S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 décembre 2009
N° CERTA-2009-ACT-050
Affaire suivie par: CERT-FR
le 11 décembre 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-50

Gestion du document

Référence CERTA-2009-ACT-050
Titre Bulletin d’actualité 2009-50
Date de la première version 11 décembre 2009
Date de la dernière version 11 décembre 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incident de la semaine

Cette semaine le CERTA a traité un incident somme toute assez banal. Il s’agit de la modification de la page d’accueil de 13 sites, hébergés sur le même serveur. La modification consistait à rajouter un lien pointant vers un site externe. Quand un client du site naviguait sur la page d’accueil, ce script chargeait et exécutait un code malveillant à son insu.

Pour une fois, le problème ne venait pas spécialement de la mutualisation de l’hébergement. Les 13 sites appartiennent à la même entité et sont gérés de manière homogène. En revanche, l’hébergeur utilise un CMS (gestionnaire de contenu ou Content Management System) pour la gestion courante des sites et a succombé à la tentation de l’installation de plusieurs greffons (plug-ins) afin de faciliter les tâches d’administration courante.

Malheureusement, un de ces greffons s’avérait présenter une faille de sécurité permettant d’accéder en écriture aux pages des sites administrés. Le pirate n’a donc eu qu’à utiliser des codes d’exploitation existant afin de modifier toutes les pages d’accueil des 13 sites.

Cela prouve une fois de plus (s’il en était besoin) que la maîtrise précise et complète de tout le système d’information, quelque soit la granularité, reste la fondation du processus de sécurisation d’un système d’information. Il est parfois tentant d’utiliser des outils tiers, mais une grande vigilance doit être de mise. Dans le doute, il vaut certainement mieux se passer d’outils plutôt que d’abaisser le niveau de sécurité de son système. Et quelque soit les outils utilisés, il est primordial de suivre les mises à jour et de les appliquer dès que possible.

2 Alertes de la semaine

Cette semaine le CERTA a publié deux alertes :
  • CERTA-2009-ALE-021 : Vulnérabilité dans Adobe Illustrator : Une vulnérabilité affecte Adobe Illustrator CS3 et Adobe Illustrator CS4 lors du traitement des fichiers au format eps (Encapsulated Postscript). Elle permet l’exécution de code arbitraire à distance.
  • CERTA-2009-ALE-022 : Vulnérabilité dans le produit de visioconférence TANDBERG MXP : Une vulnérabilité affecte les produits TANDBERG MXP lors du traitement du flux H.225 RAS (Registration, Administration and Status). Elle permet à une personne malveillante distante de provoquer un déni de service.

2.1 Documentation

3 L’actualité Microsoft

3.1 Les bulletins de sécurité Microsoft du mois de décembre

Cette semaine, Microsoft a publié les 6 derniers bulletins de sécurité de l’année dans le cadre de son patch Tuesday. Les vulnérabilités corrigées sont les suivantes :

  • une vulnérabilité dans le service LSASS de Microsoft Windows lors du traitement de certains messages ISAKMP permet de provoquer un déni de service à distance ;
  • deux vulnérabilités présentes dans ADFS (Active Directory Federation Service) ont été publiées et permettent d’exécuter du code arbitraire à distance ou de contourner la politique de sécurité ;
  • des vulnérabilités ont été découvertes dans le service d’authentification Internet de Microsoft et permettent, entre autre, d’exécuter du code arbitraire à distance.
  • plusieurs vulnérabilités concernant Microsoft Internet Explorer ont été corrigées. Certaines permettent à un utilisateur malveillant distant d’exécuter du code arbitraire au moyen d’une page Web spécialement écrite.
  • une vulnérabilité dans Microsoft WordPad et Microsoft Office Word permet à un utilisateur d’exécuter du code arbitraire à distance par le biais d’un document Word 97 spécialement conçu ;
  • une vulnérabilité a été identifiée dans Microsoft Office Project et permet d’exécuter du code arbitraire à distance en incitant une victime à ouvrir un fichier Project spécialement conçu.

