Bilan Cert-IST 2008 des failles et attaques

1) Introduction
Comme chaque anne, le Cert-IST fait un bilan de l'anne coule. L'objectif est de retracer les vnements marquants de 2008 de faon mettre en vidence les tendances sur l'volution des attaques et des menaces. Ce bilan prsente une synthse des informations fournies aux adhrents du Cert-IST au fil des mois via les bulletins du Cert-IST, que nous revisitons cette occasion.

Quelques chiffres
En 2008 le Cert-IST a publi 563 nouveaux avis de scurit et a suivi leur volution au travers de 1330 mises jour (dont 82 mises jour majeures). La production brute d'avis est donc lgrement en retrait par rapport l'anne 2007 (595 avis) tout en tant suprieure aux annes prcdentes (546 avis en 2006, 485 en 2005, etc.). Sur ces 563 vulnrabilits, 13 ont volu vers des situations fort risque et ont fait l'objet d'un suivi spcifique au travers du "Hub de gestion de Crise" du Cert-IST. Au final, le Cert-IST a mis 2 alertes pour des situations de risque maximum ncessitant un traitement immdiat au sein de notre communaut : L'alerte CERT-IST/AL-2008.001 en juillet pour la vulnrabilit DNS L'alerte CERT-IST/AL-2008.002 en novembre pour le ver Conficker (Downadup) Globalement, le Cert-IST suivi actuellement les vulnrabilits concernant 739 produits et 6194 versions de produits (chiffres ajuster).

Les principaux faits marquants

Rappelons tout d'abord les tendances les plus marquantes de cette anne 2008 : Attaques du poste de travail par des sites web compromis. Le dbut de l'anne a clairement montr une recrudescence des attaques visant l'internaute. Plus que le navigateur web ou le systme d'exploitation, ce sont avant tout des vulnrabilits dcouvertes dans des logiciels tiers (QuickTime, Acrobat Reader, Real Media, Flash) qui sont utiliss pour compromettre le poste de l'utilisateur lors de sa navigation sur Internet. De plus l'internaute se fait le plus souvent attaquer lorsqu'il visite des sites web anodins qui ont t eux-mmes compromis et qui propagent sans le savoir ces attaques. Compromissions massives et organises. Le deuxime vnement fort de cette anne 2008 sur le front des attaques est l'utilisation systmatique de vulnrabilits de faon massive et organise : l'attaquant utilise ici la mme vulnrabilit dans un dploiement rapide et sur une grande chelle, ce qui provoque des vagues d'attaques. Ainsi, au cours des 2 premiers trimestres des vagues d'attaques par "Injection SQL " ont permis des attaquants de dposer des codes malicieux silencieusement en quelques heures sur des milliers de sites web, permettant ensuite d'infecter les ordinateurs de victimes visitant ces sites. La faille DNS : un cas historique. Il s'agit d'une faille hors norme par sa gravit (elle permet un pirate de dtourner vers lui tout le trafic rseau destin un serveur donn), par son ampleur (la grande majorit des installations DNS taient vulnrables) et par son mode de divulgation (la vulnrabilit a t garde secrte plusieurs mois puis divulgue partiellement pour laisser le temps aux organismes de dployer les correctifs, ce qui a gnr un emballement mdiatique). Il s'agit sans aucun doute de LA faille de l'anne 2008. Conficker (Downadup) : le retour du ver. La fin de l'anne 2008 (et le dbut de 2009) a t marqu par le ver Conficker aussi connu sous le nom de "Downadup". Ce ver utilise une

www.cert-ist.com

Page : 1/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

vulnrabilit dcouverte fin octobre dans le service "serveur" de Windows et a connu une propagation large et rapide, ce qui peut rappeler les crises virales vues en 2004 (Sasser). En plus de ces vnements incontournables qui ont constitu l'actualit des attaques 2008, plusieurs autres faits ont ponctu cette mme anne : Des failles proccupantes, mais l'impact encore limit. La faiblesse des cls OpenSSL des systmes Debian et de leurs drivs, la vulnrabilit TCP DOS ou encore les collisions MD5 dans les certificats X509 sont trois exemples de failles proccupantes rvles en 2008. Elles touchent toutes des lments fondamentaux pour la scurit sur Internet. Lorsqu'une vulnrabilit de ce type est dcouverte les consquences potentielles sont graves. Il est intressant de noter ici que 2008 a t particulirement riche en termes de publications, et sur des sujets trs divers (voir aussi les articles publis en 2008 par le Cert-IST sur des sujets comme "Cold boot attack", ou "Ghost in the Browser"). Les cybercriminels sont de plus en plus actifs (voir par exemple notre article " Le march lucratif des faux antivirus") mais la raction des autorits devient aussi plus dtermine (voir par exemple notre article " La lutte contre les ISP complaisants s'intensifie").

