WINDOWS UPDATE
Accueil
Envoyer à un ami
Version imprimable
Augmenter la taille du texte
Diminuer la taille du texte
Le bulletin d’actualité est disponible dans son intégralité et au format PDF à l’adresse suivante :
Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l’adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-040/
1 Incidents traités cette semaine
1.1 Défiguration invisible
Cette semaine, le CERTA a traité un cas de défiguration « invisible ». L’apparence de la page compromise n’avait subi aucune modification, cependant du code avait bel et bien été inséré dans le code source de la page HTML.
L’insertion de code se présentait sous la forme de liens hypertexte intégrés dans un paragraphe. La balise associée au paragraphe avait un attribut désactivant son affichage. L’interêt d’une telle défiguration est à rechercher du côté de l’indexation par les moteurs de recherche. En effet, le fait d’ajouter une multitude de liens vers un même site permet d’améliorer la position de ce dernier dans les résultats des moteurs de recherche.
Cet incident montre l’interêt pour un administrateur de vérifier régulièrement les journaux d’événements de son serveur web mais également de contrôler l’intégrité des fichiers présents sur le serveur afin de détecter rapidement toute compromission. Cette compromission était en effet invisible à l’oeil nu et seul un contrôle des journaux ou de l’intégrité de la page permettait une détection efficace de cette intrusion.
1.2 Application des correctifs et contrôles
Début août, le CERTA avait prévenu l’administrateur d’un site Web de la présence d’une page illicite sur son site. L’administateur en congés a rapidement supprimé la page indésirable et a mis à jour à son retour certaines applications dont le gestionnaire de contenu Joomla !. Cette semaine, le CERTA a recontacté cette personne pour l’informer de la présence d’une autre page défigurant son site. Le problème est que cette page était déja présente sur le site lors du premier avertissement. Une analyse un peu plus poussée a permis de découvrir d’autres pages illicites, des shell scripts et des utilisateurs aux droits élevés illégitimement inscrits dans Joomla !. La faille de sécurité exploitée concerne la page de changement de mots de passe de la version 1.5.6 de Joomla ! et a fait l’objet de l’avis CERTA-2008-AVI-214 et d’un article du bulletin d’actualité CERTA-2008-ACT-033.
Lorsqu’un système est compromis, il doit être entièrement vérifié. En effet, lorsqu’un attaquant réussit à s’introduire dans un système, sa première action est souvent de pérenniser son contrôle sur la machine en installant d’autres portes dérobées.
Le CERTA recommande la mise en place d’une vérification régulière de l’intégrité des systèmes. Cela permet de détecter d’éventuelles modifications non désirées, mais aussi en cas de compromission d’avoir une methodologie et une empreinte du système dans un état sain, ce qui permet de retrouver rapidement ce qui a été changé. Il existe des outils dédiés à ce type d’opérations, la difficulté étant de définir les limites de la surveillance. Il est important de sauvegarder sur un support séparé les résultats des prises d’empreintes, afin qu’elles ne soient pas compromises et restent utilisables.
1.3 Le site précédent oublié
1.3.1 Description
Cette semaine le CERTA a informé le propriétaire d’un site d’un contenu frauduleux présent sur ce dernier. Le site hébergeait des pages de filoutage (ou phishing). Une fois prévenu, le responsable du site a pris la décision de supprimer les pages frauduleuses et n’a pas cherché à en comprendre l’origine. Un tel comportement est rarement sans conséquence, en effet deux jours plus tard de nouvelles pages frauduleuses sont apparues. Cette fois l’administrateur a pris la décision de fermer définitivement le site, celui-ci étant une ancienne version non-utilisée d’un site qu’il administre sur un autre serveur.
Cet incident soulève plusieurs problèmes :
- un site laissé à l’abandon, n’étant pas mis à jour , devient facilement la proie d’individus malveillants ;
- en ne cherchant pas à comprendre l’origine de la compromission, l’administrateur expose son nouveau site restauré à une attaque identique à la première ;
- se contenter de supprimer des pages frauduleuses n’apporte pas une solution pérenne à un incident de sécurité. Il faut trouver le chemin d’attaque et colmater la brèche.
Le CERTA rappelle que lors d’une compromission il est impératif d’en comprendre la cause et de ne pas se limiter à traiter les conséquences. De plus lorsqu’un site Internet n’est plus utile, il est plus prudent de le fermer afin de ne pas permettre à des tiers de profiter de ses ressources.
