S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 04 février 2011 No CERTA-2011-ACT-005

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-05

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-005.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-005/

1 Incident de la semaine

Rappel de bonnes pratiques

Dans le cadre d'un traitement d'incident, le CERTA a été amené à analyser une copie physique de la mémoire vive et du disque dur d'une machine. À l'analyse des deux copies, il apparaît que de nombreux utilitaires de détection de codes malveillants ont été lancés après la copie de la mémoire vive. Ces utilitaires ont malheureusement été exécutés par l'utilisateur lui-même qui les avait installés auparavant.

Le CERTA rappelle que ces utilitaires sont, au delà des aspects légaux, nuisibles à la conservation des certains éléments nécessaires à une analyse des traces et indices (date d'accès ou de modification, effacement de certains fichiers, ...). Le CERTA profite de cet événement pour rappeler certaines bonnes pratiques en matière de traitement d'incident :

• déconnecter la machine du réseau afin de stopper toute action malveillante depuis et vers l'Internet ;
• prévenir le responsable sécurité et/ou le CERT dont dépend votre entité ;
• effectuer une copie physique du disque ;
• rechercher les traces disponibles sur les équipements périphériques du réseau.

Documentation

• Note d'information CERTA-2002-INF-002-003 « Les bons réflexes en cas d'intrusion sur un système d'information » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-003/
  

2 Vulnérabilité non corrigée dans Microsoft Windows

Microsoft a récemment publié un nouveau bulletin de sécurité (#2501696) concernant une faille non corrigée dans toutes les versions supportées de Microsoft Windows.

La vulnérabilité concerne l'interprétation de MHTML (MIME HTML) par Windows. Une personne malintentionnée peut ainsi, au moyen d'une page web spécialement conçue, exécuter du code JavaScript hors du contexte normalement permis. Il s'agit donc d'une vulnérabilité de type cross-site scripting ; après exploitation de la faille, l'attaquant peut ainsi accéder à des informations confidentielles provenant d'autres sites et effectuer des requêtes sur ces sites.

Cette vulnérabilité ne serait pas corrigée dans le lot des mises à jour du mois de février, selon Microsoft. En attendant l'éditeur a cependant mis en ligne un fix-it qui désactive l'interprétation du MHTML. Il est fortement recommandé d'appliquer ce contournement. La désactivation du JavaScript permet également de se prémunir de cette vulnérabilité.

Aucun cas d'exploitation n'a pour le moment été observé mais des preuves de faisabilité existent sur l'Internet.

Documentation

• Bulletin Microsoft #2501696 :

  http://www.microsoft.com/technet/security/advisory/2501696.mspx
  

• « Fix-it » :

  http://support.microsoft.com/kb/2501696
  

3 Compte de service et vulnérabilité

Cette semaine le CERTA a rencontré le cas d'un produit comportant une vulnérabilité liée au fait qu'un compte de service aux droits élevés était nécessaire au sein de ce logiciel pour réaliser certaines actions. Le problème réside dans le fait que, d'une part, ce compte utilisateur était utilisé par un des composants de l'application disposant de privilèges élevés sur le système et que, d'autre part, il était possible, par le biais de ce code, d'exécuter des commandes arbitraires à distance.

Nous sommes ici en présence d'une vulnérabilité induite par un problème de conception et de design et non pas due à une quelconque faille dans une des fonctions du logiciel. En effet, le problème est qu'un des composants accessibles à distance utilise un compte système particulier et privilégié pour réaliser un certain nombre d'opérations.

Une bonne pratique aurait consisté pour le développeur à mettre en uvre, par exemple, une séparation de privilège du type : celui qui reçoit les commandes et les requêtes n'est pas celui qui les exécute. Ainsi même si un compte système est indispensable dans une partie du logiciel, cette dernière ne sera pas accessible à distance. Elle sera protégée, par exemple, par mécanisme d'API (Application Programming Interface) restreignant au maximum les actions dangereuses possibles. Dans une démarche de défense en profondeur, le mieux est de faire en sorte :

• que le niveau de privilège nécessaire au compte de service soit le plus bas possible ;
• que le composant s'appuyant sur ce compte ne soit pas appelable directement à distance mais uniquement localement et via une API ;
• que ce soit un autre composant qui face l'interface avec l'extérieur ; celui-ci jouant alors le rôle de mandataire.

4 Rappel des avis émis

Dans la période du 28 janvier au 03 février 2011, le CERTA a émis les avis suivants :

• CERTA-2011-AVI-040 : Vulnérabilité dans RealPlayer
• CERTA-2011-AVI-041 : Vulnérabilité dans le serveur DHCPv6 d'ISC
• CERTA-2011-AVI-042 : Vulnérabilités dans IBM DB2
• CERTA-2011-AVI-043 : Vulnérabilités dans IBM Tivoli
• CERTA-2011-AVI-044 : Vulnérabilité dans le paquet exim4
• CERTA-2011-AVI-045 : Vulnérabilité dans Symantec IM Manager
• CERTA-2011-AVI-046 : Vulnérabilité dans VLC Media Player
• CERTA-2011-AVI-047 : Multiples vulnérabilités dans Apache CouchDB
• CERTA-2011-AVI-048 : Vulnérabilité dans EMC NetWorker
• CERTA-2011-AVI-049 : Vulnérabilité dans PMB
• CERTA-2011-AVI-050 : Multiples vulnérabilités dans Cisco WebEx Player

Durant la même période, les avis suivants ont été mis à jour :

• CERTA-2010-AVI-465-001 : Vulnérabilité dans IBM DB2 Administration Server (ajout du bulletin IBM concernant les versions 91, 9.5 et 9.7.)
• CERTA-2011-AVI-039-001 : Multiples vulnérabilités dans OpenOfficeorg (ajout des bulletins des distributions Debian et RedHat.)

Gestion détaillée du document

04 février 2011

version initiale.