2) L'actualit des attaques et des vulnrabilits au fil des mois

Ce chapitre prsente les attaques et les vulnrabilits les plus marquantes qui se sont produites mois par mois en 2008.

2.1) Attaques du poste de travail via des sites web compromis Janvier/Fvrier/Mars 2008
L'attaque des postes de travail des internautes au travers de leur navigateur web a t une des proccupations majeures de 2008. En effet, s'il n'est pas nouveau qu'un utilisateur puisse tre infect lorsqu'il visite un site web malicieux, il est par contre proccupant de voir le nombre de sites apparemment inoffensifs qui propagent dsormais leur insu ces attaques, la sophistication de ces attaques, et la vitesse avec laquelle les nouvelles vulnrabilits sont intgres aux panoplies de l'attaquant. Ces attaques utilisent le plus souvent des sites web qui ont t compromis. La nature de la menace a donc volu. Certaines attaques de serveurs web sont dsormais ralises, non pas pour ce que ces serveurs sont ou ce qu'ils contiennent, mais pour en faire des vecteurs de rebond pour atteindre les postes de travail. Le danger n'est plus que l'internaute aille sur des sites inconnus : - Un site de confiance peut tre infectant s'il a lui-mme t infect (extension du primtre risque ). - Les sites dont nous avons la responsabilit peuvent tre eux mme infectants (implication de notre responsabilit dans des attaques visant des tiers). Ces attaques du poste de travail visent dsormais de plus en plus les logiciels tiers qui quipent le poste de l'internaute (typiquement les logiciels d'extension ou les plugins complmentaires couramment installs comme : QuickTime, Acrobat Reader ou Real Media) plutt que le systme d'exploitation lui-mme, voire le navigateur web. Cette volution constitue aussi un nouveau dfi pour le maintien jour du parc informatique car si les mcanismes de mise jour du systme d'exploitation ont fait des progrs significatifs ces dernires annes, la mise jour des logiciels tiers reste aujourd'hui souvent difficile. Comme nous l'expliquions de faon dtaille en janvier dans le Hub de Crise ouvert sur ce sujet, il y a aujourd'hui plus que jamais un grand risque naviguer sur le web en utilisant un ordinateur qui n'est pas totalement jour en termes de correctifs de scurit.

www.cert-ist.com

Page : 2/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

Au cours du premier trimestre le Cert-IST a mis 5 "Dangers Potentiels" (DG), messages de pr-alertes qui avertissent nos membres d'attaques qui pourraient les toucher prochainement. Ces DG traduisent bien le phnomne dattaque des postes, via la navigation sur des sites rputes de confiance qui nous mentionnions ci-dessus en, synthse : Les DG CERT-IST/DG-2008.001 CERT-IST/DG-2008.002 et CERT-IST/DG-2008.004 informent notre communaut de vulnrabilits dans les logiciels RealPlayer, QuickTime et PDF. Il s'agit donc typiquement du phnomne d'attaque des postes de travail via les outils tiers. Les DG CERT-IST/DG-2008.003 et CERT-IST/DG-2008.005 alertent sur le phnomne parallle au premier : l'infection massive de sites web. Sur chacun des sites infects le pirate dpose un code d'attaque qui utilise les nouvelles vulnrabilits visant les postes de travail. En infectant de multiples sites le pirate augmente la probabilit qu'un utilisateur visite un site pig et se fasse infecter.

