Veille Technologique Sécurité
Contents
1. 64 0 96 9 80 1 65 57 83 13 download macromedia com 80 1 Les l ments ainsi collect s vont nous permettre de cibler notre analyse sd ej melee m 0 D zi La liste des 113 syst mes ayant transmis un paquet UDP destination de la cible est obtenue l aide d un nouveau script inspir des pr c dents Les services acc d s correspondent majoritairement au service Netbios Name Service UDP 137 et au d sormais c l bre Microsoft SQL Monitor UDP 1434 exploit par le ver SQL Slammer Connexions UDP vers la cible Adresse Nom DNS Services acc d s Cnx 61 150 727 414 61 132 88 90 TC2 27 Wx js cn 1434 3 61 150 120 72 84 61 134 45 19 84 218 4 99 237 1434 a2 62 150 170 232 62 150 170 134 284BE 1 68 45 123 130 0cp099250pcs glstrt01 nj comcast net 1434 67 81 161 166 ool 4351ala6 dyn optonline net 61 203 104 148 P1A1352 hkd mesh ad jp 1434 1 61 185 29 9 o E 61 185 242 190 61 185 215 42 J gt aaa 61 177 62 66 Veille Technologique S curit N 57 Page 50 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 219 145 211 3 LF 1434 1 219 145 211 132 8A 218 92 13 142 1 218 4 87 137 0 8A 218 465 1150 8A 218 4 48 74 00 8A 218 244 66 32 dt 48 1 217 35 65 9 host217 35 65 9 in addr btopenworld com 1434 chi tgn gjj vty21 as wcom net2. Moyenne 16 04 Microsoft Internet Explorer 6 0 SP1 et inf rieurs Navigateur Internet Explorer Mauvaise gestion de la balise OBJ ECT http www securityfocus com archive 1 318878 Moyenne 16 04 NetGear RPI14 Cable DSL Web Safe Router firmware 226 SSCS Elaboration http elaboration 8bit co uk projects texts advisories netgear logging vulnerability 160403 txt PR Forte 09 04 Progress Database 8 3D 8 36 8 3V et 9 28 9 1 91D SSCS SNORT D bordement de buffer dans snort Un d bordement de buffer affecte le module Snort permettant de r assembler le trafic TCP Critique 15 04 Snort 2 0 versions inf rieures RC1Snort 1 8 x et 1 9 x Palliatif propos Module stream4 preprocessor D bordement de buffer CORE 2003 0307 http www coresecurity com common showdoc php idx 313 amp idxseccion 10 3 J J N J N E n Vuln rabilit l attaque contre OpenSSL Stunnel utilise les biblioth ques d OpenSSL et est donc vuln rable la m me attaque cryptographique Forte 21 03 Stunnel jusqu aux versions 3 22 et 4 04 comprises Correctif existant Biblioth que OpenSSL Attaque par mesure du temps de r ponse http www securityfocus com archive 1 315904 AUTRES I NFORMATI ONS Les vuln rabilit s suivantes d j publi es ont t mises jour reprises par un autre organisme ou ont donn lieu la fourniture d un correctif Veille Technologique S curit
3. 35738 61 111 101 78 TCP 445 Cl ture du protocole SMB On constatera la lecture des l ments pr c dents que l attaquant n arrive pas initialiser le service apres qu il l ait pourtant correctement transf r II abandonne apr s maints essais sans s tre aper u de son erreur le chemin d acc s utilis pour sauvegarder le fichier est incorrect x Cas particulier des acc s IRC Les acc s IRC sont majoritairement regroup s en fin de journalisation en date du 6 mars aux environs de 4h45 du matin Ceci sous entend que le client IRC a probablement t install lors de l une des compromissions pr c dentes L analyse men e pr c demment ne permettant pas d identifier une quelconque s quence d installation d un script IRC ou d un ex cutable sp cifique nous supposerons que cette installation a t initialis e en dehors de la p riode de journalisation ou bien a t effectu e par le biais du serveur d administration distant Remote Administration Conversations I RC 6 Mars 2003 04h36 09h27 Le syst me compromis tente d initialiser sans succ s une premi re session IRC vers les syst mes 209 126 161 29 et 66 33 65 58 Trame Cible 34821 209 126 161 29 TCP 6667 04 36 Tentative d ouverture 35739 66 33 65 58 TCP 6667 04 45 Tentative d ouverture Service Donn e Quelques minutes plus tard une seconde session est engag e avec succ s cette fois ci vers le syst me 63
4. un r seau de communication d nomm Internet ouvert et performant est d sormais accessible qui autorise non seulement l change de donn es mais aussi l ouverture programmable de connexions en temps r el les sources de syst mes d exploitation universitaires sont accessibles tous SUN annonce la mise disposition gracieuse de la version X86 de son nouveau syst me Solaris Linus Torvald rel ve le d fi de cr er un syst me d exploitation totalement libre LI NUX Le r sultat ne se fait pas attendre entre 1995 et 2001 plus de trente paquetages de type rootkit sont diffus s et fonctionnels en majorit dans l environnement LI NUX mais aussi sous Solaris et FreeBSD En 1996 un paquetage r unissant toutes les caract ristiques attendues d un rootkit est rendu publique Ce paquetage d nomm LRK V3 pour Linux Root Kit fera l objet de trois volutions successives la version LRK V5 publi e fin 1999 atteignant un degr de sophistication rarement gal t 18 utilitaires classiques modifi s dont chfn chsh du find ifconfig inetd killall login netstat passwd pidof ps rshd syslogd tcpd et top et 6 outils sp cifiques En 1997 deux articles d taillant une technique de manipulation dynamique des librairies partag es sont publi s dans PHRACK sous les titres vocateurs de Shared Library Redirection Phrack Vol 7 Num 51 Art 8 en date du 01 Septembre 1989 et Bypassing Integrity Checking Syst
5. en r f rence au terme robot agissant en tant qu op rateurs syst mes pour assurer le maintien des canaux mais aussi pour imposer une certaine forme de police en bannissant les utilisateurs qui ne respecteraient pas les r gles d utilisation dict es par les cr ateurs de ces canaux 4 Quelle est g n ralement l utilit d un botnet Pouss e l extr me cette logique a donn e naissance a des r seaux de bots les botnets utilisant les m canismes offerts par IRC pour communiquer entre eux et disposant de multiples fonctionnalit s activables par le biais de commandes sp cifiques transmises dans des canaux IRC d di s la communication entre bots Chaque bot devient alors un agent susceptible d tre activ distance pour engager une action quelconque un d ni de service par exemple La capacit de contr le des canaux IRC et plus largement de l Internet tant Veille Technologique S curit N 57 Page 59 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 directement li e a la taille du botnet charg de leur gestion il est de plus en plus fr quent de cr er ces r seaux de contr le partir de milliers de syst mes r partis de par le monde et disposant si possible d interconnexions de qualit Deux solutions sont couramment utilis es e utilisation de syst
6. APOGEE Communications D AARA rt Al 7 Rapport de N 57 Avril 2003 Les informations fournies dans ce document ont t collect es et compil es partir de sources d origines diverses et publiquement accessibles mailing lists newsgroups sites Web Ces informations sont fournies pour ce qu elles valent sans garantie d aucune sorte vis vis de l exactitude de la pr cision ou de la qualit de l information Les URL associ es a certains themes sont valid es la date de la r daction du document Les symboles d avertissement suivants seront ventuellement utilis s e X Site dont la consultation est susceptible de g n rer directement ou indirectement une attaque sur l quipement de consultation voire de faire encourir un risque sur le syst me d information associ Site susceptible d h berger des informations ou des programmes dont l utilisation est r pr hensible au titre de la Loi Fran aise Aucune garantie ne peut tre apport e sur l innocuit de ces sites et en particulier sur la qualit des applets et autres ressources pr sent es au navigateur WEB La diffusion de ce document est restreinte aux clients des services VTS RAPPORT et VTS ENTREPRISE Les marques et les produits cit s dans ce rapport sont la propri t des d positaires respectifs APOGEE Communications Pour tous renseignements 1 Rue Jean Rostand Offre de veille http www apogee com fr veille 91893 ORSAY CEDE
7. Le taux de transfert en protocole HTTP Le nombre maximal de transaction HTTP La gestion du trafic illicite La gestion de la fragmentation IP Le temps de latence introduit par la travers e du pare feu Les configurations physiques envisag es contiennent un pare feu deux ou trois interfaces correspondant un r seau interne un r seau externe et ventuellement une zone d militaris e Les r gles de filtrage et de translation appliqu es lors des tests telles qu elles sont d crites sont basiques En effet ces tests tant destin s tre utilis s pour le plus grand nombre possible de pare feu seules les fonctionnalit s support es par tous seront utilis es On notera la pr sence de tests destin s mesurer le comportement du pare feu en pr sence de trafic HTTP illicite ainsi que sa robustesse face des attaques de type d ni de service ici une attaque de type SynFlood Tr s utilis ce type d attaque est d sormais relativement bien g r e par les diff rents pare feu Ce RFC a le m rite de proposer des m thodes standardis es l o chacun utilise des param tres et des configurations diff rents Nous regrettons par contre la disparition de toute r f rence aux protocoles SMTP et FTP initialement trait s au m me niveau que le protocole HTTP ftp ftp isi edu in notes rfc3511 txt RFC 3514 Publi le 1 avril 2003 ce RFC propose d ajouter dans les options du protocole IP un drapeau de s curit
8. du serveur CIFS 9000 Le serveur CIFS est vuln rable au m me d bordement de buffer que Samba Critique 09 04 HP HP UX 11 10 11 11 et 11 22 utilisant un serveur CIFS 9000 Correctif existant Serveur CIFS 9000 D bordement de buffer HPSBUX0304 254 Vuln rabilit du serveur FTP Le serveur FTP des syst mes MPE iX contient une vuln rabilit permettant certains acc s non autoris s Forte 31 03 HP MPE ix 5 5 6 X et 7 X sur HP3000 Correctif existant Service FTP Non disponible HPSBMP0303 016 http www5 itrc hp com service cki docDisplay do docld HPSBMP0303 016 FE Ex cution de commandes arbitraires dans KDE Une vuln rabilit dans KDE permet d ex cuter des commandes arbitraires lors du traitement des fichiers PostScript ou PDF Forte 14 04 KDE 2 et 3 jusqu la version 3 11 induse Linux Debian 3 0 woody SSCS NUX CALDERA D LI NU N Diverses vuln rabilit s dans bonsai L outil d interrogation de base CVS bonsai contient plusieurs vuln rabilit s Critique 21 03 bonsai sur Debian paquetages inf rieurs au1 3 cvs20020224 1woody1 ou au 1 3 cv520030317 1 Correctif existant Non disponible DSA 265 1 http www debian org security 2003 dsa 265 Forte 15 04 Debian Linux 2 2 potato et 3 0 00 Veille Technologique S curit N 57 Page 29 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux servic
9. sirce5 aol com 353 rgdiuggac ixacuteoix 3s Ene OE NAMES List Le robot ayant rejoint le canal du botnet sera maintenant inform de toutes les actions de ses semblables Ici trois robots n ont pas r pondu la demande de confirmation de pr sence PING PONG et sont donc d connect s du canal lt gercgirlel gercgirloa2Lll 105 192 47 OUPS Ping cimeouts 600 seconce lt redykkyz redykkyz 218 98 84 210 QUIT Ping timeout 600 seconds lt sstehrom strehtonGls 141 244 169 QUIT Ping timeout 600 seconds Quelques instants plus tard nous apprenons que plusieurs nouveaux robots viennent de se connecter lt moinoonik moinoonik 6l 111 228 17 JOIN x ix lt 2O1wigtrl oiwagtrlG hosts4 2106211 gen net cw JOIN 3p zac rleoLz lt smikemrrh mikemrrnldyn3s 3T Sftm 212 159 plus net JOIN 4 xacuteo1x Les quelques 500 lignes suivantes sont similaires et contiennent l activit du canal xa ui dix permettant au botnet de communiquer L analyse de ces changes permet d obtenir une liste assez compl te des adresses P des syst mes sur lequel un robot a t install ainsi que le pseudonyme utilis par ce robot Un script d analyse crit pour l occasion nous permet d tablir une liste de 366 syst mes actifs sur le canal durant la p riode de journalisation dont une extrait est propos ci apr s Pseudo Serveur JOIN QUIT 218 98 81 236 aeepmoni bgp377180bgs
10. 209 126 161 29 qui ne r pond pas puis de nouveau vers le syst me 66 33 65 58 tout aussi muet et enfin vers le syst me 209 196 44 172 sur lequel une conversation est enfin tablie 35794 209 196 44 172 TCP 6667 05 23 Ouverture session IRC 54536 209 196 44 172 TCP 6667 09 27 Fin de session IRC Cette conversation qui dure plus de 4 heures contient les diff rentes actions couramment effectu es par les robots IRC charg s de maintenir le contr le et l activit d un ensemble de canaux Nous allons en tudier les principales sections le volume d change 548 lignes tant trop important pour en analyser chaque l ment NOTICE AUTH NOTICE AUIT NOTICE AUTH 7 booking up your Nesemame swsw Checking Pdent xxx No Ident response NICK rgdiuggac USER rgdiuggac localhost localhost rgdiuggac Veille Technologique S curit N57 Page 57 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 he Er lt irc5 aol com 001 rgdiuggac Welcome to the Internet Relay Network rgdiuggac lt sirc5 aol com 002 rgeiuggae sour host rec aol Comes aol com 6667 running version 2 8 hnyorid 6 3 1 Le robot se connecte correctement sur le serveur IRC distant en s annoncant sous le pseudo rgdiuggac On notera que le serveur s annonce irc5 aol com alors qu une recherche sur l adresse 209 196 44 172 no
11. TEXT infect incr menter p_ offset de PAGE SIZE modifier sh_ len dans la derni re ent te de section du segment TEXT infect en ajoutant la taille du code viral pour chaque ent te de section se trouvant apr s l insertion augmenter sh_ offset de PAGE SIZE enfin copier physiquement le code dans le segment de texte se trouvant l adresse p_ offset p filesz avant modification et compl ter a concurrence de PAGE_SIZE par un remplissage Veille Technologique S curit N 57 Page 46 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi Cette m thode d infection est doublement int ressante puisque le virus n infectera un fichier qu la condition de disposer de la place n cessaire pour s ins rer et qu un m me ex cutable pourra tre infect par diff rents codes ceux ci tant par construction cha n s les uns aux autres le code orignal tant ex cut en dernier Le lecteur retiendra de cette synth se dont nous devons avouer qu elle reste tr s technique l apparition d un ph nom ne assez nouveau dans la communaut des auteurs de codes mobiles celui de la mise en uvre d une approche m thodologique de plus en plus rigoureuse conduisant la d couverte de proc d s d infection g n riques et donc la diffusion d un mode op ratoire pr cis et ais ment mis en uvr
12. e N gociation du protocole SMB 1364 210 22 204 101 TCP 445 N gociation du protocole SMB 1688 210 22 204 101 TCP 445 Transfert du fichier admdlil di vers Winnt System32 1800 210 22 204 101 TCP 445 Ex cution du fichier r server exe en tant que service syst me 1821 210 22 204 101 TCP 445 D connexion Il ne s agit pas ici de l activit des vers W32 Deloder W32 Slackdor ou W32 Lioten qui installent une porte d rob e diff rente On notera cependant la similitude des traces journalis es avec du ver W32 Lioten dont une analyse est disponible sur le site http www mynetwatchman com kb security articles iragiworm iragitrace htm Nous n avons trouv aucune trace d un quelconque code ou ver utilisant le paquetage FAMATECH Remote Administration Une rapide tude du temps coul entre la premi re action Trame 919 05 Mars 2003 3h38mn14s et la finalisation de la compromission Trame 1821 05 Mars 2003 3h39m23s ne laisse aucun doute sur l automatisation compl te de l attaque puisqu il aura fallu a peine plus d une minute pour ouvrir un acces d rob temps de transfert des trois fichiers compris Exploitation d une vuln rabilit dans le service d indexation 5 Mars 2003 03h39 03h44 Veille Technologique S curit N 57 Page 54 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPP
13. infect modifier le point d entr e de l ent te ELF pour pointer sur le code viral p_vaddr p filesz modifier p_ filesz et p_memsz pour tenir compte du code ins r pour chaque segment TEXT se trouvant apr s le segment TEXT infect incr menter p_ offset de PAGE SIZE pour chaque ent te de section se trouvant apr s l insertion augmenter sh_ offset de PAGE SIZE enfin copier physiquement le code dans le segment de texte se trouvant l adresse p_ offset p filesz avant modification et compl ter concurrence de PAGE_SIZE par un remplissage Bien que totalement fonctionnel cet algorithme ne tient pas compte du fait que le code ajout dans le segment TEXT ne corresponde aucune section d clar e II faudra donc modifier l ent te de section pour que celle ci int gre le code viral dans la taille du segment d clar via la variable sh_len L algorithme pr c dent devient donc augmenter la valeur de e_ shoff de PAGE_ SIZE dans l ent te ELF modifier le code viral pour qu il effectue un saut sur le point d entr e original du binaire infect localiser le segment TEXT infect modifier le point d entr e de l ent te ELF pour pointer sur le code viral p_ vaddr p_filesz modifier p_ filesz et p_ memsz pour tenir compte du code ins r pour chaque segment TEXT se trouvant apr s le segment
14. kdegraphics lorng gs common epic openssl rinetd sendmail ircii mime support kdelibs gkrellm DSA 265 1 DSA 266 1 DSA 267 1 DSA 268 1 DSA 269 1 DSA 270 1 DSA 271 1 DSA 272 1 DSA 273 1 DSA 274 1 DSA 275 1 DSA 276 1 DSA 277 1 DSA 278 1 DSA 279 1 DSA 280 1 DSA 281 1 DSA 282 1 DSA 283 1 DSA 284 1 DSA 285 1 DSA 286 1 DSA 287 1 DSA 288 1 DSA 289 1 DSA 290 1 DSA 291 1 DSA 292 1 DSA 293 1 DSA 294 1 http www debian org security 2003 Veille Technologique S curit N 57 APOGEE Communications Tous droits r serv s Page 38 61 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Mandrake annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages 8 2 9 0 9 1 1 FW7 2 FW 8 2 rxvt openssl netpbm glibc kernel kernel22 Eterm mutt sendmail krb5 samba evolution gtkhtml xfsdump eog kde3 apache2 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 MDKSA 2003 034 035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050 7 2 8 0 8 1 82 8 2 7 2 8 0 8 1 82 9 0 9 0 9 0 9 0 7 2 8 0 8 1 82 9 9 9 1 FW 8 2 1 FW 7 2 FW 8 2 FW 7 2 CS 2 1 F CS 2 1 CS 2 1 CS 2 1 1 C
15. mise par l OMB Office Management and Budget Rappelons en effet que la circulaire A 130 requiert que toute organisation f d rale soit m me d valuer le niveau de s curit de son syst me d information et que chaque agence est tenue de prendre toutes les mesures techniques et organisationnelles permettant de maintenir la s curit a un niveau compatible avec les exigences d crites dans le guide SP800 53 a venir Minimum Security Controls For Federal Information Technology Systems Dans ce cadre la mise a disposition d un guide permettant de structurer la d marche de formation et de sensibilisation absolument indispensable a la bonne mise en uvre du programme f d ral est une absolue n cessit 1 Introduction 1 1 purpose 1 2 scope 1 3 policy 1 4 roles and responsibilities 1 4 1 agency head 1 4 2 chief information officer 1 4 3 information systems security officer isso 1 4 4 managers 1 4 5 users 2 Components awareness training education 2 1 the continuum 2 2 awareness 2 3 training 2 4 education 2 5 professional development 3 Building a strategy 3 1 determining agency awareness and training needs 3 2 conducting a needs assessment 3 3 developing an awareness and training strategy and plan 3 4 establishing priorities 3 5 setting the bar 4 Developing awareness and training material 4 1 developing awareness material 4 1 1 selecting awareness topics 4 1 2 sources of awareness material 4 2 developing train
