Vous êtes sur le site public du Cert-IST
CERT Summary

Date :27 Juillet 2005

Publication: Article

CERT Summary

Le CERT/CC, dans son 3ème CERT Summary de l'année, a fait un bilan des tendances concernant les attaques qui lui ont été rapportées depuis son dernier bilan fin mai. Vous trouverez ci-après une adaptation de ce dernier bilan.

Le premier point concerne la recrudescence des attaques par le service rpc.statd (CERT-IST/AV-2000.165). Ces attaques permettent à un utilisateur malicieux d’acquérir les privilèges root sur un système Linux distant, et ceci sans compte sur ce dernier. Nous vous rappelons l'alerte CERT-IST/AL-2000.007 émise par le CERT-IST sur le sujet .

Le deuxième point concerne un nombre toujours important de compromissions par une vulnérabilité des serveurs ftp (CERT-IST/AV-2000.149). Elle permet à un utilisateur possédant un accès anonyme de faire exécuter du code avec les privilèges root sur le serveur. Nous en avons reparlé dans la partie " Editorial - Les attaques du mois " du bulletin n°34 du mois de juillet dernier.

Le point suivant concerne l’exploitation de la vulnérabilité du contrôle ActiveX Scriptlet.Typelib (CERT-IST/AV-1999.195a) permettant de créer des fichiers sur les systèmes Microsoft. Ce type de vulnérabilité est utilisée dans la conception de virus tels Kak (CERT-IST/AV-2000.006) ou Bubbleboy (CERT-IST/AV-1999.252). De même un autre contrôle ActiveX est mis ici en valeur. Il s’agit du contrôle ActiveX HHCtrl (CERT-IST/AV-2000.126). Ce dernier permet à un site malicieux d’exécuter des commandes sur le poste de l’utilisateur. Pour plus de détails, voir: http://www.cert.org/incident_notes/IN-2000-06.html

Le quatrième point rappelle les risques liés à l’utilisation d’une fonctionnalité par défaut de Microsoft qui consiste à cacher les extensions de fichiers aux utilisateurs. Elle peut être ainsi utilisée pour faire exécuter des codes malicieux sur un poste Windows à l’insu de l’utilisateur. Ces derniers temps, cette caractéristique est très prisée dans la conception des virus (LoveLetter, Downloader, ...) car elle permet au fichier transportant le virus de cacher son véritable type (VBS, Executable, ...). Pour plus de détails, voir: http://www.cert.org/incident_notes/IN-2000-07.html

Le point suivant décrit la vulnérabilité d’Outlook et d’Outlook Express qui permet à site malicieux de lire des fichiers sur le poste d’un utilisateur (CERT-IST/AV-2000.163a).

Enfin, le dernier point traite des dangers que représente l’utilisation des logiciels IRC (Internet Relay Chat).

  • les clients IRC sont d’une programmation non sure (débordement de pile présents, ...),
  • les canaux IRC peuvent être utilisés pour faire de l’ingénierie sociale,
  • les informations transmises peuvent passer en clair à travers des réseaux peu surs,
  • pour les communication sensibles, il est difficile de garantir de manière sure l’identité de la partie distante,
  • les attaques par implantation de Cheval de Troie sur un système ont très souvent comme base des connexions IRC.

Pour ce dernier point vous trouverez plus de détails sur http://www.cert.org/incident_notes/IN-2000-08.html

Le CERT Summary est disponible à l'adresse suivante : http://www.cert.org/summaries/CS-2000-03.html