Revue de dtail des attaques

Note : Le texte ci-dessous a t mis en italique pour indiquer qu'en lecture rapide le lecteur pourra sauter cette section. Les attaques du mois de Janvier Le Cert-IST a mis au cours du mois de janvier 3 "Dangers Potentiels" : CERT-IST/DG-2008.001 (07/01/2008) : Activits malveillantes autour de vulnrabilits de RealPlayer CERT-IST/DG-2008.002 (11/01/2008) : Nouvelle vulnrabilit RTSP critique dans QuickTime d'Apple CERT-IST/DG-2008.003 (17/01/2008) : Infections massives de sites web Les deux premiers concernent des vulnrabilits dans des lecteurs multimdia ("RealPlayer" pour la premire et "QuickTime" pour la seconde) et sont assez semblables d'un point de vue externe, car ces vulnrabilits : sont activables au travers du navigateur web. sont dues des dbordements de pile dans des applications qui n'utilisent pas le mcanisme de protection contre les dbordements de pile (DEP) de Microsoft Windows (mcanisme dont bnficie dsormais la plupart des applications de Windows XP-SP2, Windows 2003-SP1 et Windows Vista). Pour ce type de vulnrabilits, l'volution de la menace est classique : Dcouverte de la vulnrabilit (ou publication d'un programme de dmonstration montrant son existence et son exploitabilit), Puis apparition d'un (ou plusieurs) programmes d'attaques utilisant cette vulnrabilit. A ce stade, le Cert-IST met un "Danger Potentiel" pour avertir sa communaut que des attaques sont dsormais possibles. Chacune de ces menaces est suivie dans un "Hub de Crise" ddi : Hub de crise sur la menace "RealPlayer 01/08" Hub de crise sur la menace "QuickTime RTSP" Le troisime "Danger Potentiel" (CERT-IST/DG-2008.003) concerne le fait qu'en janvier deux vagues de compromissions massives de sites web ont t observes.

www.cert-ist.com

Page : 3/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

Les attaques du mois de Fvrier Le Cert-IST a mis le 11 fvrier le "Danger Potentiel" CERT-IST/DG-2008.004 (Propagation de fichiers PDF malicieux - CVE-2007-5659) parce qu'une vague d'attaques au moyen de fichiers PDF malveillants avait t identifie sur Internet. Cet vnement a t signal initialement le samedi 9 fvrier aux abonns bnficiant du service de veille 7/7. Du fait de l'exemplarit de cette attaque, nous lui avons consacr un article. Les attaques du mois de Mars Le Cert-IST a mis le 17 mars le "Danger Potentiel" CERT-IST/DG-2008.005 ("Multiples attaques massives de sites web") parce que deux vagues d'attaques avaient t observes sur Internet et avaient infect un grand nombre de sites web. Les sites infects ont t modifis de faon attaquer ensuite les visiteurs. Pour suivre l'volution de cette menace, le Cert-IST a actualis le Hub de Crise "Infection Web", initialement cr le 17 janvier en mme temps que le "Danger Potentiel" CERT-IST/DG-2008.003 (Infections massives de sites web). La technique d'attaque utilise pour la seconde vague est des plus originale (car nouvelle), puisqu'elle consiste injecter des donnes malicieuses dans les caches des moteurs de recherche des sites web infects.

2.2) Des stratgies de compromission massives et organises - Avril/Mai/Juin 2008

Les vagues d'infections massives de site web qui ont t vues ds janvier 2008 (cf. CERT-IST/DG2008.003) vont se poursuivre tout au long du second trimestre. La tactique des attaquants est claire : chaque fois qu'une nouvelle vulnrabilit est dcouverte il faut l'intgrer le plus vite possible la panoplie des attaques et la dployer sur un maximum de sites web compromis. En 2008 la technique de compromission la plus populaire a t l'attaque des serveurs web par " injection SQL". Les serveurs les plus viss ont t les serveurs Microsoft IIS utilisant une base de donnes SQL-Server. Un article publi en juin 2008 par le Cert-IST (intitul "Les attaques par injections SQL de ces derniers mois") s'attache expliquer les techniques employes pour mettre en uvre ces attaques. Pour raliser ces vagues de compromissions, il faut que l'attaquant soit organis et capable de matriser des activits aussi diverses que : La recherche de vulnrabilit, Le dveloppement de programmes d'attaques, Le dploiement massif de ces attaques, Le regroupement des postes infects en botnets. Comme dj mentionn en 2007, on voit clairement ici l'industrialisation des procds utiliss par la cybercriminalit. Au-del des infections massives de sites web par injections SQL (ce qui est une nouveaut de 2008) on retrouve galement au cours de ce second trimestre, des phnomnes dj vu les annes prcdentes : Le malware "StormWorm" (qui existe depuis janvier 2007, et dont nous avons retrac l'activit dans un article du bulletin de janvier 2008) continue de faire parler de lui. Sa dernire mouture se prsente sous forme d'un e-mail propos du 1er avril et invite le lecteur se rendre sur un site web pour y voir un "poisson d'avril". Bien videmment ce site web est pig. Cet vnement a t signal notre communaut par le message VirusCoord-2008.001 de la liste de diffusion ad-hoc. Le botnet "Kraken" (rincarnation 2008 de "Bobax", l'un des plus anciens botnet de spam) a fait galement parler de lui au second trimestre 2008. En juin, nous avons signal dans les bulletins de veille mdia du 09/06/2008 et du 10/06/2008, le retour du malware "GPCode". Ce virus, galement connu sous le nom "PGPcoder", date dj de 2005 (cf. cet article). Sa particularit est de chiffrer les documents trouvs sur le poste qu'il infecte. Il