16. rique sur la seule base des l ments fournis l outil sous forme binaire et les principes expos s durant la pr sentation Compl ment d information http www cansecwest com resources cgi LA LEGISLATION CYBERCI MI NALI TE Description La premi re r union multilat rale consacr e la protection des infrastructures vitales a eu lieu Paris du 24 au 26 mars 2003 au Centre de conf rences internationales Kl ber Co parrain e par la France et les Etats Unis elle a rassembl des experts de tr s haut niveau membres du G8 ainsi que de grands op rateurs du domaine concern pour la France France Telecom Le Secr tariat g n ral de la d fense nationale organise cette conf rence en liaison troite avec la d l gation des Etats Unis et le sous groupe cyber criminalit du groupe du G8 charg des questions de criminalit dit groupe de Lyon Ils ont eu pour t che de d finir des principes communs de protection des infrastructures vitales de communication Les recommandations issues de cette conf rence seront transmises aux Ministres de la Justice et de l Int rieur des membres du G8 pour leur r union de mai 2003 Compl ment d information http www ssi gouv fr fr actualites index html http www ssi gouv fr fr actualites G8 infra_vitales html http www g8 fr evian francais navigation actualites conference sur la protection des _ infrastructures vitales _g8 html NORMALI SATION AFNOR SSI NOUVELLES ORI
17. serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 AA og FORMAT DE LA PRESENTATI ON Les alertes et informations sont pr sent es class es par sources puis par niveau de gravit sous la forme de tableaux r capitulatifs constitu s comme suit Pr sentation des Alertes TITRE Description sommaire Gravit Date Informations concernant la plate forme impact e Correction Produit vis par la vuln rabilit Description rapide de la source du probl me R f rence URL pointant sur la source la plus pertinente TITRE Description sommaire URL pointant sur la source d information SYNTHESE MENSUELLE Le tableau suivant propose un r capitulatif du nombre d avis publi s pour la p riode courante l ann e en cours et l ann e pr c dente Ces informations sont mises jour la fin de chaque p riode de veille L attention du lecteur est attir e sur le fait que certains avis sont repris et rediffus s par les diff rents organismes Ces chiffres ne sont donc repr sentatifs qu en terme de tendance et d volution P riode du 22 03 2003 au 25 04 2003 Cumul 2003 Constructeurs Cumul 2002 Constructeurs P riode 2003 2002 Gene 22 eo f 165 CERT CA CERT IN CIAC y i Constructeurs ae oa 220 SGI Sun 4 Cisco Puy EEE 2 39 9 99 1 13 8 61 SGI IBM HP 18 13 5 raewn o foa Mar a z Fe 5 Cum
18. 139 c2d 2 gt 1 lt 3 dsl 213 023 049 158 arcor ip net 1445 172 16 134 191 80 e2f 6 gt 5 lt complete 4 dsl 213 023 049 158 arcor ip net 1490 172 16 134 191 57 g2h 3 gt 3 lt reset 5 61 155 126 150 1716 172 16 134 191 139 i2j 4 gt 3 lt reset 6 210 111 56 66 1929 172 16 134 191 1433 k21 1 gt ibe reset 1743 172 16 134 191 1152 271atl2 registered com 6667 eda2edb 8902 gt 9798 lt 1744 172 16 134 191 4828 199 107 7 2 31337 edc2edd 3 gt 0 lt unidirectional 1745 a66b8n163client125 hawaii rr com 3744 172 16 134 191 445 ede2edf 16 gt 13 lt complete 1746 a66b8n163client125 hawaii rr com 3745 172 16 134 191 139 edg2edh 3 gt 1 lt reset 1747 a66b8n163client125 hawaii rr com 3746 172 16 134 191 80 edi2edj 3 gt 2 lt Le lecteur s en rendra compte la pr sentation claire et synth tique permet de prendre rapidement connaissance des changes Les v nements journalis s sont repr sentatifs de l activit anormale quotidiennement constat e sur un quelconque quipement connect sur un point d acc s INTERNET e Sondages des services classiques notamment ceux permettant d identifier sans erreur possible un syst me Windows e Activit majoritairement en provenance d adresses IP allou es dynamiquement par un ISP et correspondant des acc s de type DialUp ou ADSL On notera d ores et d j l importante activit constat e sur le port UDP 1434 correspondant tr s ce
19. 241 174 144 35745 63 241 174 144 TCP 6667 04 56 Ouverture session IRC 35761 63 241 174 144 TCP 6667 04 56 Fin de session IRC La conversation journalis e montre que le programme install sur le syst me compromis tente d utiliser un pseudo ou nickname d j utilis sur le r seau IRC auquel est rattach le syst me distant lt NORLCE AUTH NOTICE AUTH NOTCH SAUTE NICK eohisou USER eohisou NOTICE AUTH ERROR oo LOOking ub your NoOsStNamMEs o www Checking rcdent x No Ident response localhost localhost eohisou Found your hostnames ircd aol com 433 eohisou Nickname is already in use Closing Links eoni isoulz255 255 255 259 Connection Manco Out Une troisi me session est ensuite engag e vers le syst me 217 199 175 100 35762 217 199 175 10 TCP 6667 04 56 Ouverture session IRC 35775 217 199 175 10 TCP 6667 04 56 Fin de session IRC La conversation journalis e montre que cette fois la connexion est refus e car le serveur distant est satur On notera que les pseudos sont vraisemblablement g n r s al atoirement par le programme de bot lt lt NOTICE AUTH NOTICE AUTH NOTICE AUTH booking up your MeSstmame xxx Checking Ident xxx No Ident response NICK rgdiuggac USER rgdiuggac localhost localhost rgdiuggac ERRORE COS Phoebe SCO oaea aero 2 NM On com yet sae e O try later La session suivante est engag e vers le syst me
20. Le lecteur pourra se reporter nos analyses pr sent es dans les rapports N 32 et 35 pour en savoir plus Avec son tude de 27 pages intitul e An overview of Unix RootKits la soci t iDefense nous propose un tour d horizon des diff rentes techniques mises en uvre par ce type d outils d attaque en d taillant notamment les diff rents proc d s permettant de maintenir un acc s sur le syst me compromis Sont ensuite tudi es les trois classes de RootKits d termin es par le moyen employ pour installer le s code s actif s modification de certains binaires du syst me centralisation du code dans un module charg dynamiquement dans le noyau dit LKM o encore dans une librairie dynamique du syst me Enfin trois RootKits classiques sont analys s en d tail en fin d tude Sa apparu en 2001 qui exploite une vuln rabilit pr sente dans la version de l poque du serveur WU Ftp et remplace de nombreux binaires syst mes WOOtkit l une des multiples variations du c l bre rootkit TOrn apparu d but 2000 qui s installe notamment dans la librairie syst me libproc RK une adaptation roumaine du c l bre LKM adore Le sommaire de cette tr s instructive tude est le suivant Executive summary RootKit Functionnality Maintain Access Attack Other Systems Concealing Evidence Types of RootKits Binary Rootkits Kernel Rootkits Library Rootkits Us
21. N57 Page 35 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Comme annonc lors la publication de Apache 2 0 45 des d tails ont t publi s concernant le d ni de service affectant les versions pr c dentes d Apache 2 du un exc s d allocation de m moire Notons qu au moins un code d exploitation a d j t publi http www idefense com advisory 04 08 03 txt CECD T 1S Reprise de l avis sur deux vuln rabilit s de Snort Le CERT a repris sous la r f rence CA 2003 13 deux avis traitant d un d bordement de buffer dans deux pr processeurs du syst me de d tection d intrusion Snort Les pr processeurs stream4 et RPC sont touch s par cette vuln rabilit exploitable a distance afin d ex cuter du code sous les droits root http www cert org advisories CA 2003 13 html FE Ci AC VE FAN Reprise de l avis MIT MITKRB5 SA 2003 005 Le CIAC a repris sous la r f rence N 062 l avis MIT concernant un d bordement de buffer dans Kerberos 5 http www ciac org ciac bulletins n 062 shtml Reprise de l avis Microsoft MS03 008 Le CIAC a repris sous la r f rence N 063 l avis de Microsoft concernant une vuln rabilit dans le moteur de scripts http www ciac org ciac bulletins n 063 shtml Reprise de l avis SGI 20030404 01 P Le CIAC a repris sous la r f rence N 075 l avis SGI 2003
22. WI N32 et UNIX II se compile galement dans ces deux environnements Notons toutefois que la version WIN32 de Nmap utilise l interface d acc s WinPcap tandis que la version Unix utilise l interface libpcap Parmi les nouveaut s pr sentes dans la version 3 2x en dehors d un bon nombre de corrections de probl mes on trouve les points suivants la r criture d une bonne partie du code en langage C l ajout du support du protocole IP V6 pour certaines plates formes et certaines m thodes de sondages la possibilit de d finir le TTL Time To Live des paquets transmis l am lioration des algorithmes utilis s par les m thodes de sondage WINDOW CONNECT et SYN TCP conduisant de meilleures performances l ajout d un nombre important de signatures de syst mes d exploitation Le paquetage Nmap est livr avec quatre fichiers de r f rence que l utilisateur pourra ventuellement modifier ou mettre jour nmap os fingerprint V ritable clef de vo te de l application ce fichier contient les signatures mises a jour de quelques 866 quipements et syst mes r seaux contre 705 dans la version V3 00 nmap services Ce fichier contient la description des services pour chacun des num ros de ports qui y sont r f renc s soit 2172 services dans la version actuelle contre 2149 services dans la version 3 0 nmap rpc Veille Technologique S curit N 57
23. adresse mais seulement l analyse d un syst me sa l identifi par son adresse IP Le principal int r t de PCHEB pipe MSSQLS INSTANCE SEE sq1 guery cette version dont le code source est livr est de SSSR pouvoir tre utilis e dans un script Compl ment d information http www sqlsecurity com uploads sqlping22 zip http www sqlsecurity com uploads sqlping_dotnet zip TECHNI QUES Description Veille Technologique S curit N 57 Page 43 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Un manuel du parfait petit constructeur de virus UNIX a t publi sur l Internet sous le titre The ELF Virus Writing HowTo Nous nous proposons de fournir une synth se des l ments fournis dans ce document en tenant compte des informations par ailleurs disponibles notamment dans les excellents papiers crits par Silvio Cesare Pour bien comprendre les m canismes mis en uvre dans l criture d un virus d une mani re g n rale et d un virus UNIX infectant les objets ELF en particulier il convient de faire quelques rappels ou compl ments d informations sur ce qu est un virus d une part et sur le format ELF lui m me d autre part Le Format ELF Le format ELF Executable and Linkable Format a t con u par les Unix System Laboratories USL en tant que partie de l Application Binary Interface Ce
24. advisories freebsd_advisory 3128 html CIAC N 073 http www ciac org ciac bulletins n 073 shtml D bordement de buffer dans le traitement d adresses e mail Un d bordement de buffer lors du traitement des adresses e mail peut causer un d ni de service ou l ex cution de code non sollicit avec les privil ges de l utilisateur sous lequel tourne le service sendmail 29 03 Sendmail jusqu la version 8 12 8 incluse Sendmail Pro toutes versions Sendmail Switch 2 1 avant la version 2 1 6 Sendmail Switch 2 2 avant la version 2 2 6 Sendmail Switch 3 0 avant la version 3 0 4 Sendmail pour NT 2 X avant la version 2 6 3 Sendmail pour NT 3 0 avant la version 3 0 4 Veille Technologique S curit N 57 Page 32 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Vuln rabilit dans l conomiseur d cran du SETI Le logiciel de calcul fourni comme conomiseur d cran par le SETI contient un d bordement de buffer Forte 06 04 SETI home 3 07 et pr c dents toutes plateformes SSCS D Multiples vuln rabilit s dans le serveur FTP Le serveur FTP de SGI contient plusieurs vuln rabilit s Forte 24 03 SGI IRIX 6 5 19fet pr c dents Correctif existant 1 amp 2 Serveur FTP3 Client 1 Conflit d acc s en mode FTP passif 2 Absence de contr le des arguments de la commande PORT 3 Absence d chappement d
25. applicability 02 BGP _ draft libin hierarchy pe bgp mpls vpn 01 0 enchmarking Applicability for Basic OSPF Convergence iSCSI draft gilligan iscsi fault tolerance 00 03 0 L2TP draft ietf I2tpext v92 moh 05 6 0 LDAP draft ietf Idapext ldap java api 18 draft weltman ldapv3 auth response 09 draft legg ldapext component matching 10 MOBILEIP draft ietf mobileip vpn problem stat req 02 MPLS raft behringer mpls vpn auth 02 aft ford natp2p 00 OO N ININ IN OO SJS O O Ww W U Hierarchy of Provider Edge Device in BGP MPLS VPN iSCSI Imp Guide for Fault Tol amp Load Bal using Temp Redirect Signalling of Modem On Hold status in L2TP The Java LDAP Application Program Interface LDAP Authorization Identity Request and Response Controls LDAP amp X 500 Component Matching Rules Problem Statement Mobile IPv4 Traversal of VPN Gateways MPLS VPN Import Export Verification Network Address Translation and Peer to Peer Applications Intra Site Automatic Tunnel Addressing Protocol ISATAP Policy Requirements for Time Stamping Authorities Framework Policy Information Base for Usage Feedback RSERPOOL Redundancy model Policy Tracing Requirements for Generic Tunnels Telephony Tunneling Protocol TTP D Q OIN O N B OU O1O O IO BYR BR BR a O GTRANS ljdraft ietf ngtrans isatap 13 O N O i s O lt O aft ietf pkix pr tsa 04 AP raft ietf rap feedback f
26. aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 sP800 35 Guide to Selecting IT Security Products AI 10 20 sP800 36 Guide to IT Security Services 10 20 sP800 37 Guidelines for the Security CEA of Federal Information Technology Systems iar 10 2002 sP800 42 Guidelines on Network Security testing AI 2002 sP800 43 System Administration Guidance for Windows2000 lRI 01 20 sP800 48 Wireless Network Security 802 11 Bluetooth and Handheld Devices fa 07 2002 SP800 53 Minimum Security Controls For Federal Information Technology Systems DI SP800 53a Techniques amp Prodedures forthe verification of Security Controls in Fed T5 DI sP800 55 Security Metrics Guide for Information Technology Systems RI 10200 SP800 56 Recommendation on Key Establishment Schemes or 01 2003 TI SP800 57 Recommendation on Key Management 01 2003 F Finalis R cemment finalis R Pour commentaire et relecture D En cours de d veloppement Compl ment d information http csrc nist gov publications nistpubs index html CONFERENCES CANSECWEST 2003 Description CanSecWest 03 L dition 2003 de la c l bre conf rence CanSecWest s est tenue du 9 au 11 Avril a ansecwest core Vancouver Les textes des pr sentations sont partiellement accessibles sur le site officiel A la lecture des pr sentations on constatera que plus de la moiti d entre elles ont d j t expos es aux
27. aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 L attaquant va maintenant tenter d ouvrir une session vers le service cible en utilisant l adresse IP du syst me tiers Deux possibilit s doivent alors tre consid r es Le service cible est actif le syst me tiers re oit une r ponse de la part du syst me cible une requ te qu il n a jamais initi II retransmet en cons quence un paquet RESET l attention du syst me cible en incr mentant le num ro de s quence IP Le service cible est inactif le syst me tiers re oit un paquet RESET de la part du syst me cible Le num ro de s quence IP n est pas modifi par cet change Service Actif Service non Actif SYN I P Tiers IPID X 1 EADE Analyse de l tat du service cible L attaquant peut maintenant d terminer l tat du service cible en analysant la valeur actuelle du num ro de s quence IP maintenu par le syst me tiers par un test identique celui de la premi re tape Le num ro de s quence sera automatiquement incr ment la suite de cet change L attaquant peut alors tirer la conclusion suivante une diff rence de deux unit s entre les num ros de s quence final et initial indique qu un change a eu lieu entre la cible et le syst me tiers et qu en cons quence le service cible est actif Bien entendu l encha nement des op rations devra tre optimal et le syst me tiers peu actif pour garantir que l volution du num ro
28. d finition de segment de code de type LOAD Ajout du code viral la fin du fichier ex cutable On remarquera qu une double infection du m me fichier ex cutable n est pas possible tant donn qu il ne peut exister qu une seule ent te de type PT_ NOTE Le gros d savantage de cette m thode est qu elle est tr s facilement d tectable Elle conduit un binaire infect dont la taille sera sup rieure celle de l original et crase le contenu d une ent te ELF suffira un outil de d tection d analyser l en t te de type PT_ NOTE pour d tecter l infection Infection d une zone de remplissage Cette seconde m thode d infection a beaucoup fait parler d elle l occasion de la diffusion du c l bre cheval de Troie Remote Shell Trojan dit RST premier code connu utiliser cette m thode Lez segment TEXT et DATA peuvent tre infect s Toutefois l infection du segment DATA implique quelques contraintes notamment le fait que celui ci soit ex cutable L infection d une zone de remplissage dans le segment de texte n cessite plusieurs actions augmenter la valeur du champ e_ shoff pour tenir compte du nouveau code dans l ent te ELF trouver l ent te de programme du segment de texte et modifier p_filesz et p_memsz pour tenir compte du nouveau code dans l ent te pour chaque ent te de programme dont le segment se trouve apres le segment de texte infect modifi
29. de s quence ne soit pas le fait d une session parasite licite ou non I P Tiers SYN ACK RESET IPID X 2 SYN ACK RESET IPID X 1 Cette technique fort astucieuse permet de berner l exploitant du syst me cible en amenant ventuellement celui ci engager une proc dure envers un tiers totalement innocent Quelques exemples d alertes remont es par Blacki ce Defender sont pr sent s dont le plus int ressant met en vidence une tentative d attaque de la part du CERT CC dont le serveur WEB a t choisi comme zombie Les RSSI et exploitants devront d sormais prendre garde a ne pas engager la responsabilit d un tiers sur la seule base de l adresse source ou du nom de domaine remont par les quipements IDS IDS data correlation Jed Haile Cette pr sentation effectu e par Jed Haile de la soci t Nitro Data System porte sur l utilisation de Argus Rapport N 42 Janvier 2002 un outil d audit des transactions IP pour am liorer la qualit de l analyse des intrusions ou plus exactement pour extraire les v nements r ellement pertinents On notera l annonce de la prochaine disponibilit d une version commerciale dit e par la soci t Qosient d Argus jusqu alors accessible gratuitement car r sultant d un contrat pass entre le d partement am ricain de la d fense et l universit de Carnegie Mellon Advances in OpenBSD Theo DeRaadt La pr sentation effect
30. fois celui ci avec des variations al atoires L attaquant devra alors non seulement d chiffrer chaque niveau de protection positionn la mani re d une pelure d oignon mais aussi faire sauter chacune des protections actives dissimul es dans les diff rents niveaux Ces techniques ont t mises en uvre dans l utilitaire de protection Shiva v0 95 qui impl mente trois niveaux imbriqu s de protection MAATE Chiffrement particulier Les sections du code original sont chiffr es sous la forme de blocs r ordonnanc s un seul bloc tant pr sent d chiffr en m moire un instant donn ETES Chiffrement g n ral L ensemble des blocs pr c demment chiffr s ind pendamment est de nouveau chiffr l aide de l algorithme AES en ajoutant un bloc de code assurant la gestion des clefs d acc s Veille Technologique S curit N 57 Page 15 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi MAA Brouillage ou obfuscation Les donn es du niveau pr c dent sont simplement brouill es dans l optique de limiter les r sultats d une analyse statique recherche de cha nes de caract res sp cifiques de section de code Les auteurs annoncent qu ils fourniront les sources de Shiva d ici 3 mois en esp rant que d ici la quelqu un aura r ussi d velopper une m thode d attaque g n
