Rapport de Veille Technologique N
Transcription
Rapport de Veille Technologique N
Rapport de Veille Technologique N°18 Thème : Edition : Sécurité Janvier - 14/01/00 DIFFUSION Diffusion INTERNE EXTERNE Validation APOGEE Communication Exemplaire de présentation REDACTION Rédigé par : Bertrand VELLE Le : 14/01/00 Visa : Approuvé par : Olivier CALEFF Le : Visa : AVERTISSEMENT Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroup, sites Web, ... Ces informations sont fournies pour ce qu'elles valent sans aucune garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction de ce document. Les symboles d’avertissement suivants seront utilisés : Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l’équipement de consultation, voire faire encourir un risque sur le système d’information associé. Site susceptible d’héberger des informations ou des programmes dont l’utilisation est illégale au titre de la Loi Française. Par ailleurs, aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur. © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 AU SOMMAIRE 1. PRODUITS ET TECHNOLOGIES 1.1. 1.1.1. 2. 4 PRODUITS ..................................................................................................................................................................................................................... 4 AUTHENTIFICATION ................................................................................................................................................................................................. 4 PASSWORD DEFENDER ........................................................................................................................................................................................................................4 INFORMATION ET LÉGISLATION 2.1. 2.1.1. 2.1.2. Diffusion Restreinte Démonstration 5 INFORMATION .............................................................................................................................................................................................................. 5 LITTÉRATURE .......................................................................................................................................................................................................... 5 INTERFACES NT NON DOCUMENTÉES .................................................................................................................................................................................................5 MÉCANISMES RPC SOUS NT ...............................................................................................................................................................................................................5 PKI 6 PKI FORUM .........................................................................................................................................................................................................................................6 2.2. 2.2.1. LEGISLATION ............................................................................................................................................................................................................... 7 CRYPTOGRAPHIE ...................................................................................................................................................................................................... 7 2.3. 2.4. 2.5. ALLIANCES ................................................................................................................................................................................................................... 9 LOGICIELS ET SERVICES DE BASE .............................................................................................................................................................................. 10 LOGICIELS DE SÉCURITÉ DU DOMAINE PUBLIC ......................................................................................................................................................... 11 3. USA - OUVERTURE DE LA RÉGLEMENTATION CONCERNANT L’EXPORT .............................................................................................................................................7 ANALYSE DE RÉSEAU ET DE DATAGRAMMES ....................................................................................................................................................................................11 CONTRÔLE D'ACCÈS ..........................................................................................................................................................................................................................11 ANALYSE DE JOURNAUX ...................................................................................................................................................................................................................11 GÉNÉRATEURS DE DATAGRAMMES ...................................................................................................................................................................................................11 CONTRÔLE D'INTÉGRITÉ....................................................................................................................................................................................................................12 SCANNERS .........................................................................................................................................................................................................................................12 DÉTECTION D'INTRUSION / IDS .........................................................................................................................................................................................................12 GARDES-BARRIÈRES / FIREWALLS ....................................................................................................................................................................................................12 RÉSEAUX PRIVÉS VIRTUELS / VPN ...................................................................................................................................................................................................13 NORMES ET PROTOCOLES 3.1. 3.1.1. 3.1.2. 3.2. 3.2.1. 3.2.2. 4. 14 PUBLICATIONS ........................................................................................................................................................................................................... 14 RFC ....................................................................................................................................................................................................................... 14 RFC TRAITANT DE LA SÉCURITÉ .......................................................................................................................................................................................................14 AUTRES RFC .....................................................................................................................................................................................................................................14 IETF ...................................................................................................................................................................................................................... 14 NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ ..............................................................................................................................................................................14 MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ .......................................................................................................................................................................14 DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ...........................................................................................................................................................15 COMMENTAIRES ......................................................................................................................................................................................................... 15 RFC ....................................................................................................................................................................................................................... 15 RFC 2725 RFC 2726 - ROUTING POLICY SYSTEM SECURITY ..........................................................................................................................15 - PGP AUTHENTICATION FOR RIPE DATABASE UPDATES .............................................................................................15 IETF ...................................................................................................................................................................................................................... 17 DRAFT-SMART-SEC-MODEL-00.TXT DRAFT-IETF-SMIME-SECLABEL-00.TXT - BASIC INTERNET SECURITY MODEL ...........................................................................................................................17 - IMPLEMENTING COMPANY CLASSIFICATION POLICY W. S/MIME SECURITY LABEL..................................................17 ALERTES ET ATTAQUES 18 4.1. 4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.2. 4.2.1. A A ALLLEEERRRTTTEEESSS.................................................................................................................................................................................................................... 18 GUIDE DE LECTURE DES AVIS ................................................................................................................................................................................. 18 SYNTHÈSE DES AVIS PUBLIÉS ................................................................................................................................................................................ 19 AVIS OFFICIELS ...................................................................................................................................................................................................... 20 ALERTES NON CONFIRMÉES .................................................................................................................................................................................. 26 BULLETINS D’INFORMATION .................................................................................................................................................................................. 30 ATTAQUES .................................................................................................................................................................................................................. 32 OUTILS ................................................................................................................................................................................................................... 32 4.2.2. ATTAQUES .............................................................................................................................................................................................................. 