S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 avril 2009
N° CERTA-2009-ACT-016
Affaire suivie par: CERT-FR
le 17 avril 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-16

Gestion du document

Référence CERTA-2009-ACT-016
Titre Bulletin d’actualité 2009-16
Date de la première version 17 avril 2009
Date de la dernière version 17 avril 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incidents de la semaine

Le CERTA a traité cette semaine un nouveau cas de compromission de site Web, dont le scénario est très proche de celui décrit dans le dernier bulletin (« Intrusion FTP », CERTA-2009-ACT-015). L’ordinateur de l’un des rédacteurs (contributeurs) du site Web a été compromis. Les données de connexion (adresse du site, identifiant et mot de passe) ont été dérobées puis utilisées depuis plusieurs adresses IP afin de changer régulièrement le code source des pages du site Web.

Dans le cadre du traitement d’incident, le CERTA a cherché à identifier quel contributeur a eu sa machine compromise. Cette tâche s’avère être impossible dans la mesure où :

  1. il y a une douzaine de personnes se connectant fréquemment pour des besoins de rédaction au serveur ;
  2. elles partagent toutes le même compte pour l’accès (identifiant, mot de passe).

Lorsque plusieurs personnes contribuent de cette manière à un site Web, il est important d’appliquer quelques pratiques de sécurité afin de limiter les intrusions mais aussi de pouvoir conserver une trace utile des accès :

  • mettre en place une politique de filtrage stricte en limitant l’accès FTP à certaines adresses IP identifiées des contributeurs ;
  • fournir à chacune des personnes un compte distinct.

2 Correctifs Microsoft du mois d’avril

Cette semaine, Microsoft a émis huit mises à jour de sécurité. Trois de ces mises à jour sont particulièrement importantes car elles corrigent des failles ayant fait l’objet d’alertes du CERTA et dont le code d’exploitation est disponible sur l’Internet :

  • le bulletin de sécurité MS09-010 qui corrige plusieurs vulnérabilités dans les convertisseurs de texte WordPad et Office permettant l’exécution de code arbitraire à distance ;
  • le bulletin de sécurité MS09-012 qui corrige plusieurs élévations de privilèges (vols de jetons) dans Microsoft Windows ;
  • le bulletin de sécurité MS09-009 qui corrige deux vulnérabilités permettant l’exécution de code arbitraire à distance via l’ouverture d’un document Excel spécialement conçu.

Les cinq autres bulletins sont les suivants :

  • le bulletin MS09-011 concerne une vulnérabilité dans DirectX permettant l’exécution de code arbitraire à distance ;
  • le bulletin MS09-013 décrit plusieurs vulnérabilités dans les services HTTP Windows permettant l’exécution de code arbitraire à distance ;
  • le bulletin MS09-014 concerne plusieurs vulnérabilités touchant toutes les versions de Microsoft Internet Explorer permettant l’exécution de code arbitraire à distance ;
  • le bulletin MS09-015 corrige une autre élévation de privilèges dans Microsoft Windows ;
  • enfin, le bulletin MS09-016 qui concerne des vulnérabilités dans Microsoft ISA Server permettant à des personnes malintentionnées d’effectuer des dénis de service à distance et des injections de code indirectes.

Il est évidemment recommandé d’appliquer ces mises à jour dès que possible. Microsoft a également mis à jour son bloc-notes « Security Research and Defense » avec plusieurs articles commentant certaines des vulnérabilités.

Le CERTA rappelle également que les versions 2000 SP3, 2002 SP3 (XP SP3), et 2003 SP3 de Microsoft PowerPoint sur Windows et 2004 de Microsoft PowerPoint sur Mac sont toujours concernées par une vulnérabilité non corrigée et actuellement exploitée. Celle-ci fait l’objet de l’alerte CERTA-2009-ALE-005.

2.1 Documentation

3 De l’aspect bénin d’un balayage

3.1 Généralités

Il est fréquent d’entendre qu’un balayage réseau est une opération bénigne, qu’il s’agisse de scanner des ports ou des plages d’adresses IP.

Plusieurs outils permettent ainsi d’auditer son réseau afin de vérifier la topologie et le comportement des différents équipements. Ils peuvent aussi servir à contrôler la politique de filtrage. Peut-on plus librement les utiliser sur des machines tiers de l’Internet ?

La question peut être posée d’une autre manière : est-il si facile de maîtriser et savoir l’impact que peut avoir cette opération de balayage sur les systèmes cibles ou intermédiaires ? La réponse est malheureusement non. Même si l’envoi de quelques trames peut sembler anodin, ces dernières peuvent perturber le bon fonctionnement d’un système d’information.

Un exemple concret est présenté au paragraphe ci-dessous.

3.2 Vulnérabilité de Packet Filter

Le CERTA a publié cette semaine l’avis CERTA-2009-AVI-136 concernant une vulnérabilité du pare-feu Packet Filter d’OpenBSD.

Les opérations de NAT ou de redirection (nat, binat, rdr) peuvent provoquer sous certaines conditions une panique du noyau et ainsi perturber le service de filtrage. Elles ne manipulent pas correctement les datagrammes IP qui indiquent un en-tête protocolaire suivant de type ICMPv6 (proto_id=58).

