S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 23 juillet 2010 No CERTA-2010-ACT-029

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-29

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-029.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-029/

1 Incident de la semaine

1.1 Virus Vobfus/ChangeUp

Le CERTA a pu constater cette semaine une croissance importante des cas d'exploitation de nouvelles variantes du virus Vobfus/ChangeUp.

Ce virus, contrairement à Stuxnet, n'exploite pas la faille Microsoft non corrigée des fichiers .lnk, il se propage par le mécanisme bien connu des fichiers Autorun.inf.

Cependant, en plus des Autorun, ce virus va essayer de se propager aussi en trompant l'utilisateur :

• le virus cache tous les dossiers des disques de type USB (il peut aussi le faire sur des disques locaux et réseaux) ;
• pour chaque dossier caché, il crée un raccourci ayant le même nom et affichant l'icône classique d'un dossier. Ce raccourci pointe alors vers un exécutable malveillant.

Si un disque USB s'est fait infecté, l'utilisateur lorsque qu'il ouvrira ce disque ne verra qu'une arborescence classique de répertoires. Cependant lorsqu'il cliquera sur ce qu'il croit être un dossier, cela entraînera l'exécution d'un code malveillant qui contaminera la machine.

Comme on peut le voir, ce mécanisme d'infection n'exploite aucune faille, mais permet de propager un virus par clé USB (ou lecteur réseau) de manière très simple en trompant l'utilisateur via un artifice visuel, et ce, même si l'Autorun est désactivé.

1.2 Documentation

• Analyse Microsoft :

  http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Vobfus.R
  
  

2 Des risques avec l'autocomplétion dans les navigateurs

Des articles traitants de l'autocomplétion et annonçant une présentation sur le sujet à la prochaine conférence de sécurité BlackHat, il est intéressant de présenter une première approche du sujet.

L'autocomplétion

L'autocomplétion des formulaires dans les navigateurs fonctionne sur le même principe que la sauvegarde des mots de passe. Le navigateur enregistre les différentes valeurs saisies dans les champs d'un formulaire en les associant, entre autre, aux identifiants du champ. Par exemple, si un utilisateur saisit « Dupont » dans un champ texte nommé « NomFamille » (<input type=text name=NomFamille>), le navigateur enregistre les informations. Lorsque l'utilisateur commencera à remplir un autre champ texte, d'une autre page, ayant le même nom « NomFamille », s'il tape la lettre « D », le navigateur lui proposera automatiquement le choix « Dupont ».

Le navigateur safari a en plus la particularité de pouvoir proposer des choix pour compléter les formulaires, à la saisie d'un caractère, avec des informations en provenance du carnet d'adresses, en plus de ceux enregistrés.

Le problème

Ces fonctionnalités peuvent être exploitées par des pages malveillantes, simulant des actions de l'utilisateur au moyen de scripts, afin d'obtenir les informations retournées par l'autocomplétion. Dans le cas de safari, il peut même s'agir d'information que l'utilisateur n'avait jamais désiré faire transiter par l'internet.

Recommandations

Comme pour les mots de passe, le CERTA recommande de ne pas laisser des applications, au modèle de sécurité mal maîtrisé, enregistrer des informations potentiellement personnelles et donc de désactiver ces fonctionnalités si possible.

Attention ! Si le principe d'enregistrement des informations associées aux formulaires repose sur un principe ressemblant à celui de la sauvegarde des mots de passe, ils ne sont pas configurés par les mêmes options et doivent faire l'objet d'une configuration séparée.

Désactivation de la fonctionnalité d'autocomplétion

• Safari 4.0.4 sur Mac :

  Menu Safari / Préférences / Onglet Remplissage automatique
  

• Firefox 3.6.6 sur Mac :

  Menu Firefox / Préférences / Vie privée 
  / Conserver l'historique des recherches et des formulaires
  

• Firefox 3.6.3 sur Ubuntu :

   URL=about:config / option browser.formfill.enable
  

• IE 7 sur Windows XP :

  Outils / Options Internet / Onglet contenu/ section saisie semi-automatique
  

3 Mise à jour des systèmes embarqués

Cette semaine le constructeur d'ordinateur Dell a informé ses clients d'un problème avec certains modèles de machines qu'il fabrique. En l'occurrence, les serveurs Dell PowerEdge R310, PowerEdge R410, PowerEdge R510 et PowerEdge T410 peuvent présenter un système embarqué dans la carte mère pourvu d'un espiogiciel (spyware).