33 COMPARTMENT .................................................................................................................................................................................................................................32 PALM CRACK 1.1...............................................................................................................................................................................................................................32 ANTI IDS...........................................................................................................................................................................................................................................33 LKM ET SLKM .................................................................................................................................................................................................................................34 SUBSEVEN 2.1 GOLD EDITION .........................................................................................................................................................................................................34 C2000.8/BVEL Janvier - 14/01/00 Page - 2 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Diffusion Restreinte Démonstration Le mot de la « Rédaction » Un rapide bilan du passage au 01/01/19100 et/ou 01/01/192000 … Fallait-il faire tant d’efforts pour ce fameux dernier réveillon avant la soi-disant Apocalypse ? Certains sont soulagés, d’autres déçus : il n’y a pas eu les grandes attaques annoncées. - Tant mieux, car la tension était montée d’un cran avec la publication de plusieurs codes d’attaques, d’avis et de patches jusqu’au dernier moment et les tous derniers moyens de protections n’étaient pas toujours en place. - Tant pis, car les procédures étaient (enfin) prêtes pour réagir face aux attaques à contrer. Ce qui est certain, c’est que la première étape de la sécurité, la sensibilisation, est une chose acquise. Quant aux utilisateurs et aux informaticiens, ils peuvent maintenant continuer à travailler sur des bases saines : Les versions des systèmes et des applications sont à jour, l’utilisation des outils de gestion de parc presque établie, et … des procédures et des embryons de politiques de sécurité sont maintenant définis. Des ébauches d’analyse des risques ont été effectuées, les entreprises ont analysé les composantes du système d’information et défini un classement par criticité pour la continuité du service. Des procédures de tests et de mises en opérationnel existent désormais dans les entreprises ne s’étant pas encore intéressées à cette problématique. Après avoir travaillé sur l’organisation et la logistique, … voici un nouveau numéro du Mensuel de Veille dans lequel vous devriez trouver de quoi faire : les nouveaux problèmes techniques, correctifs et attaques, sont nombreux en fin de mois. Meilleurs vœux de la Rédaction pour cette première année après l’Apocalypse. Pour tout renseignement complémentaire, éventuelles remarques ou suggestions, vous pouvez nous contacter par mail à l’adresse de courrier électronique suivante : [email protected] C2000.8/BVEL Janvier - 14/01/00 Page - 3 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 1. Diffusion Restreinte Démonstration P RRO OD DU UIIT TS SE ET T TE EC CH HN NO OLLO OG GIIE ES S P PRRO OD DU UIITTS S 1.1. Authentification 1.1.1. P D R O W P D DD RD OR WO PAAASSSSSSW DEEEFFFEEENNNDDDEEERRR • Objet La société Rainbow Diamond propose ‘Password Defender’, un outil destiné à superviser en temps réel la robustesse des mots de passe NT et la conformité de ceux-ci à la politique de sécurité en vigueur dans la société. • Description Password Defender utilise deux stratégies complémentaires pour mener à bien la supervision des mots de passe : - Installé en tant que filtre dans la chaîne de traitement des requêtes de changement des mots de passe, Password Defender est à même d’intercepter le nouveau de passe et de le valider avant sa prise en compte par le système. Dans ce mode, Password Defender permet de garantir la conformité des mots de passe à la politique de sécurité : forme, longueur, présence dans une liste noire ou un dictionnaire. Password Defender vient alors compléter le filtre ‘PASSFILT.DLL’ proposé par défaut sous Windows/NT. - Installé en tant que service NT, Password Defender utilise les cycles CPU d’attente pour appliquer une stratégie d’attaque en force des mots de passe existants, technique déjà mise à profit par les outils d’attaques tels que L0phtCrack. Plusieurs modes de réponse peuvent être activés lorsqu’un mot de passe n’a pas passé les critères de validation : invalidation du compte, mise en liste noire, forçage d’un changement à la prochaine connexion, … L’éditeur précise que seules les valeurs condensées (hash code) des mots de passe sont mémorisées dans les fichiers de configuration de l’outil. Ceci renforce le niveau de sécurité en cas de compromission du système mais conduit à restreindre l’ergonomie de certaines interfaces, notamment l’interface de saisie des mots de passe en liste noire. En effet, les valeurs précédemment entrées ne peuvent être affichées, le condensé mémorisé étant non inversible ! Ce produit vient se positionner sur un créneau commercial pertinent, celui des outils de contrôle minimalistes et performants venant en complément des outils proposés par Microsoft. • Complément d’information Password Defender C2000.8/BVEL http://www.brd.ie/ntsecurity/ Janvier - 14/01/00 Page - 4 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 2. Diffusion Restreinte Démonstration I NNFFO OR RM MA AT TIIO ON NE ET T LE EG GIIS SLLA AT TIIO ON N IINNFFO OR RM MA ATTIIO ON N 2.1. L itté r a tu r e 2.1.1. IIINNNTTTEEERRRFFFAAACCCEEESSSN S E E N E M N T S ES EE NTTTE EN ME NT T NNNOOONNNDDDOOOCCCUUUM • Objet ‘Undocumented Windows NT Programming’ pourrait devenir la nouvelle référence en matière de hacking de l’environnement NT. • Description Reprenant le filon ouvert par le désormais célèbre ‘Undocumented Windows’, cet ouvrage dont certains extraits peuvent être lus sur l’Internet dévoile les interfaces non documentées (API) du système NT. Force est de constater que de nombreuses fonctions présentes dans le noyau restent inaccessibles par le biais des interfaces officielles regroupées sous l’appellation ‘Win32 API’. Si la majorité des attaques perpétrées envers le système NT portent sur de simples erreurs de configuration ou bogues de conception, les techniques utilisées pour exploiter les débordements de buffers mais aussi pour court-circuiter certains mécanismes de protection nécessitent une excellente connaissance des internes du système. Jusqu’alors, trois grandes sources d’informations pouvaient être exploitées : - Les articles publiés dans certaines revues ciblées ‘développement’ dont MSJ (Microsoft System Journal), - Les structures de données définies dans les fichiers d’en-tête livrés avec les versions ‘développement’ du système, - Les informations acquises par l’analyse détaillée du fonctionnement du système au moyen d’outils tels que SoftIce. Ce livre adresse un large public, celui des développeurs, des curieux mais aussi des hackers et des responsables de projet ayant à prendre en compte l’aspect sécuritaire. • Complément d’information Undocumented Windows Programming http://www.cybermedia.co.in/cspl21/Undoc/techdet.htm M S E M M R N P T C SR ES ME SM IS MEEECCCAAANNNIIS RP NT PC T C SSSOOOUUUSSSN • Objet Publié chez MacMillan, ‘DCE/RPC over SMB: Samba and Windows NT Domain Internals’ est l’un des meilleurs ouvrages traitant de l’implémentation des mécanismes RPC sur le protocole SMB (Server Message Block). • Description L’architecture de communication déployée par Microsoft autour de ses produits Windows, et intégrée dans la technologie DCOM/OLE, repose quasiment exclusivement sur l’appel de procédures distantes (RPC) encapsulées dans le protocole de communication SMB. La parfaite compréhension des mécanismes mis en jeu est essentielle à quiconque souhaite déployer, interconnecter ou sécuriser une infrastructure NT. Cependant, la documentation disponible jusqu’à ce jour restait muette sur certains sujets pourtant de première importance: - descriptions et spécificités des différentes variations des mécanismes d’authentification NTLMv1, NTLMv2, - format et techniques de mise à jour de la base de sécurité NT (la SAM), … Luke Leighton, l’auteur de cet ouvrage, fut l’un des membres de l’équipe ayant développé SAMBA et travaille actuellement pour la société ISS. • Complément d’information DCE/RPC over SMB C2000.8/BVEL http://www.amazon.com/exec/obidos/ts/bookreviews/1578701503/ref=pm_dp_ln_b_1/104-7212465-1201202 Janvier - 14/01/00 Page - 5 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Diffusion Restreinte Démonstration PKI 2.1.2. P M P K F M PK KIII F FOOORRRUUUM • Objet Microsoft vient d’annoncer la création du ‘PKI Forum’ destiné à rassembler les principaux éditeurs et fournisseurs de PKI. • Description Fondé dans l’optique d’accélérer l’adoption d’une technologie commune et interopérable, le PKI Forum regroupe à ce jour les sociétés suivantes: - Fondateurs : Baltimore Technologies, Entrust Technologies, IBM, Microsoft, RSA - Membres principaux: Xcert International, Chrysalis-ITS, Jaws Technologies - Membres associés : Cisco, SSE Ltd, Hewlett-Packard, Racal Guardata, CertifiedTime.com, FundSERV, Rainbow Technologies Inc., Siemens AG, SECUDE GmbH, NETLEXIS Ltd., Gemplus Corporation, Intelispan ValiCert Deux groupes de travail d’ors et déjà constitués se réuniront à l’occasion de la conférence inaugurale qui se tiendra les 6, 7 et 8 mars en Californie. - Le Business Working Group est chargé d’établir les besoins des 4 grandes catégories identifiées d’utilisateurs : les développeurs, les fournisseurs d’accès et de service, les clients (il est étonnant qu’aucune classification orientée métiers n’ait été retenue). - Le Technical Working Group est responsable de la spécification des profils d’interopérabilité requis par les contraintes d’utilisation des PKI dans les applications commerciales et assurera le lien avec les organismes de normalisation. La mise en place de démonstrateurs prouvant l’interopérabilité des différents systèmes de PKI incombe à ce groupe. Piloté par le marché et les principaux éditeurs, ce forum ne pourra prétendre à une totale impartialité. La constitution d’un tel groupe d’intérêt reste cependant la seule voie susceptible d’accélérer la convergence des infrastructures et systèmes de PKI. - Membres auditeurs: • Complément d’information PKI Forum C2000.8/BVEL http://www.pkiforum.org Janvier - 14/01/00 Page - 6 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Diffusion Restreinte Démonstration LLEEG GIIS SLLA ATTIIO ON N 2.2. Cryptographie 2.2.1. U N A N R E C N O C N A N E M R O P X E U S A O NTTTLLL’’’E AN NA RN ER CE NC ON CO NC ON IO ATTTIIO NTTTA EN ME RTTT OR PO XP US EX SA A --- O OUUUVVVEEERRRTTTUUURRREEEDDDEEELLLAAARRREEEGGGLLLEEEM • Objet Le 14 Janvier, la directive concernant l’allégement des restrictions d’exportation des matériels cryptographiques en dehors des USA est entrée en vigueur. • Description Les nouvelles directives concernant l'exportation des matériels de cryptographie en dehors du territoire Américain ont été publiées par le DOC (Département du Commerce) le 14 Janvier et rendues immédiatement applicables. Sans rentrer dans le détail d'un texte complexe, ces règles simplifient les démarches d'exportation des produits de chiffrement utilisant un algorithme de 64 bits et de certains produits de gestion de 512 bits. Cette libéralisation ne s'applique pas aux pays supposés aider les organisations terroristes : Cuba, Iran, Iraq, Libye, Corée du Nord, Soudan et Syrie. Le jour même, le site alternatif ‘cryptome.org’ mettait en ligne les sources des produits PGPFreeWare, puis de Kerberos en annoncant vouloir ainsi tester la réaction du gouvernement Américain et la validité de la mise en application de la nouvelle réglementation. Rappelons toutefois