, le CERTA rappelle que, selon
le principe de défense en profondeur, outre la mise
à jour des applications qui reste un principe
fondamental, l'utilisation d'un poste pour des tâches
bureautiques doit se faire avec un compte qui n'a pas de droits
d'administration. De même, les utilisateurs d'Adobe
Reader doivent désactiver l'interprétation
du JavaScript qui est très
rarement indispensable à la lecture d'un document.
Mardi, Microsoft a publié son lot mensuel de
correctifs. Ils sont au nombre de 13 et corrigent 26
vulnérabilités. Voici un rappel des bulletins
émis :
- une vulnérabilité dans Microsoft
Office permet d'exécuter du code arbitraire, avec
les droits de l'utilisateur sur l'ordinateur
vulnérable lors de l'ouverture d'un fichier
spécialement conçu ;
- six vulnérabilités dans Microsoft
Powerpoint, permettant d'effectuer une exécution
de code arbitraire, ont été corrigées
;
- une vulnérabilité dans Microsoft
Paint permet à une personne
malintentionnée distante de provoquer
l'exécution de code arbitraire via un fichier JPEG spécialement conçu
;
- deux vulnérabilités dans le client SMB de Microsoft Windows ont
été corrigées ;
- une vulnérabilité est exploitable par le
biais d'un navigateur Web envoyant des données
spécialement conçues à la fonction ShellExecute via le gestionnaire de
Shell Windows ;
- une vulnérabilité permet l'exécution
de code arbitraire à distance par le biais d'une page
Web spécialement conçue appelant un
contrôle ActiveX
vulnérable ;
- des erreurs dans l'implémentation du protocole
IPv6 dans Microsoft
Windows contient plusieurs vulnérabilités
qui permettent, entre autre, à un utilisateur distant
malintentionné d'exécuter du code arbitraire
avec les privilèges « Système »
;
- une vulnérabilité permet à une
personne malintentionnée de créer un
déni de service en bloquant l'exécution d'Hyper-V (le système
d'hypervision de Microsoft) et de toutes les
machines virtuelles en service. L'exploitation de cette
vulnérabilité nécessite d'être
authentifié dans l'une des machines virtuelles et de
pouvoir y exécuter du code localement ;
- une vulnérabilité dans le processus CSRSS (Client-Server Run-time Subsystem) permet
à une personne malintentionnée d'élever
ses privilèges sur le système ;
- plusieurs vulnérabilités dans Microsoft
Windows SMB permettent d'exécuter du code
arbitraire à distance, de provoquer un déni de
service ou d'élever ses privilèges ;
- une vulnérabilité dans Microsoft
DirectShow affecte le filtre AVI et permet à une personne
malveillante d'exécuter du code arbitraire au moyen
d'un fichier au format AVI
spécialement construit ;
- une vulnérabilité dans Kerberos due à un traitement incorrect
de certaines requêtes permet à une personne
malintentionnée de provoquer un déni de service
sur un contrôleur de domaine Windows ;
- une vulnérabilité dans le
sous-système MS-DOS (ntvdm.exe) et affectant potentiellement
toutes les versions 32 bits de Microsoft Windows,
permet à un utilisateur local d'élever ses
privilèges au moyen d'un exécutable
spécialement construit. Ce correctif comble la
vulnérabilité décrite dans l'alerte
CERTA-2010-ALE-002.
Pour mémoire, la liste des avis publiés par le
CERTA pendant la semaine (du jeudi au jeudi)
précédent ce document est disponible dans la
section « Rappel des avis émis » du bulletin
d'actualité.
Parmi les bulletins de sécurité
Microsoft publiés cette semaine, deux
concernent la gestion du protocole SMB.
Le bulletin MS10-006 concerne la partie cliente de la
gestion du protocole SMB. Dans ce
bulletin nous nous intéresserons plus
spécifiquement à la vulnérabilité
CVE-2010-0016. Pour cette vulnérabilité, le
scénario d'attaque typique suppose qu'un serveur ait
été compromis. Dans ce cas, chaque client se
connectant à ce serveur sera à son tour compromis
(via une exécution de code) lors de la réception
d'une requête SMB
spécialement malformée qui lui sera
envoyée par le serveur.
On peut aussi envisager qu'une machine cliente
infectée se transforme en serveur infectant via, par
exemple, l'usurpation de paquets NBNS (NetBIOS Name
Service).
Il est à noter que le chercheur à l'origine de
la découverte de la vulnérabilité a
publié un document détaillé expliquant le
savoir faire nécessaire à l'exploitation de cette
vulnérabilité.
L'autre bulletin, MS10-012, concerne la partie serveur de la
gestion du protocole SMB. L'une des
vulnérabilités (CVE-2010-0020) couverte par ce
bulletin permet l'exécution de code arbitraire à
distance en envoyant une requête SMB malformée à toute machine
dont le service serveur est démarré.
Pour les deux vulnérabilités dont nous venons
de parler, l'exécution de code s'effectue avec les
privilèges « Système » permettant un
contrôle total de la machine.
Le fait que l'exploitation de ces deux
vulnérabilités nécessite une
authentification n'est qu'un facteur atténuant partiel
car c'est le cas dans la plupart des réseaux
d'entreprises utilisant un annuaire.