31. ma tres d ouvrages industriels II est apparu aussi indispensable d am liorer la lisibilit du cadre juridique dans lequel s inscrit le travail de s curisation des syst mes d information de l appareil d Etat Ces orientations ont t r cemment approuv es par le Cabinet du Premier ministre Un point fort de ces nouvelles orientations concerne le d veloppement industriel au plan national et europ en d une gamme de produits de s curit aptes renforcer la confiance dans les changes des administrations entre elles et avec les administr s normes techniques proc dures d valuation et certification politique d achat etc L tablissement de normes homologu es sous pilotage de l AFNOR repr sente a cet gard un facteur important de progr s Le lecteur trouvera le programme et le texte des diff rentes interventions sur le site de la DCSSI Veille Technologique S curit N 57 Page 16 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi e Allocution d ouverture e Programme de travail 2002 2003 pour la commission de normalisation S curit des Syst me d Information e Pr sentation des nouvelles orientations en mati re de SSI e Le document Mise a jour des orientations de la doctrine en mati re de s curit des syst mes d information e La pr sentation des contributions au d veloppement de la nor
32. mes personnels connect s l Internet via l ADSL ou le c ble avec le risque de voir son syst me son tour attaqu pour prendre le contr le des canaux e installation syst matique d agents sur une majorit de syst mes tiers en exploitant toutes les vuln rabilit s possibles A l heure actuelle le proc d le plus utilis consiste transporter l agent en tant que charge utile d un ver ou d un virus Tout syst me compromis ou contamin devient imm diatement et involontairement un n ud actif d un botnet A ce propos nous conseillons la lecture du remarquable article publi en 1996 sous le titre Bots are Hots dans Wired Magazine concernant le bestiaire rencontr sur IRC ainsi que de l avis CERT CA 2003 8 5 Quels sont les ports couramment utilis s par IRC La connexion sur un serveur IRC est g n ralement engag e par d faut sur le port TCP 6667 la plage TCP 6660 TCP 6669 tant consid r e r serv e a cette application Ceci tant certains r seaux IRC offrent un acc s sur d autres ports dont le port TCP 7000 6 Qu est ce qu un fichier de journalisation binaire et comment est il cr La majorit des outils d analyse r seau de d tection d intrusion et de surveillance enregistrent les v nements pertinents dans un des fichier s dits de journalisation Le format employ d pend de l application ayant g n r ce fichier mais il est d usage que les donn es enregistr es le soi
33. pinfldO1 nj comeast net aikeceeed 210 38 34 51 00 aiketonig 210 3 14 84 SS o S Veille Technologique S curit N57 Page 58 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi E137209 ppp dion ne jp OO Es 220 83 28 15 oOo 61 96 27 50 X aswinvrl 218 167 24 116 HINET IP hinet net atonmibh 222 139 7 69 axrctic 1 218 72 2 040 bikemichk 212 144 115 228 CX bockqah 210 77 114 8200 CX bohsmoni 227 nas26 austin2 tx us da qwest net f brifgir 210 113 49 118 X OOo O O Wolfcokpd 218 55 23 179 X wolflrund 218 236 6 212 o wolfpop 212 204 69 128 X wolfsoubh 211 175 1 168 X Sass X 246 c11 ethome net tw wolnmoy 61 52 19 7 218 98 96 106 cpe 066 061 020 032 midsouth rr com X 7 R ponse aux questions Arriv ce niveau de l analyse nous disposons de la majorit des l ments permettant de r pondre aux questions Niveau d butant 1 Qu est ce que IRC Sigle de Internet Relay Chat IRC peut tre consid r comme le descendant de l utilitaire UNIX talk qui permettait a plusieurs utilisateurs de discuter par le biais d un cran divis en autant de fen tres qu il y avait d interlocuteurs connect s En pratique IRC prend la forme d une v ritable infrastructure de diffusion d information dans laquelle tout mes
34. rhn redhat com errata RHSA 2003 036 html rte AAAPDMRAPPMIA N d ACROM E D d l A osition d informations via les banni res Flash Certaines banni res Flash ne validant pas les URLs utilis es par le param tre clickTAG peuvent exposer certaines informations peu sensibles Faible 11 04 Macromedia Flash fichiers SWF Correctif existant clickTAG d un l ment Flash Mauvaise impl mentation des banni res de publicit au format Flash http www macromedia com support flash ts documents clicktag_security htm MIC Vuln rabilit dans la machine virtuelle ava Une vuln rabilit dans la Machine Virtuelle Java de Microsoft permet a une applet de contourner les m canismes de protection Forte 16 04 Microsoft Windows NT 4 0 NT 4 0 Server 2000 xP Entercept 04 16 Multiples vuln rabilit s dans Internet Explorer Plusieurs vuln rabilit s dans Internet Explorer ont t publi es dont la plus s v re permet l ex cution de code arbitraire sur le syst me de l utilisateur Forte 23 04 Microsoft internet Explorer 5 01 SP3 5 5 SP2 86 08 C C Correctif existant 1 Biblioth que URLMON DLL 1 D bordement de buffer 2 Contr le File Upload 2 Mauvais cloisonnement du contr le 3 Modules de visualisation 3 Mauvais filtrage des param tres 4 Boites de dialogues 4 Mauvais filtrage des parametres MS03 015 http Wwww microsoft com technet security bull
35. s Page 44 61 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 e_phoff donne l adresse relative de l index de l ent te du programme e_ shoff donne l adresse relative de l index de l ent te des sections Ce sont en effet ces l ments qui pourront tre manipul s dans le cas d une infection virale Voyons maintenant la d finition de l ent te du programme Program segment header typedef struct HS 2 word p_type Segment type a Eur 32 EOE p_offset Segment file offset a F1f32 Addr p_vaddr Segment virtual address ae HS 2 Addr p pacer Segment physical address ey E1f 32_ Word p_filesz Segment size in file 7 Bilt SZ Word p_memsz Segment size in memory aa Ele o yord lout Macey Segment flags x E1f 32_ Word p align Segment alignment a El1f32_Phdr p_ type d finit le type de segment Dans le cas des segments chargeables du programme qu ils soient texte ou donn es le type utilis sera PT_ LOAD p_ offset contient l adresse relative du segment Cet l ment peut tre manipul dans le cas d une infection virale p_vaddr est l adresse virtuelle du segment Cette adresse peut tre utilis e en adresse de base pour adresser de mani re relative e_ entry p_filesz et p_ memsz sont respectivement la taille dans le fichier et la taille dans la m moire occup es par le segment
36. sanz whois srv 00 07 04 Using DNS SRV records to locate whois servers XMPP Instant Messaging draft ietf xmpp im 09 22 04 XMPP Instant Messaging draft ietf xmpp core 10 22 04 XMPP Core draft ietf xmpp resourceprep 02 22 04 JA Stringprep Profile for Resource Identifiers in XMPP draft ietf xmpp nodeprep 02 22 04 Nodeprep A Stringprep Profile for Node Identifiers in XMPP XXX _ draft eastlake xxx 05 16 04 sex Considered Dangerous Veille Technologique S curit N 57 Page 24 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 NOS COMMENTAIRES LES RFC RFC 3511 Ce RFC r sulte de l adoption de la proposition du groupe de l IETF Benchmark r f renc e draft ietf bmwg firewall propose un mode op ratoire pour mesurer sans quivoque les performances d un pare feu et utilise la terminologie d crite dans le RFC 2647 intitul Benchmarking Terminology for Firewall Performance Son objectif est de d finir une m thode fiable applicable tout dispositif pare feu pour en d terminer les performances Les points mesur s par la m thode propos e sont les suivants Le d bit IP maximal Le nombre de connexions TCP simultan es travers le dispositif Le taux maximal d tablissement de nouvelles connexions TCP Le taux maximal de rejet de nouvelles connexions TCP La r sistance aux d nis de service
37. souhaite tenter sa chance Nombre factoriser RSA 576 10 000 1881988129206079638386972394616504398071635633794173827007633564229888597152346654 8531906060650474304531738801130339671619969232120573403187955065699622130516875930 7650257059 RSA 640 20 000 3107418240490043721350750035888567930037346022842727545720161948823206440518081504 5563468296717232867824379162728380334154710731085019195485290073377248227835257423 86454014691736602477652346609 RSA 704 30 000 7403756347956171282804679609742957314259318888923128908493623263897276503402826627 6891996419625117843995894330502127585370118968098286733173273108930900552505116877 063299072396380786710086096962537934650563796359 RSA 768 50 000 1230186684530117755130494958384962720772853569595334792197322452151726400507263657 5187452021997864693899564749427740638459251925573263034537315482685079170261221429 13461670429214311602221240479274737794080665351419597459856902143413 RSA 896 75 000 4120234369866595438555313653325759481798116998443279828454556264338764455652484261 9809887042316184187926142024718886949256093177637503342113098239748515094490910691 0269861031862704114880866970564902903653658867433731720813104105190864254793282601 391257624033946373269391 RSA 1024 100 000 1350664108659952233496032162788059699388814756056670275244851438515265106048595338 3394028715057190944179820728216447155137368041970396419174304649658927425623934102 08643832021103729587257623585096431105640
38. sous var www apres que les modules n cessaires aient t charg s Les chemins d acc s d clar s dans le fichier de configuration sont automatiquement translat s pour refl ter le changement de point de r f rence N La mise en place de 5 m canismes destin s r duire les risques et possibilit s d exploitation d un d bordement de buffer 1 Positionnement d un bloc de taille al atoire en t te de la pile du processus conduisant rendre impr dictibles les adresses et les positions m moires normalement fixes utilis es par les codes d exploitation 2 Renforcement du contr le de la coh rence des structures m moires par la mise en place al atoire de t moins appel s canaris dans le jargon v rifi s en sortie de fonction mais aussi par un r arrangement de la structure de la pile 3 D placement des cha nes pointeurs et r f rences constantes dans un segment d di rodata accessible en lecture seule 4 Utilisation des capacit s de gestion des acc s la m moire offertes par certaines impl mentations de l unit de gestion de la m moire ou MMU Memory Management Unit En pratique seuls les processeurs sparc Ssparc64 alpha hppa autorisent une gestion efficace de la m moire Les processeurs m68k vax et mips ne disposent h las pas des fonctions n cessaires et les processeurs Ix86 et powerpc n cessitent des manipulations complexe
39. ypxfrd d un serveur NIS pour Solaris 2 6 7 8 et 9 Notons que Solaris 2 5 1 n cessite une mise jour du syst me et que Solaris 9 pour Intel n est pas impact http sunsolve sun com pub cgi retrieve pl doc fsalert 47903 Correctifs pour Samba sf v4 XN 4 XN r Sun a publi pour Solaris 9 des correctifs pour Samba vuln rable un d bordement de buffer exploitable distance http sunsolve sun com pub cgi retrieve pl doc fsalert 53580 Correctifs pour zlib Sun a publi de nouveaux correctifs pour la biblioth que zlib Ces correctifs concernent l environnement Gnome pour Solaris 8 http sunsolve sun com pub cgi retrieve pl doc fsalert 2F43541 Correctifs pour dtsession Sun a publi des correctifs pour les versions 2 6 a 8 de Solaris concernant un d bordement de buffer dans dtsession D sormais des correctifs pour les versions 2 6 a 9 de Solaris sont donc disponibles http sunsolve sun com pub cgi retrieve pl doc fsalert 52388 Correctifs pour Sun ONE iPlanet Sun a publi un avis concernant le d bordement de buffer affectant le Connector Module de Sun ONE Celui ci indique des correctifs pour la version 6 0 de Sun ONE La version 6 5 est corrig e par l application du Service Pack 1 ou de la Maintenance Update 3 http sunsolve sun com pub cgi retrieve pl doc fsalert 52022 Sun Linux et Cobalt affect s dans la fonction ptrace Sun a annonc que sa distribution Sun Linux 5 0 LX50
40. 0404 01 P traitant d un probl me dans le programme xfsdump Un utilisateur local peut exploiter cette vuln rabilit afin d acqu rir les privil ges root http www ciac org ciac bulletins n 075 shtml Reprise de l avis SGI 20030406 01 P Le CIAC a repris sous la r f rence N 076 l avis SGI 20030406 01 P au sujet de multiples vuln rabilit s affectant le sous syst me d impression LPR bsdlpr sur IRIX http www ciac org ciac bulletins n 076 shtml Reprise de l avis Microsoft MS03 013 Le CIAC a repris sous la r f rence N 077 l avis Microsoft MS03 013 au sujet d un d bordement de buffer dans le noyau des syst mes Windows ntoskrnl exe http www ciac org ciac bulletins n 077 shtml Reprise de l avis Snort 2003 04 16 1 Le CIAC a repris sous la r f rence N 078 l avis Snort 2003 04 16 1 au sujet du d bordement de buffer dans le pr processeur stream4 http www ciac org ciac bulletins n 078 shtml Reprise de l avis CERT CA 2003 11 Le CIAC a repris sous la r f rence N 065 l avis CERT CA 2003 11 au sujet de nombreuses vuln rabilit s affectant Lotus Notes et Domino http www ciac org ciac bulletins n 065 shtml Reprise de l avis de Real Networks sur RealPlayer v4 v4 I LA DE LA Le CIAC a repris sous la r f rence N 066 l avis de Real Networks concernant une vuln rabilit dans RealPlayer et RealOne http www ciac org ciac bulletins n 066 shtml Reprise de l avis CERT CA
41. 0b9e20ce5024a251 L int grit de l archive t l charg e est confirm e du moins en consid rant que la somme de contr le annonc e sur le site n a pas aussi t manipul e La d compression de l archive nous livre le fichier de travail d un volume de 18Mo Etude des donn es journalis es Le fichier sotm27 contient quelques 18Mo de donn es journalis es au format dit tcpdump Deux approches peuvent tre employ es pour tudier celles ci 1 Analyse manuelle a l aide des outils ethereal tcpdump tcptrace et tcpflow 2 Analyse semi automatique a l aide de l outil Snort Etant donn le volume de donn es a analyser nous allons proc der en trois tapes acquisition d l ments statistiques par le biais des outils ethereal et tcpdump tude des attaques en s appuyant sur tcpflow et snort et enfin si besoin tude d taill e de certains paquets sous Ethereal Obtention d lements statistiques Veille Technologique S curit N 57 Page 47 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Le chargement du fichier sotm27 sous Ethereal nous permet d obtenir les informations suivantes sur le contexte e Quelques 54536 paquets ont t journalis s entre le 1 mars 2003 10h08 et le 6 mars 9h27 e La fonction d anal
42. 2 rgdiuggac s een FORMS MS 0C Oeo Or els EE lt gire aol com 37 2 rgaLuggae 3 So if this is a legal problem in your lt zire aol com 372 rgaruggaec z country please disconnect NOW lt taco aolscom 372 rgeiuggaec s We do this tO make your IRC experience lt St en aol COM 572 rgeiruggaec s more enjoyable ner 20 coms HO r aaae End on MOTD command Le serveur informe ensuite l utilisateur qu il est accueilli en tant qu invit MODE i lt srociuggac MODE Fi z Le robot cherche joindre le canal xa ui dix et demande la liste des utilisateurs actuellement connect s sur celui ci gt MODE xqdluggae x MODE Trociuggac eta gt JOIN xa ui dix sex0r gt WHO rqdruggac Le serveur IRC confirme la requ te d accueil sur le canal xa ui dix et retourne une impressionnante liste de 6918 pseudonymes dont la constitution confirme qu il s agit d identit s employ es par d autres robots IRC utilisant le canal xa ui dix comme moyen de communication Ce botnet est en cons quence constitu d au moins 6918 1 systemes lt rgdiuggac rgdiuggac pc0191 example com JOIN xa ui dix lt irc5S aol com 353 rgdiuggac xa Ui dix rgdiuggac mikeoof riktgisli moongihli lt irco aol com 353 rgdiuggac xa Ui dix aloncoseb rrscbfgzz radlmonid mibecoohd lt irc5 aol com 353 rgdiuggac xa Ui dix mhowugxb piwhpzni rosgmivpa moonoonic lt
43. 2003 12 Le CIAC a repris sous la r f rence N 067 l avis du CERT concernant le d bordement de buffer dans Sendmail http www ciac org ciac bulletins n 067 shtml Reprise de l avis Sun Alert ID 52111 Le CIAC a repris sous la r f rence N 069 l avis de Sun concernant une vuln rabilit dans la commande newtask http www ciac org ciac bulletins n 069 shtml Reprise de l avis Sun Alert I D 50161 Le CIAC a repris sous la r f rence N 070 l avis de Sun concernant une vuln rabilit de la commande at http www ciac org ciac bulletins n 070 shtml Reprise de l avis Microsoft MS03 014 Le CIAC a repris sous la r f rence N 081 l avis de Microsoft propos de plusieurs vuln rabilit s dans Outlook Express http www ciac org ciac bulletins n 081 shtml Reprise de l avis Microsoft MSO3 015 Le CIAC a repris sous la r f rence N 082 l avis de Microsoft propos de plusieurs vuln rabilit s dans Internet Explorer Microsoft MS03 015 http www ciac org ciac bulletins n 082 shtml Veille Technologique S curit N 57 Page 36 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 a RSW U ler e ud W W J Correctif pour MAI LSweeper Clearswift a publi un correctif pour MAlLSweeper incapable de traiter des en t tes MIME malform es Le correctif met jour les version 4 3 6 SP1 en 4 3 7 htt
44. 213 170 5683 1434 1 212 162 165 18 skbbip com 212 122 20 74 dsl 20 074 primorye ru 1434 1 168 243 103 205 S 12 83 147 97 97 omaha 02rh16rt ne dial access att net 205 180 159 35 81 202 125 5 81 202 125 5 user ono com 1 68 152 53 138 Fi 157 66 73 160 240 adsi 66 73 160 240 dsli chcgil ameritech net 1 62 251 129 118 D OBT O O 62 201 96 159 adsl 159 96 adsl pool axelero hu 137 1 661 55 71 169 WE BW 1 61 177 154 228 7 137 O 61 155 126 150 1 61 140 149 137 8 61 14 66 92 8 61 11 11 54 8 24 161 196 103 bak 24 161 196 103 bak rr com 1 219 94 46 57 7 137 O O 218 87 178 167 137 bb O 1 218 237 70 119 1 217 1 35 169 pd90123a9 dip t dialin net 137 1 216 170 214 226 S 137 O O 1 213 44 104 92 Iven2 5 92 n club internet fr 213 217 55 243 55 Doo oc2 cmbg1 4 cust72 cmbg cable ntl com 212 110 30 110 gt O 211 149 57 197 a 137 y y OO 1 Veille Technologique S curit N57 Page 51 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 ipnet77 p2 anet net th 210 1221112 RE 208 186 61 2 208 186 61 2 nrp3feld roc ny frontiernet net 203 115 96 146 203 106 55 12 J 202 63 162 34 200 78 103 67 202 63 162 34 exatt com 1 164 125 76 48 8 1 162 33 189 252 1 drpp p 144 134 109 25 prem tmns net au L tude des paquets UDP transmis depuis la cible destination des syst mes tie
45. 3 HP a r vis les bulletins HPSBUX0208 212 et HPSBUX0209 218 au sujet d une vuln rabilit des imprimantes Jetdirect et Laserjet dans OpenSSL et dans le r solveur DNS Ces mises jour indiquent que les firmwares X 24 06 sont disponibles http www4 itrc hp com service cki docDisplay do docl d HPSBUX0208 212 http www4 itrc hp com service cki docDisplay do docld HPSBUX0209 218 Correctifs pour CIFS 9000 HP a r vis son bulletin HPSBUX0304 254 pour indiquer la disponibilit de nouveaux correctifs http www4 itrc hp com service cki docDisplay do docl d HPSBUX0304 254 Correctifs pour diverses vuln rabilit s sur Tru64 HP a publi de nouveaux correctifs pour la libc de ses syst mes Tru64 Les vuln rabilit s corrig es sont les suivantes d bordement de buffer dans le r solveur DNS vuln rabilit de la fonction calloc d bordement de buffer dans la fonction xdrmem_getbytes d nis de service contre le service RPC Cette derni re vuln rabilit semble similaire a celle d j connue sur Solaris De plus il est possible qu elle soit galement pr sente dans les systemes HP UX bien que cela ne soit pas confirm http www 1 ibm com services continuity recover1 nsf MSS MSS OAR E01 2003 0462 1 Correctif pour Sendmail Hp a publi pour ses syst mes MPE iX 7 0 et 7 5 un correctif pour Sendmail sujet a un d bordement de buffer dans le traitement des en t tes http www4 itrc hp com service cki do