que si l’autorisation d’exportation d’un matériel ou logiciel de cryptographie peut être accordé par le pays d’origine, le droit d’importation ou d’utilisation reste la prérogative du pays d’appartenance de l’utilisateur final ! • Complément d’information Directives du DOC C2000.8/BVEL http://frwebgate.access.gpo.gov Janvier - 14/01/00 Page - 7 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 C2000.8/BVEL Janvier - 14/01/00 Diffusion Restreinte Démonstration Page - 8 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 2.3. Diffusion Restreinte Démonstration A ALLLLIIAANNCCEESS Les différentes alliances - rachats, prises de participation, accords technologiques, … - sont récapitulées au moyen d’un synoptique régulièrement mis à jour. Baltimore a acquis GTE's CyberTrust à la mi-janvier. Pare-Feu Anti-Virus Audit SSO PKI Chiffrement Memco PGP 01/98 06/99 Janvier - 14/01/00 RSA Data Sécurité 01/00 PKI Baltimore GTE CyberTrust 04/99 AutoSecure - Memco Sec. Dynamics Boks Platinum 04/99 PassGo SSO RSA PassGo 10/98 01/99 NetProwler AXENT March Technologie Internet Technologie 02/98 NetRanger - NetSo&nar 06/98 Ballista ISS WheelGroup Secure Networking 08/99 06/98 NAI Netrex Dr Salomon C2000.8/BVEL 06/97 02/98 Eagle Equipements Réseau McAfee Raptor 02/98 Gauntlet 08/99 Altavista Firewall & Tunnel TIS 12/97 Centri AltaVista Global Intranet CISCO CA Systèmes et Applications Page - 9 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 2.4. Diffusion Restreinte Démonstration LLO OG GIIC CIIE ELLS SE ETT S SEERRVVIICCEESS DDEE BBAASSEE Les dernières versions disponibles des principaux logiciels du Domaine Public sont rappelées dans le tableau suivant. Nous conseillons d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. Nom Apache Fonction Serveur WEB Dernière Version officielle 1.3.9 au 01/08/1999 Bind Serveur DNS 8.2.2p5 au 12/11/1999 Imap Serveur IMAP 4.7 au 27/09/1999 4 mois Correction de problèmes http://www.washington.edu/imap/ INN Gestionnaire de News 2.2.2 au 13/12/1999 0 mois Problèmes Y2K http://www.isc.org/products/INN/ OpenLdap Annuaire LDAP 1.2.8 au 16/12/1999 0 mois Nouvelles Fonctionnalités & Y2K http://www.openldap.org/ Majordomo Gestion de listes de diffusion 1.94.5 au 15/01/1999 0 mois Problèmes de sécurité http://www.greatcircle.com/majordomo/ NTP Serveur de Temps Langage interprété au 26/04/1998 au 07/01/2000 au 28/03/1999 Php3 Langage de scripting WEB Pop Serveur POP/APOP Procmail Traitement des Email NTP Version 3 Export NTP Version 4 Nouvelles Fonctionnalités Version expérimentale Nouvelles Fonctionnalités Version béta public Version stable Problèmes de sécurité Nouvelles Fonctionnalités http://www.eecis.udel.edu/~ntp/ Perl 3_5.93e 4.0.98m 5.005_03 5.005_63 3.013 4.0b3 2.53 3.0b30 3.14 Sendmail Serveur SMTP http://www.sendmail.org SmartList Correction de bogues de sécurité Version béta public Nouvelles Fonctionnalités au au au au au 01/01/2000 01/01/2000 14/07/1998 25/01/2000 22/11/1999 Ancienneté Apport de la dernière version 7 mois Portage WIN32 Correction de bogues de sécurité 3 mois Problèmes majeurs de sécurité 22 0 12 2 1 1 18 0 2 mois mois mois mois mois mois mois mois mois Références http://www.apache.org http://www.isc.org/products/BIND/ http://www.perl.com http://www.php.net/ http://www.eudora.com/qpopper/index.html ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ Gestionnaire de listes de diffusion 8.9.3 au 04/02/1999 8.10.0b10 au 30/12/1999 3.13 au 31/03/1999 12 mois 0 mois 11 mois Squid Cache WEB 2.3stable1 au 10/01/2000 0 mois Problèmes de sécurité http://squid.nlanr.net/ Wu-Ftp Serveur FTP 2.6.0 4 mois Vulnérabilités de sécurité http://www.wu-ftpd.org C2000.8/BVEL au 10/10/1999 Janvier - 14/01/00 ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ Page - 10 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 2.5. Diffusion Restreinte Démonstration LLO OG GIIC CIIE ELLS SD DE ES SEECCUURRIITTEE DDUU D DO OM MA AIIN NE EP PUUBBLLIICC Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public (licence GNU GPL) est proposée dans les tableaux suivants. Cette liste sera régulièrement mise à jour. A S E M M A S ES ME MM ANNNAAALLLYYYSSSEEEDDDEEERRREEESSSEEEAAAUUUEEETTTDDDEEEDDDAAATTTAAAGGGRRRAAAM Nom IP Traf Big Brother Ethereal Cheops Fonction Statistiques IP Polleur/visualisateur snmp Analyseur multi-protocole Interface visualisation Dernière Version officielle 2.1.1 au 14/11/1999 1.3a au 11/11/1999 0.8.1 au 09/01/2000 0.5.0 Ancienneté 3 mois 3 mois 2 mois Références http://cebu.mozcom.com/riker/iptraf/ http://maclawran.ca/bb-dnld/new-dnld.html ftp://ethereal.zing.org/pub/ethereal/ http://www.marko.net/cheops/ Dernière Version officielle 7.6 2.1.8.8p6 au 03/01/2000 Ancienneté Références ftp://ftp.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz http://synack.net/xinetd/ C C A COOONNNTTTRRROOOLLLEEEDDD'''A ACCCCCCEEESSS Nom TCP Wrapper XinetD Fonction Contrôle d’accès services TCP Inetd amélioré 0 mois A A ANNNAAALLLYYYSSSEEEDDDEEEJJJOOOUUURRRNNNAAAUUUXXX Nom Autobuse Analog Fonction Analyse syslog Analyse web apache Dernière Version officielle 1.8 au 07/02/1999 4.1 au 17/12/1999 Ancienneté 12 mois 1 mois Références http://www.picante.com/~gtaylor/download/autobuse http://www.statslab.cam.ac.uk/~sret1/analog/ Dernière Version officielle 1.6 au 21/09/1997 2.1a au 17/09/1997 1.0.1 au 19/05/1997 1.2 au 13/02/1996 Ancienneté 4 mois 28 mois 9 mois 46 mois Références http://www.anzen.com/research/nidsbench/fragrouter-1.6.tar.gz ftp://coombs.anu.edu.au/pub/net/misc/ipsend2.0.tar.gz http://www.anzen.com/research/nidsbench/tcpreplay-1.0.1.tar.gz http://sites.inka.de/sites/bigred/sw/udpprobe.txt G S E M M G D S ES ME MM GEEENNNEEERRRAAATTTEEEUUURRRSSSDDDEEED DAAATTTAAAGGGRRRAAAM Nom FragRouter IPSend TcpReplay UdpProbe Fonction Générateur de Fragmentation Générateur Paquets IP Générateur Session TCP Générateur UDP C2000.8/BVEL Janvier - 14/01/00 Page - 11 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Diffusion Restreinte Démonstration C C COOONNNTTTRRROOOLLLEEEDDD'''IIINNNTTTEEEGGGRRRIITITTEEE Nom Tripwire L6 Fonction Intégrité Systèmes NT/UNIX Intégrité Systèmes UNIX Dernière Version officielle 2.2.1 au 15/12/1999 1.6 au 16/10/1998 Ancienneté 1 mois 16 mois Références http://www.tripwiresecurity.com/ http://www.pgci.ca/l6.html Nom Nessus Saint Sara Fonction Audit de vulnérabilité système Audit de vulnérabilité réseau Audit de vulnérabilité réseau Dernière Version officielle 0.99.4 au 14/01/2000 1.5b1 au 11/01/2000 2.1.3 au 15/12/1999 Ancienneté 0 mois 0 mois 1 mois Références http://www.nessus.org http://wwdsilx.wwdsi.com/saint/ http://home.arc.com/wn.html Satan Tara (Tiger) Trinux Audit de vulnérabilité réseau Audit de vulnérabilité système Boite à outils 1.1.1 2.2.6 0.62 (version LINUX 5.x, 6.x) S S SCCCAAANNNNNNEEERRRSSS au 11/04/1995 au 05/06/1999 au 09/08/1999 8 mois 7 mois http://www.cs.ruu.nl/cert-uu/satan.html http://home.arc.com/wn.html http://www.trinux.org D D N N S U R N D D S D'''IIIN ND N/// IIID ON ON IO IO SIIO US RU DEEETTTEEECCCTTTIIO NTTTR DS S Nom NFR Shadow Deception ToolKit Fonction Détection d’intrusion Système Détection d’intrusion Réseau ‘Attrape-mouche’ Dernière Version officielle 2.0.4 au 04/1999 1.6 au 10/1999 990818 au 18/08/1999 Ancienneté Dernière Version officielle 0.1.5 au 09/12/1999 3.0.2 au 18/05/1999 1.3.9 3.3.6 au 28/12/1999 Ancienneté 2 mois 9 mois 5 mois Références http://www.nfr.net http://www.nswc.navy.mil/ISSEC/CID/ http://all.net/dtk/dtk.html G S S E R A W E G B F S/// F S ES RE ER ALLLLLLS IE WA EW RE GAAARRRDDDEEESSS---B IR BAAARRRRRRIIE FIIR Nom Sinus for Linux DrawBridge IpChain IpFilter C2000.8/BVEL OS Linux FreeBsd Linux 2.0 Filtre de datagrammes 1 mois Références http://www.ifi.unizh.ch/ikm/SINUS/firewall/ http://drawbridge.tamu.edu/ http://www.rustcorp.com/linux/ipchains/ http://coombs.anu.edu.au/ipfilter/ip-filter.html Janvier - 14/01/00 Page - 12 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Diffusion Restreinte Démonstration R S S E E U R P V V P N S/// V SV ELLLS ES UE VE IV RTTTU REEESSSEEEAAAUUUXXXP PRRRIIV VIIR IR VP PN N Nom CIPE Fonction LINUX CIPE FreeS/Wann LINUX IPSEC 1.0 au 14/04/99 9 mois http://www.flora.org/freeswan/ OpenSSL SSL 0.9.4 au 09/08/99 5 mois http://www.openssl.org/ ModSSL Intégration SSL dans apache 2.4.10 au 08/01/2000 0 mois http://www.modssl.org Photuris Protocole de gestion des clefs SSH Shell sécurisé (SSH1) OpenSSH SSF VPS C2000.8/BVEL Kernel Driver Dernière Version officielle 1.3.0 au Ancienneté Références http://sites.inka.de/sites/bigred/devel/cipe.html 04/02/98 21 mois 2.0.13 au 12/08/99 5 mois http://www.ssh.fi/sshprotocols2/ Shell sécurisé (SSH1) 1.2.1 au 12/08/99 5 mois Shell sécurisé autorisé (SSH1) LINUX Tunnel IP 1.2.27.6 au 16/09/99 2.0b2 4 mois http://www.openssh.org http://info.in2p3.fr/secur/ssf/ http://www.physnet.uni-hamburg.de/provos/photuris/ http://www.strongcrypto.com/ Janvier - 14/01/00 Page - 13 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 3. 3.1. Diffusion Restreinte Démonstration NO OR RM ME ES SE ET T PR RO OT TO OC CO OLLE ES S P PUUBBLLIICCAATTIIO ON NS S RFC 3.1.1. Durant la période du 15 Décembre au 15 Janvier, 9 RFC ont été publiés, dont 2 ayant trait au domaine de la sécurité. R R F C T RF FC CT TRRRAAAIITITTAAANNNTTTDDDEEELLLAAASSSEEECCCUUURRRIITITTEEE Thème RIPE RIPE Numéro 2727 2739 2725 2726 Date Status Titre Non publié 12/99 12/99 PStd PStd Les abréviations suivantes sont utilisées : PStd : Proposition de standard Non publié Routing Policy System Security PGP Authentication for RIPE Database Updates Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d’utilisation optimale A A R F C AUUUTTTRRREEESSSR RF FC C Thème IP ISPF MIB NHRP RTP Numéro 2738 Date 12/99 Status PStd Titre Corrections to "A Syntax for Describing Media Feature Sets". 2732 2740 2737 2735 2733 2736 12/99 12/99 12/99 12/99 12/99 12/99 PStd PStd PStd PStd PStd Bcp Format for Literal IPv6 Addresses in URL's OSPF for IPv6 Entity MIB (Version 2) NHRP Support for Virtual Private Networks An RTP Payload Format for Generic Forward Error Correction Guidelines for Writers of RTP Payload Format Specifications Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d’utilisation optimale IETF 3.1.2. Durant la période du 15 Décembre au 15 Janvier, 148 DRAFTS ont été publiés, ou mis à jour, dont 31 ayant directement trait au domaine de la sécurité. N N D S NOOOUUUVVVEEEAAAUUUXXXD DRRRAAAFFFTTTSSSTTTRRRAAAIITITTAAANNNTTTDDDEEELLLAAAS SEEECCCUUURRRIITITTEEE Thème DNS GSS LDAP PGP SEC Nom du draft draft-ietf-dnsind-zone-status-00.txt draft-sgundave-gssauth-cops-00.txt draft-wahl-ldap-digest-example-00.txt draft-zeilenga-ldap-authpasswd-00.txt draft-zeilenga-ldap-passwd-exop-00.txt draft-ietf-smime-seclabel-00.txt draft-ietf-smime-symkeydist-00.txt draft-ietf-openpgp-rfc2440bis-00.txt draft-smart-sec-model-00.txt Date 22/12 13/12 22/12 21/12 22/12 21/12 22/12 21/12 04/01 Titre DNS Security Extension Clarification on Zone Status COPS Extension for GSS-API based Authentication Support An Example of DIGEST-MD5 Authentication within an LDAP server LDAP Authentication Password Attribute LDAP Password Modify Extended Operation Impl. Company Classification Policy w. S/MIME Security Label S/MIME Symmetric Key Distribution OpenPGP Message Format Basic Internet Security Model TLS draft-ietf-tls-openpgp-00.txt 16/12 Extensions to TLS for OpenPGP keys Date 21/12 DIAMETER Base Protocol MIME Les documents à lire en priorité sont mentionnés en caractères gras M E D R U O A E M D S ED DE RD UR OU AJJJO EA SE MIIS IS DRRRAAAFFFTTTSSSTTTRRRAAAIITITTAAANNNTTTDDDEEELLLAAAS SEEECCCUUURRRIITITTEEE Thème DIAM Nom du draft draft-calhoun-diameter-12.txt C2000.8/BVEL Titre Janvier - 14/01/00 Page - 14 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 DNS Diffusion Restreinte Démonstration draft-calhoun-diameter-accounting-03.txt