Vous êtes sur le site public du Cert-IST
Analyse des tendances des dernières attaques publiées par le CERT/CC

Date :22 Juin 2005

Publication: Article

Le troisième bilan trimestriel de l'année 2003 (CS-2003-03) du CERT-CC (disponible à l'adresse http://www.cert.org/summaries/CS-2003-03.html) fait apparaître les dernières tendances d'attaques rencontrées ces derniers mois. Dans cet article, les failles sont traitées dans l'ordre de fréquence des incidents analysés par le CERT/CC.

  • Ver "Sobig-F":

Le 19 août, plusieurs éditeurs d'anti-virus ont émis une alerte sur la propagation massive d'une nouvelle variante du ver "Sobig" : "Sobig-F" (avis CERT-IST/AV-2003.011 : "Sobig-A" et CERT-IST/AV-2003.156 : "Palyh" ou "Sobig-B"). Cette variante possède les mêmes caractéristiques que les précédentes : "Sobig-F" est un ver (mass-mailer) semblant provenir du support de Microsoft et se propageant par e-mail et à travers les partages réseau Microsoft Windows. C'est pour cette raison que le Cert-IST a décidé de ne pas émettre d'alerte à ce sujet, mais de sonder la communauté Cert-IST via la liste "Viru s-Coord". Ce ver a été détecté de manière importante sur Internet. Le Cert-IST a émis une information sur ce sujet dans sa liste "Virus-Coord". Les retours obtenus ont montré que ce ver était relativement bien neutralisé dans la communauté IST dès sa sortie.

 

  • Exploitation de plusieurs vulnérabilités dans l'interface RPC de Microsoft :

Au mois de juillet, un débordement de pile a été découvert dans la gestion des messages RPC par les systèmes Microsoft Windows NT 4.0, 2000, XP et 2003 (Bulletin Microsoft MS03-026). Cette vulnérabilité permet à un attaquant distant, via des paquets IP spécifiques envoyés sur le port 135 du système, de prendre le contrôle total de la machine cible.

L'avis du Cert-IST (CERT-IST/AV-2003.227) concernant la première vulnérabilité RPC a été publié très rapidement (dès le 17 juillet), et l'alerte (CERT-IST/AL-2003.005a) signalant l'utilisation effective et massive de programme d'exploitation a été émise le 1er août et mise à jour le 12 août 2003.

Des virus, vers ou cheval de troie exploitant cette vulnérabilité ont fait leur apparition et pour lesquels le Cert-IST a émis des avis de sécurité : "Autorooter", "Blaster", "RpcSpybot" et "Nachi". Une note d'information a été diffusée sur la synthèse des failles RPC (CERT-IST/DV-2003.001) des systèmes Microsoft, également disponible sur le serveur public du Cert-IST.

Courant septembre, 3 nouvelles vulnérabilités ont été signalées impactant à nouveau le service RPC des systèmes Microsoft Windows NT 4.0, 2000, XP et 2003 (Bulletin Microsoft MS03-039). Elles ont fait l'objet d'un nouvel avis Cert-IST émis le 11 septembre (CERT-IST/AV-2003.285). Une note d'information (CERT-IST/IF-2003.007) a été émise sur le sujet par le Cert-IST le 12 septembre.

Enfin, une note de synthèse (CERT-IST/DV-2003.007) sur les risques actuels liés aux failles RPC a été émise le 12 septembre.

 

  • Vulnérabilité dans la gestion des paquets IPv4 sous Cisco IOS :

Une vulnérabilité a été découverte dans la gestion des paquets IP (version 4) sous Cisco IOS versions 11.x et 12.x. Elle permet à un attaquant distant, en envoyant des paquets IP spécifiques, d'interrompre le traitement du trafic sur les équipements vulnérables. Bien que cette vulnérabilité possède un niveau de risque élevé, aucune attaque de grande envergure n'a été signalé dans la communauté Internet.

 

  • Plusieurs vulnérabilités dans des librairies Windows et dans Internet Explorer :

Une vulnérabilité a été découverte dans la gestion des opérations de type "copier/coller" du convertisseur HTML sous les systèmes Windows 98, Me, NT 4.0 Server, 2000, XP et 2003 Server. Elle permet à un site web malicieux (ou à un e-mail HTML spécifique) de créer un déni de service ou d'exécuter du code arbitraire avec les privilèges de la victime visualisant les données HTML.

Deux débordements de pile ont été découverts dans le logiciel multimédia "DirectX" sous Microsoft Windows. Ils permettent à un site web malicieux, via des fichiers MIDI spécifiques, de stopper brutalement l'application, ou même pour exécuter du code arbitraire avec les privilèges de l'utilisateur. Le même risque existe aussi lorsque les fichiers MIDI sont reçus par e-mail ou accessibles par des partages réseau.

Trois vulnérabilités ont été découvertes dans le navigateur web Microsoft Internet Explorer (IE) versions 5.01, 5.5 et 6.0. Elles permettent à un site web malveillant (ou à un e-mail spécifique au format web - HTML), de faire exécuter des actions malicieuses sur le poste de la victime.

Le Cert-IST a émis un avis concernant un cheval de Troie, exploitant l'une des vulnérabilités dans Internet Explorer : "JSurf" (CERT-IST/AV-2003.283)

 

  • Propagation de code malicieux et mise à jour des logiciels anti-virus :

Le CERT/CC a rappelé dans une note d'incident que mettre à jour ses solutions anti-virales n'est pas suffisant pour se protéger contre des attaques via des codes malicieux.

Très régulièrement, le Cert-IST propose dans ses avis de sécurité relatifs au virus, vers et cheval de trois, des solutions complémentaires (correctifs à appliquer, filtrage au niveau des équipements d'interconnexion, sécurisation des partages réseau, suppression des services inutiles/dangereux, etc…).

Enfin, concernant le même sujet, une étude a également été réalisée en 2002 par le Cert-IST concernant le filtrage des codes mobiles et des vers.