1 Incident de la semaine

Rappel de bonnes pratiques

Dans le cadre d’un traitement d’incident, le CERTA a été amené à analyser une copie physique de la mémoire vive et du disque dur d’une machine. À l’analyse des deux copies, il apparaît que de nombreux utilitaires de détection de codes malveillants ont été lancés après la copie de la mémoire vive. Ces utilitaires ont malheureusement été exécutés par l’utilisateur lui-même qui les avait installés auparavant.

Le CERTA rappelle que ces utilitaires sont, au delà des aspects légaux, nuisibles à la conservation des certains éléments nécessaires à une analyse des traces et indices (date d’accès ou de modification, effacement de certains fichiers, …). Le CERTA profite de cet événement pour rappeler certaines bonnes pratiques en matière de traitement d’incident :

  • déconnecter la machine du réseau afin de stopper toute action malveillante depuis et vers l’Internet ;
  • prévenir le responsable sécurité et/ou le CERT dont dépend votre entité ;
  • effectuer une copie physique du disque ;
  • rechercher les traces disponibles sur les équipements périphériques du réseau.

Documentation

2 Vulnérabilité non corrigée dans Microsoft Windows

Microsoft a récemment publié un nouveau bulletin de sécurité (#2501696) concernant une faille non corrigée dans toutes les versions supportées de Microsoft Windows.

La vulnérabilité concerne l’interprétation de MHTML (MIME HTML) par Windows. Une personne malintentionnée peut ainsi, au moyen d’une page web spécialement conçue, exécuter du code JavaScript hors du contexte normalement permis. Il s’agit donc d’une vulnérabilité de type cross-site scripting ; après exploitation de la faille, l’attaquant peut ainsi accéder à des informations confidentielles provenant d’autres sites et effectuer des requêtes sur ces sites.

Cette vulnérabilité ne serait pas corrigée dans le lot des mises à jour du mois de février, selon Microsoft. En attendant l’éditeur a cependant mis en ligne un fix-it qui désactive l’interprétation du MHTML. Il est fortement recommandé d’appliquer ce contournement. La désactivation du JavaScript permet également de se prémunir de cette vulnérabilité.

Aucun cas d’exploitation n’a pour le moment été observé mais des preuves de faisabilité existent sur l’Internet.

Documentation

3 Compte de service et vulnérabilité

Cette semaine le CERTA a rencontré le cas d’un produit comportant une vulnérabilité liée au fait qu’un compte de service aux droits élevés était nécessaire au sein de ce logiciel pour réaliser certaines actions. Le problème réside dans le fait que, d’une part, ce compte utilisateur était utilisé par un des composants de l’application disposant de privilèges élevés sur le système et que, d’autre part, il était possible, par le biais de ce code, d’exécuter des commandes arbitraires à distance.

Nous sommes ici en présence d’une vulnérabilité induite par un problème de conception et de design et non pas due à une quelconque faille dans une des fonctions du logiciel. En effet, le problème est qu’un des composants accessibles à distance utilise un compte système particulier et privilégié pour réaliser un certain nombre d’opérations.

Une bonne pratique aurait consisté pour le développeur à mettre en œuvre, par exemple, une séparation de privilège du type : celui qui reçoit les commandes et les requêtes n’est pas celui qui les exécute. Ainsi même si un compte système est indispensable dans une partie du logiciel, cette dernière ne sera pas accessible à distance. Elle sera protégée, par exemple, par mécanisme d’API (Application Programming Interface) restreignant au maximum les actions dangereuses possibles. Dans une démarche de défense en profondeur, le mieux est de faire en sorte :

  • que le niveau de privilège nécessaire au compte de service soit le plus bas possible ;
  • que le composant s’appuyant sur ce compte ne soit pas appelable directement à distance mais uniquement localement et via une API ;
  • que ce soit un autre composant qui face l’interface avec l’extérieur ; celui-ci jouant alors le rôle de mandataire.

Rappel des avis émis

Dans la période du 24 au 30 janvier 2011, le CERT-FR a émis les publications suivantes :