draft-calhoun-diameter-mobileip-05.txt 21/12 21/12 DIAMETER Accounting Extension DIAMETER Mobile IP Extensions draft-calhoun-diameter-nasreq-01.txt draft-calhoun-diameter-strong-crypto-01.txt 21/12 21/12 DIAMETER NASREQ Extensions DIAMETER Strong Security Extension draft-ietf-dnsind-sig-zero-01.txt 21/12 DNS Request and Transaction Signatures ( SIG(0)s ) draft-ietf-dnsind-tkey-03.txt draft-ietf-dnsind-tsig-13.txt 21/12 21/12 Secret Key Establishment for DNS (TKEY RR) Secret Key Transaction Authentication for DNS (TSIG) draft-ietf-cat-gssv2-javabind-04.txt draft-ietf-mobileip-challenge-08.txt 23/12 07/01 Generic Security Service API Version 2 : Java bindings Mobile IP Challenge/Response Extensions draft-ietf-mobileip-mn-nai-06.txt draft-ietf-ipsec-isakmp-hybrid-auth-03.txt draft-ietf-ipsec-openpgp-00.txt draft-ietf-ipsec-pki-req-04.txt 06/01 22/12 07/01 14/12 Mobile IP Network Access Identifier Extension for IPv4 A Hybrid Authentication Mode for IKE OpenPGP Key Usage in IKE A PKIX Profile for IKE LIPKEY draft-jenkins-ipsec-rekeying-03.txt draft-ietf-cat-lipkey-03.txt 06/01 21/12 IPSec Re-keying Issues LIPKEY - A Low Infrastructure Public Key Mechanism Using SPKM PKIX RADIUS draft-ietf-pkix-time-stamp-05.txt draft-ietf-radius-radius-v2-03.txt 07/01 06/01 Internet X.509 Public Key Infrastructure Time Stamp Protocols Remote Authentication Dial In User Service (RADIUS) SNMP TLS draft-stjohns-snmpv3-dhkeychange-mib-02.txt draft-ietf-tls-http-upgrade-05.txt 15/12 06/01 DH USM Key Mgmt Information Base and Textual Convention Upgrading to TLS Within HTTP/1.1 XML draft-ietf-xmldsig-core-03.txt 27/12 XML-Signature Core Syntax GSS IP IPSEC Les documents à lire en priorité sont mentionnés en caractères gras D A A S E X E N N O C S E A M D S AS ALLLA SA ES XE EX NE NN ON CO SC ES NE IN AIIN MA DRRRAAAFFFTTTSSSTTTRRRAAAIITITTAAANNNTTTDDDEEEDDDOOOM SEEECCCUUURRRIITITTEEE Thème DNS Nom du draft draft-ietf-dnsind-iana-dns-04.txt Date 30/12 Titre Domain Name System (DNS) IANA Considerations DNS draft-ietf-dnsop-hardie-shared-root-server-01.txt 22/12 GRE IANA draft-meyer-gre-update-02.txt draft-bradner-iana-allocation-04.txt 06/01 07/01 IP IP draft-haberman-ipngwg-mcast-arch-00.txt draft-terrell-logic-analy-bin-ip-spec-ipv7-ipv8-00.txt 10/01 10/01 LDAP draft-ietf-ldapext-ldap-taxonomy-01.txt 17/12 Distributing Root or Authoritative Name Servers via Shared Unicast Addresses Generic Routing Encapsulation (GRE) IANA Allocation Guidelines For Values In the Internet Protocol and Related Headers IP Version 6 Multicast Addressing Architecture Logical Analysis of the Binary Representation and the IP Specifications for the IPv7 and IPv8 Addressing Systems A Taxonomoy of Methods for LDAP Clients Finding Servers NFS draft-ietf-nfsv4-03-00.txt 16/12 NFS version 4 Protocol Les documents à lire en priorité sont mentionnés en caractères gras. Un fond de couleur indique les nouveaux Drafts. 3.2. 3.2.1. C CO OM MM ME EN NTTA AIIR RE ES S RFC R R F C RF FC C 222777222555 --- R G Y M P S S R GP NG YS MS IN CY IC POOOLLLIIC SYYYSSSTTTEEEM SEEECCCUUURRRIITITTYYY ROOOUUUTTTIIN Ce document résulte du passage du document ‘draft-ietf-rps-auth-04.txt ‘ à l’état de proposition de standard. Il propose un modèle de sécurité destiné à garantir l’intégrité des données de routages maintenues dans les bases des différentes organisations en charge de l’administration de l’Internet, tel le RIPE. Dans le modèle retenu, le maintien de l’intégrité résulte de la mise en place d’un mécanisme d’authentification et d’autorisation. Après une présentation de l’historique de la politique de gestion des bases de routages (PRDB) et du langage de description associé (RPSL), ce RFC aborde la problématique de la mise en œuvre d’un nouveau modèle dans une infrastructure existante mais aussi fortement dynamique. L’intérêt de ce document réside, non dans la description du modèle de sécurité, mais dans l’analyse des contraintes induites par les différentes évolutions des politiques de routage successivement mises en œuvre dans l’Internet. R R F C RF FC C 222777222666 C2000.8/BVEL --- P R O N A R U P E D P G P A RR OR NFFFO ON IO ATTTIIO CA IC RIIIP UPPPDDDAAATTTEEESSS PE ED DAAATTTAAABBBAAASSSEEEU PG GP PA AUUUTTTHHHEEENNNTTTIIC Janvier - 14/01/00 Page - 15 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Diffusion Restreinte Démonstration Venant en complément du RFC 2725, ce document décrit avec précision les aménagements à prendre en compte dans les mécanismes de mise à jour des bases de données RIPE pour assurer une authentification forte de l’origine de la demande. A ce jour, 2 mécanismes sont utilisés : – authentification de la demande par l’adresse de messagerie du demandeur (mode ‘MAIL_FROM’), - authentification de la demande par présentation d’un secret partagé transmis en clair dans le message (mode ‘CRYPT-PW’). Les faiblesses de ces deux mécanismes sont évidentes, et les modifications des DNS de certains opérateurs effectuées dernièrement au moyen d’ordres forgés de toute pièce en sont la preuve. Il est dés lors nécessaires d’assurer l’authenticité et l’intégrité des requêtes de mise à jour. Ce document décrit la mise en place d’un mécanisme de signatures des requêtes utilisant l’une ou l’autre des implémentations les plus courantes de PGP: PGP 2.0 et PGP 5.0. L’aménagement proposé, consistant en l’ajout de quelques attributs de description, permettra à quiconque de vérifier l’authenticité des enregistrements maintenus par le RIPE mais aussi de garantir que ceux-ci ne pourront être mis à jour par que par les personnes dûment autorisées. Un exemple d’enregistrement signé est proposé ci-après, les attributs spécifiques étant mis en évidence : mntner: descr: descr: admin-c: tech-c: tech-c: upd-to: mnt-nfy: auth: remarks: notify: mnt-by: changed: source: AS3244-MNT BankNet, Budapest HU Eastern European Internet Provider via own VSAT network JZ38 JZ38 IR2-RIPE [email protected] [email protected] PGPKEY-23F5CE35 This is the maintainer of all BankNet related objects [email protected] AS3244-MNT [email protected] 19980525 RIPE key-cert: PGPKEY-23F5CE35 method: PGP owner: Janos Zsako <[email protected]> fingerpr: B5 D0 96 D0 D0 D3 2B B2 B8 C2 5D 22 D4 F5 78 92 certif: -----BEGIN PGP PUBLIC KEY BLOCK----Version: 2.6.2i + mQCNAzCqKdIAAAEEAPMSQtBNFFuTS0duoUiqnPHm05dxrI76rrOGwx+OU5tzGavx cm2iCInNtikeKjlIMD7FiCH1J8PWdZivpwhzuGeeMimT8ZmNn4z3bb6ELRyiZOvs 4nfxVlh+kKKD9JjBfy8DnuMs5sT0jw4FEt/PYogJinFdndzywXHzGHEj9c41AAUR tB9KYW5vcyBac2FrbyA8enNha29AYmFua25ldC5uZXQ+iQCVAwUQMjkx2XHzGHEj 9c41AQEuagP/dCIBJP+R16Y70yH75kraRzXY5rnsHmT0Jknrc/ihEEviRYdMV7X1 osP4pmDU8tNGf0OfGrok7KDTCmygIh7/me+PKrDIj0YkAVUhBX3gBtpSkhEmkLqf xbhYwDn4DV3zF7f5AMsbD0UCBDyf+vpkMzgd1Pbr439iXdgwgwta50qJAHUDBRAy OSsrO413La462EEBAdIuAv4+Cao1wqBG7+gIm1czIb1M2cAM7Ussx6y+oL1d+HqN PRhx4upLVg8Eqm1w4BYpOxdZKkxumIrIvrSxUYv4NBnbwQaa0/NmBou44jqeN+y2 xwxAEVd9BCUtT+YJ9iMzZlE= =w8xL -----END PGP PUBLIC KEY BLOCK----remarks: This is an example of PGP key certificate mnt-by: AS3244-MNT changed: [email protected] 19980525 source: RIPE C2000.8/BVEL Janvier - 14/01/00 Page - 16 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 3.2.2. Diffusion Restreinte Démonstration IETF D R E A A C D R M E O D S S M 00000...TTTXXXTTT RTTT---S ELLL---0 AFFFTTT---S AR C---M DE RA MA EC OD DR SM SE MO --- B E N R E N S M B ETTTS NE CIIIN RN IC ER NTTTE SEEECCCUUURRRIITITTYYYM MOOODDDEEELLL BAAASSSIIC Ce Draft est émis par un chercheur du CSIRO (Commonwealth Scientific and Industrial Research Organisation). L’auteur considère qu’il est illusoire de chercher à sécuriser l’Internet sans disposer au préalable d’un modèle permettant de mettre en évidence les interactions entre les différents acteurs présents dans cet environnement. Un modèle minimaliste est proposé qui s’appuie sur les hypothèses suivantes : - Le monde réel est constitué d’entités indépendantes ou hiérarchisées, - Un programme peut être caractérisé par l’entité pour laquelle celui-ci s’exécute et celle contrôlant l’environnement d’exécution, - Les environnements sont constitués d’une hiérarchie de systèmes, basics et non administrés ou virtuels et controlés par une entité, - Les communications entre systèmes peuvent être modélisées sous la forme d’une succession de requêtes et d’assertions, - Enfin, la sécurité peut s’intégrer dans les différentes couches réseaux et les données de sécurité transmises dans le flux des données échangées. Ce modèle met en exergue le principe de l’exécution d’une tâche sous le couvert d’une entité tierce (OBO ou On Behalf Of), notion fondamentale dans une architecture distribuée et coopérative telle que l’Internet. Bien qu’incomplet car minimaliste, le modèle proposé semble être parfaitement adapté à la logique d’utilisation et d’évolution de l’Internet pour laquelle les modèles classiques hérités des exigences militaires ( Bell-Lapalluda - non déclassification de l’information) ou commerciales (Clark et Wilson – primauté de la transaction bien formée) montrent leurs limites. D E B E A A C R M E D S S 00000...TTTXXXTTT ELLL---0 BE E---S AB ME AFFFTTT---IIE IM CLLLA RA ETTTFFF---S MIIM EC DR IE SM SE --- IIIMMMPPPLLLEEEMMMEEENNNTTTIIN C C P S M M E S G O M P A N Y A N O Y W IN NG GC CO OM MP PA AN NY YC CLLLAAASSSSSSIIFIFFIIC IC CA ATTTIIO IO ON NP PO OLLLIIC IC CY YW W... S S///M MIIIM ME ES SEEECCCUUURRRIITITTYYYLLLAAABBBEEELLL Ce Draft, qui a pour auteur un consultant de la société Ernst & Young, traite de l’utilisation de certaines étiquettes de sécurité définies dans le format S/MIME à des fins de classification et de contrôle de la diffusion de l’information transmise par le biais des messageries. Le RFC 2634 décrit les services étendus de S/MIME, et en particulier, l’étiquette eSSSecurityLabel pouvant être positionnée sur le contenu et/ou le corps chiffré d’un message et constituée des 4 attributs suivants : - security-policy-identifier : Identifiant de la politique de classification - security-classification : Niveau de classification - privacy-mark : Etiquette distinctive de la propriété (optionnel, chaîne) - security-categories : Ensemble de catégorie de rattachement (optionnel, choix d’OID) (optionnel, entier) Il est dès lors envisageable de transcrire une politique de classification propriétaire en dérivant et instanciant ses propres attributs. Tout message transmis pourra alors être explicitement identifié et faire l’objet des traitements requis par la politique de sécurité. A titre d’exemple pédagogique, ce draft intègre la définition des attributs appropriés à la transcription de la politique de classification de trois grandes sociétés mondialement connues : - Amoco : Classification hiérarchisée portant sur la confidentialité (C) puis l’intégrité (I) : Highly_Confidential : Maximum, Medium,Minimum Confidential : Maximum, Medium,Minimum General : Maximum, Medium, Minimum - Caterpillar : Classification à 4 niveaux portant sur la confidentialité - Whirlpool : Classification à 3 niveaux portant sur la confidentialité Red, Yellow, Green, Public Confidential, Internal, Public Ce document est intéressant car démontrant, exemples concrets à l’appui, qu’une véritable politique de contrôle de la diffusion d’un message peut être mise en place. Cependant, ces mêmes exemples semblent mettre en évidence les limites du principe adopté et notamment l’impossibilité d’exprimer une hiérarchisation complexe ou un regroupement de catégories par le biais d’un attribut de type Entier. Il est à noter que l’encodage proposé dans le cas de la société AMOCO ne permet pas, sauf erreur d’interprétation de notre part, d’exprimer la hiérarchisation à deux niveaux ! Enfin, notons que les clients S/MIME actuels n’offrent toujours pas d’interface permettant d’intégrer simplement cette classification. C2000.8/BVEL Janvier - 14/01/00 Page - 17 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 4. 4.1. 