www.cert-ist.com

Page : 4/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

demande ensuite une ranon ses victimes en change de la cl qui permettra de dchiffrer ces fichiers. Ce type de malware est dsormais communment dsign sous le terme anglais de "ransomware".

Revue de dtail des attaques

Dans ce chapitre nous dtaillons mois par mois les diffrentes attaques survenues au second trimestre 2008. Les attaques du mois dAvril Le mois davril a t dense en ce qui concerne les attaques, avec 4 messages sur notre liste de diffusion "Vuln-Coord". Il ny a pas eu par contre de "Danger Potentiel" ce qui signifie que les menaces rapportes ont eu surtout un retentissement mdiatique et nont pas justifi de monte de crise. Avril a en ralit constitu une rptition condense des vnements de janvier, fvrier et mars 2008 : attaques web, fichiers PDF malveillants, mais a t galement loccasion de marquer une certaine progression dans les attaques automatises des serveurs. Cest le 8 avril que le Cert-IST a mis le premier message VulnCoord pour informer ses membres de lmergence dune nouvelle menace : Kraken. A limage de StormWorm, Kraken est un botnet qui se rpand principalement via des campagnes de messages de spam. Trois jours plus tard, nous rapportions quun programme presque fonctionnel exploitait une vulnrabilit dans lAPI GDI de Microsoft (vulnrabilit MS08-021), et se rpandait sur des sites Web malveillants. Enfin, le 25 avril, nous mettions 2 messages "Vuln-Coord" sur les menaces suivantes : VulnCoord-2008.010 : une reprise et une amplification du nombre dattaques par injections SQL visant des serveurs utilisant ASP et une base de donne Microsoft SQL (300 000 sites compromis). VulnCoord-2008.011 : une augmentation du nombre de messages de Spam contenant des fichiers PDF malveillants exploitant une vulnrabilit (CVE-2008-0655) corrige depuis 2 mois dans Adobe Reader. Les attaques du mois de Mai Le mois de mai confirme bien la tendance constate en avril, c'est--dire la recrudescence d'attaques par injection SQL. Le 9 mai, 4000 nouveaux sites ont t infects par ces attaques, ce qui nous a pouss mettre jour le hub de crise "Infections web". Le 28 mai, nous avons mis le "Danger Potentiel" CERT-IST/DG-2008.006 "Vulnrabilit 0-day dans Adobe Flash Player" suite la dcouverte par Symantec de fichiers FLASH malveillants exploitant une vulnrabilit non divulgue (0-day) contre la dernire version d'Adobe Flash Player. Compte tenu du peu d'information initiale (faille 0-day) et de l'ampleur des sites web impacts (plusieurs milliers de sites concerns), le Cert-IST a dcid d'ouvrir un hub de crise afin de suivre l'volution des attaques massives lies cette "nouvelle" vulnrabilit (Vulnrabilit 0-day dans Adobe Flash Player). Les attaque du mois de Juin Dans la continuit des mois prcdents, on signale de nouvelles infections de sites web au moyen d'attaques par "Injection SQL", d'ampleur cependant plus faible que celles rapportes lors des vagues d'attaques prcdentes. On notera dans ce domaine : Les recommandations publies par Microsoft pour liminer ce type de vulnrabilit sur les serveurs IIS (cf. notre message "VulnCoord-2008.018" ce sujet). L'analyse technique publie par le SANS propos du code SQL inject.

www.cert-ist.com

Page : 5/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

2.3) La faille DNS : un cas historique - Juillet/Aot/Septembre 2008 La Faille DNS

Lvnement marquant de lt, et probablement de lanne, est la vulnrabilit dcouverte dans le protocole DNS (Domain Name System) par l'expert en scurit Dan Kaminsky, qui devait la divulguer l'occasion de la confrence Black Hat de Las Vegas. La manire dont la communication sur cette vulnrabilit a t gre constitue une premire dans le domaine dInternet et de la scurit informatique. Un article du bulletin de juillet vous en explique les raisons. Conscient de la criticit de cette faille, le Cert-IST a trs tt suivi cette vulnrabilit dans l'avis de scurit CERT-IST/AV-2008.310 puis dans le "Danger Potentiel" CERT-IST/DG-2008.007, et enfin au travers de son hub de crise "Vulnrabilit DNS".