L'exploitation de ces vulnérabilités pouvant
potentiellement servir à la propagation d'un ver, le
CERTA recommande l'installation au plus tôt de ces deux
correctifs.
Il a été remonté par plusieurs
utilisateurs que suite à l'application du correctif
MS10-015 un redémarrage inopiné de la machine
pouvait survenir (redémarrage en boucle). Comme
spécifié dans le blog MSRC, ce
problème est en cours d'étude chez
Microsoft.
La diffusion par Windows Update
de cette mise à jour est pour le moment suspendue.
Le CERTA recommande de tester exhaustivement ce correctif avant
toute mise en production ou d'appliquer temporairement les
contournements proposés par l'éditeur.
L'éditeur Adobe annonce
la publication de correctifs pour le mardi 16 février
2010, donc hors du cycle trimestriel annoncé
l'été dernier.
Les vulnérabilités corrigées lors de
cette mise à jour sont considérées
critiques par l'éditeur. Cette qualification laisse
supposer la possibilité pour l'attaquant
d'exécuter du code arbitraire à l'insu de
l'utilisateur.
Les logiciels concernés sont :
- Adobe Acrobat 9.3 et 8.2 sur Windows et MacOS ;
- Adobe Reader 9.3 sur Windows, Unix et MacOS ;
- Adobe Reader 8.2 sur Windows et MacOS.
Il s'agit d'un protocole basé sur HTTP-SOAP
(Simple Object Access Protocol) qui
peut servir à administrer des équipements
(routeurs, caméras, NAS
...). Plus simplement, il s'agit d'envoyer un message en
XML, respectant un certain format, en utilisant le
protocole HTTP. Ce message peut par exemple contenir
une demande d'informations (GetDeviceSetting) ou des consignes de
configurations (SetDeviceSetting).
Il est censé faciliter la réalisation d'une
topologie précise du réseau, chaque appareil se
décrivant à la demande (type, model, version de
logiciel, ...). Pour savoir si un équipement supporte le
protocole HNAP, il suffit de lui demander à
l'aide d'un simple GET sur http://[IPdevice]/HNAP1/.
Il est décrit comme « simple,
rapide et facile à mettre en 
uvre
». Avec une telle approche, sans parler des risques
hypothétiques du protocole ou des problématiques
d'avoir un serveur Web embarqué et potentiellement
vulnérable, il est fort à parier que le
développement et l'intégration d'un tel protocole
suive l'idée du « rapide » et « simple », trop peut être.
Il y a quelques semaines, une présentation a
montré que certains matériels ont une
implémentation vulnérable du protocole
HNAP. Si ceux-ci demandent bien un identifiant et un
mot de passe pour accéder aux informations sensibles, la
demande d'informations est elle librement accessibles. Le
problème est qu'elle permet de contourner la demande
d'authentification en encapsulant des commandes de
configurations, dans un message de type demande d'informations.
Le CERTA recommande, dans la mesure du possible la
désactivation de ce type de service, ou de ne les
laisser accessible qu'a des réseaux dédiés
ou tout du moins contrôlés.
5 Rappel des avis émis
Dans la période du 05 au 11 février 2010, le
CERTA a émis les avis suivants :
- CERTA-2010-AVI-056 : Vulnérabilité dans HP
Enterprise Cluser Master Toolkit
- CERTA-2010-AVI-057 : Vulnérabilités de
DokuWiki
- CERTA-2010-AVI-058 : Vulnérabilité dans
Oracle WebLogic Server
- CERTA-2010-AVI-059 : Vulnérabilité dans
OTRS
- CERTA-2010-AVI-060 : Vulnérabilité dans
Novell eDirectory
- CERTA-2010-AVI-061 : Vulnérabilité dans
Microsoft Office
- CERTA-2010-AVI-062 : Vulnérabilités de
Microsoft PowerPoint
- CERTA-2010-AVI-063 : Vulnérabilité dans
Microsoft Paint
- CERTA-2010-AVI-064 : Vulnérabilités dans le
client SMB de Microsoft Windows
- CERTA-2010-AVI-065 : Vulnérabilité dans le
gestionnaire de Shell Windows
- CERTA-2010-AVI-066 : Vulnérabilité dans
certains contrôles ActiveX
- CERTA-2010-AVI-067 : Multiples
vulnérabilités dans Microsoft Windows
TCP/IP
- CERTA-2010-AVI-068 : Vulnérabilité dans
Microsoft Hyper-V
- CERTA-2010-AVI-069 : Vulnérabilité dans
Microsoft Windows CSRSS
- CERTA-2010-AVI-070 : Multiples
vulnérabilités dans Microsoft Windows SMB
- CERTA-2010-AVI-071 : Vulnérabilité dans
Microsoft DirectShow
- CERTA-2010-AVI-072 : Vulnérabilité dans
Kerberos sous Microsoft Windows
- CERTA-2010-AVI-073 : Vulnérabilité dans le
sous-système MS-DOS de Microsoft Windows
- CERTA-2010-AVI-074 : Vulnérabilité dans
Oracle WebLogic Server
- CERTA-2010-AVI-075 : Vulnérabilité dans HP
Network Node Manager
- CERTA-2010-AVI-076 : Multiples
vulnérabilités dans Cisco IronPort
- CERTA-2010-AVI-077 : Multiples
vulnérabilités dans Google Chrome
- 12 février 2010
- version initiale.
CERTA
2012-01-04