46. 66 BADTRANS a O O 13 997 FUNLOVE 4 11 685 eon O gt o o a OPASERV 2 OT Un second tableau tout aussi int ressant page 24 du rapport pr cise le vecteur de transport utilis par les virus ou codes mobiles depuis 1996 Vecteur 1996 1997 1998 1999 2000 2001 2002 Attachement messagerie 9 26 32 56 87 _83 86 T l charg ement depuis I nternet Parcours de sites WEB 0 s 2 3 o 7 4 Distribution de logiciel F 0 3 3f 0f Disquette ou autre m dia 71 84 64 27 7 1f 0 Autres vecteurs ff 5f if 1 1 at 3 Ne sais pas Ces donn es confirment l importance pour ne pas aie la ne me la messagerie dans la distribution et la propagation des virus le second vecteur semblant tre celui du transfert par le biais des services Internet De notre point de vue les ann es venir devraient faire appara tre un r quilibrage entre les deux principaux modes de propagation la messagerie et l exploitation automatis e de vuln rabilit s ce mode n tant h las pas explicitement identifi et pris en compte dans l tude de l ICSA La table des mati res de ce rapport est la suivante Executive Overview Objectives Research Methodology Confidence Selection Rounding Previous work Principal Findings 2002 Demographics How common are virus encounters Chance of a disaster Respondent perception of the virus problem Detailed Findings Ever changing Viruses and Prevalence Virus Encounters Top Reported vi
47. 73501508187510676594629205563685529475213 500852879416377328533906109750544334999811150056977236890927563 150 000 1847699703211741474306835620200164403018549338663410171471785774910651696711161249 8593376843054357445856160615445717940522297177325246609606469460712496237204420222 6975675668737842756238950876467844093328515749657884341508847552829818672645133986 3364931908084671990431874381283363502795470282653297802934916155811881049844908319 5450098483937752272570525785919449938700736957556884369338127796130892303925696952 53261620823676490316036551371447913932347169566988069 RSA 2048 200 000 2519590847565789349402718324004839857142928212620403202777713783604366202070759555 6264018525880784406918290641249515082189298559149176184502808489120072844992687392 8072877767359714183472702618963750149718246911650776133798590957000973304597488084 2840179742910064245869181719511874612151517265463228221686998754918242243363725908 5141865462043576798423387184774447920739934236584823824281198163815010674810451660 3773060562016196762561338441436038339044149526344321901146575444541784240209246165 1572335077870774981712577246796292638635637328991215483143816789988504044536402352 7381951378636564391212010397122822120720357 Veille Technologique S curit N 57 Page 9 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi Compl ment d information ht
48. 94 106 TCP 80 HTTP HEAD 21374 24 197 194 106 TCP 80 HTTP HEAD scripts pl 29635 24 197 194 106 TCP 80 HTTP HEAD scripts check bat winnt system32 cmd exe 30324 24 197 194 106 TCP 80 HTTP POST index asp Tentatives d exploitation d un d bordement de buffer 5 Mars 2003 12h05 12h10 Ce m me syst me 24 197 194 106 tente ensuite d exploiter le d bordement de buffer associ au serveur d index IIS mais sans aucun succ s Trame Source Service Donn e 30461 24 197 194 106 TCP 80 HTTP GET NULL printer 24 197 194 106 TCP 80 HTTP GET NULL ida AAAAAAAAAA 30888 24 197 194 106 TCP 80 HTTP GET NULL ida AAAAAAAAAA Tentative d attaque CODE RED 6 Mars 2003 00h24 Le syst me 218 25 147 83 est infect par le ver Code Red qui tente de se propager sans grand succ s Trame Source Service Donn e 32885 9 218 25 147 83 TCP 80 HTTP GET default ida NNNNNNNN hacked by chinese Tentative d installation du serveur d acces 6 Mars 2003 04h35 04h38 Le syst me 61 111 101 78 utilise la technique de l ouverture d un partage anonyme pour installer le service PSExeSvc exe puis tente activer celui ci via une commande RPC Parfaitement document sur le site NtKernel la page accessible via http www ntkernel com articles psexec shtml ce service se comporte comme un point d acc s distant permettant le pass
49. Ce drapeau binaire baptis Evil bit doit permettre un filtrage plus efficace du trafic valide en rejetant tout paquet dont le drapeau aura t positionn par l metteur S appuyant sur une coop ration efficace entre attaquants et attaqu s cette proposition d impl mentation pourrait bien rapidement se terminer en queue de poisson ftp ftp isi edu in notes rfc3514 txt Veille Technologique S curit N 57 Page 25 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 ALERTES ET ATTAQUES ALERTES GUI DE DE LECTURE La lecture des avis publi s par les diff rents organismes de surveillance ou par les constructeurs n est pas toujours ais e En effet les informations publi es peuvent tre non seulement redondantes mais aussi transmises avec un retard cons quent par certains organismes D s lors deux alternatives de mise en forme de ces informations peuvent tre envisag es Publier une synth se des avis transmis durant la p riode de veille en classant ceux ci en fonction de l origine de l avis Publier une synth se des avis transmis en classant ceux ci en fonction des cibles La seconde alternative pour s duisante quelle soit ne peut tre raisonnablement mise en uvre tant donn l actuelle diversit des syst mes impact s En cons quence nous nous proposons de maintenir une synth se de
50. ENTATIONS DE L ETAT EN SECURITE DES SI Description Le jeudi 27 mars l AFNOR Association Fran aise de Normalisation et la DCSSI ont organis une journ e ayant pour theme la politique de l tat en mati re de s curit des syst mes d information et plus particuli rement en ce qui concerne la normalisation Nous reproduisons ci dessous l introduction propos e par Henri Serres le Directeur de la s curit des syst me d information Le d veloppement de l administration lectronique et l accroissement des menaces potentielles sur les r seaux rendent plus n cessaire que jamais la s curisation des syst mes d information qui assurent le bon fonctionnement de l appareil d Etat Au cours de l ann e 2002 la Commission Interminist rielle pour la S curit des Syst mes d Information CI SSI a entrepris de r soudre certaines difficult s auxquelles elle se trouvait confront e manque de produits de s curit qualifi s faible implication des industriels fran ais voire europ ens dans l laboration de tels outils flou dans les partages de responsabilit entre les diff rents acteurs insuffisance de gestion d ensemble des questions de s curit dans le d veloppement et l exploitation des syst mes d information Ce travail a conduit proposer une s rie d orientations nouvelles dans les actions mener et les relations a d velopper entre les diff rents acteurs organisme r gulateur fonctionnaires de s curit
51. NC une soci t domicili e Beijing en Chine En exploitant la possibilit d acc der aux volumes de stockage du syst me cible par le biais des partages administratifs l attaquant a pu installer un outil de prise de contr le a distance Remote Administration V2 0 Les actions engag es par l interm diaire de cet acc s n ont h las pu tre d termin es de par la nature du protocole utilis Conclusion Notre analyse peut para tre complexe et longue mais nous avons volontairement choisi d utiliser plusieurs approches pour mettre en avant les avantages et inconv nients de chacune Nous aurions pu aller imm diatement l essentiel en utilisant une version de snort configur e et optimis e ou de tout autre outil offrant une fonction de recherche de signature d attaque pour l analyse a posteriori de journaux Dans le monde r el une telle analyse aurait t facilit e par la possibilit d tudier en d tail le syst me compromis pour y rechercher d autres traces et indices Cependant rares sont les environnements de production pour lesquels la XN totalit des changes sont journalis s Nous aurions donc probablement t confront l absence de nombreuses traces r seaux forts utiles pour reconstituer avec pr cision le cheminement de l attaque Pour conclure nous conseillons la lecture de l article publi le 9 avril sur ZDNET par les chercheurs de l universit d AZULA ayant propos ce d fi
52. NERATEURS DE TEST Nom Fonction Ver Date Source i O Elza Requ tes HTTP 1 4 5 01 04 00 http www stoev org elza project news html ___ o FireWalk Analyse filtres 5 0 20 10 02 lhttp www packetfactory net firewalk ____ o o o IPSend___ PaquetsIiP_____ 2 1a 19 09 97 fftp coombs anu edu au pub net mise o o DrawBridge PareFeu FreeBsd 19 04 00 http drawbridge tamu edu Filtre datagramme 3 4 31 07 12 02 http coombs anu edu au ipfilter ip filter html TUNNELS FreeSwan__Pile PSec_ 2 00 28 04 03 http www freeswan org gt S http tunnel Encapsulation http 3 0 5 06 12 00 http www nocrew org software httptunnel html _ _ A OpenSSH__ Pile SSH1et2 3 6 1 01 04 03 http www openssh com _ _ gt S Stunnel Proxy https 4 04 12 01 03 http www stunnel org TeraTerm Pro Terminal SSH2 08 10 02 http www ayera com teraterm Zebedee Tunnel TCP UDP 29 05 02 http www winton org uk zebedee Veille Technologique S curit N 57 Page 19 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi ORMES ET STANDARDS LES PUBLICATIONS DE L IETF LES RFC O e RFC TRAITANT DE LA SECURITE Stat il heme LA im Date I ta Pitre AVRIL 3514 04 03 Inf The Security Flag in the IPv4 Header n BENCH 3511 04 03 Inf Benchmarking Methodology for Fi
53. ORT et VTS ENTREPRISE Avril 2003 Imm diatement apr s l activation de la porte d rob e le syst me 210 22 204 101 continue son activit en tentant d exploiter un d bordement de buffer pr sent dans le service d indexation d llS par le biais de diverses variations d une m me s quence d attaque chaque tentative tant imm diatement suivie d un essai de connexion sur le port TCP 99 qui choue On notera que la re connexion sur le serveur WEB correspondant la tentative d attaque suivant n est pas toujours imm diatement autoris e Source _ Service Donn e 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 1892 210 22 204 101 TCP 99 1898 210 22 204 101 TCP 90 Tentative de connexion WEB choue 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 1917 210 22 204 101 TCP 99 1925 210 22 204 101 TCP 90 Tentative de connexion WEB choue 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 1942 210 22 204 101 TCP 99 1948 210 22 204 101 TCP 90 Tentative de connexion WEB choue 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 1974 210 22 204101 TCP 99 1981 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 210 22 204 101 TCP 99 Tentative de connexion choue 1993 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 1997 210 22 204 101 TCP 99 Tent
54. Page 5 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Ce fichier contient la liste des num ros des programmes SUN RPC connus dans un format identique celui du fichier rpc sous UNIX soit 451 programmes nmap protocols Ce fichier contient la description de quelques 129 num ros de protocoles IP enregistr s UDP TCP et ICMP ne sont que trois protocoles IP parmi 255 possibles On notera que durant la p riode de test de la version 3 20 trois nouvelles versions sont apparues Nmap V3 21 devenue par la suite Nmap V3 23 Nmap V3 25 puis Nmap V3 26 En dehors de l impl mentation d une nouvelle m thode de sondage UDP dite ping scan UDP le reste des modifications concerne la correction de probl mes d importance variable Compl ment d information http www insecure org nmap nmap_download html LES TECHNOLOGIES INTRUSION RESULTAT DU CONCOURS HONEYD Description Le 17 f vrier 2003 Niels Provost l auteur du logiciel libre honeyd lan ait un concours d nomm Honeyd challenge visant am liorer les fonctionnalit s de ce logiciel Rappelons que celui ci permet de recr er un environnement de syst mes et d quipements purement virtuels II est ainsi possible d observer et d tudier le comportement de syst mes tiers et les attaques en provenance de c
55. Quelle est g n ralement l utilit d un botnet 5 Quels sont les ports couramment utilis s par IRC 6 Qu est ce qu un fichier de journalisation binaire et comment est il cr 7 Avec quels serveurs IRC le syst me compromis dont l adresse est 172 16 134 191 communique t il 8 Sur la p riode d analyse combien de syst mes distincts ont acc d le botnet via le serveur 209 196 44 172 9 En consid rant que chaque n ud du botnet dispose d un lien de 56Kps quelle est la bande passante du botnet Niveau interm diaire 1 Quelles sont les adresses IP sources utilis es pour attaquer le pot de miel 2 Quelles vuln rabilit s les attaquants ont ils tent d exploiter 3 Quelles ont t les attaques r ussies Pr paration de l environnement N La premi re tape consiste pr parer l environnement d analyse sur nos syst mes LINUX et Windows Nous utiliserons principalement les outils Ethereal dans sa version 0 9 11 et snort dans sa distribution 1 9 1 Validation du fichier livr Le fichier sotm27 zip d une taille de 13Mo contient les journaux g n r s par snort au format dit binaire Un rapide contr le de la somme cryptographique MD5 du fichier zip permet de s assurer de l int grit de la distribution ici Cs gt maS Sotm27 zio 868a97c642f926630b9e20ce5024a251 comparer avec la somme donn e sur le site du d fi MD5 sotm27 gz 868a97c642f92663
56. RED raft ietf sacred protocol bss 07 SIGTRAN raft ietf sigtran security 02 raft ietf smime hmac key wrap 02 raft ietf smime camellia 03 raft ietf secsh fingerprint 01 raft ietf secsh dns 04 raft ietf syslog sign 10 res irpficletf tls openpap keys 03 0 raft ietf tls rfc2246 bis 04 raft blake wilson xmldsig ecdsa 05 raft ietf xmpp e2e 02 2 DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE aaja RADI US draft congdon radius 8021x 29 18 04 IEEE 802 1X RADIUS Usage Guidelines O WW O OJO BIS ecurely Available Credentials Protocol ecurity Considerations for SIGTRAN Protocols rapping an HMAC key with a Triple DES Key or an AES Key se of the Camellia Encryption Algorithm in CMS SH Fingerprint Format sing DNS to securely publish SSH key fingerprints yslog Sign Protocol sing OpenPGP keys for TLS authentication he TLS Protocol Version 1 1 CDSA with XML Signature Syntax nd to End Object Encryption in XMPP ajajajaja N O WJ O O ININ SIN N O O O O SR wWIR O N D Q OJN AJW Ojo ee Q N 10 D mms Ten se D ga am faia J a neme N om du Draft ate Ir draft le aaa diameter mobileipv6 03 04 Diameter Mobile Pv6 Application B m O WIR raft ietf bmwg ospfconv term 03 03 JOSPF Benchmarking Terminology and Concepts draft ietf bmwg ospfconv intraarea 04 Benchmarking Methodology for Basic OSPF Convergence draft ietf bmwg ospfconv
57. RedHat annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 RHSA 2003 glibc kernel22 evolution samba kerberos sendmail dhcp openssl vsftpd kerberos eog netpbm balsa samba mgetty kernel24 httpd rhn gtkhtml tcodump RHSA 2003 089 00 088 01 108 03 095 03 051 01 120 01 034 01 101 01 084 01 091 01 128 01 060 01 109 03 137 02 036 01 135 00 139 01 080 01 126 01 032 01 6 2 7 0 7 1 7 27 7 37 8 0 6 2 7 0 0 7 0 7 0 7 6 2 7 0 7 1 7 0 7 1 7 1 7 1 Correctif pour le service d indexation de NT 4 0 Microsoft a publi un correctif pour le service d indexation de Windows NT 4 0 sujet a une vuln rabilit de type cross site scripting Microsoft MSO0 084 http www microsoft com technet security bulletin ms00 084 asp R vision majeure de l avis MS03 007 Microsoft a r vis son bulletin MS03 007 pour indiquer que la vuln rabilit pr sente dans ntdll dll et annonc e sur Windows 2000 affecte galement Windows NT 4 0 bien que les codes d exploitation existants soient inefficace contre ce syst me Un correctif est disponible http Wwww microsoft com technet security bulletin MS03 007 asp Correctif pour Windows 2000
58. TS ENTREPRISE Avril 2003 he Er PANA draft ietf pana pana 00 03 04 Protocol for Carrying Authentication for Network Access PANA SSH draft ietf secsh newmodes 00 24 03 SSH Transport Layer Encryption Modes MI SE A JOUR DE DRAFTS TRAITANT DE LA SECURITE on Draft neme N om du ate Ir AAA _ draft irtf aaaarch handoff 01 24 04 Experimental Handoff Extension to RADIUS raft murray auth ftp ssl 11 127 03 Securing FTP with TLS raft ietf dnsext dnssec records 03 24 03 Resource Records for DNS Security Extensions raft danisch dns rr smtp 01 115 04 A DNS RR for simple SMTP sender authentication HEALTH __ draft marshall security audit 03 IKE _ i draft dupont ikev2 addrmgmt 02 draft ietf ipsec esn addendum 01 10 04 Extended Sequence Number Addendum to IPsec DOI for ISAKMP INCH _ draft ietf inch iodef 01 MOBILEIP draft ietf mobileip mipv6 ha ipsec 04 draft ietf mobileip vpn problem solution 01 ae ietf pana requirements 05 draft ietf pana threats eval 03 draft ietf pkix certstore http 05 24 03 Internet X 509 PKI Certificate Store Access via HTTP draft ietf pkix acpolicies extn 03 07 04 Attribute Certificate Policies extension raft chiba radius dynamic authorization 18 23 04 Dynamic Authorization Extensions to RADIUS raft aboba radius rfc2869bis 20 23 04 RADIUS Support For Extensible Authentication Protocol EAP raft aboba radius iana 07 24 04 IANA Considerations for RADIUS 1 SAC
59. X Informations vts info apogee com fr APOGEE Communications Tous droits r serv s Avril 2003 Au sommaire de ce rapport PRODUITS ET TECHNOLOGIES 5 LES PRODUITS 5 AUDIT D NMAP V3 20 V3 25 5 LES TECHNOLOGIES 6 NTRUSION 6 RESULTAT DU CONCOURS HONEYD 6 ROOTKITS 7 IDEFENSE ETAT DE L ART DES ROOTKITS 7 INFORMATIONS ET LEGISLATION 9 LES INFORMATIONS 9 CRYPTOGRAPHIE 9 CHALLENGE RSA 160 9 WIFI 10 DCSSI S CURIT DES R SEAUX WIFI 10 TENDANCES 10 CSA 8IEME RAPPORT ANNUEL 10 NIST SP800 50v2 BUILDING AN INFORMATION TECHNOLOGY SECURITY AWARENESS 12 NIST ETAT DES GUIDES DE LA SERIE SP800 12 CONFERENCES 13 CANSECWEST 2003 13 LA LEGISLATION 16 CYBERCI MI NALITE 16 G8 PROTECTION DES INFRASTRUCTURES VITALES 16 NORMALISATION 16 AFNOR SSI NOUVELLES ORIENTATIONS DE L TAT EN S CURIT DES SI 16 LOGICIELS LIBRES 18 LES SERVICES DE BASE 18 LES OUTILS 18 NORMES ET STANDARDS 20 LES PUBLICATIONS DE L I ETF 20 LES RFC 20 LES DRAFTS 20 NOS COMMENTAIRES 25 LES RFC 25 RFC 3511 25 RFC 3514 25 ALERTES ET ATTAQUES 26 ALERTES 26 GUIDE DE LECTURE 26 FORMAT DE LA PRESENTATION 27 SYNTH SE MENSUELLE 27 ALERTES D TAILL ES 28 AVIS OFFICIELS 28 AMAVI S 28 APACHE 28 APPLE 28 BEA 28 CI SCO 28 DNS 29 GAI M ENCRYPT 29 HP 29 KDE 29 LI NUX CALDERA 29 LI NUX DEBI AN 29 LI NUX REDHAT 30 MACROMEDI A 31 Veille Technologique S curit N57 Page 2 61 APOGEE Communications Tous droi
60. a librairie ntdll dll et exploitable via la fonctionnalit WebDAV IIS 5 0 a t diffus hier soir sur de nombreuses listes de diffusion L tude rapide du code propos montre que celui ci tente d exploiter la vuln rabilit via la requ te WebDAV SEARCH sur la cible dont on aura pr alablement fourni l adresse IP en param tre Si l attaque fonctionne une connexion offrant l acc s l interpr teur de commande est ouverte en retour sur le port TCP 666 du poste de l attaquant reverse remote shell La mise jour des syst mes vuln rables devient urgente http rafa hOstile net wbr c Source http www darksite ch edsa coromputer temp wb exe Executable http archives neohapsis com archives vulnwatch 2003 q1 0150 html BULLETINS ET NOTES Les bulletins d information suivants ont t publi s par les organismes officiels de surveillance et les diteurs Veille Technologique S curit N 57 Page 41 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Publication des statistiques au premier trimestre 2003 Le CERT a publi les statistiques relatives aux incidents et vuln rabilit s ayant t trait s au premier trimestre de l ann e 2003 Le nombre d incidents est de 42586 soit la moiti de toute l ann e 2002 Le nombre de vuln rabilit s est de 959 ce qui est stable depuis l an pass Le nombre d alertes est e