D'après Dell, ceci ne concerne que les serveurs ayant fait l'objet d'un remplacement de carte mère et donc pas ceux qui n'ont pas subit de maintenance ou qui sont actuellement produits.

Le code de type SpyBot n'est pas présent dans le microgiciel (firmware) de la carte mère mais dans la mémoire flash qui l'accompagne. Il est donc a priori possible de corriger le problème sans changer la carte complètement via une mise à jour.

Recommandations :

Il est recommandé de s'assurer via les cahiers de maintenance des serveurs que vous utilisez si :

• vous disposez de tels modèles ;
• ils ont fait l'objet d'un changement de carte mère.

Si cela était le cas, il conviendrait de se rapprocher du service de support du constructeur afin de corriger le problème dans les plus brefs délais.

4 Rappel des avis émis

Dans la période du 16 au 22 juillet 2010, le CERTA a émis les avis suivants :

• CERTA-2010-AVI-315 : Vulnérabilités dans FreeType
• CERTA-2010-AVI-316 : Multiples vulnérabilités dans Sun Solaris
• CERTA-2010-AVI-317 : Multiples vulnérabilités dans HP Insight
• CERTA-2010-AVI-318 : Multiples vulnérabilités dans Joomla!
• CERTA-2010-AVI-319 : Multiples vulnérabilités dans les produits Novell GroupeWise
• CERTA-2010-AVI-320 : Vulnérabilité dans ISC Bind
• CERTA-2010-AVI-321 : Vulnérabilité dans IBM AIX
• CERTA-2010-AVI-322 : Vulnérabilités dans F5 FirePass
• CERTA-2010-AVI-323 : Vulnérabilité dans IBM SolidDB
• CERTA-2010-AVI-324 : Vulnérabilité dans Apple iTunes
• CERTA-2010-AVI-325 : Multiples vulnérabilités dans OpenLDAP
• CERTA-2010-AVI-326 : Vulnérabilités dans VMware vCenter Update Manager
• CERTA-2010-AVI-327 : Multiples vulnérabilités dans les produits Mozilla
• CERTA-2010-AVI-328 : Vulnérabilité dans HP OpenView Network Node Manager
• CERTA-2010-AVI-329 : Vulnérabilité dans Intel Math Kernel Library
• CERTA-2010-AVI-330 : Vulnérabilité dans HP OpenView Network Node Manager
• CERTA-2010-AVI-331 : Vulnérabilité dans SAP J2EE
• CERTA-2010-AVI-332 : Vulnérabilité dans Cisco CDS Internet Streamer
• CERTA-2010-AVI-333 : Vulnérabilité dans Novell Teaming
• CERTA-2010-AVI-334 : Vulnérabilité dans RSA Federated Identity Manager

Durant la même période, les avis suivants ont été mis à jour :

• CERTA-2010-AVI-291-004 : Multiples vulnérabilités dans libpng (ajout de la référence au bulletin de sécurité Mandriva)
• CERTA-2010-AVI-325-001 : Multiples vulnérabilités dans OpenLDAP (ajout des bulletins de sécurité RedHat du 20 juillet 2010)

• CERTA-2010-AVI-219-002 : Vulnérabilité dans MIT Kerberos (ajout des bulletins de sécurité Fedora, HP, Mandriva, RedHat, Suse et Ubuntu)
• CERTA-2010-AVI-262-001 : Vulnérabilités dans LibTIFF (ajout d'autres vulnérabilités et des références CVE correspondantes)
• CERTA-2010-AVI-278-001 : Vulnérabilités dans Moodle (ajout des références CVE)
• CERTA-2010-AVI-281-001 : Vulnérabilités dans LibTIFF (précision sur une seconde vulnérabilité)
• CERTA-2010-AVI-291-001 : Multiples vulnérabilités dans libpng (ajout d'une référence CVE)
• CERTA-2010-AVI-292-001 : Vulnérabilités dans Cisco ASA (ajout de vulnérabilités et de 14 références CVE)

Gestion détaillée du document

23 juillet 2010

version initiale.