1.3.2 documentation
- Note d’information du CERTA sur les bons réflexes en cas d’intrusion sur un système d’information :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/
1.4 Nom de domaine et machine compromise
1.4.1 Présentation
Le CERTA a rencontré, cette semaine, le cas d’une machine compromise semblant appartenir à une administration. Celle-ci hébergeait un gestionnaire de contenu (CMS) dont la version non mise-à-jour comportait sans doute une vulnérabilité. Par ailleurs, le CMS n’était pas configuré et laissait voir son type et l’accès à son interface d’administration.
Après analyse, le CERTA a pu mettre en évidence que l’enregistrement DNS pointant vers cette machine, n’avait plus lieu d’être depuis plusieurs mois. En effet, l’adresse IP associée à la machine a été réatribuée à une autre entité ne faisant pas partie de l’administration. Pourtant l’enregistrement DNS et l’autorité pour la zone est toujours l’administration.
Dans le cas présent, on a donc un domaine pointant sur une machine et une IP qui n’appartient plus à l’entité responsable de la zone DNS. De surcroit, l’enregistrement dans la base RIPE (interrogeable par la commande « whois » ou via http://www.ripe.net) lui aussi référençait encore l’ancien propriétaire de la classe d’adresse IP donc l’administration.
Ceci soulève deux problèmes : le premier est que le contenu légitime du site n’a plus aucun rapport avec le domaine recherché. Il est tout à fait envisageable que cette machine héberge dans le futur un contenu pouvant nuire à l’image de l’administration concernée. Le second est que dans le cas d’une compromission comme ici, c’est l’image du propriétaire du domaine (donc de l’administration) qui est mise en cause et pas nécessairement celle du propriétaire réel de la machine.
Cette situation s’apparente à celle du « déménagement d’un site » évoquée dans le bulletin d’actualité CERTA-2007-ACT-037 du 14 septembre 2007.
1.4.2 Recommandations
Lorsqu’une classe d’adresses IP publique est abandonnée suite à une fin de contrat ou autre, il est nécessaire d’entreprendre les démarches suivantes :
- s’assurer que plus aucun enregistrement DNS ne pointe sur ces anciennes adresses et que l’autorité pour la zone soit changée ;
- s’assurer que l’enregistrement dans la base RIPE soit mis à jour, en particulier les contacts techniques, administratifs ainsi que le netname.
1.3.1 Description
Cette semaine le CERTA a informé le propriétaire d’un site d’un contenu frauduleux présent sur ce dernier. Le site hébergeait des pages de filoutage (ou phishing). Une fois prévenu, le responsable du site a pris la décision de supprimer les pages frauduleuses et n’a pas cherché à en comprendre l’origine. Un tel comportement est rarement sans conséquence, en effet deux jours plus tard de nouvelles pages frauduleuses sont apparues. Cette fois l’administrateur a pris la décision de fermer définitivement le site, celui-ci étant une ancienne version non-utilisée d’un site qu’il administre sur un autre serveur.
Cet incident soulève plusieurs problèmes :
- un site laissé à l’abandon, n’étant pas mis à jour , devient facilement la proie d’individus malveillants ;
- en ne cherchant pas à comprendre l’origine de la compromission, l’administrateur expose son nouveau site restauré à une attaque identique à la première ;
- se contenter de supprimer des pages frauduleuses n’apporte pas une solution pérenne à un incident de sécurité. Il faut trouver le chemin d’attaque et colmater la brèche.
Le CERTA rappelle que lors d’une compromission il est impératif d’en comprendre la cause et de ne pas se limiter à traiter les conséquences. De plus lorsqu’un site Internet n’est plus utile, il est plus prudent de le fermer afin de ne pas permettre à des tiers de profiter de ses ressources.
1.3.2 documentation
- Note d’information du CERTA sur les bons réflexes en cas d’intrusion sur un système d’information :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/
1.4 Nom de domaine et machine compromise
1.4.1 Présentation
Le CERTA a rencontré, cette semaine, le cas d’une machine compromise semblant appartenir à une administration. Celle-ci hébergeait un gestionnaire de contenu (CMS) dont la version non mise-à-jour comportait sans doute une vulnérabilité. Par ailleurs, le CMS n’était pas configuré et laissait voir son type et l’accès à son interface d’administration.
Après analyse, le CERTA a pu mettre en évidence que l’enregistrement DNS pointant vers cette machine, n’avait plus lieu d’être depuis plusieurs mois. En effet, l’adresse IP associée à la machine a été réatribuée à une autre entité ne faisant pas partie de l’administration. Pourtant l’enregistrement DNS et l’autorité pour la zone est toujours l’administration.
Dans le cas présent, on a donc un domaine pointant sur une machine et une IP qui n’appartient plus à l’entité responsable de la zone DNS. De surcroit, l’enregistrement dans la base RIPE (interrogeable par la commande « whois » ou via http://www.ripe.net) lui aussi référençait encore l’ancien propriétaire de la classe d’adresse IP donc l’administration.