61. ache org dist 2 0 45 30 03 03 ModSSL API SSL Apache 1 3 27 2 8 14 23 10 02 http www modssl org MySQL Base SQL 23 56 13 03 03 http www mysql com doc N e News 3 23 x html 15 03 03 SQUID Cache WEB 17 03 03 lhttp www squid cache org MAJORDOMO Gestion des listes 1 94 5 15 01 00 http www greatcircle com majordomo OpenCA Gestion de certificats 0 9 1 1 28 02 03 lhttp www openca org openca download releases shtml 7 OpenLDAP Gestion de l annuaire 2 1 17 04 04 03 fftp ftp openldap org pub OpenLDAP openidap release LES OUTILS Une liste non exhaustive des produits et logiciels de s curit du domaine public est propos e dans les tableaux suivants LANGAGES SPLINT Analyse de code 3 0 1 6 18 02 02 http Iclint cs virginia edu 12 08 02 http www cpan org src index html WEB Dynamique 17 02 03 http www php net downloads php ANALYSE RESEAU i 15 05 02 fhttp bb4 com Dsniff Boite outils 2 3 17 12 00 fhttp www monkey org dugsong dsniff EtterCap Analyse amp Modification 0 6 9 27 01 03 http ettercap sourceforge net index php s history Analyse multiprotocole 0 9 11 10 03 03 http www ethereal com IP Traf Statistiques IP 19 05 02 http cebu mozcom com riker iptraf Nstreams SamSpade Boite outils 1 14 10 12 99 lhttp www samspade org ssw Veille Technologique S curit N57 Page 18 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux c
62. age Future Trends Case Studies Captured RootKits SA First generation binary Rootkit WOOTKit One of the many children of TOrn Rk Hidden but not enought Conclusion End Notes About the author Acknowledgements Nous recommandons la lecture de ce document a tout personne soucieuse de comprendre le fonctionnement d un rootkit et les risques associ s l installation de celui ci sur un quelconque syst me syst me personnel poste bureautique ou serveur Compl ment d information http www idefense com papers html Veille Technologique S curit N 57 Page 8 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Ah wje LES INFORMATIONS CRYPTOGRAPHIE Description En 1991 la soci t RSA Security lan ait la communaut des cryptanalystes une s rie de 41 d fis intitul s RSA Factoring challenge dont l objectif consistait en la factorisation r duction sous la forme des deux facteurs premiers de nombres dont la longueur s chelonnait de 100 500 chiffres par pas de 10 chiffres Par le pass quatre de ces d fis ont t remport s dont RSA 129 RSA 130 RSA 140 termin le 2 02 1999 et RSA 155 termin le 22 08 1999 Devant le calme plat qui s tait install apr s cette s rie de d fi 2 ans sans qu aucun des d fis RSA Factoring Challenge restant n ait t tent la soci
63. age de commandes par le biais d une connexion SMB ouverte destination de plusieurs Pipe Nomm un telnet pour Windows en quelque sorte Trame Source Service Donn e N gociation du protocole SMB Enum ration de la base de s curit N gociation du protocole SMB 33280 61 111 101 78 TCP 445 Transfert du fichier psexesvc exe vers System32 Tentative d ex cution de SYSTEMROOT System32 psexesvc exe Relecture du fichier psexesvc exe Destruction du fichier System32 psexesvc exe Transfert du fichier psexesvc exe vers System32 33678 61 111 101 78 TCP 445 Transfert du fichier inst exe vers System32 V rification pr sence du fichier System32 psexesvc exe Destruction du fichier System32 psexesvc exe Transfert du fichier psexesvc exe vers System32 Tentative d ex cution de SYSTEMROOT System32 psexesvc exe 34670 61 111 101 78 TCP 445 Tentative de transfert de System32 psexesvc exe Tentative d ex cution de systemeroot System32 psexesvc exe V rification pr sence du fichier System32 psexesvc exe V rification pr sence du fichier System32 psexesvc exe Destruction du fichier System32 psexesvc exe Transfert du fichier psexesvc exe vers System32 34831 61 111 101 78 TCP 445 Tentative d ex cution de systemeroot System32 psexesvc exe V rification pr sence du fichier System32 psexesvc exe V ri
64. ainsi que les produits Sun Cobalt RaQ XTR Qube3 RaQ4 CacheRaQ4 3100CR RaQ550 et Control Station SCCS sont affect s par la vuln rabilit d couverte dans la fonction ptrace du noyau Un utilisateur local peut exploiter cette faille afin d obtenir les privil ges du compte root Les correctifs ou parades sont en attente et ne sont pas disponibles ce jour http sunsolve sun com pub cgi retrieve pl doc fsalert 52081 Correctif pour at Sun a publi un correctif pour Solaris 2 6 pour la commande at qui permettait un utilisateur local de d truire des fichiers du syst me http sunsolve sun com pub cgi retrieve pl doc fsalert 50161 Correctifs pour cachefsd Sun a publi de nouveaux correctifs pour le service cachefsd sujet un d bordement de buffer Un correctif est d sormais disponible pour chaque version de Solaris depuis la 2 5 1 http sunsolve sun com pub cgi retrieve pl doc fsalert44309 CODES D EXPLOITATION Les codes d exploitation des vuln rabilit s suivantes ont fait l objet d une large diffusion LINUX EVA onibilit d un code d exploitation Un code d exploitation pour la vuln rabilit affectant la fonction ptrace du noyau de Linux est disponible sur le site Securiteam permet un utilisateur local d acqu rir les privil ges de root http www securiteam com exploits 5CPOQOU9FY html Un code d exploitation tirant parti du d bordement de buffer pr sent dans l
65. antec a publi une note indiquant comment utiliser les r gles de filtrage d URL de son pare feu SEF Symantec Enterprise Firewall pour se prot ger des URLS encod es des fins de contournement de filtrage Rappelons ce propos que cette fonctionnalit est destin e se prot ger de l emploi de caract res encod s dans un but de dissimulation et non effectuer un filtrage des pages acc d es http Wwww corsaire com advisories 030224 002 txt http servicel symantec com SUPPORT ent gate nsf docid 2003032507434754 Veille Technologique S curit N 57 Page 42 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 ATTAQUES OUTILS Description L utilitaire SQLPingV1 2 d velopp par Chip Andrews facilite la recherche des serveurs sur lesquels le service SQL Server est actif Cette version disponible depuis mai 2002 fonctionne en environnement WIN32 Elle offre une interface graphique ergonomique EME Ri Cs lst EE TS aoa a permettant d engager tr s rapidement un sondage na ue _ Live IP Addresses Fie Deux options fort utiles sont par ailleurs propos es D aches ee a nn e Une recherche des syst mes SQL actifs par ieas p pe see l analyse de la reponse a une requ te ICMP Echo hs ets l ou ping puis analyse de l activit SQL pee p e Le sondage forc et sy
66. article confirmant notre analyse Compl ment d information http project honeynet org scans scan27 http www cert org advisories CA 2003 08 htmI http www wired com wired archive 4 04 netbots_pr html http www zdnet com au newstech security story 0 2000024985 20273555 00 htm Veille Technologique S curit N 57 Page 61 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE
67. ative de connexion choue 2004 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 2008 210 22 204 101 TCP 99 2015 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 2019 210 22 204 101 TCP 99 HTTP GET NULL ida CCCCCCCCCC cmd exe 2030 210 22 204 101 TCP 99 2037 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe Tentative de connexion choue 2037 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 2041 210 22 204 101 TCP 99 Tentative de connexion choue 2037 210 22 204 101 TCP 80 HTTP GET NULL ida CCCCCCCCCC cmd exe 2041 210 22 204 101 TCP 99 Tentative de connexion choue Les recherches men es sur Internet pour identifier le SHELLCODE activ par le d bordement de buffer n ont rien donn d autant que ce code semble tre brouill pour viter une lecture trop imm diate Nous reconnaissons ne avoir eu le temps d effectuer la r tro analyse de celui ci mais nous soup onnons celui ci d ouvrir un acc s permettant de passer des commande via le port TCP 99 comme le laisse entendre les nombreuses tentatives de connexion journalis es loitation de l acc s distant Remote Administration 5 Mars 2003 03h44 03h48 L acc s ouvert par Remote Administration sur le port TCP 4899 est ensuite exploit avec succ s durant 4 minutes A ce propos la question se pose de savoir si les tentatives de connexion sur le po
68. cDisplay do docl d HPSBMP0303 017 Mise a jour de l avis sur xdrmem getbytes HP a mis jour son avis sur la vuln rabilit affectant la fonction xdrmem_getbytes La modification concerne le script d installation des correctifs temporaires pour lequel des commandes avaient t omises http www5 itrc hp com service cki docDisplay do docld HPSBUX0303 252 Correctif pour Sendmail HP a publi des correctifs pour Sendmail pour ses syst mes HP UX http www5 itrc hp com service cki docDisplay do docl d HPSBUX0304 253 Correctifs pour OpenSSL HP a publi pour ses syst mes HP UX 11 00 11 11 et 11 22 des correctifs pour plusieurs vuln rabilit s affectant OpenSSL La premi re autorise des attaques cryptographiques bas es sur le temps et la seconde permet d attaquer les sessions SSL TLS bas es sur l algorithme de chiffrement RSA et utilisant le padding d crit par PKCS 1 http www4 itrc hp com service cki docDisplay do docld HPSBUX0304 255 Veille Technologique S curit N 57 Page 37 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Correctif pour Apache HP a publi un correctif pour Apache correspondant la version 2 0 45 Les versions 2 0 44 et pr c dentes sont sujettes plusieurs vuln rabilit s http www4 itrc hp com service cki docDisplay do docl d HPSBUX0304 256 R sum des vuln rabilit s de Lo
69. ccess referer contient une vuln rabilit de d r f rencement de pointeur NULL Moyenne 17 04 Module mod_access_referer 1 0 2 Correctif existant Module mod access referer D r f rencement de pointeur NULL SafeMode http safemode org files zillion advisories safemode adv marf txt D ni de service contre HP Instant TopTools Le programme de supervision HP Instant TopTools permet de provoquer le blocage du syst me sur lequel il est install Moyenne 31 03 HP Instant TopTools inf rieur la version 5 55 Correctif existant HP Instant TopTools Consommation excessive de ressources par boucle infinie http www securityfocus com archive 1 316954 Veille Technologique S curit N 57 Page 34 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Une vuln rabilit dans service ftpd permet d obtenir un acc s non autoris Forte 24 04 IBMAXS2 A NKSYS passe administrateur Forte 15 04 LinkSys WAP11 version 2 2 Firmware 1 1 Correctif existant Points d acc s sans fil LinkSys Non chiffrement du mot de passe http www securiteam com securitynews 5ZPODOU9PQ html Non v rification de la cl ique du serveur RDP Forte 10 04 Microsoft Windows NT 2000 et XP D ni de service dans I nternet Explorer Internet Explorer est vuln rable a un d ni de service via la balise OBJ ECT
70. charter com Veille Technologique S curit N 57 Page 48 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 ip 203 68 theramp net 162 251 129 118 62 201 96 159 adsi 159 96 adsl pool axelero hu 139 6155 71 169 M OETA CT BB 61 155 126 150 3 61 140 149 137 EE 4 64 221 42 washdc3 ar2 4 64 221 042 washdc3 elnk dsl genuity net 139 1 RES EE 218 87 178 167 a 218 163 9 89 218 163 9 89 HINET IP hinet net BD 217 222 201 82 host82 201 2001217222 interbusiness it 139 213 7 60 57 b3c39 pppoolde O O oO oOo o has 1 ee O 213 116 166 126 1cust126 tnt36 rtml nid da uu net 9 2 cmbg1 4 cust72 cmbg cable ntl com 212 110 30 110 BD 210 12 211 121 207877255 a0iuSTesya6io behsia telusnet a9 303115 06 16 200 78 103 67 dsi 200 78 103 67 prodigy net mx 139 1 200 66 98 107 BD 200 60 202 74 client 200 60 202 74 speedy net pe BD 195 67 251 197 t6037p17 telia com BD 169 254 205 177 Ee 150 1 168 226 98 61 168 226 98 61 speedy com ar 139 1 164 125 76 48 BD 162 33 189 252 Ee 139 O prem tmns net au 141 149 155 249 pool 141 149 155 249 buff east verizon net__ 139 1 212 243 23 179 30a 50 186 37 68 169 174 108 ca lahabra cuda1 c6b 108 anhmca adelphia net 80 2 218 25 147 83 50 1 203 170 1778 ee 21 3 141 85 37 78 M OA O Le script pr c dent l g rement modif
71. chiers temporaires DSA 286 1 http www debian org security 2003 dsa 286 Cr ation non s curis e de fichiers dans LPRno Le paquetage LPRng peut tre utilis via psbanner afin d craser un fichier arbitraire Moyenne 15 04 Debian Linux 3 0 woody Correctif existant Cr ation non s curis e de fichiers temporaires DSA 285 1 http www debian org security 2003 dsa 285 D bordement de buffer dans ircii Un d bordement de buffer dans ircii permet un serveur de provoquer l ex cution de code arbitraire par un client se connectant Moyenne 21 04 ircii sur Debian paquetages inf rieurs aux 4 4M 1 1 20020322 1 1 ou 20030315 1 Moyenne 22 04 Paquetage mime support versions pr c dentes aux 3 18 1 1 3 9 1 1 et 3 22 1 Correctif existant Programme run mailcap Cr ation non s curis e de fichiers temporaires DSA 292 1 http www debian org security 2003 dsa 292 Vuln rabilit dans gqkrellm newsticker Deux vuln rabilit s permettent de provoquer l ex cution de commandes ou de provoquer un d ni de service Moyenne 23 04 Syst mes gkrellm utilisant gkrellm newsticker Correctif existant Module gkrellm newsticker Mauvais filtrage de caract res vers l interpr teur de commandes DSA 294 1 http www debian org security 2003 dsa 294 LINUX Vuln rabilit dans sc Une nouvelle vuln rabilit de type Cross Site Scriptinq t d couvertes dans squirrelmail Forte 24 04 Squirrelma
72. chigan law the legality of my research or these web pages is currently unclear Felton provides additional information about the resulting restrictions on technology and research II s agit ici d un nouvel avatar du DMCA Digital Millenium Copyright Act l gif r par l tat du Michigan Nous conseillons a nos lecteurs d tudier attentivement les 9 articles de cette loi mise en application le 31 mars 2003 sous la r f rence 750 540c amended Prohibited conduct with regard to telecommunications access device violation as felony penalty amateur radio service forfeiture order definitions Veille Technologique S curit N 57 Page 6 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Fort heureusement Niels Provost nous propose de continuer acc der son site alternatif sous r serve de r pondre trois questions en s engageant sur l honneur quand l exactitude des r ponses fournies 1 Etes vous un citoyen des Etats Unis 2 Etes vous physiquement localis sur le territoire des Etats Unis 3 Est il l gal dans le pays d ou vous vous connectez de distribuer du logiciel ou une information cryptographique qui d livre ou informe propos des proc d s cryptographiques ou st ganographiques Compl ment d information http niels xtdnet nl honeyd index php http www citi umich edu u provos honeyd ch01 result
73. concern Ce m canisme permet de r server de l espace m moire quand il n est pas forc ment n cessaire pour charger le segment partir du fichier Un des cas d application de ce cas de figure est celui de la section bss qui contient des donn es non initialis es l int rieur du segment de donn es Il n est en effet pas souhaitable d occuper de l espace dans le fichier avec des donn es non initialis es mais le processus doit allouer suffisamment de m moire La section bss se trouve la fin du segment de donn es et n importe quelle valeur de p_memsz sup rieure p_filesz sera consid r e comme faisant partie de bss Voyons enfin la d finition d une section Section header typedef struct Blis2 Word sh_name i Secrion neme string col index x Elf32 Word chatype j SeeCulon ayee a Bult 37 Word Sia ie Levee Section flags a BLES2_ ACC sh acele Section virtual addr at execution Bilis OFE sh offset Section file offset 7 BLES Nord SA Sie TA SEC SiwS ii Once a EltsZaWword sh Links bink to another section a Elf32_Word Shaner Additional section information a Elf32_Word sh addralign Section alignment ne HAS 2 word Shventsize EMiety size Lt section holds table Pelr endr L l ment ici important est sh_ offset l adresse relative de la section l int rieur du fichier Les virus Le concept de virus est souvent utilis e tort voir conf
74. conf rences HIVERCON 2002 et plus r cemment BlackHat 2003 Rapport N 56 Mars 2003 Nous proposons ci apr s au lecteur un pr sentation synth tique des quelques themes ayant attir notre attention parmi les 14 pr sentations effectu es Advanced network reconnaissance techniques Fyodor Fyodor l auteur du c l bre outil de sondage nmap pr sente le nouveau proc d d analyse d sormais int gr dans la derni re version de son outil D nomm Idle Scan ce proc d permet de d tecter la pr sence d un service actif sur le syst me cible sans jamais exposer l adresse IP du syst me de l utilisateur en s appuyant sur un syst me tiers Nous reprenons ci dessous le diagramme des changes pr sent par Fyodor ERADAN Recherche d un syst me tiers appel ZOMBIE Il s agit ici d obtenir le num ro de s quence IP ou IPID couramment utilis par le syst me tiers Pour cela un sondage furtif utilisant un paquet SYN ACK est engag Le syst me tiers r pondra par un paquet RESET indiquant une erreur dans le s quencement de l ouverture de la connexion TCP Ce paquet contient le num ro de s quence courant utilis par le syst me tiers SYN ACK RESET PID X RANIO sondage du service cible en usurpant l adresse du Zombie Veille Technologique S curit N 57 Page 13 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s
75. de buffer exploitable pour ex cuter du code arbitraire Critique 23 04 Cisco Secure ACS jusqu aux versions 2 6 4 3 0 3 et 3 1 1 comprises sur plates formes Windows Correctif existant Service d administration HTTP D bordement de buffer CSCea51366 http www cisco com warp public 707 cisco sa 20030423 ACS shtml CIAC N 079 http www ciac org ciac bulletins n 079 shtml Veille Technologique S curit N 57 Page 28 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Contournement de l authentification sur CatOS Une personne ayant acc s en ligne de commande un commutateur Catalyst peut acc der au mode privil gi sans connaitre le mot de passe Forte 24 04 Cisco Catalyst 4000 6000 et 6500 utilisant CatOS 7 5 1 Correctif existant Authentification de l utilisateur Non disponible CSCea42030 http www cisco com warp public 707 cisco sa 20030424 catos shtml D ni de service sur certains serveurs DNS Une r ponse NXDOMAIN incorrecte lors d une requ te AAAA orovoquer un d ni de service Moyenne 26 03 Serveurs DNS non d termin Serveurs DNS Message d erreur inappropri CERT VU 714121 http www kb cert org vuls id 714121 GAIM ENCRYPT D bordement de buffer dans le module gaim encryption Moyenne 15 04 gaim encryption 1 15 et inf rieurs SSCS Vuln rabilit
76. dre aux questions du d fi ou pertinents car mettant en avant un proc d ou une technique int ressante Ev nements majeurs Comme notre habitude nous r f rencerons ces v nements par le num ro du paquet associ Identification du syst me cible 1 Mars 2003 10h08 Les deux premiers changes journalis s correspondent une requ te Netbios Name Service transmise vers le service UDP 137 de la cible et la r ponse transmise par celle ci Trame Source Service Donn e 1 219 118 31 42 UDP 137 Requ te Name Query NBSTAT 2 172 16 134 191 R ponse Nom PC0191 divers param tres 219 118 31 42 TCP 139 Requ te Tree Connect AndX Request vers PC0191 C En un seul change le syst me distant a obtenu les informations NetBios n cessaires pour tenter d engager d autres conversations avec la cible Dans le cas pr sent le syst me tiers tente ensuite d acc der sans succes au partage administratif correspondant au disque dur C du syst me cible On notera quelques 64 tentatives similaires sur la p riode journalis e en provenance d autant de syst mes Identification du service WEB 1 Mars 2003 10h08 Plusieurs connexions sur le service WEB TCP 80 sont engag es qui permettent d identifier le serveur utilis Trame Source Service Donn e 213 23 49 158 TCP 80 Requ te HTTP HEAD 172 16 134 191 R ponse Server Microsoft 11S 5 0 divers param tres Tentati