4.1.1. Diffusion Restreinte Démonstration A LLEERRTTEESS EETT A TTTTAAQ QU UE ES S A ALLEERRTTEESS Guide de lecture des avis La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l’origine de l’avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l’avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme de chartes synthétisant les caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et publiquement accessible sont représentés. Ces chartes seront régulièrement mises à jour. Avis Spécifiques Constructeurs Réseaux Systèmes Avis Généraux Editeurs Systèmes Indépendants Editeurs Hackers Editeurs 3Com Compaq Linux Microsoft l0pht NA (SNI) Cisco HP FreeBSD Netscape rootshell ISS IBM NetBSD SGI OpenBSD SUN Xfree86 Organismes Autres BugTraq US Autres CERT Aus-CERT CIAC Typologies des informations publiées Publication de techniques et de programmes d’attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d’informations générales et de tendances : Maintenance des systèmes : Compréhension et anticipation des menaces : Lecture des avis du CERT, du CIAC et du CERT Australien, Lecture des avis constructeurs associés Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft Cisco HP Netscape BugTraq rootshell NA (SNI) NetBSD l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC C2000.8/BVEL Janvier - 14/01/00 Page - 18 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 4.1.2. Diffusion Restreinte Démonstration Synthèse des Avis Publiés Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution. Organisme CERT-CS CERT-CA CERT-IN CIAC Constructeurs 3COM Cisco Compaq HP IBM Intel SGI Sun Editeurs Allaire Lotus Microsoft Netscape Novell Sco Symantec Trend Unix libres Linux (comm.) Linux RedHat Linux Debian Linux SUSE BSD Autres Bugtraq L0pht RootShell X-Force C2000.8/BVEL Période Cumul 2000 Cumul 1999 11 11 76 1 1 4 5 5 13 1 1 -4 4 59 9 9 41 0 0 1 3 3 6 0 0 1 4 4 14 0 0 3 1 1 -0 0 6 1 1 10 14 14 55 3 3 -0 0 -8 8 55 0 0 -0 0 -1 1 -1 1 -1 1 -5 5 54 1 1 31 2 2 -0 0 -2 2 -0 0 23 17 17 36 15 15 -1 1 10 1 1 0 0 0 26 Cumul 2000 - Constructeurs Intel 11% IBM 0% SGI 0% Cumul 1999 - Constructeurs Sun 11% IBM Intel 7% 0% 3COM 0% Cisco 33% HP 45% Sun 24% HP 35% Compaq 2% Compaq 0% Cisco 15% 3COM 2% Cumul 1999 - Editeurs Cumul 2000 - Editeurs Netscape 0% Novell 0% Microsoft 58% IBM Intel 7% 0% Sco 7% Symantec 7% Lotus 0% SGI 15% Allaire 21% Trend 7% Janvier - 14/01/00 SGI 15% Sun 24% HP 35% Compaq 2% Cisco 15% 3COM 2% Page - 19 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 4.1.3. Diffusion Restreinte Démonstration Avis officiels Le tableau suivant présente une synthèse des avis de sécurité émis par un organisme officiel et confirmé par l’éditeur du produit ou le constructeur de l’équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés doivent immédiatement être appliqués. Fournisseur Titre ou Produit Référence ALLAIRE URL Date Vulnérabilité dans Spectra 1.0 ASB00-01 04/01 Niveau Elevé Déni de service dans Spectra 1.0 ASB00-02 04/01 Moyenne Origine Fichier de configuration Mécanisme d'indexation Exposition d'informations sensibles sous ColdFusion 4.X ASB00-03 04/01 Critique Configuration du mécanisme de cache C2000.8/BVEL Problème Dommages Plateforme http://www.allaire.com/handlers/index.cfm?ID=13976&Method=Full Ligne de Visibilité du contenu des configuration sections non autorisées à Allaire Spectra 1.0 manquante l'utilisateur http://www.allaire.com/handlers/index.cfm?ID=13977&Method=Full Activation externe Consommation excessive de Allaire Spectra 1.0 via une URL non ressources CPU par appels protégée réitérés du mécanisme d'indexation http://www.allaire.com/handlers/index.cfm?ID=13978&Method=Full Stockage des Exposition de données Allaire ColdFusion 4.x données de travail potentiellement sensibles dans un répertoire public Janvier - 14/01/00 Correction La ligne suivante doit être rajoutée au fichier 'application.cfm' localisé sous webroot/Allaire/spectra/webtop/ <cfset request.cfa.security.bIsSecure=1> La répertoire webroot/allaire/spectra/install/ contenant les outils de configuration nécessaires à l'installation du serveur doit être sécurisé, déplacé ou détruit. Une nouvelle version du fichier de gestion du cache est disponible le site ALLAIRE. Page - 20 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Vulnérabilités sur le Cisco Cache Engine CISCO 16/12 Critique CSCdm63310 CSCdp20180 CSCdj56294 CIAC K-012 CISCO Déni de service sur le PIX 515 CSCdp32325 31/12 HOTMAIL Elevé Mécanismes de sécurité et de contrôle Interface ethernet externe http://www.cisco.com/warp/public/707/cacheauth.shtml - Insuffisance du - Pollution et altération données Cisco Cache Engine 2050, contrôle de source du cache Versions 1.0 à 1.7.6 - Erreur dans le - Accès aux informations de Cisco Cache Engine 500, mécanisme performance Versions 2.0.1 à 2.0.2 d'authentification - identifiant/mot de - Altération de la configuration passe vide valide du produit http://www.cisco.com/warp/public/770/fn9871.shtml Tenu en charge Déni de service nécessitant la réinitialisation du PIX PIX 515-* Diffusion Restreinte Démonstration Cisco recommande une mise à niveau systématique vers la version 2.0.3 pour les plate-formes supportant celle-ci (tous les chassis à l'exception du chassis CE-2050). Le problème est en cours d'investigation mais la mise à jour en version 4.4(4) ou 5.0(3) est recommandée. Problème de gestion des dates par le service Kerberos CSCdp60101 01/01 Elevé Service d'authentification Kerberos http://www.cisco.com/warp/public/770/fn10111.shtml Refus d'authentification Tout produit CISCO Calcul erroné des utilisant le service dates d'expiration Kerberos des credentials sur Janvier et Février Vulnérabilité JavaScrip IMG LOWSRC Georgi Guninski 02/01 Critique balise IMG LOWSRC="javascript :...." http://www.nat.bg/~joro Absence de filtrage Exécution du code lors du du code javascript traitement d'un message HTML dans la balise piégé Navigateurs IE5, IE4 et Communicator 4.x Désactiver JavaScript sur les navigateurs balise IMG DYNRC="javascript:.. .." http://www.nat.bg/~joro Absence de filtrage Exécution du code lors du du code javascript traitement d'un message HTML dans la balise piégé Navigateurs IE5, IE4 et Communicator 4.x Désactiver JavaScript sur les navigateurs Vulnérabilité JavaScript directive de style "@import url Georgi Guninski 06/01 Critique directive de style @importurl http://www.nat.bg/~joro Absence de filtrage Exécution du code lors du traitement d'un message HTML piégé Navigateurs IE accédant à hotmail Désactiver JavaScript sur les navigateurs Vulnérabilité JavaScript ‘jAvascript’ Georgi Guninski 11/01 Critique Caractères d'échappement dans les URL http://www.nat.bg/~joro Erreur de filtrage Exécution de codes JavaScript normalement filtrés, accès aux boites à lettre de l'utilisateur, usurpation d'identité. Tout navigateur ou client de messagerie accédant à la messagerie HotMail Désactiver l'éxécution JavaScript sur tous les navigateurs susceptibles d'accèder à HotMail Vulnérabilité JavaScript IMG DYNRC Georgi Guninski 03/01 Critique C2000.8/BVEL Janvier - 14/01/00 Un correctif serait disponible auprès du TAC, CISCO proposant une solution palliative consistant à utiliser (TACAC+ / RADIUS) pour les 2 mois à venir Page - 21 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 HP Diffusion Restreinte Démonstration Correctif disponible pour la vulnérabilité Wu-Ftp HPSBUX9912-106 09/12 Critique Service Wu-Ftp CERT CA-99.13 ftp://us-ffs.external.hp.com/~ftp/export/patches/hp-ux_patch_matrix Débordement de Acquisition des privilèges de HP-UX 11.00 buffer exploitable à 'root' distance Il est recommandé d'installer immédiatement le correctif PHNE_18377 Vulnérabilité sous VVOS TGP HPSBUX9912-107 14/12 ftp://us-ffs.external.hp.com/~ftp/export/patches/hp-ux_patch_matrix Régression induite Visibilité du réseau interne par - HP9000 Series 7/800 par le correctif le biais du proxy HPUX 10.24 (VVOS) PHSS_17692 - VirtualVault A.03.50 et correctif PHSS_17692 Appliquer immédiatement le correctif PHSS_20476 sur tout système Virtual Vault. Ce correctif annule et remplace le correctif PHSS_17692. Critique Vulnérabilité dans le service 'AServer' HPSBUX0001-108 31/12 Critique CIAC K-014 Proxy TGP Service '/opt/audio/bin/Aser ver' Gestion de la variable PATH et des liens symboliques Accès 'root' HP9000 Series 7/800 utilisant HP-UX 10.X et 11.X En attendant la disponibilité d’un correctif, les permissions du fichier '/opt/audio/bin/Aserver' doivent être positionnées à : 555 (r-xr-xr-x). HP9000 Series 7/800 utilisant HP-UX 10.X et 11.X Dans l'attente d'un correctif, HP recommande de modifier les permissions de ce fichier aprés que celui ait été créé au moyen de la commande 'asecure -C': chmod 444 /etc/opt/audio/audio.sec Permissions laxistes sur le fichier 'audio.sec' HPSBUX0001-109 06/01 Elevé Fichier '/etc/opt/audio/audi o.sec' http://europe-support2.external.hp.com Accès en écriture Déni de service, Accés aux autorisé à tous (666 programmes 'Audio' ou 'rw-rw-rw-') INFOSEEK Débordement de buffer dans le produit Infoseek Ultraseek http://software.infoseek.com/products/ultraseek/upgrade_nt.htm eEYE/UssrLabs Débordement de buffer sur la requête GET INTEL Vulnérabilités dans le produit InBusiness E-mail Station http://support.intel.com/support/inbusiness/emailstation/es104_70.htm RootShell Exécution de commandes sans authentification préalable LINUX Vulnérabilités dans le service 'lpd' RedHat RHSA2000:002-01 C2000.8/BVEL 15/12 02/01 07/01 Critique Critique Critique Interface WEB Service 'daynad' Exécution de code non sollicité sur le serveur hébergeant le service. Création de répertoires, Accès à un login interactif, Destruction de fichiers, Modification de la configuration. Version 2.1 à 3.1 fonctionnant sous NT Serveur Intel InBusiness E-mail Station Version <= 1.04 Appliquer immédiatement le correctif disponible. Appliquer le correctif proposé par INTEL. Par ailleurs, la mise en place d'un filtre sur le service TCP/244 est recommandée. http://www.redhat.com/support/errata/RHSA2000002-01.html Service d'impression 'lpd' 1- Méthode d'authentification faible 2- Utilisation non contrôlée de sendmail Acquisition des privilèges de 'root' Janvier - 14/01/00 Linux RedHat 4.x, 5.x, 6.x Linux Debian 2.1 Installer la nouvelle version du paquetage 'lpr' 0.48-1 Page - 22 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Correction de problèmes avec 'linuxconf' RHEA-1999:060-01 16/12 Elevé LINUX REDHAT LINUX SUSE MICROSOFT Correction de bugs http://www.redhat.com/support/errata/RHEA1999060-01.html Divers problèmes de Ce problème est lié aux avis de RedHat 6.0 et 6.1 configuration sondage de ports émis par le Plateformes UNIX CERT depuis quelques semaines utilisant 'vwdial' sur le port 98, port utilisé par 'linuxconf'. Vulnérabilités dans le programme 'userhelper' RHSA-2000:001-02 03/01 Critique Programme L0pht 'userhelper' http://www.redhat.com/support/errata/RHSA2000001-02.html Traitement incorrect Exécution de commandes sous RedHat Linux 6.1 et des chemins d'accès les privilèges 'root' version précédente aux fichiers Vulnérabilité dans l'utilitaire d'accès distant 'vwdial' SUSE #35 16/12 Elevé Fichier '/var/lib/wvdial/.con fig' http://www.suse.de/de/support/security/suse_security_announce_35.txt Lecture autorisée aux Exposition des login et mots de LINUX SUSE <= 6.3 membres du groupe passe 'dialout' Vulnérabilité dans le client de messagerie 'pine' SUSE #36 27/12 Elevé Logiciel 'pine' http://www.suse.de/de/support/security/suse_security_announce_36.txt Erreur de traitement Exécution d'une quelconque UNIX utilisant 'pine' des caractères commande sous les privilèges de version < 4.21 d'échappement dans l'utilisateur du client de les URL messagerie Vulnérabilité 'Syskey Keystream Reuse' MS99-056 - Q248183 16/12 Elevé Mise en défaut de la robustesse du chiffrement Susceptibilité aux attaques de type 'brute force' des mots de passe Windows NT 4.0 tous types http://www.microsoft.com/security/bulletins/MS99-057faq.asp MS99-057 - Q248185 Erreur de traitement des arguments de LsaLookupSids() Critique Sous-Système d'authentification Déni de service distant conduisant à devoir réinitialiser le système. Windows NT 4.0 tous types Déni de service SQL 7.0 'Malformed TDS Packet Header' http://www.microsoft.com/security/bulletins/MS99-059faq.asp MS99-059 - Q248749 Erreur dans le traitement de certains paquets TDS C2000.8/BVEL 20/12 Elevé Appliquer les correctifs proposés Appliquer immédiatement le correctif proposé. Appliquer le correctif proposé Installer la version 4.21 de pine http://www.microsoft.com/security/bulletins/MS99-056faq.asp Utilitaire 'Syskey' Vulnérabilité 'Malformed Security Identifier Request' 16/12 Diffusion Restreinte Démonstration Service SQL Déni de service conduisant à devoir réinitialiser le service Janvier - 14/01/00 Plateformes utilisant SQL Server 7.0 le correctif proposé intégrant aussi la correction d'un autre problème (MS99057) ! Appliquer le correctif proposé au titre de l'avis MS99-056 Ce déni de service peut être provoqué à distance lorsque l' accès au service MSSQL (TCP/1433 et UDP/1433) est autorisé. Page - 23 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Vulnérabilité 'Virtual Directory Naming' sous IIS MS99-058 - Q238606 21/12 Elevé Gestion des répertoires virtuels http://www.microsoft.com/security/bulletins/MS99-058faq.asp Traitement des noms Court-circuit des mécanismes - Internet Information de répertoires de protection d'accès aux Server 4. 