S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 décembre 2008
N° CERTA-2008-ACT-051
Affaire suivie par: CERT-FR
le 19 décembre 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-51

Gestion du document

Référence CERTA-2008-ACT-051
Titre Bulletin d’actualité 2008-51
Date de la première version 19 décembre 2008
Date de la dernière version 19 décembre 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité Internet Explorer

Pour la seconde fois de l’année, Microsoft a publié un correctif hors cycle afin de combler la vulnérabilité de Microsoft Internet Explorer qui avait fait l’objet de l’alerte CERTA-2008-ALE-016.

1.1 Rappel des faits

Pour mémoire, cette vulnérabilité affectait plus précisement le parseur XML du navigateur. En imbriquant deux balises SPAN et en faisant appel à une source d’image contenant des caractères spécifiques, il était alors possible d’effectuer une exécution de code arbitraire à distance via une page Internet spécialement conçue. Le savoir-faire permettant l’exploitation de cette vulnérabilité avait rapidement été mis en ligne sur l’Internet.

1.2 Les risques

Différents sites Internet profitent de la visite sur certaines pages pour faire exécuter du code malveillant à l’utilisateur imprudent. Dans un premier temps, les codes se contentaient de voler des identifiants et mots de passe de jeux en ligne massivement multijoueurs.

Une seconde technique d’exploitation a vu le jour récemment. Il s’agit d’un document au format Word embarquant un contrôle ActiveX émettant à l’ouverture du document une requête vers un site Internet mettant en œuvre le code d’exploitation. Il est alors possible d’exploiter cette vulnérabilité par le biais d’un courriel ou par un autre système d’ingénierie sociale.

1.3 Les solutions

Depuis le 17 décembre 2008, le correctif est disponible sur le site de Microsoft ou via le téléchargement automatique des mises à jour (Windows Update). Le CERTA rappelle qu’il est impératif d’appliquer ce correctif.

De plus, afin de limiter les risques de compromission au travers d’un document Word malveillant, il est recommandé de désactiver l’exécution automatique des contrôles ActiveX.

1.4 Documentation

2 Les indiscrétions d’un moteur de recherche

2.1 Présentation

Les moteurs de recherche sur l’Internet ont pour vocation de délivrer à l’internaute le résultat de la recherche faite. Les recherches demandées font l’objet de statistiques. Ainsi, des moteurs de recherche sont capables de fournir par exemple des palmarès des mots-clefs les plus souvent recherchés par pays, par ville, …

Il est moins évident d’imaginer que le choix de l’internaute dans le resultat proposé soit lui aussi conservé par le moteur de recherche. En effet la page de résultats fournie semble contenir des liens « classiques » et a priori seul le site Internet finale connaîtra, via le Referer du navigateur, le choix de l’internaute dans la liste des résultats.

Le moteur de recherche de Google ajoute une balise onmousedown sur chaque lien des résultats proposés. Ainsi, cela lui permet de connaître les intérêts de l’internaute mais aussi les résultats choisis lors de ses recherches. Pour des raisons inconnues, le fait de suivre ainsi les choix des internautes ne semble s’appliquer que pour les navigateurs les plus utilisés et dans leurs configurations standards. Dans sa configuration standard, un navigateur indique, par le biais de son UserAgent, aux sites Internet visités des informations relatives à l’ordinateur utilisé. Ces informations sont censées être utilisées pour fournir un contenu adapté à la configuration utilisée par l’internaute.

La présence du nom du navigateur (écrit de manière standard) et le UserAgent, déclenchent ainsi dans les pages de résultats l’apparition de la balise onmousedown. Une simple modification du paramètre du navigateur supprimera l’apparition de cette balise et donc le suivi du choix de l’internaute dans la page de recherche.

Pour modifier le nom du navigateur dans son UserAgent :

  • pour FireFox et Iceweasel, ouvrir la page de configuration (about:config) et modifier le contenu du paramètre : general.useragent.extra.firefox ;
  • pour Internet Explorer, modifier (ou créer) la clef de registre Version : 
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Version]
  • pour Safari, modifier le fichier com.apple.Safari.plist à l’aide du Property List Editor ou lancer la commande : 
    defaults write com.apple.Safari CustomUserAgent « \ »chaine souhait�e\ » »

Cette modification peut être effectuée au niveau d’une passerelle HTTP (proxy). Cela peut néanmoins perturber la navigation sur certains sites.

2.2 Documentation

3 Nouvelles notes d’information du CERTA

3.1 Présentation

Cette semaine, le CERTA a publié deux notes d’information :

  • CERTA-2008-INF-003 : cette note aborde la problématique des injections de requêtes illégitimes par rebond (Cross Site Request Forgery). Il y est présenté le principe, les risques ainsi que différentes méthodes de protection ;
  • CERTA-2008-INF-004 : ce document fait un retour sur l’e-mail backscatting ou la pollution de serveur de messagerie par des rapports de non-livraison des courriers électroniques. Il y est fait le point sur la méthode ainsi que les différents moyens de limitation de cette nuisance.

Le CERTA espère que ces documents aideront ses lecteurs à mieux appréhender ces deux problématiques.

3.2 Documentation

4 Sortie de SPIP 2.0

4.1 Présentation

La version 2.0 du gestionnaire de contenu SPIP est sortie cette semaine. D’après les auteurs du projet, ce changement majeur de version est synonyme d’une évolution importante dans l’architecture et dans les fonctionnalités offertes. Ainsi, SPIP dispose désormais, à l’image de ses concurrents :

  • d’un système de gestions d’extensions (plugins) ;
  • d’un support accru pour différentes bases de données ;
  • de la mise en œuvre de fonctionnalités AJAX pour enrichir certains contenus.