77. dvisories 20030401 01 P SUN Correctifs pour Sendmail Sun a publi des correctifs pour Sendmail sujet un d bordement de buffer dans le traitement des en t tes Ces correctifs sont disponibles pour Solaris 2 6 a 9 sur plates formes Intel et Sparc http sunsolve sun com pub cgi retrieve pl doc fsalert 52620 R vision de l avis 27513 sur xview Sun a r vis l avis 27513 au sujet d un d bordement de buffer dans la biblioth que xview pouvant tre exploit afin d acqu rir localement des privil ges lev s Cette r vision indique que les correctifs pour Sun Solaris 2 6 Sparc et Intel sont d sormais disponibles Par ailleurs l avis tant cl t il semble qu aucun correctif ne sera fournit pour les autres plates formes impact es http sunsolve sun com pub cgi retrieve pl doc fsalert 27513 Correctifs pour priocntl sur Solaris Sun a publi l ensemble des correctifs pour Solaris 2 6 7 8 et 9 r solvant la vuln rabilit affectant priocntl Notons que Solaris 2 5 1 n cessite une mise jour vers une version plus r cente du syst me http sunsolve sun com pub cgi retrieve pl doc fsalert 49131 Veille Technologique S curit N 57 Page 40 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Correctifs pour NIS ypserv et ypxfrd SUN a publi les correctifs pour les services ypserv et
78. e Compl ment d information http virus enemy org virus writing HOWTO _html Le manuel du parfait auteur de virus http www big net au silvio Une r f rence en mati re de travaux sur l exploitation du format ELF http S2 enemy org alba SilvioCesare Divers travaux portant sur l criture de codes mobiles IRC BOTNET SCAN OF THE MONTH Description Propos par les membres du projet HoneyNet de l universit d Azuza le d fi du mois d avril vise a analyser les multiples attaques subies par un pot de miel bas sur un syst me Windows 2000 D but mars 2003 un Windows 2000 a en effet t install sur le r seau Internet sans qu aucun mot de passe n ait t configur pour le compte administrateur Durant les premi res semaines de l installation cette machine a r guli rement t compromise aussi bien par des pirates que par des codes mobiles A la suite d une attaque r ussie la machine a t int gr e dans un r seau IRC automatis ou botnet Durant la p riode d activation du syst me plus de 15164 syst mes ont utilis ce point d entr e sur le r seau L objectif du d fi est d analyser les v nements collect s par une sonde snort durant une p riode de 5 jours et de r pondre aux questions suivantes organis es par niveau de difficult Niveau d butant 1 Qu est ce que IRC 2 Quel est le message transmis par IRC pour rejoindre le r seau 3 Qu est ce qu un botnet 4
79. e rapide analyse du contenu de ce paquetage fait appara tre la pr sence d une signature Verisign confirmant son authenticit Trame Source Service Donn e Veille Technologique S curit N 57 Page 55 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 3327 172 16 134 191 TCP 80 3489 172 16 134 191 TCP 80 Fin du t l chargement Cette activit n appara t donc pas tre suspecte en l tat de l analyse tout comme la multitude d acc s WEB constat e dans les quelques 17000 paquets suivants Sondage actif du syst me cible 5 Mars 2003 11h42 11h46 Une recherche syst matique des services actifs sur le syst me cible est engag e par le syst me 24 197 194 106 sur les ports TCP classiques allant de 1 80 mais aussi sur les ports 110 111 139 1433 On notera que service SSL est d couvert actif Trame Source Service Donn e 21001 24 197 194 106 TCP 1 Tentative de connexion rejet 21003 24 197 194 106 TCP 2 Tentative de connexion rejet 21306 24 197 194 106 TCP xxx Tentative de connexion rejet Recherche d URL connues 5 Mars 2003 11h48 12h05 Un sondage particuli rement actif par ailleurs d j d tect est maintenant engag par le syst me 24 197 194 106 a la recherche de la pr sence d URL connues exploitables en environnement IIS Trame Source Service Donn e 21373 24 197 1
80. e sujet Celui ci publi dans le num ro d avril du magazine InfoSecurityMag est accessible via l URL http www infosecuritymag com 2003 apr cover shtml L quipe de Veille Technologique Veille Technologique S curit N 57 Page 4 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi PRODUITS ET TECHNOLOGIES LES PRODUITS AUDIT Description L utilitaire Network Mapper plus connu sous le nom Nmap Rapport N 42 Ao t 2002 vient de subir une cure de jouvence portant aussi bien sur les fonctionnalit s embarqu es que sur les performances sans oublier l adjonction ou la mise jour de plus de 161 empreintes dans la base des quipements d tect s Rappelons que Nmap permet non seulement d inventorier les quipements actifs d un r seau par un sondage ou scan dans le jargon selon une strat gie configurable mais aussi d identifier ceux ci par analyse des drapeaux et autres l ments protocolaires contenus dans les diff rents paquets de r ponse Il est tr s largement utilis et s est impos comme un outil de sondage incontournable aussi bien pour les plates formes UNIX que les plates formes WI N32 II propose en effet diff rentes m thodes de sondage de ports le classique sondage TCP CONNECT le sondage TCP SYN aucune connexion n est tablie donc rien n est journa
81. e syst me cible et donc la disponibilit d un compilateur C mais aussi sous forme binaire directement exploitable gmhoney Ce module permet d muler le fonctionnement du service de messagerie smtp n cessite l installation pr alable du JRE 1 4 Java Run Time HoneydGUI Cette interface graphique facilite la configuration du service honeyd ainsi que la g n ration des fichiers sp cifiques La topologie r seau peut tre visualis e et ais ment modifi e honeyweb Ecrit en langage python cet utilitaire peut tre utilis de mani re autonome ou int gr au service honeyd permet de simuler le comportement r seau d un serveur WEB et fonctionne aussi bien en environnement UNIX que WIN32 gala Utilitaire permettant de remonter a la source g ographique des attaques gala fait partie d un projet plus vaste visant a pouvoir traiter les journaux issus de divers quipements de surveillance ou de production honeyd predule IDS apache La version propos e reste difficilement exploitable Le projet Gala initi par Philippe Bourcier sera maintenu sur le site WEB http sysctl org gala On notera que depuis 31 Mars 2003 le site de Niels Provost h berg sur le site de l universit du Michigan n est plus accessible Un routage est r alis sur une page h berg e en hollande o l on peut lire l information suivante Due to a new Mi
82. ecl e Us e SX Nettoyage sorte l y Tri par adresse unig e 1 Comptage tentatives akeen Co Mel DCI re is ils R ordonnancement SOCE gt resultats Txt Tri sur adresse Les diff rents l ments ainsi obtenus sont r capitul s dans le tableau suivant qui met en vidence 2 syst mes particuli rement actifs sur les 77 sources TCP r pertori es On notera par ailleurs la nette pr dominance du service NetBios Session Service TCP 139 en tant que cible d une session ou tentative d ouverture de session Connexions TCP sur la cible Adresse Nom DNS Services acc d s Cnx 24 197 194 106 24 197 194 106 man mn charter com 80 110 111 139 1433 1229 210 22 204 101 80 99 139 445 1433 139 445 209 45 125 69 139 445 CTC EEE EEE O 5 195 36 247 77 f01m 8 77 d3 club internet fr 135 139 445 i ee 172 168 0 154 aca8009a ipt aol com O o o U OBS A 213 23 49 158 dsl 213 023 049 158 arcor ip net Z 5780 4l oz 07 750 194 199 201 9 uc9 marnelavallee archi fr 1433 139 EEE 2 yen SSSR 139 Sc EE 210 111 56 66 bc 200 74 26 73 las condes4 pc metropolis inter com oo 81 50 177 167_ amarseille 206 1 19 167 abo wanadoo fr _ 139 1 68 154 11 82 adsk 154 11 82 asm bellsouth net 39 1 68 152 53 138 68 115 33 110 c68 115 33 110 mazo wi charter com D R 1 66 73 160 240 adsl 66 73 160 240 dsI chcgil ameritech net 1389 1 66 190 67 122 c66 190 67 122 ts46v 16 otn h2 ftwrth tx
83. ems Phrack Vol 7 Num 25 Art 9 en date du O1 Septembre 1989 Combin avec le m canisme de chargement des modules pr sents notamment en environnement Solaris et Linux cette technique autorise la cr ation d un nouveau type de rootkit plus efficace dans lequel la fonction de Veille Technologique S curit N 57 Page 7 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 dissimulation est cod e au niveau du noyau et non plus dans chaque utilitaire En 1999 un nouvel article de Phrack A REAL NT Rootkit patching the NT Kernel Phrack Vol 9 Num 55 Art 5 en date du 09 Septembre 1999 d taille la technique permettant de manipuler le noyau du syst me d exploitation NT afin d y installer un rootkit Enfin la veille du passage en l an 2000 l existence des rootkits est enfin d voil e au grand public par un article de Dave Dittrich un universitaire collaborant l initiative de s curit mise en place par le SANS Depuis plusieurs autres paquetages aussi performants que le LRK ont t diffus s dont notamment tOrnKit et adore En mars 2001 le projet HoneyNet propose son 13ieme d fi dont l objectif est d analyser LuckRoot un rootkit d couvert sur un syst me Linux compromis puis en Juin 2001 le 16i me d fi qui consiste d chiffrer le code d un autre Rootkit
84. er p_ offset pour indiquer la nouvelle position pour chaque ent te de section se trouvant apr s l insertion augmenter sh_ offset pour tenir compte du nouveau code rajouter physiquement le code dans le fichier dans le segment de texte se trouvant l adresse p_ offset p_ filesz avant modification Nous rencontrons toutefois un l ger probleme En effet la sp cification du format ELF pr cise que p_vaddr et p_ offset doivent tre congruents modulo la taille d une page d finie par PAGE SIZE Cela veut dire que n importe quelle insertion de donn es dans le segment TEXT devra tre congruente modulo la taille d une page XN La taille du segment TEXT n aura cependant pas tre modifi e Cette manipulation induit l effet de bord suivant une page compl te de m moire devra tre utilis e comme zone de remplissage car l adresse vaddr requise n est pas disponible Cet effet de bord aura pour cons quence d offrir au code parasite plus de place pour s ins rer L allocation de la page requise n est cependant pas toujours garantie L algorithme pr c dent sera donc modifi pour tenir compte de la contrainte de congruence entre p_ offset et p_vaddr augmenter la valeur de e_ shoff de PAGE_ SIZE dans l ent te ELF modifier le code viral pour qu il effectue un saut sur le point d entr e original du binaire infect localiser le segment TEXT
85. er sctp appli 08 draft ietf sigtran m2pa 08 SIMPLE draft lonnfors simple binpidf 00 draft mierla simple xmpp interworking 00 draft ietf simple data req 02 draft ietf simple event list 01 IP SMQP___ draft tegen smqp 10 ____ 14 04 SMQP Simple Message Queue Protocol SMTP draft ietf msgtrk smtpext 05 01 04 SMTP Service Extension for Message Tracking 01 04 An Extensible Message Format for Message Tracking Responses 14 04 The application soap xml media type ession Channel Break Extension r 22 04 2 2 3 S S 8 0 opology Dissemination Based on Reverse Path Forwarding ightweight Mobility Detection and Response Algorithm for TCP ussian Dolls Bandwidth Model for Diff Serv MPLS Traffic Enginee 04 draft rmcgowan unicode procs 02 1 Unicode Consortium Procedures Policies Stability Public Access URI draft wilde text fragment 02 107 04 URI Fragment Identifiers for the text plain Media Type 3 VPN draft marques ppvpn ibgp 00 23 04 IRFC2547bis networks using internal BGP as PE CE protocol draft ietf ppvpn requirements 06 116 04 Service requirements for Layer 3 Provider Provisioned VPN 26 03 2 0 1 ax Allocation with Reservation Bandwidth Model for MPLS 0 draft ietf ppvpn framework 08 26 03 A Framework for Layer 3 Provider Provisioned VPN WEBDAV ldraft reschke webdav property datatypes 04 4 03 Datatypes for WebDAV properties draft ietf webdav ordering protocol 07 24 03 WebDAV Ordered Collections Protocol WHOIS draft
86. es VTS RAPPORT et VTS ENTREPRISE Avril 2003 Vuln rabilit dans rinetd Une vuln rabilit du serveur rinetd peut conduire a un d ni de service et l ex cution de code arbitraire Forte 17 04 Debian Linux 2 2 potato et 3 0 woody Correctif existant Serveur rinetd Mauvais redimensionnement de la liste des connexions DSA 289 1 http www debian org security 2003 dsa 289 Modification des mots de passe dans ecartis Une faille dans ecartis permet de modifier les mots de passe utilis s Moyenne 28 03 Debian Linux 2 2 potato et 3 0 woody Gestionnaires de listes de diffusion ecartis et listar Correctif existant Paquetages ecartis et listar Non disponible DSA 271 1 http www debian org security 2003 dsa 271 Vuln rabilit dans metrics L utilitaire metrics contient une vuln rabilit permettant a un utilisateur local d craser des fichiers appartenant la personne ex cutant metrics Moyenne 07 04 metrics paquetages inf rieurs la version 1 0 1 1 Correctif existant Scripts halstead gather_stats Conflit d acc s aux fichiers temporaires DSA 279 1 http www debian org security 2003 dsa 279 Cr ation non s curis e de fichiers dans gs common Le gs common peut tre utilis via os2epsi afin d craser un fichier arbitraire Moyenne 14 04 Debian Linux 3 0 woody Correctif existant Script ps2epsi Cr ation non s curis e de fi
87. es donc probablement autant d agents l analyse d taill e des adresses ayant conduit identifier 366 syst mes actifs distincts 9 En consid rant que chaque n ud dispose d un lien de 56Kps quelle est la bande passante du botnet Au maximum 6919 syst mes communiquent avec le serveur IRC du botnet dont 366 durant la p riode d analyse Sans analyser en d tail l activit de connexion d connexion de chacun de ces syst mes sur cette p riode nous pouvons estimer la bande passante utilis e 20Mo s 366 56Kbps Niveau interm diaire 1 Quelles sont les adresses IP sources utilis es pour attaquer le pot de miel Nous avons identifi en d but d analyse 77 adresses IP diff rentes ayant tent d acc der au pot de miel via le protocole TCP et 113 via le protocole UDP Un lissage de ces deux tables nous conduit identifier 190 adresses distinctes En regard des services cibles nous pouvons consid rer que la majorit de ces adresses ont un comportement suspect 2 Quelles vuln rabilit s les attaquants ont ils tent d exploiter Durant notre analyse nous avons relev les tentatives d exploitation des vuln rabilit s ou des d fauts de configuration suivant Ceci n est pas proprement parler une vuln rabilit mais un probleme de configuration du filtrage permettant l obtention d informations utiles pour les phases ult rieures d une attaque Quelques 65 tentatives ont t relev es Le filtre ethereal su
88. es noms de fichiers t l charg s Vuln rabilit s dans les fonctions RPC de la libc La fonctions RPC de la biblioth que libc incluse dans IRIX contiennent deux vuln rabilit s Forte 08 04 SGI IRIX 6 5 19f et pr c dents Correctif existant Biblioth que libc D bordement de buffer SGI 030402 01 P ftp patches sgi com support free security advisories 20030402 01 P Multiples vuln rabilit s dans syst me d impression LPR De multiples vuln rabilit s affectent le sous systeme d impression LPR Forte 14 04 SGI IRIX versions 6 5 6 5 19 Correctif existant Sous syst me d impression LPR Multiples vuln rabilit s SGI 030406 01 P ftp patches sgi com support free security advisories 20030406 01 P SUN D bordement de buffer dans le service LDAP Le service d annuaire LDAP est vuln rable a un d bordement de buffer exploitable localement Forte 28 03 Sun Solaris 8 et 9 Sparc et Intel Palliatif propos Biblioth que nss_lIdap so 1 D bordement de buffer Sun Alert 52222 http sunsolve sun com pub cgi retrieve pl doc fsalert 52222 La commande newtask permet un utilisateur local d acqu rir les privil ges root Forte 28 03 Sun Solaris 9 O Vuln rabilit dans dtsession Un utilisateur local peut utiliser dtsession pour acqu rir les droits root Forte 04 04 Sun Solaris 2 6 9 Sparc et Intel Correctif existant D bordement de buffer NsFocus http www nsfocus com english ho
89. et XP Microsoft a publi les correctifs pour le service RPC de ses syst mes Windows 2000 et XP Un utilisateur distant peut provoquer l arr t de ce service Notons que cette alerte initialement annonc e sur Windows 2000 a t tendue Windows XP http www microsoft com technet security bulletin MS03 010 asp Veille Technologique S curit N 57 APOGEE Communications Tous droits r serv s Page 39 61 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 gt pix 4 Revision de quatre alertes Oracle Oracle a r vis quatre avis au sujet de plusieurs vuln rabilit s affectant diff rentes versions de Oracle8 8i et 9i Database Cette mise a jour annonce la disponibilit de correctifs pour plusieurs plates formes Oracle http otn oracle com deploy security pdf 2003alert48 pdf AranbkbBcr OpenBSD Correctif pour Kerberos OpenBSD a publi pour les syst mes OpenBSD 3 1 et 3 2 un correctif contre l attaque cryptographique a laquelle sont vuln rables Kerberos 4 et 5 OpenBSD kerberos http www openbsd org errata html kerberos http www openbsd org errata31 html kerberos Correctif pour Sendmail OpenBSD a publi un correctif pour Sendmail sujet a un d bordement de buffer dans le traitement des en t tes OpenBSD sendmail ftp ftp openbsd org pub OpenBSD patches 3 1 common 027 sendmail patch ftp ftp openbsd
90. etin MS03 015 asp D ni de service contre MS Proxy et I SA Server Les deux logiciels MS Proxy et ISA Server contiennent une vuln rabilit permettant un attaquant situ sur le r seau interne de provoquer un d ni de service Moyenne 09 04 Microsoft Proxy Server 2 0Microsoft ISA Server Correctif existant MS03 012 http wWww microsoft com technet security bulletin MS03 012 asp mn Veille Technologique S curit N 57 Page 31 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Vuln rabilit dans Outlook Express possible de provoquer l ex cution de script dans la zone de s curit locale Moyenne 23 04 Microsoft Outlook Express 5 5 et 6 0 Correctif existant Gestion des URL MHTML Ouverture de fichiers locaux MS03 014 http www microsoft com technet security bulletin MS03 014 asp Faible 24 03 Mutt 1 4 et pr c dents O SS O Vuln rabilit dans Report Review A Une vuln rabilit dans le composant Report Review Agent permet un utilisateur d acc der a des fichiers restreints Forte 10 04 Oracle E Business Suite 11i R1 R8 Oracle Applications 10 7 et 11 0 Correctif existant Report Review Agent Usurpation de requ tes Oracle 53 http otn oracle com deploy security pdf 2003alert53 pdf OpenSSH Pr diction d informations sur les utilisat
