 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
| Référence : | CERT-IST/DG-2008.003 |
| Version : | 1.1 |
| Date de la version : | 17 Janvier 2008 |
|
|
Classification de la vulnérabilité
| Risque : |
|
||
| Conséquence : | Accès au système | ||
| Niveau de confiance : | Faille officielle | ||
| Niveau de connaissance de l'attaquant : | Débutant | ||
| Moyen nécessaire à l'attaquant : | Accès distant (sans compte) sur un service standard | ||
|
|||
Information sur le(s) système(s) impacté(s)
| Plate(s)-forme(s) impactée(s) : |
|
| Logiciel(s) impacté(s) : |
|
| Liste des produits impactés |
Description
| Nature du problème : |
|
|
Depuis la semaine derniere nous observons une augmentation importante du nombre de sites web infectés. Ces sites tentent à leurs tours d'infecter les postes des internautes qui les visitent. Ce phénomène rend actuellement dangereuse la navigation sur Internet parce qu'un internaute mal protégé peut infecter son poste en visitant un site apparemment anodin (qui a été infecté à son insu). C'est la raison pour laquelle nous émettons ce message de "Danger Potentiel". Nota :
|
|
| Analyse détaillée : |
|
| De nombreux rapports d'incidents ont été publiés récemment concernant des "attaques web". Le Cert-IST a analysé plusieurs sites infectés. Il en ressort que ces attaques sont de deux types : Les premières attaques qui sont apparues semblent être dûes à des vulnérabilités de type "injection de code SQL" . Elles ont infecté plusieurs sites web (Computer Associates notamment). La presse a annoncé un chiffre de 10 000 sites infectés, mais nous n'avons pas d'élément permettant de confirmer ce chiffre. Les sites infectés sont ensuite modifiés par l'attaquant pour forcer les internautes qui les visitent à exécuter un fichier JavaScript malicieux (hébergé par des sites tiers comme le site "uc8010.com"). Nota :
La deuxième vague d'attaques touche un nombre de sites plus limité (et non chiffré actuellement). Certaines sources émettent l'hypothèse que l'infection pourrait être due à une nouvelle vulnérabilité dans l'outil "Cpanel" (attaque de type "0day") mais aucun fait technique ne confirme actuellement cette hypothèse. Les sites infectés sont ensuite modifiés par l'attaquant pour forcer les internautes qui visitent le site à exécuter un fichier JavaScript malicieux. Contrairement à la première vague d'attaque, le nom du fichier JavaScript malicieux est aléatoire (il a un format du type "xxxxx.js", mais la chaine "xxxxx" change à chaque visite du site web) . Nota :
Dans les deux cas, les Javascript malicieux essayent d'infecter le poste du visiteur en utilisant une série de vulnérabilités déjà connues (pour lesquelles il existe des correctifs) dans Internet Explorer et dans le système d'exploitation Windows. Nota : Ces attaques ne sont pas sans rappeler celles survenues en juin 2007 (dans le monde et plus particulièrement en Italie), liées à l'utilisation d'un outil "commercial" de piratage nommé "MPack". Pour rappel, ce logiciel permet de lancer une panoplie d'attaques vers le poste des utilisateurs se connectant (généralement à leur insu) sur un serveur web malveillant (exécutant l'application "MPack"). |
|
Solution
01 - Recommandations du Cert-IST Le Cert-IST vous recommande la plus grande vigilance lorsque vous naviguez sur Internet. Il est en particulier vivement recommandé de mettre à jour vos systèmes d'exploitation ainsi que vos navigateurs web. |
|
Documentation additionnelle
|
|
Historique
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||