Cette version venant juste d’être livrée, le CERTA manque, pour le moment, de recul sur sa fiabilité. La prudence reste donc de mise. Par ailleurs, les technologies mise en jeu au sein du projet s’approchant de celles des concurrents du même type, on pourra rester vigilant sur certains aspects dont on connaît déjà les risques associés :

  • mise à jour des extensions ;
  • fonctionnalités en Javascript pouvant poser des problèmes de sécurité ;
  • variables PHP non-protégées laissant le champ à des attaques de type injection de code ;

4.2 Recommandation

Une des solutions évoquées précédemment par le CERTA pour rendre un système à base de SPIP plus sûr reste toujours d’actualité : « statifier » le contenu dynamique et ne mettre en ligne que cette version statique. Ceci est décrit dans le bulletin d’actualité CERTA-2008-ACT-044. Cette « statification » ne s’applique pas si les forums ou d’autres fonctions d’interaction avec les internautes sont utilisées.

5 Vulnérabilité critique dans Moodle

5.1 Présentation

Cette semaine, un code d’exploitation d’une vulnérabilité critique de Moodle a été corrigée. Pour fonctionner, il nécessite que la variable registers_globals soit activée (positionnée à on).

L’éditeur a corrigé la faille dans la dernière version, mais précise qu’il y en a d’autres, et que pour éviter leur exploitation, un mécanisme a été rajouté à l’installeur. Ce dernier vérifie que la variable registers_global est désactivée et bloque l’installation dans le cas contraire. Il est cependant possible de la désactiver pour l’installation et de la réactiver ensuite. Dans ce cas, il y aura un message d’alerte dans l’interface d’administration, mais le système fonctionnera normalement. Bien que la variable registers_global soit « dangereuse », elle est encore trop souvent activée, et la limitation imposée lors de l’installation de Moodle étant facilement contournable, il est à craindre d’autres compromissions.

Le CERTA recommande aux administrateurs de désactiver cette variable, et aux développeurs de faire attention à la provenance, à l’initialisation et au contenu des variables dans les scripts PHP.

5.2 Documentation

6 Windows Vista et le Wi-Fi

6.1 Présentation

Windows Vista offre nativement plus de possibilités d’accès à la pile IEEE 802.11 que son prédécesseur Windows XP. Microsoft a en effet développé une interface relativement complète, la NDIS 6 (Network Driver Interface Specification). Cette dernière offre des caractéristiques intéressantes pour les développeurs de produits aussi bien que pour les développeurs de codes malveillants. Les codes peuvent interagir avec les APIs du pilote Native WiFi – NWF – Miniport Driver.

Plusieurs commandes via l’utilitaire netsh permettent d’accéder rapidement à plusieurs informations Wi-Fi.

Parmi les plus utiles :

C:\netsh wlan show interfaces
Cette commande fournit les informations sur la carte, enparticulier son état (connecté ou non) et les informationsdisponibles si elle est associée à un point d’accès. 
C:\netsh wlan show drivers

Cette commande permet de récupérer la liste des pilotes installés ainsi que leurs capacités. Comme l’un des plus grands risques de compromission en sans-fil provient de la vulnérabilité des pilotes, il est important de cataloguer les versions utilisées dans son parc informatique et de vérifier régulièrement sur les sites des constructeurs si des mises à jour sont disponibles.

C:\netsh wlan show settings

C:\netsh wlan show profiles
C:\netsh wlan export profile name= »xxxxx »
C:\netsh wlan connect profile name= »xxxxx »

Cette commande retourne l’historique des profils de connexion créés. Ils correspondent aux réseaux auxquels la machine a été précédemment connectée. Quelques astuces existent cependant pour se connecter sans créer pour autant un profil mais elles ne sont pas abordées ici. Chacun des profils peut être exporté au format XML. La clé WPA PSK fait partie des informations ainsi récupérées.

Ces informations sont également visibles dans certaines clés de registres, comme par exemple :

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless

Une machine compromise peut également avoir de nouveaux profils qui y ont été ajoutés, comme la connexion à un réseau ouvert ou un réseau ad hoc. Cette connexion peut être activée ponctuellement ou en fonction du contexte d’installation de la machine (bureau/domicile). Cette connexion, sous certaines conditions, permet alors d’accéder à l’interface filaire de la machine. La personne malveillante peut interagir avec le réseau interne via la machine compromise.

Vista a également la possibilité de découvrir et lister les réseaux naturellement, sans passer nécessairement par une application tiers comme Netstumbler.

C:\netsh wlan show networks mode=bssid

Cette commande reprend les dernières informations récupérées par NDIS 6.

NDIS 6 permet enfin d’utiliser le mode moniteur de la carte assez simplement.

6.2 Conclusion

Le lecteur aura compris que beaucoup d’actions liées au Wi-Fi sont envisageables sans pour autant passer par une fenêtre graphique (GUI). Il peut s’agir de quelques lignes de commandes, tout comme cela peut aussi se faire avec d’autres systèmes d’exploitation. Ces dernières, une fois lancées, peuvent exposer tout réseau auquel sera branché l’équipement sans-fil.

Le CERTA rappelle donc l’impérative nécessité de :

  • supprimer physiquement toute interface sans-fil qui n’est pas nécessaire, dans la mesure du possible ;
  • supprimer tout code associé au sans-fil (pilotes) au moment de l’installation d’un système, quand ce service n’est pas utilisé ;
  • considérer dans la politique de sécurité que tout poste nomade équipé d’une interface est une porte d’entrée potentielle dans les réseaux auxquels il sera branché ;
  • sensibiliser les utilisateurs à désactiver leurs interfaces quand elles ne sont pas utilisées.

6.3 Documentation associée

Rappel des avis émis

Dans la période du 08 au 14 décembre 2008, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 19 décembre 2008
    version initiale.