0 virtuels comportant pages autorisant la visualisation - Site Server 3.0 une extension de nom des sources des pages '.asp' - Site Server Commerce de fichier Edition 3.0 Vulnérabilité 'Escape Character Parsing' sous IIS MS99-061 - Q246401 21/12 Elevé Traitement des caractères hexadécimaux http://www.microsoft.com/security/bulletins/MS99-061faq.asp IIS autorise Dysfonctionnement possible - Internet Information l'échappement de des applications activées via Server 4. 0 caractères non IIS - Site Server 3. 0 hexadécimaux - Site Server Commerce Edition 3. 0 Vulnérabilité 'HTML Mail Attachment' sur IE et Office MAC MS99-060 - Q249082 22/12 Critique - Traitement des pièces jointes - Certificats d'autorités http://www.microsoft.com/security/bulletins/MS99-060faq.asp - Les pièces jointes - Exécution de code non Internet Explorer 4.5 sont traitées sollicité par le biais Outlook Express 5.0 automatiquement d'attachements piégés - Certains certificats - Rejet des messages signés livrés avec IE 4.5 expirent le 31/12 Virus 'Win32.CRYPTO' Finjan http://www.finjan.com/attack_release_detail.cfm?attack_release_id=23 Infection masquée - Propagation initiale: Environnement Windows des exécutables Exécution de binaires 95, 98, NT et 2000 béta 32bits par infectés: Notepad.exe et interception des pbrush.exe appels systèmes - Exécution: Attachement à la librairie Kernel32.dll Modification de la registry Interception de tous les appels systèmes - Activation: Infection de 20 exécutables à chaque réinitialisation du système - Destruction: Aucune fonction de destruction spécifique 29/12 Critique Vulnérabilité 'Malformed IMAP Request' MS00-001 - Q246731 04/00 Critique C2000.8/BVEL Virus Service IMAP inclu dans MCIS http://www.microsoft.com/security/bulletins/00/MS00-001faq.asp Débordement de Exécution distante de code non Microsoft Commercial buffer sollicité Internet System 2.0 et 2.5 (MCIS) Janvier - 14/01/00 Diffusion Restreinte Démonstration Appliquer immédiatement les correctifs disponibles Appliquer immédiatement les correctifs disponibles Installer immédiatement le correctif disponible sur: http://www.microsoft.com/mac/downloa d Ce virus ne serait pas détecté par les systèmes anti-virus conventionnels. La technique employée conduirait à ne pas pouvoir éradiquer ce virus sans devoir réinstaller le système. Appliquer immédiatement le correctif disponible sur le site microsoft. Page - 24 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 Vulnérabilité 'Spoofed LPC Port Request' MS00-003 13/00 Critique Fonction système 'NtImpersonateClien tOfPort' http://www.microsoft.com/security/bulletins/MS00-003faq.asp Erreur de conception Acquisition locale des privilèges NT 4.0 Workstation d'un quelconque utilisateur NT 4.0 Server NT 4.0, Enterprise * NT 4.0 Terminal Server Diffusion Restreinte Démonstration Appliquer immédiatement le correctif disponible sur le site Microsoft MYSQL Vulnérabilité dans la base de donnée MySQL http://www.mysql.com/download.html Bugtraq Gestion du privilège GRANT RSAREF Reprise des alertes portant sur SSHD et RSAREF http://www.cert.org/advisories/CA-99-15-RSAREF2.html CERT CIAC Débordements de buffer SCO Problème fondamental de conception SSH Vulnérabilité dans certaines implémentations de SSH http://www.openbsd.org/errata.html#sshjumbo Bugtraq Erreur de codage SYMANTEC Débordement de buffer dans le proxy POP de NAV2000 http://service1.symantec.com/SUPPORT/nav.nsf/docid/1999122317000206&src=w w00w00 #11 Débordement de Buffer dans la commande 'USER' SUN Débordement de buffer dans le service 'sadmind' http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba CIAC CERT SUN Débordement de buffer exploitable à distance TREND Vulnérabilité dans InterScan VirusWall 3.0.1 Solaris http://www.antivirus.com/download/patches.htm Alcatel Gestion incorrecte du format base64 SCO 11/00 CA-99.15 K-011 SSE045 14/12 09/12 15/12 Critique Critique Critique Elevé Base de donnée MySQL Fonctions de gestion des clefs Modification distante des mots de passe des utilisateurs Liés à l'application utilisatrice de ce module et aux conditions d'appel aux fonctions. MySQL versions antérieures 3.22.11. Installer la dernière mise à jour (MySQL 3.22.30). Tout produit utilisant le module RSAREF2 dont SSH. RSA Data Sec. annonce l’arrêt du support de ce module. Le correctif validé par le CERT doit être appliqué sur les sources. UNIXWARE 7.x Ce correctif doit être IMMEDIATEMENT appliqué sur tous les systèmes UNIXWARE 7.x SSH-1.2.27 OpenSSH livré avec OpenBSD-2.6 Appliquer le correctif disponible sur le site OpenBSD pour la version OpenSSH livrée avec OpenBSD-2.6: ftp://ftp.sco.com/SSE/security_bulletins/SB-99.23a Sous-Système de gestion des privilèges Négociation de l'algorithme de chiffrement Implémentation des mécanismes de gestion Court-circuit des protections Transmission des flux en clair * K-013 CA-99.16 #191 C2000.8/BVEL 20/12 09/12 27/12 Critique Critique Critique Proxy POProxy Service d'administration distribuée 'sadmind' Service VirusWall Exécution de code non sollicité sur le système Acquisition des privilèges de 'root' Non détection de l'infection Janvier - 14/01/00 Plateforme Windows NT/85 et 98 utilisant le proxy POProxy Appliquer le correctif proposé par l’éditeur. - Solaris 2.5, 2.6 et 2.7 (installé par défaut) - Solaris 2.3 et 2.4 paquetage 'AdminSuite' Appliquer IMMEDIATEMENT le correctif disponible sur le site SUN. VirusWall 3.0.1 en environnement Solaris Installer de toute urgence le correctif isvwsol301a_u2.tar (3.46Mo) Page - 25 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 4.1.4. Diffusion Restreinte Démonstration Alertes Non Confirmées Les alertes présentées dans le tableau de synthèse suivant ont été publiées dans diverses listes d’information mais n’ont pas encore fait l’objet d’une confirmation de la part de l’éditeur ou du constructeur. Ces informations autorisent la mise en place d’un processus de suivi et d’observation. Fournisseur Titre ou Produit Référence URL Date Niveau Origine Problème Dommages Plateforme PALM PILOT VISOR Absence d'authentification lors de la synchronisation http://www.securityfocus.com/templates/archive.pike?list=1&date=2000-0101&[email protected] Bugtraq Absence d'authentification lors de l'établissement de la synchronisation CGI-BIN Vulnérabilité dans le script 'WebWho+' PerlX 26/12 Elevé 06/01 Critique Logiciel de synchronisation réseau 'WebWho' cgi-bin Vulnérabilité dans l'environnement PHP3 Bugtraq 04/01 Critique Scripting PHP3 Vulnérabilité dans le paquetage 'Home Free' Bugtraq FLBI 03/01 Critique Script 'search.cgi' Déni de service sur DNS-PRO v5.7 Ussr Labs C2000.8/BVEL 21/12 Elevé Usurpation d'identité, Acquisition des données stockées dans le PDA, ... http://hhp.perlx.com/ouradvisories/hhp-webwho.txt Filtrage des Exécution distante de caractères commandes sur le serveur d'échappement Correction VISOR: Network Aucune correction n'est annoncée. HotSync PALM : Palm Desktop Serveurs WEB utilisant ce script http://www.securityfocus.com/templates/archive.pike?list=1&date=2000-0101&[email protected] Erreur de traitement Exécution d'une quelconque Mis en évidence sur les des caractères commande sous les privilèges du versions 3.0.12 et 3.0.13 d'échappement service WEB http://www.securityfocus.com/templates/archive.pike?list=1&date=2000-0101&[email protected] Erreur de traitement Visualisation du contenu des Plateformes WEB NT des caractères répertoires utilisant le paquetage d'échappement 'Home Free' Remplacer le cgi-bin incriminé par l'une des versions sécurisées disponible sur : http://cgi.resourceindex.com/Programs _and_Scripts/Perl/Internet_Utilities/ Whois/ Aucun correctif 'officiel' n'est encore disponible sur le site http://www.php.net Aucun correctif n'est encore proposé par l'éditeur http://solutionscripts.com/vault/homef ree/index.shtml http://www.ussrback.com/ Service DNS Gestion de plus de 30 Déni de service conduisant à connexions devoir réinitialiser le système simultanées Janvier - 14/01/00 Plateforme NT utilisant Aucun correctif n'est disponible à ce DNS-PRO V5.7 jour Page - 26 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 FTPPRO HP Exposition potentielle d'informations sensibles http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1222&[email protected] Bugtraq Méthode de stockage des informations d'enregistrement 27/12 Elevé Mécanisme d'enregistrement de la licence Les données de licence sont Environnements Windows conservées sous une clef non utilisant le service FtpPro protégée de la registry 7.5 - Numéro de carte de crédit - Date d'expiration - Type de la carte Vulnérabilité dans Optivity NETarchitect sur HPUX http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1229&[email protected] 'LoneGuard' via BugTraq Accès 'root' 31/12 Critique Utilitaire '/opt/bna/bin/bna_p ass' Gestion de la variable PATH Diffusion Restreinte Démonstration Il est recommandé de modifier les permissions d'accès à la clef: \HKEY_LOCAL_MACHINE\SOFTWAR E\FTPPro98c HP9000 Series 7/800 utilisant HP-UX 10.X et 11.X Il est recommandé d'invalider temporairement l'utilitaire 'bna_pass': chmod 400 Plateforme NT utilisant le produit IMail 5.x Aucun correctif n'est annoncé à ce jour par l'éditeur. IPSWITCH Chiffrement réversible des mots de passe IMail http://www.w00w00.org/advisories.html w00w00 Fonction réversible NETSCAPE Chiffrement réversible des mots de passe sur Navigator RST 15/12 Critique Fonction de protection de mots de passe http://www.rstcorp.com/news/bad-crypto.html Algorithme de La société RST annonce avoir chiffrement déchiffré les mots de passe réversible stockés chiffrés par Navigator sans connaitre l'algorithme original. Aucune information fiable Aucune correction n'est annoncée à ce (potentiellement toute jour version de navigator en environnement Windows) Débordement de buffer sous Netscape 4.5 Babylon Advisories 26/12 Elevé Fichier des préférences utilisateur http://indigo.ie/~lmf/advisory1.htm Débordement de Exécution de code non sollicité buffer exploitable en local Environnement Windows utilisant Netscape 4.5 Multiples vulnérabilités sous Lotus Domino http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1215&[email protected] NOTES HSC C2000.8/BVEL 21/12 21/12 Critique Elevé Chiffrement de mot de passe Service WEB exploité en mode