91. eurs Une analyse des temps de r ponse lors de la phase d authentification via PAM ou OpenSSH permet de pr dire certaines informations Moyenne 15 04 OpenSSH version 2 2 3 0 2PAM Pluggable Authentication Modules Aucun correctif Phase d authentification Attaques bas es sur le temps de r ponse http stealth 7350 org epta tgz SF 7342 et 7343 http Wwww securityfocus com bid 7342 27 03 RealPlayer 8 version 6 0 9 584 et MacOS 9 RealOne player v1 sur Win32 version 6 0 10 505 RealOne player v2 sur Win32 versions 6 0 11 818 830 841 et 853 RealOne player sur MacOS X versions 9 0 0 297 et 9 0 0 288 RealOne Enterprise Desktop sur Win32 version 6 0 11 774 Cette liste n est pas limitative en particulier les versions ant rieurs de RealPlayer semblent vuln rables bien que cela ne soit pas explicitement confirm Correctif existant D compression au format png D bordement de buffer Real Networks http service real com help faq security securityupdate_march2003 html MBA D bordement de buffer dans Samba Un nouveau d bordement de buffer a t d couvert dans Samba Critique 07 04 Samba 2 2 8 et pr c dents Correctif existant D bordement de buffer DSA 280 1 http www debian org security 2003 dsa 280 RHSA 03 137 09 https rhn redhat com errata RHSA 2003 137 html SUSE SA 03 025 http www suse de de security 2003_ 025 smaba html FreeBSD SNO3 01 http www linuxsecurity com
92. eux ci sans risquer de compromettre un syst me r el Le 31 mars les r sultats de ce concours et les d veloppements associ s ont t publi s Ont t ainsi propos es et d velopp es les fonctionnalit s suivantes Honeycomb Ce module additionnel permet de g n rer automatiquement des signatures au format snort correspondant aux tentatives d attaque d tect es sur le pot de miel honeyd On notera que la mise en place de ce module requiert quelques modifications dans le code original du pot de miel honeyd RandomNet Cet utilitaire permet de g n rer de mani re simple al atoire et r aliste les fichiers de configuration du pot de miel honeyd Enti rement crit en Java RandomNet pourra tre ex cut dans de nombreux environnements Un manuel d utilisation complet est livr dans le paquetage BportMap Ce module permet d muler le fonctionnement des services SUN RCP tels que statd tooltalk rquota sadmind L auteur indique avoir crit ce module dans l optique de cr er des r gles snort correspondant a des codes d exploitation en sa possession mais pour lesquels il ne disposait d aucune machine vuln rable Honeyd win Ce paquetage correspond au portage de l outil honeyd en environnement WIN32 autorisant ainsi son utilisation sur un syst me Windows Ce paquetage est disponible sous forme source n cessitant une compilation sur l
93. f harmful 00 23 0 draft ietf ospf ospfv3 mib 06 07 0 draft pillay esnault ospf flooding 05 28 0 O G i T A T draft ietf ospf hitless restart 07 26 03 Graceful OSPF Restart draft ietf ospf scalability 03 01 0 8 0 7 0 5 d draft i re draft ietf ospf mib update 06 16 04 TT draft i draft i draft i ic r a raft ietf ospf ospfv3 traffic 00 draft ietf pana usage scenarios 05 0 Veille Technologique S curit N 57 Page 23 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 draft josefsson pppext eap tls eap 06 draft song pppext sip support 02 draft shakeel pppext mlppp lo 00 PROVREG draft ietf provreg epp 09 raft ietf provreg epp contact 07 raft ietf provreg epp domain 07 raft ietf provreg epp host 07 raft ietf provreg epp ext 01 draft ietf pwe3 requirements 05 27 03 Requirements for Pseudo Wire Emulation Edge to Edge PWE3 ROHC dati rohc rtp rfc3095 interoperability 02 draft ietf rohc udp lite 00 0 R renee at caloun seamob app D0 R B RMT draft chiu rmt bb track 00 0 eliable Multicast Transport Building Block TRACK Mechanisms R draft calhoun seamoby lwapp 00 02 04 draft ietf seamoby mobility terminology 03 draft degener sieve copy 00 21 04 Sieve copy extension SIGTRAN _ draft bidas sigtran sgsg 03 24 04 IM3UA SG SG communication draft ietf sigtran signalling ov
94. fication pr sence du fichier System32 psexesvc exe 34943 61 111 101 78 TCP 445 Destruction du fichier System32 psexesvc exe 34947 61 111 101 78 TCP 445 Transfert du fichier osexesvc exe vers System32 35030 61 111 101 78 TCP 445 Tentative d ex cution de systemeroot System32 psexesvc exe E r Veille Technologique S curit N57 Page 56 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 35138 61 111 101 78 TCP 445 V rification pr sence du fichier System32 psexesvc exe 35140 61 111 101 78 TCP 445 V rification pr sence du fichier System32 psexesvc exe 35142 61 111 101 78 TCP 445 Destruction du fichier System32 psexesvc exe 35146 61 111 101 78 TCP 445 Transfert du fichier psexesvc exe vers System32 35228 61 111 101 78 TCP 445 Tentative d ex cution de systemeroot System32 psexesvc exe 61 111 101 78 TCP 445 V rification pr sence du fichier System32 psexesvc exe 61 111 101 78 TCP 445 V rification pr sence du fichier System32 psexesvc exe 61 111 101 78 TCP 445 Destruction du fichier System32 psexesvc exe 61 111 101 78 TCP 445 Transfert du fichier psexesvc exe vers System32 ner Ice 61 111 101 78 TCP 445 Tentative d ex cution de systemeroot System32 psexesvc exe
95. format a t tudi pour faciliter le processus de d veloppement en proposant notamment la d finition d interfaces binaires valables sur plusieurs environnements Un m me code objet pourra ainsi tre utilis c est dire charg et ex cut sur plusieurs syst mes UNIX d origine diff rente Le temps habituellement consacr au portage d un code en est d autant r duit A ce jour le format ELF est utilis par les fichiers objets o des librairies partag es so et les ex cutables est reconnu par la majorit des syst mes UNIX et d riv s existants Notre propos tant de traiter de l infection d ex cutables nous nous attarderons plus particuli rement sur ce type de fichier que sur les fichiers objets ou les librairies partag es L image d un processus initi par un ex cutable ELF contient au moins deux segments un segment TEXT et un segment DATA On notera que le segment texte peut tre lu et ex cut mais pas modifi en m moire Ceci emp chera par exemple l utilisation de code se modifiant lui m me dans la section TEXT La section DATA peut quant a elle tre crite et lue Segment de m moire allou pour un processus mais pas ex cut e Les segments de m moire allou s un processus ne sont page en pratique jamais compl tement utilis s et l espace restant est constitu de donn es sans autre utilit que page 2 d assurer le remplissage ou bo
96. i nous permettra d obtenir aussi ais ment la liste des syst mes vers lesquels la cible a tent d initialiser une session TCP CC E N a Paquets SYN uniquement SUR Ode som vac EN Source et Destination ANR ENNEMIS tir RS CU CUS W W S6 WW SUR eal ane Adresse Src Port Dst Sec eus 277 I Nettoyage site AGouecigne SLY Vie eS Sie i R organisation sort Tri par adresse hole e 1 Comptage tentatives awk oman oes TONES A R ordonnancement SOFT gt resultats exe Tri sur adresse Cette liste est pour le moins r duite 32 syst mes avec une majorit de connexions vers un serveur WEB port 80 les deux autres services contact s correspondant au service IRC TCP 6667 et une porte d rob e de type BackOrifice TCP 31337 Connexions TCP depuis la cible Adresse Nom DNS Services acc d s Cnx Veille Technologique S curit N57 Page 49 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 199 107 7 2 209 126 161 29 O 209 196 44 172 ipdwbc0271atl2 public registeredsite com 6667 1 ns2 caralarmuk com 207 172 16 156 www rcn com aa 194 68 68 39 streamer013 cache aol com 207 46 196 108 activex microsoft com 217 151 192 231 spel torget se 80 2 194 192 187 194 194 68 68 12 _ 206 151 167 254 207 46 196 120 codecs microsoft com 207 68 171 245 2207 68 184 62 0
97. il 1 2 10 et pr c dents Correctif existant Mauvais chappement des donn es fournies par l utilisateur RHSA 03 112 03 https rhn redhat com errata RHSA 2003 112 html Le composant Eye Of Gnome EOG contient une vuln rabilit permettant l ex cution de code non sollicit Forte 03 04 EOG version 2 2 0 et pr c dents SOS Veille Technologique S curit N57 Page 30 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Vuln rabilit de Mutt r percut e dans balsa Le client de messagerie graphique balsa r utilise du code provenant de Mutt et est ainsi vuln rable au m me d bordement de buffer Une autre vuln rabilit a galement t d couverte Moyenne 03 04 Balsa 1 2 et sup rieurs libesmtp 0 8 11 et inf rieurs Correctif existant 1 Connexions IMAP D bordements de buffer 2 Biblioth que libsmtp RHSA 03 109 12 https rhn redhat com errata RHSA 2003 109 html Vuln rabilit s dans NetPBM La biblioth que NetPBM contient des vuln rabilit s pouvant tre exploit es par un utilisateur local Moyenne 03 04 REP O Moyenne 15 04 Rea Hat LUS SSS Vuln rabilit s dans mgetty Plusieurs vuln rabilit s existent dans mgetty Faible 08 04 mgetty versions 1 1 29 et pr c dents Correctif existant D bordement de buffer Permissions laxistes RHSA 03 036 10 https
98. il ont prouv son efficacit le seul reproche qui puisse tre formul concerne la relative lenteur du sondage Ainsi le balayage de deux classes C aura n cessit quelques 9mn avec une consommation cons quente des ressources du poste d audit Les r sultats sont totalement satisfaisants car ayant permis de d tecter un serveur dont l une des trois instances d une base SQL tait configur e avec un compte sa sans mot de passe Une version all g e fonctionnant en mode ligne de EMIS 10 x commande est disponible depuis le d but de l ann e MSN D velopp e autour de la technologie NET cette z Z S Fe Response from 16 78 version n cessite imp rativement l installation de la pape ServerName librairie MSCorEE dll Microsoft Component object HER T runtime Execution Engine int gr e dans le WE paquetage NET Celui ci devra en cons quence tre NNPCE pipe MSSQLS TE s q 1 query install sur le poste avec les ventuels risques que SSSR cela comporte cette technologie tant encore tr s RSR r cente et comportant de nombreux bogues D me mors secs PCH A la difference de la version graphique la version ae w nie a Scanning host 00 05 21 Scanning host 10 x a 00 05 26 Scanning host 10 s 8 ServerNane PCH NET n autorise pas le sondage d une plage Isclustered No d
99. ing material 4 2 1 a model for building training courses nist special pub 800 16 4 2 2 sources of training courses and material 5 Implementing the awareness and training program 5 1 communicating the plan 5 2 techniques for delivering awareness material 5 3 techniques for delivering training material 6 Post implementation 6 1 monitoring success 6 2 evaluation and feedback 6 3 managing change 6 4 ongoing improvement raising the bar 6 5 program success indicators M me s il a t initialement con u dans un cadre gouvernemental ce guide contient de nombreux principes qui pourront tre transpos s sans grande difficult dans un contexte priv Compl ment d information http csrc nist gov publications drafts SP800 50 version2Draft pdf NIST ETAT DES GUIDES DE LA SERIE SP800 Description La disponibilit de la nouvelle version du document SP800 50 nous am ne proposer une mise a jour du tableau r capitulatif des publications r centes de la s rie sp ciale SP800 P800 26 Security Self Assessment Guide for Information Technology Systems 11 2001 P800 27 Engineering Principles for Information Technology Security F 06 2001 P800 28 Guidelines on Active Content and Mobile Code 10 2001 P800 29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140 1 amp 140 2 F 10 2001 Veille Technologique S curit N57 Page 12 61 APOGEE Communications Tous droits r serv s Diffusion restreinte
100. ion dynamique en m moire via un programme sp cifique d nomm loader ou chargeur Cette repr sentation est compos e des segments contenant le texte les donn es et la pile du processus Voyons ci dessous la d finition d un ent te ELF sur un syst me GNU Linux texte donn es ourr ge page 4 The Bhs file header This appears at the start of every HEE file a typedef struct unsigned char e_ident EI_NIDENT Magic number and other info yp elito Half eE Ta a a aaa 7 El f32_ Half e_machine Architecture ar HE Word eorn aooe e ea o a Blt 32 Adar e entry Entry point virtual address a LESZ OLE e_phoff 7 Program header table tile ofisert AIME SR OLE e SNOL Section header table file offset Elf32_Word e_flags Processor specitie tilags 7 Bles2 Hali A enisiwes Ji Re CE NS ni ere qo eis 2 Halt e_phentsize Program header table entry size 7 HMS 2e SUN e_phnum Program header table entry count 07 mLES2_ Malf e_shentsize Section header cable entry size Bi Oo MaL e_shnum Section header cable entry cownt 47 Blt32 Malf e_shstrndx Section header string table index 7 Elf32_Ehdr Nous porterons plus particuli rement notre attention sur les l ments suivants de la structure e entry est le point d entr e du programme donn sous forme d adresse virtuelle Veille Technologique S curit N 57 APOGEE Communications Tous droits r serv
101. ivant peut tre utilis pour mettre en vidence ces tentatives Syst me cible vers UDP 137 ip dst eq 172 16 134 191 udp dstport eq 137 D bordement de buffer SQL UDP 1434 Toutes les tentatives enregistr es correspondent au m canisme de propagation du ver SQL Slammer Les 55 syst mes l origine de ces tentatives sont donc tous infect s Le filtre ethereal suivant peut tre utilis pour mettre en vidence ces tentatives Syst me cible vers UDP 1434 ip dst eq 172 16 134 191 udp dstport eq 137 Veille Technologique S curit N 57 Page 60 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Sondage du service WEB TCP 80 Parmi les 1107 connexions effectu es sur le service WEB on remarquera deux cat gories de connexions visant explicitement attaquer le syst me cible une recherche syst matique d URL connues pour tre exploitables en environnement IIS syst me 24 97 194 106 et plusieurs tentatives d exploitation du d bordement de buffer pr sent dans le service d indexation ida syst me 210 22 204 101 On notera enfin une connexion de la part du syst me 218 25 147 83 infect par le ver CodeRed Systeme cible vers TCP 80 avec tentative d tablir une session ip dst eq 172 16 134 191 tcp dstport eq 80 tcp flags syn eq 1 and tcp flags ac
102. k eq 0 Sondage du service NETBIOS TCP 139 La majorit des 84 connexions relev es sur ce service visent tenter d tablir une session anonyme dite NULL SESSION pour ensuite engager une session NetBios SMB Syst me cible vers TCP 139 avec tentative d tablir une session ip dst eq 172 16 134 191 tcp dstport eq 139 tcp flags syn eq 1 and tcp flags ack eq 0 Sondage du service SMB TCP 445 La majorit des 19 connexions sur ce service actif sur la cible ont pour objet d utiliser les services SMB dont notamment le partage des volumes du syst me cible sur le r seau On ne peut ici parler de vuln rabilit mais seulement de probl me de configuration Syst me cible vers TCP 445 avec tentative d tablir une session ip dst eq 172 16 134 191 tcp dstport eq 445 tcp flags syn eq 1 and tcp flags ack eq 0 Sondage du service SQL TCP 1433 La majorit des 23 tentatives de connexions sur ce service inactif sur la cible visent probablement tenter d exploiter l acc s au compte sa du serveur SQL Syst me cible vers TCP 1433 avec tentative d tablir une session an ip dst eq 172 16 134 191 tcp dstport eq 1433 tcp flags syn eq 1 and tcp flags ack eq 0 3 Quelles ont t les attaques r ussies A priori et sauf erreur d analyse une seule attaque semble avoir r ussie celle engag e par le syst me 210 22 204 101 un syst me utilisant une adresse localis e dans un bloc appartenant TECH GROUP C
103. le La routine de d chiffrement est g n ralement int gr e dans l image binaire constituant ainsi son talon d Achille Ce type de proc d est g n ralement employ notamment par les auteurs de virus de codes mobiles et de codes d exploitation pour complexifier la r tro analyse d un code binaire voire pour restreindre son utilisation aux seuls groupes d initi s poss dant les clefs d activation Pour m moire rappelons que les premiers virus int grant une protection par chiffrement et mutation du code sont apparus dans les ann es 90 en environnement MSDOS Intitul e Advances in ELF binary runtime encryption la pr sentation effectu e par Shaun Clowes et Neel Metha nous propose d tudier les fonctionnalit s attendues d un m canisme de protection assurant le d chiffrement au fil de l eau dont notamment Ralentir l analyse en rendant celle ci ventuellement trop co teuse pour le gain esp r R sister aux techniques classiques d analyse dynamique consistant tracer le chemin d ex cution ou statique par d sassemblage du code et ou analyse des cha nes de caract res Plusieurs techniques peuvent tre combin es pour atteindre ces objectifs XN Techniques offensives visant par exemple a activer un m canisme de d fense en cas de tentative de manipulation du programme Techniques d fensives pouvant consister a rendre inintelligible la structure originale du programme en chiffrant plusieurs
104. leur apparition en environnement BSD4 x puis SunOs Citons titre d exemple les deux articles de fond publi s dans le c l bre magazine PHRACK Unix Cracking Tips Phrack Vol 3 Num 25 Art 5 en date du 17 Mars 1989 ou comment manipuler le noyaux UNIX afin de d tourner voire d ajouter certains appels syst mes en environnement BSD Hidding Out Under UNIX Phrack Vol 3 Num 25 Art 6 en date du 25 Mars 1989 ou comment manipuler le contenu du fichier etc utmp en environnement BSD et Systeme V afin de masquer toute trace des connexions console Il est possible d affirmer avec le recul que le num ro 25 de PHRACK Magazine marque l apparition pour ne pas dire est l origine d une nouvelle re en d voilant des techniques de manipulations performantes et jusqu alors totalement confidentielles aupr s d un large public pour l poque II faudra cependant attendre encore cinq ans et l article The Fingerd Trojan Phrack Vol 5 Num 46 Art 1 en date du 20 Septembre 1994 pour voir appara tre la technique consistant modifier patcher les sources d un service ici finger dans l optique de lui adjoindre une porte d rob e Tous les l ments sont alors r unis pour favoriser l closion de bo tes outils pr tes l emploi les techniques l mentaires sont d sormais connues les composants logiciels sont d velopp s sous la forme de modules facilement adaptables gr ce aux outils GNU
105. lients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi Analog journaux serveur http 15 32 23 03 03 fhttp www analog cx http www picante com gtaylor autobuse SnortSnarf Analyse Snort 021111 02 11 02 http www silicondefense com software snortsnarf WebAlizer journaux serveur http 2 01 10 24 04 02 http www mrunix net webalizer download html ANALYSE DE SECURITE l andora Vuln rabilit Netware _ 4 0b2 1 Y vy Tara tiger Vuln rabilit syst me 3 0 3 15 08 02 http www arc com tara Requ tes HTTP 29 11 02 http www wiretrip net rfp p doc asp id 21 LibWhisker 29 11 02 CONFI DENTI ALI TE OpenPGP Signature Chiffrement hhttp www openpgp org GPG Signature Chiffrement 25 10 02 http www gnupg org CONTROLE D ACCES N L V Dat TCP Wrapper Acc s services TCP 7 6 fftp ftp cert org pub tools tcp wrappers Xinetd linetd am lior 2 3 11 15 04 03 http synack net xinetd CONTROLE D I NTEGRITE Tripwire int grit LINUX 2 3 47 15 08 00 http www tripwire org downloads index php ChkRootKit Compromission UNIX 0 40 03 04 03 http www chkrootkit org DETECTION D I NTRUSION 18 08 99 fhttp all net dtk index htmil ttp ciac linl gov cstc nid nid htmil Snort _ IDS R seau 2 0 0 14 04 03 hhttp www snort org di Shadow _ IDS R seau 1 7 21 09 01 fhttp www nswc navy mil ISSEC CID GE