Ces mises à jour ont permis de corriger l’alerte CERTA-2009-ALE-020.

3.2 Mise à jour de sécurité concernant le codec Indeo

Cette semaine, Microsoft a émis l’avis de sécurité n°954157 concernant le codec Intel Indeo41. La mise à jour ne corrige pas de vulnérabilité dans le codec mais empêche son chargement depuis Internet Explorer et Windows Media Player. L’ouverture d’un fichier spécialement conçu exploitant une faille dans le codec peut en effet provoquer l’exécution de code arbitraire sur le système vulnérable. Par cette mise à jour, Microsoft a donc réduit la surface d’attaque possible et bloque les vecteurs d’infection les plus utilisés.

Les systèmes d’exploitation concernés sont Microsoft Windows 2000, Windows XP et Windows Server 2003. La mise à jour est proposée en téléchargement automatique.

Cela ne corrigeant pas le codec vulnérable, le CERTA recommande, dans la mesure du possible, de désinscrire complètement le codec. Cela peut toutefois avoir des effets de bord sur certaines applications. La démarche pour désinscrire le codec est disponible sur le site internet de Microsoft (kb954157).

3.3 Documentation

4 Google DNS ?

Le 3 décembre 2009, Google a annoncé son nouveau service : Google Public DNS (http://code.google.com/speed/public-dns/). Google élargit donc son offre, et propose maintenant un service universel de résolution de nom. La chose n’est en soit pas si nouvelle : des offres de DNS externes existent depuis plusieurs années, citons par exemple OpenDNS (http://www.opendns.com) ou Dyndns (http://www.dyndns.org)…

Néanmoins, l’offre de Google mérite probablement un peu plus d’attention, ne serait-ce que par le battage médiatique qu’elle soulève, et l’importance qu’elle pourrait prendre si, comme pour beaucoup de services Google, elle rencontre un succès fort.

4.1 Le DNS

Tout d’abord, il est important de comprendre de quoi il s’agit. Le DNS est un service critique de l’Internet qui a pour rôle d’établir une correspondance entre une adresse IP et un nom de domaine. Ainsi, les ordinateurs connectés à un réseau IP possèdent tous une adresse IP (en IPv4, elle est de la forme www.xxx.yyy.zzz, en base 255). Ce quadruplet étant difficile à retenir, un mécanisme permet d’associer à une adresse IP un nom intelligible, appelé nom de domaine (ex : le nom de domaine www.certa.ssi.gouv.fr est associé à l’adresse IP 213.56.176.2).

Généralement, le fournisseur d’accès met à disposition de ses abonnés ses propres serveurs DNS. Dans le cadre de réseaux plus importants, le DNS est un service directement mis en place en interne. Pourquoi donc utiliser un service DNS alternatif ? Plusieurs raisons peuvent être invoquées :

  • le service DNS de votre opérateur ne fonctionne pas de façon optimale. Cela peut en effet parfois arriver, même si un opérateur digne de ce nom devrait savoir que le DNS est un élément critique du réseau ;
  • un service DNS externe propose plus de fonctions (sécurité, performance, analyse et journalisation, …).

4.2 Des fonctions DNS avancées ?

Cette deuxième raison peut en effet être séduisante. Les offres DNS externes fournissent parfois plusieurs fonctions qui intéressent tant le gestionnaire réseau que l’utilisateur final :