Faille DNS : un cas historique

Cette faille constitue un cas "hors-norme" et encore controvers en matire de "divulgation responsable". Plusieurs facteurs font que cette menace revt une importance particulire. Tout dabord, les impacts et consquences de cette faille sont graves puisque cette dernire permet un attaquant de dtourner tout le trafic des utilisateurs dun serveur DNS vulnrable vers des sites malveillants (corruption de cache DNS). Ensuite, elle impacte limmense majorit des serveurs et clients DNS connects Internet dans le monde, ce qui rend lapplication des correctifs difficile, Elle touche un trs grand nombre d'acteurs de l'Internet ; les quipementiers rseaux, les ISP, les rgulateurs des noms de domaines (registry, registrar), les administrateurs DNS, les dveloppeurs, sans oublier les utilisateurs. Enfin, cette faille intresse les cybercriminels parce quelle permet de rediriger des internautes vers de faux sites web. De multiples scenarii dattaque sont possibles, et en particulier celui du phishing. Une gestion inhabituelle Les dtails techniques de cette vulnrabilit, dcouverte en fvrier 2008, ont t maintenus secrets de longs mois. Un groupe de personnes, constitu du dcouvreur, de membres de lUS-CERT et des diffrents diteurs de services DNS, ont travaill ensemble afin de dcider de la meilleure faon de grer et corriger cette faille, puis de la rendre publique. La date du 8 juillet 2008 a ainsi t retenue pour la publication concerte des correctifs, tout en souhaitant garder secrets les dtails techniques. Cest justement ce point, le "secret", qui a suscit la curiosit des chercheurs en scurit, qui se sont empresss dinvestiguer et analyser le problme. Dans le mme temps, la crdibilit de la dcouverte Dan Kaminsky tait mise en doute. A trop vouloir se justifier et insister sur la gravit de la vulnrabilit au cours d'changes informels, il a probablement diffus involontairement des informations techniques prcieuses. Le 22 juillet, les dtails techniques de la faille taient finalement connus. Ds lors, tout est all trs vite. Des programmes dexploitation ont t publis le 24 juillet et les premires attaques ont t signales le 29 juillet.

www.cert-ist.com

Page : 6/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

Etat de dploiement des correctifs Nous crivions en juillet : A prsent, la difficult rside dans lapplication universelle des correctifs ; la menace demeurera en effet prsente tant quun seul serveur DNS restera vulnrable . Le 8 juillet, environ 85% des serveurs taient vulnrables (source "DoxPara Research"). Le 25 juillet, soit 13 jours aprs, ce chiffre tait estim 52% par DoxPara, et 66% par le CERT autrichien (http://www.cert.at/static/cert.at-0802-DNS-patchanalysis.pdf). Cette progression est significative, mais elle montre aussi qu'il restait encore de nombreux serveurs DNS vulnrables (plus de la moiti au moins). En juillet, tous les dtails techniques navaient pas t dvoils, en lattente du 7 aot, o Dan Kaminsky a dvoil les arcanes de la vulnrabilit, lors de la confrence BlackHat (http://www.blackhat.com). Une chose est certaine, cest que tout ne sest pas pass comme "prvu" (http://www.doxpara.com/?p=1162). Reste analyser les erreurs commises et sinterroger sur les nombreux problmes soulevs par la dcouverte puis la publication responsable pour ce type de vulnrabilit. Lun des problmes majeurs tant la difficult dappliquer des correctifs sur une aussi grande chelle (problme dj connu mais accentu dans le cadre du DNS) et aussi rapidement. Pour plus dinformation o Hub de gestion de crise "Faille DNS" : https://wws.cert-ist.com/fra/hub/failledns o Site officiel de Dan Kaminsky : http://www.doxpara.com/