Ceci soulève deux problèmes : le premier est que le contenu légitime du site n’a plus aucun rapport avec le domaine recherché. Il est tout à fait envisageable que cette machine héberge dans le futur un contenu pouvant nuire à l’image de l’administration concernée. Le second est que dans le cas d’une compromission comme ici, c’est l’image du propriétaire du domaine (donc de l’administration) qui est mise en cause et pas nécessairement celle du propriétaire réel de la machine.
Cette situation s’apparente à celle du « déménagement d’un site » évoquée dans le bulletin d’actualité CERTA-2007-ACT-037 du 14 septembre 2007.
1.4.2 Recommandations
Lorsqu’une classe d’adresses IP publique est abandonnée suite à une fin de contrat ou autre, il est nécessaire d’entreprendre les démarches suivantes :
- s’assurer que plus aucun enregistrement DNS ne pointe sur ces anciennes adresses et que l’autorité pour la zone soit changée ;
- s’assurer que l’enregistrement dans la base RIPE soit mis à jour, en particulier les contacts techniques, administratifs ainsi que le netname.
1.5 WebDAV
1.5.1 Présentation
Cette semaine, le CERTA a traité un incident relatif à la défiguration d’un site Internet de l’administration, une personne ayant ajouté plusieurs pages à la racine du site web. L’analyse des journaux a révélé que les fichiers ont en fait été ajoutés au moyen d’une requête PUT après identification par l’attaquant du service WebDAV sur le serveur. Ce service qui est une extension du protocole HTTP 1.1 est supposé faciliter la publication de documents sur des sites. Il est notamment installé et activé par défaut dans IIS 5.0, contrairement aux versions plus récentes pour lesquelles il est désactivé. Le CERTA recommande la désactivation de ce service quelle que soit la version d’IIS utilisée.
Il est possible de désactiver WebDAV dans IIS 5.0 en ajoutant la valeur suivante dans la base de registre :
Clé : HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters Nom de la valeur : DisableWebDAV Valeur (DWORD) : 1
Le CERTA en profite également pour rappeler qu’il existe un outil fourni par Microsoft pour aider à sécuriser des serveurs IIS. Cet outil appelé IIS Lockdown Tool est disponible à l’adresse suivante :
http://support.microsoft.com/ ?scid=kb%3Bfr%3B325864
1.5.2 Documentation
- « Comment faire pour désactiver WebDAV pour les services Internet (IIS 5.0) »
http://support.microsoft.com/ ?scid=kb%3Bfr%3B241520
2 De l’obligation de dénoncer une infraction
Un employé d’une société de maintenance informatique s’est vu confier un ordinateur, en vue de réparation. Lors de son intervention, il a découvert sur ce matériel des photos pornographiques à caractère pédophile. Sans hésitation, il a supprimé ces fichiers, effectué le dépannage et restitué l’ordinateur au client. Ce n’est que plus tard qu’il a informé son employeur de sa découverte, lequel l’a alors licencié pour faute grave, en raison de la non dénonciation de ce délit. L’employé s’est alors retourné vers le Conseil des Prud’hommes, considérant que son licenciement s’était effectué sans cause réelle et sérieuse. La Cour de Cassation (Cass soc. n^ 07-40670 du 21 mai 2008) a confirmé que le licenciement était justifié : « Dès lors qu’un salarié ayant découvert que l’ordinateur qui lui avait été confié avait été utilisé pour recueillir des images à usage pédophile, qui constitue une infraction prévue par l’article 227-23 du Code Pénal, et n’avait pas immédiatement retenu ce matériel, sauvegardé les fichiers litigieux puis informé l’autorité judiciaire et son employeur, mais avait pris l’initiative, avant de prévenir celui-ci, de supprimer ces fichiers et de restituer l’appareil au client, contrevenant ainsi aux dispositions impératives de la loi et ne permettant plus aux services de Police de procéder utilement à la moindre recherche, les juges du fond ont pu caractériser un licenciement pour faute grave. »
Si le cas énoncé se situe dans la sphère privée, la fonction publique est d’autant plus concernée par cette problématique. En effet, l’article 40-1 du Code de Procédure Pénale prévoit que « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au Procureur de la République... » ; le fait de faire obstacle à la manifestation de la vérité est prévu par l’article 434-4 du Code Pénal.
En conclusion, en cas de découverte d’infractions, quelles qu’elles soient, dans le cadre de vos obligations professionnelles, pensez :
1. à préserver les traces et indices ;
2. à aviser dans les plus brefs délais les services de police. Ces derniers rendront compte au Procureur de la République qui décidera des suites à donner.
LizaMoon : la plus grande attaque par injection SQL ?