  • un service de liste noire, c’est-à-dire que le DNS va refuser de résoudre des domaines jugés non conformes à votre politique de sécurité (par exemple, sites non professionnels, sites dangereux ou infectés par des maliciels, voir contrôle parental…) ;
  • des tableaux de bord, permettant de connaitre l’activité de vos utilisateurs (domaines les plus consultés, top 10…) ;
  • des fonctions « avancées », par exemple de meilleures performances par une optimisation de la gestion des caches, et/ou par une distribution géographique des serveurs ;
  • l’utilisation de techniques visant à éviter les attaques de type « empoisonnement de cache ». Suite aux événements sur le DNS de l’été 2008, la sécurité des requêtes DNS est devenue un enjeu fort. Des techniques d’amélioration de l’entropie des requêtes sont donc conseillées. Il est ainsi souhaitable de s’assurer d’une bonne entropie sur le port source utilisé par le serveur DNS lors de requêtes récursives, voir même de l’utilisation de techniques « avancées ».

4.3 Quels risques ?

Cependant, l’utilisation d’un DNS externe non maîtrisé soulève plusieurs problèmes.

En premier lieu, la question de la confidentialité se pose. En effet, connaître vos requêtes DNS, c’est savoir ce que vous faites sur l’Internet ! Toutes consultations ou utilisations de l’Internet reposent sur l’utilisation du DNS…Si en plus, le fournisseur du service DNS possède déjà de nombreuses informations sur les utilisateurs (par exemple parce qu’il opère aussi un service de messagerie, un moteur de recherche…), alors la somme des connaissances auxquelles il accède peut devenir très importante.

Ensuite, le DNS est véritablement la clef de voûte en termes de confiance sur l’Internet. Ainsi, une personne mal intentionnée qui maitriserait votre DNS aurait un contrôle complet sur votre usage de l’Internet, avec la possibilité de contrôler la vision même du réseau, vous rediriger sur des serveurs de son choix…Tout devient possible.

D’autres pratiques non souhaitables sont aussi envisageables. Par exemple, la substitution de « NX Domain » (cf. le bulletin d’actualité CERTA-2009-ACT-049).

Enfin, l’externalisation du DNS implique que les requêtes vont alors transiter sur le réseau Internet, entre le client et le DNS. Toute personne malintentionnée sur le chemin de connexion devient alors en mesure de réaliser les actions décrites précédemment.

L’utilisation d’un service externe de résolution de nom doit donc être un acte murement réfléchi, et il convient de bien peser les avantages, et les inconvénients, que cette décision entrainera.

5 La gestion des correctifs de sécurité Mozilla

Lors d’un bulletin d’actualité précédent (http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-032/index.html), nous avions déjà parlé de la différence de traitement entre les différents produits Mozilla en matière de sécurité. Régulièrement, Thunderbird affiche un retard sur Firefox dans la publication des correctifs de sécurité, qui concernent pourtant des vulnérabilités communes aux deux logiciels.

Cette semaine a vu la sortie de Thunderbird 3.0. Cette nouvelle mouture du client de messagerie Mozilla offre un certain nombre d’évolutions notamment, au niveau de l’interface utilisateur. Ces changements sont présentés sur le site de Thunderbird :

http://www.mozillamessaging.com/en-US/thunderbird/3.0/releasenotes

Le CERTA a publié une alerte sur Thunderbird 2 le 7 août 2009 concernant plusieurs vulnérabilités critiques non corrigées. Plusieurs de ces vulnérabilités ne sont toujours pas corrigées à ce jour dans la version 2. Il est donc surprenant de voir Mozilla sortir une version 3.0 de son client de messagerie sans avoir corrigé les vulnérabilités critiques de la version 2.

Mozilla ne fournit pas d’informations quant aux vulnérabilités potentielles de cette dernière mouture, Thunderbird 3.0 n’étant pas encore suivi officiellement par les bulletins de sécurité de Mozilla.

Le CERTA recommande d’utiliser les mêmes contournements provisoires pour Thunderbird 3.0 que ceux indiqués dans l’alerte CERTA-2009-ALE-014 pour Thunderbird 2.

Documentation

Rappel des avis émis

Dans la période du 30 novembre au 06 décembre 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 11 décembre 2009
    version initiale.