Les autres attaques d'aot septembre 2008

Cyber attaque en Gorgie Selon la presse, des cyber-attaques attribues la Russie ont touch en aot les sites gouvernementaux de Gorgie. Les discussions entre les CERT via le FIRST confirment effectivement l'existence d'attaques DDOS, en particulier partir du 14 aot, sans pouvoir cependant les lier la Russie. Marcus H. Sachs, directeur de l'ISC du SANS et expert en cyberscurit auprs du gouvernement amricain, a publi sur l'ISC une analyse intressante de ce phnomne. Attaques des infrastructures SSH ? Il est bien connu que les serveurs SSH accessibles depuis Internet font rgulirement l'objet d'attaques de type "force brute" (attaques des mots de passe par dictionnaire). Le 14 mai, le Cert-IST avait mis le message "Vuln-Coord" VulnCoord-2008.013 "Vulnrabilit des cls OpenSSL dans Linux Debian et drivs" concernant une vulnrabilit fortement mdiatise dans le monde des distributions bases sur Debian (Debian, Ubuntu, Knoppix, etc.). Cette vulnrabilit, due un dfaut dans le gnrateur de pseudos-alas, affecte directement le package "OpenSSL" et indirectement tous les produits drivs ou bass sur des cls SSL (OpenSSH, OpenVPN, HTTPS, etc.). Un correctif permet maintenant de dtecter les cls vulnrables et force leur mise jour sur ces distributions. L'actualit d'aot peut faire penser que des attaques plus sophistiques sont en cours contre ces infrastructures, nous vous avons signal : Tout d'abord via le message VulnCoord-2008.026, que des pirates s'taient introduits sur les serveurs des infrastructures de Red Hat et de Fedora.

www.cert-ist.com

Page : 7/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

Et d'autre part via le message VulnCoord-2008.027, que l'US-CERT avait identifi des attaques visant les serveurs SSH sur Linux et dont l'objectif semble tre de voler les cls SSH stockes sur ces serveurs (rootkit "Phalanx2").

Campagnes virales de type "botnet Storm" propages via du Spam En aot, plusieurs campagnes de SPAM de grande ampleur visant infecter le poste de l'internaute, ont t remarques et signales dans le message VirusCoord-2008.002. Elles portent le nom de "Jeux Olympiques", "Top News CNN" ou "Airline Ticket email" et ont toutes pour but d'attirer les curieux vers un site web qui infectera le PC avec un botnet de du type de "Storm" (cf. l'actualit d'avril).

2.4) Vulnrabilits proccupantes, mais impact encore limit Octobre/Novembre/Dcembre

Hormis l'arrive du ver Conficker, qui mrite lui seul un chapitre (cf. 2.5), les mois d'octobre dcembre n'ont pas vraiment apport d'vnements marquants en termes d'attaques. Par contre, plusieurs vulnrabilits (dtailles ci-aprs) ont t fortement mdiatises. Bien que soulevant des problmes srieux, ces vulnrabilits n'ont pas (encore) eu d'impacts significatifs sur les infrastructures et n'ont par consquent pas donn lieu l'mission d'alertes ou de dangers potentiels Cert-IST vers nos membres.

Vulnrabilit "ClickJacking" (hub de crise "clickjacking") La vulnrabilit dite de "ClickJacking" a t prsente fin septembre l'occasion de la confrence OWASP (Open Web Application Security Project) New-York. Cette attaque exploitant une vulnrabilit dans les contenus dynamiques de pages DHML (Dynamic HTML) permet d'amener un utilisateur cliquer sur des liens dangereux son insu. Le Cert-IST a envoy le message VulnCoord-2008_030 pour prvenir sa communaut, et a suivi cette vulnrabilit dans la liste des "Failles en cours d'investigation" (cf. FA-2008_0181). Faille DOS TCP (VulnCoord-2008.031) Fin septembre, deux experts en scurit finlandais ont annonc avoir dcouvert une vulnrabilit impactant toutes les implmentations des piles TCP/IP, et provoquant un dni de service. Aprs avoir annonc la publication de certains dtails de la faille l'occasion de la confrence T2 qui se tenait le 17 octobre 2008 dernier en Finlande, les deux protagonistes se sont rtracts considrant que ces dtails ne devraient tre rvls qu'une fois les correctifs constructeurs publis. Seule une dmonstration de l'exploitation de la vulnrabilit aurait t prsente lors de cette confrence, et elle provoquerait un dni de service de n'importe quel quipement implmentant une pile TCP/IP vulnrable. Pour le moment aucune information technique n'a filtr. Les dtails seront probablement connus courant 2009. Cette vulnrabilit fait l'objet d'un suivi dans la rubrique "Failles en cours d'investigation" (cf. FA-2008.0184) et dans le hub de crise "Vulnrabilit DOS dans TCP annonce pour la confrence T2 2008".