classique: pages statiques et cgi-bin activés 1 – Visibilité de l'arborescence 2- Invalidation des accès anonymes inopérante 3- Débordement de buffer sur la requête GET Accès aux comptes mail des utilisateurs 1 - Acquisition d'information sur l'environnement 2- Accès libre aux cgi-bin 3- Déni de service conduisant à devoir réinitialiser le système NT Janvier - 14/01/00 Mis en évidence sur les versions NT 4.6.x et 5 Aucun correctif n'est disponible Problème 3: le correctif sur: http://www.support.lotus.com/sims2.nsf /0/6ecb87e6e6820b008525659f0080d 40c?OpenDocument peut être employé bien qu'initialement concu pour corriger un autre problème. Page - 27 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 NOVELL MAJORDOM O Vulnérabilités dans le serveur WEB GroupWise http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1215&msg=A39CA57849A9D1118A9C0060081695B00613D509@MULTI005 Bugtraq Absence de contrôle sur le paramètre 'HELP' MINISQL Elevé Cgi-Bin 'GWWEB.EXE' Vulnérabilité dans la commande 'resend' Bugtraq MICROSOFT 19/12 28/12 Critique Vulnérabilité 'NavigateAndFind' G.Guninski 22/12 Critique - Exposition de localisation physique de la racine WEB - Accès à toutes les pages html Problème mis en évidence sur les versions 5.2 et 5.5 Diffusion Restreinte Démonstration Aucune correction n'est annoncée à ce jour http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1222&[email protected] Commande 'resend' Méthode External.NavigateAn dFind() Erreur de traitement des caractères d'échappement Exécution d'une quelconque commande sous les privilèges 'root' http://www.nat.bg/~joro Absence de contrôle Lecture d'informations sur le type d'URL localisées (pages, fichiers passé en paramètre textes, cookies) sur le poste par un serveur distant au moyen d'une page WEB piégée ou d'un mail au format HTML Toute plateforme UNIX utilisant majordomo Aucune correction n'est proposée à ce jour. Plateforme utilisant Internet Explorer 5.01 Aucun correctif n'est disponible à ce jour. Invalider l' activation d'Active Scripting dans le navigateur en attendant un correctif. Problème potentiel de configuration de certains Anti-Virus Securiteam 26/12 Critique Fonction 'poubelle' / 'recycle bin' http://www.securiteam.com/windowsntfocus/Viruses_can_bypass_Virus_checking_under_Windows_95_98_NT.html Configuration par Non détection de l'infection 95, 98 et NT utilisant MacAfee: enlever le répertoire défaut erronée Norton Anti-Virus ou '\RECYCLED' de la liste d'exclusion. MacAfee VirusScan Norton: aucune solution à ce jour. Vulnérabilité 'CrossFrame' sous IE5 George Guninski 07/00 Critique http://www.nat.bg/~joro Erreur de conception Accès distant via une page piégée aux informations situées sur le poste utilisant le navigateur Fonction 'setTimeOut' et balise <IMG SRC="javascript:..."> IE 5.01 sous 95 IE 5.5 sous NT 4.0 Débordement de buffer exploitable à distance http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1222&[email protected] Bugtraq Débordement de buffer C2000.8/BVEL 27/12 Critique Interface Cgi-Bin 'w3-msql' Exécution de code non sollicité sous les privilèges du serveur http Janvier - 14/01/00 UNIX utilisant miniSQL versions 2.0.4.1 à 2.0.1.1 Désactiver Active Scripting en attendant un correctif L'auteur de l'alerte propose une solution paliative nécessitant la recompilation du paquetage miniSQL. Page - 28 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 SUN Accès au mot de passe administrateur sur 'WBEM 1.0' Bugtraq 06/12 Critique Mot de passe administrateur Vulnérabilités dans le service Solaris 2.7 'dmispd' SecurityFocus 22/12 Critique Service d'administration distribuée DMI Débordement de buffer dans l'utilitaire 'chkperm' http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1215&[email protected] - Accès libre à la - Déni de service distant par Mis en évidence sur base d'information saturation du volume Solaris 2.7 SPARC/x86 - Débordement de contenant la base DMI buffer du service - Déni de service distant par 'dmispd' arrêt du service 'dmispd' Sun annonce que ce problème est corrigé dans la prochaine version disponible dans les prochaines semaines. Aucun correctif n'est annoncé par SUN. http://www.securityfocus.com/templates/archive.pike?list=1&date=2000-0101&[email protected] Débordement de Acquisition des privilèges ‘bin’ Annoncé sur Solaris 2.X buffer dans le traitement de l'option '-n' Aucune correction n'est annoncée par SUN. Vulnérabilité dans IBM Network Station Manager Bugtraq 27/12 Critique Produit Network Station Manager http://www.securityfocus.com/templates/archive.pike?list=1 Gestion des liens Accès distant 'root' par Testé sur Unixware 7.1 symboliques altération du contenu du fichier '/.rhost' Aucune correction n'est annoncée à ce jour. Vulnérabilité dans l'utilitaire 'pis' Bugtraq 27/12 Elevé http://www.securityfocus.com/templates/archive.pike?list=1 Gestion des liens Création de fichiers sous les Testé sur Unixware 7.1 symboliques privilèges du groupe 'sys' Aucune correction n'est annoncée à ce jour http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1229&[email protected] Débordement de Acquisition des privilèges du Testé sur UnixWare 7.1 buffer groupe 'sys' Aucun correctif n'est actuellement proposé par SCO. Bugtraq SCO http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-121&[email protected] Stockage en clair du Accés privilégié à WBEM Plateformes Solaris mot de passe par utilisant le produit WBEM défaut 1.0 Diffusion Restreinte Démonstration 06/01 Elevé Utilitaire 'chkperm' Utilitaire 'usr/local/bin/pis' Débordement de buffer dans l'utilitaire 'rptm' Brock Tellier BugTraq C2000.8/BVEL via 30/12 Critique Utilitaire 'rptm' Janvier - 14/01/00 Page - 29 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 4.1.5. Diffusion Restreinte Démonstration Bulletins d’Information Le tableau suivant récapitule les bulletins d’information publiés par les organismes officiels de surveillance. Thème Titre Référence CERT URL Date Objet Synthèse mensuelle CERT CS-99.05 22/12 Synthèse Note d’information CERT IN-99.08 09/12 Attaques WEB Contenu http://www.cert.org/summaries/CS-99-05.html Le CERT a publié sa synthèse mensuelle (CS-99.05) récapitulant les différentes informations publiées et activités constatées. Deux pages méritent d'être régulièrement lues car concernant les activités illicites liées à l'an 2000. A ce propos, les résultats d'analyse proposés sur la page 'activités' (http://www.cert.org/y2k-info/y2k-status.html) ne font apparaitre aucune activité dont il puisse être prouvé qu'elle soit liée à l'AN 2000. http://www.cert.org/incident_notes/IN-99-08.html Le CERT US annonce par la Note IN-99.08 émise le 10/12/99 que de nouvelles attaques de serveurs WEB utilisant IIS ont été détectées. Ces attaques exploitent la vulnérabilité 'MDAC' décrite dans les alertes Microsoft MS98-004 et MS99-025. Reprise d'alertes concernant les outils de déni de service CA-1999.17 29/12 Outils d’attaques http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html Le CERT US a transmis une alerte concernant la diffusion et l'utilisation d'outils de déni de service. L'alerte CA-99.17 reprend 2 informations par ailleurs diffusés (notamment par la SANS Institute) concernant: - la version 2000 de TFN - l'utilisation de MacIntosh en tant que sources de déni de service Information sur les outils de déni de service CA-2000.01 04/01 Outils d’attaques SUN #193 http://www.cert.org/advisories/CA-2000-01.html Reprise par le CERT et FedCIRC de diverses informations concernant les outils de déni de service dont 'Stacheldraht' sous la référence CA-2000.01. Attention, la référence d'alerte annoncée en page de garde est erronée (CA-2000.01 et non CA2000.02). CISCO Disponibilité de nouvelles signatures pour NetSonar http://www.cisco.com/kobayashi/sw-center/internet/scanner-updates.shtml Cisco Une mise à jour du produit Cisco Secure Scanner NT (ex. NetSonar) est disponible qui contient divers correctifs et de 5 nouvelles signatures de test. ISS Disponibilité d'une mise à jour X-Press http://www.iss.net/ Iss ISS annonce la disponibilité d'une mise à X-Press contenant de nouveaux tests pour les produits Internet Scanner 6.0 et System Scanner 4.0. Il est à noter que les tests utiliseront désormais la codification CVE en cours de finalisation. Cette codification devrait permettre d'unifier le nommage des vulnérabilités entre éditeurs de produits d'audit. A ce jour, System Scanner dispose d'une base 537 tests spécifiques à NT et de 425 tests dédiés aux systèmes UNIX; Internet Scanner disposant lui d'une base de 682 tests. C2000.8/BVEL 22/12 22/12 Cisco Secure Scanner NT IS 6.0 SS 4.0 Janvier - 14/01/00 Page - 30 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique Sécurité N°18 OUTILS SCO TIS/NAI Diffusion Restreinte Démonstration Outil de détection 'TFN/Trinoo/TFN2K' NIPC 31/12 find_ddos http://www.fbi.gov/nipc/trinoo.htm Le NIPC (National Infrastructure Protection Center), entité rattachée au FBI, a diffusé 'find_ddos', un outils de détection des outils d'attaques Trin00, TFN et TFN2K. Analyse de 'stacheldraht' EDU 31/12 http://staff.washington.edu/dittrich/misc/stacheldraht.analysis David Dittrich, auteur des analyses des outils 'TFN' et 'Trin00' a publié une remarquable analyse de 'stacheldraht', un nouvel outil de déni de service combinaison astucieuse de TFN et de Trin00. La lecture de cette analyse est vivement conseillée. stacheldraht Disponibilité de correctifs pour UNIXWARE 22/12 UNIXWARE 7.x.x SCO SSE043 SCO SSE044 SCO SSE045 SCO SSE047 SCO SSE048 SCO SSE049 SCO SSE050 SCO SSE051 SCO SSE052 SCO SSE053 ftp://ftp.sco.com/SSE/security_bulletins Les correctifs suivants sont disponibles sur le site SCO : ftp://ftp.sco.com/SSE/security_bulletins/SB-99.23a - Vulnérabilité dans la création des fichiers 'core' - Permissions laxistes sur le répertoire courrier '/var/mail' - Vulnérabilité de fond exploitable via les commandes pkg* ftp://ftp.sco.com/SSE/security_bulletins/SB-99.24a - Débordement de buffer dans /usr/X/bin/xauto ftp://ftp.sco.com/SSE/security_bulletins/SB-99.25a - Problèmes de sécurité dans les clients messagerie ftp://ftp.sco.com/SSE/security_bulletins/SB-99.27a - Débordement de buffer dans /usr/sbin/in.i20dialogd ftp://ftp.sco.com/SSE/security_bulletins/SB-99.28a - Commandes pkg* Disponibilité de correctifs pour OpenServer SCO SSE050 23/12 OpenServer 5.05 ftp://ftp.sco.com/SSE/security_bulletins/SB-99.26a Le correctif suivant est disponible sur le site SCO : - Débordements de buffer et erreurs dans plus de 25 binaires Nouveaux correctifs pour les Gauntlets 4.2, 5.0 et 5.5 http://www.tis.com/ TIS Gauntlet Trois correctifs sont disponibles pour les Gauntlets 4.2, 5.0 et 5.5 : 1- Gauntlet 4.2: Correction d'un problème lié au gestionnaire TCP/IP ftp://ftp.tis.com/gauntlet/patches/4.2/kernel.SOLARIS.patch 2 – Gauntlet 5.0: Corrections de divers problèmes sur le proxy http, ftp et l'affichage ftp://ftp.tis.com/gauntlet/patches/5.0/cluster.BSDI.patch ftp://ftp.tis.com/gauntlet/patches/5.0/cluster.HPUX.patch ftp://ftp.tis.com/gauntlet/patches/5.0/cluster.SOLARIS.patch 3 – Gauntlet 5.5: Corrections de divers problèmes sur le proxy http, ftp et l'affichage ftp://ftp.tis.com/gauntlet/patches/5.5/cluster.SOLARIS.patch ftp://ftp.tis.com/gauntlet/patches/5.5/cluster.HPUX.patch C2000.8/BVEL 20/12 Gauntlet 4.2 Gauntlet 5.0 Gauntlet 5.5 Janvier - 14/01/00 Page - 31 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique N°18 Sécurité Diffusion Restreinte Démonstration A ATTTTAAQ QU UE ES S 4.2. Outils 4.2.1. C N E M R A P M C NTTT EN ME RTTTM AR PA MP COOOM • Objet ‘Compartment’ est un utilitaire fonctionnant sous LINUX d’une étonnante simplicité – 350 lignes de langage C commentaires inclus – mais susceptible de rendre de grands services. • Description Le système UNIX dispose d’une fonction remarquable mais peu usitée, ‘chroot()’, permettant de créer