Les différentes valeurs possibles du champ Protocole de l’en-tête IP ont été d’abord précisées dans les standards RFC 1340 et 1700 mais elles sont actuellement mises à jour directement via le site Web de l’IANA (RFC 3232). Les RFC 1340 (juillet 1992) et 1700 (octobre 1994) sont obsolètes et ne font pas mention d’ICMPv6. La liste actualisée se trouve à l’adresse réticulaire :

OpenBSD a publié un correctif. Un contournement consiste aussi à renforcer les règles de traduction/redirection en leur précisant à quels protocoles elles s’appliquent, comme :

nat on xxx proto { tcp udp icmp } from…

En conclusion, une simple trame peut perturber le bon fonctionnement d’un pare-feu. Utiliser un outil de balayage qui, involontairement ou non, émet cette trame, peut avoir une conséquence relativement importante.

3.3 Recommandations

  • Pour les utilisateurs de Packet Filter : il faut penser à appliquer le correctif OpenBSD qui corrige le problème. L’exploitation de cette vulnérabilité est triviale et peut avoir de lourdes conséquences sur le fonctionnement d’un système ou d’un réseau ;
  • Pour les utilisateurs d’outils de balayage : comme tout outil de sécurité, leur usage doit être maîtrisé et utilisé dans un contexte professionnel, uniquement afin de garantir la sécurité de son propre réseau.

4 Vulnérabilité CIFS du noyau Linux

Cette semaine, une vulnérabilité dans le noyau Linux a été rendue publique et a fait l’objet de la publication d’un correctif. La version stable courante est donc passée de 2.6.29 à 2.6.29.1. Le risque associé à cette faille, détaillé dans l’avis CERTA-2009-AVI-153, est le déni de service ou potentiellement de l’exécution de code arbitraire.

En l’espèce, il s’agit d’un mauvais calcul de taille de tampon mémoire. L’allocation de celui-ci pourrait donc être sous-dimensionnée par rapport à la taille réelle des données qui y sont écrites. Le correctif proposé pour la version 2.6.29.1 consiste d’ailleurs en une modification de ce calcul pour obtenir une taille plus importante. Mais, d’après certains développeurs, le nouveau calcul reste encore insuffisant. Il resterait, donc, une faille résiduelle. D’autres proposent d’ailleurs une réécriture complète de cette portion de code car elle consiste en une approximation de taille de tampon plus ou moins grossière. Ce qui ne constitue pas une gage de fiabilité in-fine.

Il faudra donc être vigilant sur la suite donnée à ce correctif dans le noyau Linux, car, visiblement, les choses pourront encore évoluer en la matière. De manière plus générale, lors de l’application de correctif, outre les effets de bords évidents que cela peut entraîner, il faudra toujours prendre garde à de possibles « correctifs de correctifs » ultérieurs.

5 Élévation de privilèges sous Linux

Le logiciel udev, qui permet de gérer les noeuds de périphériques sur un système Linux, présentait une vulnérabilité importante. En effet, udev est à l’écoute de message en provenance du noyau sur une socket de type netlink, qui lui permet d’avoir des informations sur les événements liés principalement à l’apparition et la disparition de périphériques. La vulnérabilité provient du fait que udevd ne vérifie pas la provenance des messages qu’il reçoit sur cette socket ; or n’importe quel utilisateur peut y envoyer des messages, qui seront traités directement.

Il est ainsi possible de créer des noeuds de périphériques avec des droits permettant aux utilisateurs normaux d’y accéder. On pourra par exemple penser à /dev/mem, pour accéder à la mémoire physique et y charger un rootkit, ou à /dev/sda afin d’accéder directement au système de fichier sans vérification des droits.

L’exploitation de la vulnérabilité est d’autant plus aisée que, depuis les dernières versions, les règles fournies par défaut avec udev comprennent la possibilité d’exécuter une commande arbitraire spécifiée dans le message envoyé via netlink. Celle-ci sera exécutée avec les droits root, ce qui permet à un utilisateur non privilégier d’élever simplement ses privilèges.

En conséquent, sur les systèmes vulnérables, l’exploitation de la faille pour un attaquant est extrêmement simple et parfaitement fiable.

Pour se prémunir du problème, il faut mettre à jour udev. Le CERTA a publié à ce sujet l’avis de sécurité CERTA-2009-AVI-155.

6 Vulnérabilité JBIG2… les autres aussi !

Le CERTA publie à la date de rédaction de ce bulletin une mise à jour de l’avis CERTA-2009-AVI-094. Pour mémoire, cet avis faisait suite à la mise à jour d’une faille JBIG2 (mauvaise interprétation de cet encodage) par les lecteurs PDF d’Adobe (dans un premier temps, cette vulnérabilité avait fait l’objet de l’alerte du CERTA CERTA-2009-ALE-001). Il s’avère que d’autre lecteurs PDF sont vulnérables, même si l’exploitation dans ces cas là n’était pas connue.

Plus globalement, les vulnérabilités portant sur des fonctions de manipulation de formats produisent souvent cet effet. Les éditeurs, afin d’éviter de réinventer la roue, intègrent en général la même mise en oeuvre des mêmes algorithmes. C’est le cas, par exemple, pour l’interprétation des formats de compression par les antivirus.

Dans ces cas spécifiques, l’utilisation de produits alternatifs peut s’avérer bien souvent insuffisante. Il vaut mieux alors mettre en oeuvre d’autres contournements provisoires, tels que la mise en quarantaine des fichiers incriminés provenant de sources extérieures, et ce, jusqu’à ce qu’un correctif soit publié. Cette décision, comme toute autre, ne doit pas se prendre à la légère et doit résulter d’une étude de risques permettant de choisir la bonne posture et par conséquent le bon contournement provisoire.

Rappel des avis émis

Dans la période du 06 au 12 avril 2009, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 17 avril 2009
    version initiale.