www.cert-ist.com

Page : 8/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

"Token kidnapping" : Exploitation d'une vulnrabilit Windows via IIS et SQL Server (VulnCoord-2008.032) Ce message "Vuln-Coord" a t mis suite la publication sur Internet d'un programme d'exploitation permettant d'attaquer les systmes Windows via les serveurs Microsoft IIS et SQL Server (attaque "Token Kidnapping"). Par contre, deux vulnrabilits nous ont sembl plus proccupantes et ont donn lieu mission de Dangers Potentiels afin que notre communaut puisse se prparer de possibles attaques. A ce jour, ces attaques n'ont connu aucune ampleur significative justifiant l'mission d'alertes. Vulnrabilit dans le dmon sadmind sous Solaris (hub de crise "sadmin") Mi-octobre une vulnrabilit a t dcouverte dans le produit "Sun Solstice AdminSuite" impactant les systmes Solaris 8 et 9. En l'absence de correctif de la part de l'diteur et compte tenu de la criticit de cette vulnrabilit (prise de contrle totale distance), nous avons suivi celle-ci dans la faille en cours d'investigation "FA-2008.0194 et inform notre communaut de la publication de programmes d'exploitation dans le "Danger Potentiel" (CERT-IST/DG-2008.008). Vulnrabilit 0-day XML dans Internet Explorer (hub de crise " IE XML 0day") Cette vulnrabilit 0-day dans le traitement de certaines donnes XML par Internet Explorer, a t rvle le lendemain du Patch Tuesday de dcembre. Elle a fait l'objet du Danger Potentiel CERTIST/DG-2008.011 ds le 10 dcembre et du hub de gestion de crise "IE XML 0day". Un avis de scurit a galement t rdig (CERT-IST/AV-2008.538) proposant dans un premier temps des mesures palliatives. Microsoft a ragi le 17 dcembre en publiant nouveau un bulletin de scurit hors cycle (MS08-078), fournissant des correctifs pour cette vulnrabilit.

2.5) Conficker (Downadup) : le retour du ver

Le fait le plus marquant du dernier trimestre 2008 est l'arrive du ver Conficker (aussi appel "Downadup"). Il s'agit du premier ver qui touche de faon aussi significative notre communaut depuis 2004 (anne du ver "Sasser"). Nous retraons ci-aprs le traitement que le Cert-IST a fait face cette menace. Mais globalement nous pouvons en retenir que La menace a bien t anticipe. Ds le 23 octobre (date de l'annonce par Microsoft de cette vulnrabilit dans le bulletin MS08-067), il a t clairement t identifi qu'un ver pourrait apparatre. Les publications rgulires du Cert-IST (un avis relatif la vulnrabilit, trois avis relatifs aux malwares l'exploitant, deux "Dangers Potentiels", et enfin une alerte) ont permis nos adhrents d'tre tenus au courant tout au long de l'volution de cette menace. Depuis 2004 aucun ver d'une ampleur significative n'avait t observ. Nous nous posions mme la question de savoir s'il y aurait encore des vers (cf. notre bilan 2007) puisque ce mode de propagation massif et bruyant n'est pas forcement intressant pour les cybercriminels qui aspirent dsormais plus de furtivit. Certains de nos membres ont t exposs cette menace et un traitement rigoureux et systmatique leur a permis de la contenir. Bien que les foyers d'infection de Conficker soient rests isols et limits, il n'a pas encore t possible de dterminer systmatiquement le vecteur dclencheur de ces infections. Ces vecteurs semblent potentiellement nombreux, citons en particulier les cls USB, postes nomades, canaux VPN, et les mails de spam. Pour ce type de menace, il semble invitable que des foyers se dclenchent, malgr des mcanismes de protection tels que des antivirus, des protections primtriques et des filtrages rseaux. Un aspect fondamental pour matriser la menace (en attendant que les correctifs soient appliqus sur l'ensemble des parcs)

www.cert-ist.com

Page : 9/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

est donc de savoir dtecter au plus tt les foyers infectieux dans l'entreprise, de les isoler puis de les traiter rapidement.