une racine virtuelle dans un quelconque répertoire. Dès lors, toute référence à la racine du système de fichier sera immédiatement interprétée comme relative au répertoire passé en paramètre de la fonction. Cette fonction permet ainsi de créer un environnement virtuel duquel il ne sera pas possible d’échapper L’utilitaire ‘Compartment’ permet de tirer parti de cette fonction sans avoir à écrire une seule ligne de code sous réserve toutefois qu’une arborescence système minimale (répertoires /etc, /lib, … ) ait été installée dans le répertoire racine de cet environnement virtuel. Un quelconque programme peut ainsi être exécuté avec les privilèges adéquats en restreignant non seulement la visibilité du système de fichier – fonction chroot() – mais aussi les privilèges accordés au processus – Process Capabilities de LINUX. La syntaxe d’appel de cet utilitaire est la suivante : Syntax: compartment [options] /full/path/to/program Options: --chroot path chroot to path --user user change uid to this user --group group change gid to this group --init program execute this program/script before doing anything --cap capset set capset name. You can specify several capsets. --verbose be verbose --quiet do no logging (to syslog) Notons cependant que l’exploitation de cet utilitaire requiert une excellente connaissance des différents privilèges pouvant être assignés à un processus sous LINUX. Les privilèges gérés par ‘Compartment’ sont les suivants : CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID, CAP_FS_MASK, CAP_KILL, CAP_SETGID, CAP_SETUID, CAP_SETPCAP, CAP_LINUX_IMMUTABLE, CAP_NET_BIND_SERVICE, CAP_NET_BROADCAST, CAP_NET_ADMIN, CAP_NET_RAW, CAP_IPC_LOCK, CAP_IPC_OWNER, CAP_SYS_MODULE, CAP_SYS_RAWIO, CAP_SYS_CHROOT, CAP_SYS_PTRACE, CAP_SYS_PACCT, CAP_SYS_ADMIN, CAP_SYS_BOOT, CAP_SYS_NICE, CAP_SYS_RESOURCE, CAP_SYS_TIME, CAP_SYS_TTY_CONFIG. • Complément d’information Compartment http://www.suse.de/~marc/SuSEcompartment-0.6.tar.gz P M P C MC PAAALLLM CRRRAAACCCKKK111...111 • Objet Un outil de recherche de mot de passe par attaque en force et sur dictionnaire est désormais disponible en environnement PalmPilot. • Description Issu d’un groupe de développeurs indépendants et annoncé comme un outil de test, PalmCrack a pour objectif de qualifier le niveau de robustesse de mots de passe utilisés en environnement UNIX et NT mais aussi de certains équipements C2000.8/BVEL Janvier - 14/01/00 Page - 32 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique N°18 Sécurité Diffusion Restreinte Démonstration CISCO. PalmCrack offre l’avantage de combiner en un seul outil les fonctions couramment offertes par des outils spécialisés par environnement dont les plus célèbres : ‘L0phtCrack sous NT‘ et ‘Crack sous UNIX’. Bien que les performances ne puissent atteindre celles offertes par une plate-forme plus ‘conventionnelle’, cet outil a le mérite de démontrer qu’un équipement simple et discret tel qu’un PDA peut être utilisé pour rapidement découvrir des mots de passe triviaux. PalmCrack fonctionne sur PalmOS 2 et 3 sous réserve de disposer de 31Ko à 1Mo de mémoire selon la taille du dictionnaire employé. • Complément d’information Outil PalmCrack V1.1 http://www.noncon.org/noncon/pc-1.1-dist.zip Attaques 4.2.2. A A D S ANNNTTTIIIIIID DS S • Objet Un article portant sur les techniques permettant de leurrer les outils de détection d’intrusion (IDS) a été publié sur l’Internet. • Description L’article intitulé ‘A look at whisker's anti-IDS tactics‘ est publié sur WireTrip, un site Web spécialisé dans la publication de vulnérabilités. A travers l’analyse de l’outil ‘Whisker’ (se référer à notre rapport N°15 du mois d’Octobre 1999), l’auteur s’attache à démontrer les faiblesses des stratégies d’analyse actuellement employées par les outils commerciaux. Whisker, outil de sondage dédié aux serveurs WEB, utilise diverses techniques permettant de passer à travers les règles de corrélation des outils d’IDS tout en maintenant une structure syntaxique correcte et interprétable par un quelconque serveur WEB. L’idée sous-jacente n’est pas nouvelle, celle-ci étant apparue initialement dans le monde des virus avec les codes dits ‘polymorphiques’. Le principe utilisé est d’une simplicité étonnante : les structures syntaxiques utilisées par la plupart des langages informatiques sont redondantes, partiellement commutatives et/ou associatives. Il est dès lors possible d’exprimer de plusieurs façons une requête ou un code assembleur correct sur le plan syntaxique et produisant le même résultat. Lorsque la requête ou le code assembleur est complexe, la combinatoire des syntaxes autorisées devient suffisamment importante pour générer un travail de vérification fortement consommateur de ressources. La faiblesse de la plupart des outils d’IDS (mais aussi des anti-virus) réside dans le compromis [coût en performance / fiabilité] ou [taux de vrai rejetés / taux de faux acceptés] soit : détecter rapidement 80% des atteintes sans consommer trop de ressources. Contrairement aux anti-virus récents qui intègrent un moteur d’analyse non déterministe, les outils d’IDS actuels restent pour la plupart basés sur un analyse de correspondance (pattern matching). Quelques exemples de requêtes utilisées par Whisker sont proposés ci-après pour aider à la compréhension : - Méthode d’accès : Requête ‘normale’ : GET /cgi-bin/some.cgi Requête ‘alternative’ : HEAD /cgi-bin/some.cgi - Encodage d’une URL : Encodage classique : cgi-bin Encodage échappé : %63%67%69%2d%62%69%6e - Casse des caractères Requête ‘normale’ : GET /cgi-bin/some.cgi Requête ‘alternative’ : HeAd /CgI-BIN/SoMe.Cgi - Saucissonage TCP de la requête : Requête ‘normale’ : GET /cgi-bin/some.cgi Requête ‘alternative’ : GET /cgi-bin/some.cgi (Le caractère ‘’ représente une fin de paquet TCP) L’auteur de l’article reconnaît cependant que les stratégies employées par les outils d’IDS récents évoluent presque aussi rapidement que les stratégies de masquages utilisées par les attaquants. Cet article reflète l’éternel dilemme de la sécurité : prendre de vitesse l’attaquant en développant les contre-mesures avant même que les attaques ne soient développées. • Complément d’information C2000.8/BVEL Janvier - 14/01/00 Page - 33 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique N°18 Sécurité Article Diffusion Restreinte Démonstration http://www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html L L S K L M K M LK SL KM LK M EEETTTS KM M • Objet La disponibilité d’un rootkit Solaris installable sous la forme d'un module chargeable dynamiquement a été annoncé fin décembre. • Description Ce rootkit, dénommé SLKM - ou Solaris Loadable Kernel Module, offre de nombreuses fonctions permettant à un pirate d'interagir de manière masquée avec le système : - Dissimulation de fichiers - Dissimulation du contenu des fichiers et répertoire - Dissimulation du flag 'promiscuous' sur les adaptateurs réseaux - Transposition du flag magic en flag SUID - Interception de commandes - ... Un tel outil est particulièrement dangereux car agissant en interceptant les appels systèmes au niveau du noyau. Le pirate peut alors totalement masquer son activité et poser des portes dérobées difficilement identifiables. Cette technique est usitée depuis quelques années, en particulier dans le domaine des virus et dans le monde LINUX. L'installation d'un rootkit nécessite de disposer préalablement d'un accès privilégié au système afin de modifier les tables de configuration (dont /etc/system). La technique couramment employée consiste à transmettre ce rootkit par le biais d'un accès ouvert par exploitation d'un débordement de buffer. La fonctionnalité à l’origine du problème – le chargement dynamique de librairies - est inhérente à l'architecture des systèmes UNIX (et NT) modernes. Aucun correctif ne peut être proposé. La seule solution efficace consiste à mettre en place un outil de vérification de l'intégrité des configurations systèmes, tel que 'tripwire'. Il est instamment recommandé de vérifier la configuration de tous les serveurs Solaris susceptibles d'être accédés par l'Internet, que ceux-ci soient protégés ou non par un dispositif de filtrage. L'installation de tels outils est généralement une étape préliminaire à une attaque de masse. La présence d'un 'oeuf de coucou' sur un système doit conduire à considérer que non seulement celui est totalement compromis mais que les éléments nécessaires à un plan de reprise (sauvegardes) le sont aussi. La lecture de cet article est fortement conseillée. • Complément d’information Article http://www.infowar.co.uk/thc S N S S G O L D E N ON IO SUUUBBBS SEEEVVVEEENNN222...111 G GO OL LD DE EDDDIITITTIIO L’utilisation de cet outil peut induire de nombreux dysfonctionnements des postes cibles. En aucun cas, cet outil ne peut être considéré comme un substitut aux produits commerciaux de prise de contrôle à distance, aucune garantie ne pouvant être apportée quant à la qualité et l’innocuité du code. • Objet Une nouvelle version du Cheval de Troie SubSeven (Sub7) est diffusée sur l’Internet. En se référant aux informations diffusées par le GIAC (SANS Institute) SubSeven semble être le Cheval de Troie le plus diffusé à ce jour mais aussi le plus difficile à éradiquer de part la technique d'installation employée. • Description Dénommé 'SubSeven 2.1 GOLD', cette version diffère de la précédente par l'ajout d'un mécanisme de chiffrement des communications plus performant et la correction de boggues. SubSeven2.1 GOLD est distribué sous la forme d’une archive compressée (sub72_1gold.zip) contenant trois programmes complémentaires et une librairie dynamique: - EditServer.exe : le programme de paramètrage du comportement du cheval de Troie. - Server.exe : le serveur destiné à être installé sur le poste cible - SubSeven.exe : le programme de contrôle du cheval de Troie - IcqMapi.dll : une librairie permettant l’interfacage de SubSeven avec un serveur ICQ. SubSeven est actuellement l’outil de prise de contrôle à distance (ou RAT Remote Access Tools) offrant la plus grande C2000.8/BVEL Janvier - 14/01/00 Page - 34 © APOGEE Communications - Tous droits réservés Rapport de Veille Technologique N°18 Sécurité Diffusion Restreinte Démonstration palette de fonctions : - Pilotage de la quasi-totalité des fonctions graphiques, multimédia et système du poste cible (plus de 110 fonctions) - Fonctions réseaux : scanning d’adresses IP, transfert de données, … - Fonctions d’attaque spécifiques : vol de mot de passe, de pages HTML, de clefs de licences, .. - Intégration d’espions applicatifs : AOL, Yahoo, Messenger, -… L’interface de configuration, dont une copie d’écran est proposée, permet de configurer le serveur qui sera installé sur le poste cible. Il est à noter que le numéro de port utilisé pour les communications (TCP/27374) peut être rendu totalement aléatoire complexifiant notablement la détection du serveur. Une fonction de notification est intégrée permettant d’avertir l’attaquant de l’activation du serveur, soit par envoi d’un mail, soit par activation d’une connexion IRC. Outre l’interface graphique dont le design est remarquable, SubSeven offre une incroyable palette d’options et n’a rien à envier aux outils commerciaux. L’interface de contrôle autorise une prise en main immédiate du produit. Sa remarquable ergonomie alliée au design graphique peut expliquer le succès de cet outil d’attaque. Seul défaut annoncé dernièrement dans une liste de diffusion d’alerte, un débordement de buffer présent dans la version 2.1a de SubSeven pourrait être exploité pour provoquer l’arrêt du serveur installé sur le poste cible, et ainsi interdire l’accès distant au poste ! Un effet de bord intéressant …. • Complément d’information SubSeven C2000.8/BVEL http://subseven.slak.org/main.html Janvier - 14/01/00 Page - 35 © APOGEE Communications - Tous droits réservés