Revue de dtail de la chronologie

Octobre : Bulletin de scurit Microsoft MS08-067 "hors cycle" (VulnCoord-2008.034) L'un des faits marquants de ce mois d'octobre est la publication d'un bulletin scurit Microsoft (MS08-067) en dehors des dates de publications habituelles. La raison de cette publication est la dcouverte d'une faille majeure dans le service "Serveur" des systmes Microsoft Windows. Plusieurs programmes d'exploitation de cette vulnrabilit sont apparus sur Internet, allant du programme de type "Proof-Of-Concept", au programme tlchargeant des malwares drobant des informations sur un poste infect (ex. GimmiV). Cette vulnrabilit a fait l'objet de l'avis de scurit CERT-IST/AV-2008.460 et du "Danger Potentiel" CERT-IST/DG-2008.009. L'volution de la menace lie cette vulnrabilit a t suivie dans le hub de crise "Vulnrabilit critique dans le traitement des requtes RPC sous Windows (MS08-067)".

Novembre : Les codes malveillants se multiplient et Conficker arrive L'vnement majeur du mois de novembre a surtout t le maintien dune forte activit autour de la vulnrabilit MS08-067 du service "Serveur" des systmes Windows. Non seulement les codes malveillants se sont fortement multiplis, mais surtout une augmentation de leur efficacit s'est accrue. Ceci nous a notamment pouss mettre, en plus des nombreux billets ayant aliment le hub de crise "Vulnrabilit critique dans le traitement des requtes RPC sous Windows (MS08-067)": o L'avis de scurit CERT-IST/AV-2008.467 et le "Danger Potentiel" CERT-IST/DG2008.010 relatifs aux virus "Kerbot" et "Wecorl". o L'avis de scurit CERT-IST/AV-2008.504 relatif au ver "Conficker" (aussi connu sous le nom de "Downadup"). o L'alerte CERT-IST/AL-2008.002 suite de nombreux rapports d'infections par le ver "Conficker" dans le monde, mais galement dans notre communaut. Dcembre 2008 et janvier 2009 : Les infections Conficker se sont multiplies En dcembre puis en janvier 2009 les cas d'infections Conficker se sont multiplis. La presse spcialise a d'ailleurs largement diffus cette information mi-janvier 2009 comme nous en faisions tat dans nos bulletins de veille mdia (cf. vmedia-2009.01.14, vmedia-2009.01.15, vmedia2009.01.19, vmedia-2009.01.20). Notre communaut a bien sr galement t touche, mais les infections sont restes localises, et donc plus facilement matrisables. Afin de permettre un change accru entre ses adhrents sur cette menace, le Cert-IST a mis en place une liste de discussion ddie ce sujet (liste ms08-067).

www.cert-ist.com

Page : 10/11

Janvier 2009

Bilan Cert-IST 2008 des failles et attaques

3) Conclusion
On le voit au travers de ce bilan, l'anne 2008 a t riche en vnements. Tout comme en 2007 la professionnalisation des attaques est flagrante : le niveau de technicit des codes malveillants, la multiplicit des aspects maitriss et la coordination globale au niveau des attaques ne peut en effet qu'tre le rsultat d'une activit trs structure. Mais si l'on veut rsumer cette anne en termes de tendances, on peut qualifier l'anne 2008 comme une anne de "durcissement" : Les attaquants semblent de plus en plus forts. Les techniques d'attaques, la vitesse des cycles de vies et l'action coordonnes ont sans aucun doute progress en 2008. D'un autre ct la dfense a aussi progress. En termes de technique d'abord. Par exemple un outil comme le MSRT de Microsoft (Malicious Software Removal Tool) est devenu un vritable "killer de botnet". La dfense a progress aussi en termes d'organisation; des initiatives comme ShadowServer (qui travaille rpertorier et dmanteler les botnets) ou des actions comme l'arrt brutal d'activits illicites (voir notre article "La lutte contre les ISP complaisants s'intensifie" propos des l'hbergeurs McColo et Atrivo publi dans le bulletin mensuel du Cert-IST) sont rvlatrices d'une progression et d'un durcissement de la dfense. Pour les entreprises ce durcissement des attaques implique que les dfenses en place soient solides et tanches. Il faut aujourd'hui avoir des mcanisme efficaces et ractifs pour lapplications des correctifs, des mcanismes de dfense en profondeurs, et des procdures rigoureuses pour faire face efficacement aux situations de crise.

www.cert-ist.com

Page : 11/11

Janvier 2009