106. lis au niveau des services test s les sondages TCP ACK et TCP WINDOW ce qui permet de mettre en vidence la pr sence de firewall sans tat le sondage UDP classique le sondage TCP par rebond via un serveur FTP le sondage de RPC le sondage TCP CONNECT avec identification de l utilisateur qui fait tourner le service test le sondage IDLE ou zombie scan permettant un anonymat complet vis a vis de la cible En plus de ces diff rentes m thodes de sondages Nmap mutant est capable de d terminer les protocoles activ s sur la cible Fis Output view BETA Options a lal Nmap est enfin capable d identifier le syst me Hostsyieroo07 Scan d exploitation d une machine distante en employant une Scan Options 9 General Options technique connue sous le nom de prise d empreinte de pile connect 4 Don t Resak TCP Ping Fragmenti TCP Cette technique tire parti du fait que toutes les Ping Gween aFastSean TCPRICMF Get Identd In impl mentations IP n ont pas les m mes r actions lors de la v UDP Ports Range ol Pi ILME Ping Reson All FIM Stea th Cont Ping r OS Detector r ception de requ tes non valides La connaissance de la A re e ea a T P r action de chaque syst me permet d identifier celui ci avec un taux d erreur raisonnable RUE fom nmap ses Lee ART Nmap dispose d une interface graphique pour plates You are root Al options granted formes
107. lissage localis e la suite de la section texte II est possible d agrandir le segment TEXT vers le bas et en cons quence la place disponible dans la zone de remplissage avant la section de donn es Par contre agrandir le segment TEXT vers le haut ou le segment DATA vers le bas risque d entra ner des recouvrements avec d autres segments Nous allons d tailler deux types d infection de fichier ELF ex cutable Veille Technologique S curit N 57 Page 45 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 L infection par ajout de segment L infection par utilisation d une zone de remplissage Infection par ajout de segment Cette m thode est nous l avons d j dit simple a mettre en uvre mais galement tr s facile rep rer L ent te ELF contient le champ e machine permettant de diff rencier l architecture mais pas le syst me d exploitation Cette diff rentiation est effectu e par le biais d une autre ent te de programme de type PT _ NOTE Lorsque cette section est manquante l ex cutable sera consid r comme natif et la compatibilit binaire ne pourra tre exploit e Un ex cutable Linux infect ne pourra tre lanc par un syst me FreeBSD Concr tement l infection est effectu e en deux tapes Ecrasement de l ent te de programme de type PT_ NOTE avec une
108. malisation au plan national e Un panorama de l avancement des travaux normatifs en mati re de SSI et nouveaux themes de prospection e Une tude des travaux normatifs en mati re de crit res d valuation de SSI e Et les t moignages d un industriel Michelin et d un op rateur La Poste sur la qualit de la confiance et les preuves lectroniques Nous recommandons tout particuli rement la lecture de la pr sentation des nouvelles orientations en mati re de SSI et du document de r f rence Mise jour des orientations de la doctrine en mati re de s curit des syst mes d information ces deux documents tant pr sent s par la DCSSI On retiendra plus particuli rement les trois orientations fondamentales retenues pour mise en application courant 2003 1 Vis vis de tous Mise au point d une r glementation plus coh rente lisible et r aliste prenant en compte la dimension europ enne 2 Vis vis des responsables et utilisateurs de SI dans l Etat D veloppement d une culture et de bonnes pratiques en SSI 3 Vis vis des fournisseurs Mise en place de conditions permettant l laboration d une gamme diversifi e de produits et de prestations de s curit d ment qualifi es L annonce d une prise de position officielle sur le theme de la normalisation consid r comme strat gique au moins du point de vue conomique mais h las actuellement largement domin par la Grande Bretagne permet d envisager p
109. mepage sa2003 03 htm CIAC N 072 http www ciac org ciac bulletins n 072 shtml Sun Alert 52388 http sunsolve sun com pub cgi retrieve pl doc fsalert 52388 Vuln rabilit dans Ipc Forte ___ 31 03 Sun Solaris 2 6 et 7 Sparc et Intel O CIAC N 068 Inefficacit de l audit des sessions FTP anonymes Le m canisme d audit du module BSM Basic Security Module ne fonctionne pas dans le cas des sessions FTP anonymes Moyenne 18 04 Sun Solaris 2 5 1 8 Correctif existant Module BSM D faut d initialisation Sun Alert 40521 http sunsolve sun com pub cgi retrieve pl doc fsalert 40521 Veille Technologique S curit N 57 Page 33 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Vuln rabilit dans Vignette Story Server Une vuln rabilit dans Vignette Story Server permet d obtenir des informations sensibles telles que des donn es sur d autres sessions utilisateurs Forte 07 04 Vignette Story Server versions 4 1 et 6 Correctif existant Interpr teur TCL D bordement de buffer Stake http www atstake com research advisories 2003 a040703 1 txt XFS TES Vuln rabilit dans le syst me de fichiers XFS Le programme xfsdump permet un utilisateur local d acqu rir les privil ges root Forte 11 04 SGI IRIX 6 5 19fet pr c dents Linux Deban O gt B gt LD Vuln
110. n Fistor or unde se draft irtf dtnrg ipn bundle xfer 00 draft irtf dtnrg arch 00 EAP draft vollbrecht eap state 02 draft tschofenig eap ikev2 00 draft ietf fax gateway options 06 14 04 Guideline of optional services for Internet FAX Gateway F raft park fasthandover agent fmipv6 00 114 04 Fast Handover Agent FHA for Fast Router Discovery in FMIPV6 CAP raft stecher icap subid 00 ICAP Extensions raft hoffman idn reg 00 Framework for Registering Internationalized Domain Names raft josefsson idn test vectors 00 Nameprep and IDNA Test Vectors raft chung idnop charprep 00 CHARPREP Character Equivalency Preparations for IDN raft chung idnop zoneprep 00 ZONEPREP Zone Preparations for IDN raft chung idnop epp idn 00 EPP Internationalized Domain Name Mapping raft ietf ieprep ets telephony 03 IP Telephony Reqs for Emergency Telecommunication Service raft mrose ietf posting 00 A Practice for Revoking Posting Rights to IETF mailing lists raft hoffman imaa 01 Internationalizing Mail Addresses in Applications IMAA draft ietf imapext condstore 01 MAP Extension for Conditional STORE operation raft leiba imap search multiple 01 IP draft eastlake ip mime 07_ 21 04 IP over MIME __ gt _ gt gt gt O IPO draft ietf ipo framework 04 08 04 IP over Optical Networks A Framework draft ietf ipoib ip over infiniband 03 m O O WIR N 5 0 O H O O H O RIRIR EPREP ETF MAA ex O D m o
111. n l g re hausse avec 13 publications Le nombre de notes de s curit est en baisse avec 72 publications Le nombre d e mails et d appels trait s sont tous deux largement en hausse http www cert org stats cert stats html Publication de la synth se trimestrielle CS 2003 01 Le CERT publie sous la r f rence CS 2003 01 la synth se des mois de d cembre 2002 janvier f vrier et mars 2003 Cette synth se traite des vuln rabilit s exploitations ou attaques dont il a t question ces derniers mois 1 D bordement de buffer dans le noyau de Windows CA 2003 09 2 D bordement de buffer dans Sendmail CA 2003 07 Forte activit contre les partages de fichiers Windows CA 2003 08 D bordement de buffer dans Samba VU 298233 Apparition et propagation des vers Slammer et Sapphire CA 2003 04 CA 2002 22 Vuln rabilit s dans plusieurs impl mentations de SIP CA 2003 06 Vuln rabilit s dans plusieurs impl mentations de SSH CA 2002 36 D bordement de buffer dans l interface utilisateur de Windows CA 2002 37 Bogue double free dans CVS CA 2003 02 10 D bordement de buffer dans le service locator de Windows CA 2003 03 Notons que ne sont pas voqu s les avis CA 2003 01 et CA 2003 05 portant respectivement sur le serveur DHCP de l ISC et les serveurs Oracle CERT CC CS 2003 01 http www cert org summaries CS 2003 01 html Conseil d criture des rec Suite une alerte du site Corsaire Sym
112. n second processus pouvant s ex cuter avec des privil ges lev s Les deux processus communiquent par l interm diaire d un canal de type socket A ce jour les services SSH sshd X11 et le lanceur xdm et l utilitaire xconsole ont subit cette modification les services WEB httpd FTP ftpd ISAKMP isakmpd tant en cours d tude Veille Technologique S curit N 57 Page 14 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi La r vocation des privil ges conform ment au second principe de s curit dit du moindre privil ge A cette fin de nombreux utilitaires ont t modifi s pour rel cher l identifiant d utilisateur UID et de groupe GI D apres avoir effectu un changement du point de r f rence par modification de la racine de l arborescence vue par le processus op ration d nomm e chroot Ont ainsi fait l objet d une modification les utilitaires ping ping6 traceroute traceroute6 write rwalld pppd spamd authpf portmap rpc users rpc statd ftpd named et enfin httpd Le renforcement de la s curit du processus httpd charg de g rer les acc s WEB Ce processus s ex cute d sormais dans un contexte restreint jail ou prison localis
113. ns fil et plus pr cis ment celle des r seaux IEEE802 11b Sont ainsi expos es les attaques portant sur la disponibilit du r seau sur l int grit et la confidentialit des informations transport es Au dela de la d sormais classique attaque exploitant la vuln rabilit du protocole WEP voire l absence de tout m canisme de protection la pr sentation synth tique qui nous est propos e a le m rite de rappeler la simplicit de la mise en place d attaques en d ni de service sur ces r seaux brouillage s lectif ou non dans la bande utilis e dont nous rappelons qu elle est partag e saturation volontaire du point d acc s conduisant celui ci rejeter le trafic sans distinction d aucune sorte Nous conseillons la lecture de ces deux documents dont nous avons particuli rement appr ci la forme p dagogique rendant ceux ci accessibles tous Compl ment d information http www ssi gouv fr fr actualites Rec_ WIFI pdf http www ssi gouv fr fr actualites synthwifi pdf TENDANCES ICSA 81EME RAPPORT ANNUEL Description ICS La division ICSA Labs de la soci t TruSecure vient de publier son 8 rapport annuel intitul labs 8th Annual Virus Prevalence Survey portant sur les tendances observ es en mati re d volution MER Paie des attaques virales et codes mobiles Les r sultats de cette tude mettent en vidence deux points clefs sur l ann e 2002 une nette diminution du tau
114. nt que sondage aucune r gle correspondant la forme ici utilis e n tant activ e Dans le contexte pr sent l utilisation de snort n apporte pas le gain escompt mais surtout ne permet pas de d tecter le transfert du paquetage Remote Administrator par le biais du partage de fichier ouvert sur le service TCP 445 Conclusion partielle A ce stade de notre analyse et dans le contexte du d fi nous devons conclure qu aucun des outils employ s n est pleinement satisfaisant Nous allons donc devoir revenir la m thode jusqu maintenant utilis e dans nos analyses le parcours chronologique des changes par le biais de l outil ethereal en nous concentrant sur les points suivants 1 Efficacit des sondages effectu s par le syst me 24 197 194 106 2 Condition d utilisation du paquetage Remote Administrator install depuis le syst me 210 22 204 101 3 Recherche de toute autre tentative de compromission ayant pu conduit l activation du service IRC z7 7 Analyse des v nements Veille Technologique S curit N57 Page 53 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Les v nements identifi s la suite du parcours chronologique des changes par le biais de l outil ethereal vont tre d taill s en nous concentrant sur les seuls l ments requis pour r pon
115. o ojo AIS ICAP ___ draft stecher icap subid 00 __ _ Q draft ietf ipr technology rights 05 22 04 Intellectual Property Rights in IETF Technology draft ietf ipr submission rights 04 21 04 IETF Rights in Submissions Veille Technologique S curit N57 Page 22 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 draft ietf isis wg multi topology 06 26 03 M ISIS Multi Topology MT Routing in IS IS DAP raft tharrison ldap intermediate resp 01 draft hall Idap audit 00 LMP draft ietf hubmib wis mib 07 21 03 Def of Managed Objects for the Ethernet WAN Interface Sublayer PT at mmusc oteransnere draft ietf mmusic offer answer examples 00 draft levin mmusic xml media control 02 107 04 XML Schema for Media Control draft allan mpls a bit 00 23 04 The Case for the A Bit in the MPLS and IP PID NEMO raft thubert nemo lov traversal 00 draft paakkonen nemo prefix delegation 00 NETDIS __ draft bichot network discovery protocol 01 21 03 Network Discovery Protocol NETDIS NETWORK rare breit network perf throughput 00 draft holness network 12vpsp 00 ODMRP draft yi manet odmrp 00 31 03 On Demand Multicast Routing Protocol for Ad Hoc Networks 15 0 02 0 d 9 draft nguyen ospf Ils 02 03 04 OSPF Link local Signaling draft nguyen ospf oob resync 02 03 0 draft nguyen ospf restart 02 03 0 draft thorup osp
116. oir tre engag e qui va consister analyser prioritairement les changes pour lesquels les l ments statistiques laissent entendre qu il puisse s agir d un trafic TCP anormal Les r sultats de cette analyse purement visuelle donc uniquement bas e sur l exp rience de l investigateur sont synth tis s dans le tableau suivant Connexions TCP sur la cible Activit 24 197 194 106 CS Tentatives attaque UNICODE 885 variations 210 22 204 101 80 Tentatives attaque MS01 033 dit ida 71 tentatives Sondage service NETBIOS Tentatives attaque SHARE SMB et installation produit FAMATECH Remote Administrator fichiers r server exe raddrv dll admdll dll Acc s FAMATECH Remote Administrator 195 36 247 77 445 Tentatives attaque SHARE SMB 213 23 49 158 Tentatives attaque SHARE SMB Au prix d un travail cons quent car purement manuel nous avons ainsi pu mettre en vidence l installation d un outil d administration distante sans pour autant avoir reconstitu une quelconque chronologie des v nements Cette approche reste donc complexe et peu efficace par rapport une inspection visuelle via ethereal du moins dans le cas d une analyse portant sur un volume important de donn es Utilisation de snort La commande suivante permet d engager l analyse des flux contenus dans le fichier sotm27 en ayant pr alablement pris soin de configurer correctement le fichier snort conf snor
117. ondu avec le concept de vers ou de cheval de Troie Un virus est un programme qui cherche infecter les repr sentations statiques d autres programmes Le terme repr sentation statique est utilis par opposition l image en m moire d un processus et repr sente donc la forme du fichier ex cutable du programme Un ver est un programme qui exploite les vuln rabilit s d autres programmes Une copie du code du ver est alors effectu e dans la m moire du processus infect A Un cheval de Troie est un programme destin tre lanc par un utilisateur na f pr sentant un aspect anondin et effectuant des t ches l insu de l utilisateur L infection de fichiers ELF L insertion de code parasite dans un fichier ELF n cessite que le chargement de l image du processus se fasse de mani re ce que le code et les donn es d origines restent intacts Cela n cessite donc que la m moire allou e pour les segments soit plus grande Une modification du segment de texte impacterait l ent te ELF mais aussi les informations n cessaires l dition dynamique des liens par le chargeur L insertion d un segment est parfaitement r alisable mais peu discr te L utilisation des zones vierges aux extr mit s des segments semble tre la meilleure solution pour garantir l int grit du code et des donn es du programme original tout en palliant aux probl mes de d tection Le choix se portera naturellement sur la zone de remp
118. org pub OpenBSD patches 3 2 common 014 sendmail patch Deux jours apres la publication de OpenSSH 3 6 la version 3 6 1 est d ja disponible et corrige un bogue apport par la version 3 6 SE Un code d exploitation est disponible pour la vuln rabilit de type d bordement de buffer affectant le logiciel de calcul du SETI http safemode org files zillion exploits seti exploit c un g g el Vuln rabilit s SNMP dans les commutateurs Brocade SGI annonce que certains firmwares livr s avec les commutateurs Brocade sont vuln rables aux probl mes li s au protocole SNMP d crit dans le bulletin CERT CA 2002 03 Les versions inf rieures 2 6 0d sont vuln rables Il n existe pas de correctif et il est n cessaire d installer la version 2 6 0d ou sup rieure afin d liminer ces vuln rabilit s ftp patches sgi com support free security advisories 20030405 01 Mise jour des correctifs pour Tooltalk N SGI a mis jour l avis traitant de plusieurs vuln rabilit s dans ToolTalk Le nouveau correctif r f renc 4915 permet d liminer toutes les failles d crites dans le bulletin CERT CA 1999 11 Les versions SGI 6 5 18 et 6 5 19 sont immunes ces vuln rabilit s ftp patches sgi com support free security advisories 20021102 03 P Correctif pour Sendmail oubli un correctif pour Sendmail sujet un d bordement de buffer dans le traitement des en t tes ftp patches sgi com support free security a
119. ouvoir disposer sous peu de standards et de m thodologies adapt es aux nouvelles orientations et s int grant dans le cadre des sch mas ISO 17799 BS7799 part 2 dit ISMS mais aussi des crit res communs Compl ment d information http www ssi gouv fr fr actualites afnor dcssi 270303 270303 html http www commoncriteria org cc cc html Veille Technologique S curit N 57 Page 17 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Apogi LOGICIELS LIBRES LES SERVICES DE BASE Les derni res versions des services de base sont rappel es dans les tableaux suivants Nous conseillons d assurer rapidement la mise jour de ces versions apres qualification pr alable sur une plate forme d di e E i ON ca de Nom DNS 03 03 03 http www isc org products BIND 16 11 02 DHCP Serveur d adresse 3 0p2 15 01 03 Jhttp www isc org products DHCP dhcp v3 html INTP4 Serveur de temps _ 4 1 1c rc2 26 04 03 http www ntp org downloads html WU FTP Serveur de fichiers 29 11 01 http www wu ftpd org ES F7 IMAP4 Relev courrier 2002c1 18 04 03 ftp ftp cac washington edu imap POP3 Relev courrier 4 0 5 13 03 03 fftp ftp qualcomm com eudora servers unix popper SENDMAIL Serveur de courrier 8 12 9 30 03 03 fftp ftp sendmail org pub sendmail RELEASE_ NOTES 1 3 27 03 10 02 http httpd ap
120. p www mimesweeper com download bin Patches MAILsweeper Patches 301 ReadMe htm onibilit de plusieurs correctifs FreeBSD annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages Samba FreeBSD SN 03 01 seti home FreeBSD SN 03 02 OpenSSL FreeBSD SA 03 06 sendmail FreeBSD SA 03 07 http www linuxsecurity com advisories Correctifs pour Sendmail sur MPE iX HP a publi des correctifs pour Sendmail sur ses systemes MPE iX Sendmail est vuln rable a un d bordement de buffer dans le traitement des en t tes http www4 itrc hp com service cki docDisplay do docld HPSBMP0304 018 HP a r vis le bulletin HPSBUX0208 209 au sujet des vuln rabilit s affectant les r solveurs DNS et BIND Cette r vision indique que de nouveaux correctifs PHNE_27795 pour HP UX 11 00 et PHNE_28450 pour HP UX 11 11 ont remplac les anciens http www4 itrc hp com service cki docDisplay do docl d HPSBUX0208 209 R vision du bulletin HPSBUX0304 253 HP a r vis le bulletin HPSBUX0304 253 au sujet d une vuln rabilit dans sendmail Cette mise a jour indique une erreur de typographie sur le nom de fichier usr newconfig etc mail sendmail cf Par ailleurs les correctifs pour HP UX 10 10 sont disponibles via la version Sendmail 8 8 6 directement accessible l adresse http www software hp com products Sendmail index html http www4 itrc hp com service cki docDisplay do docl d HPSBUX0304 25
121. r pib 06 raft xie rserpool redundancy model 00 raft ietf ccamp tracereq 01 raft ross ptp 00 2 O D O A NE NE Q O O NJN 10 10 O N O Aje a N D Veille Technologique S curit N57 Page 21 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 VPN draft rosen vpn mcast 05 draft kompella ppvpn 2vpn 03 raft marques ppvpn rt constrain 00 draft ietf ppvpn gre ip 2547 02 31 03 AUTRES DRAFTS neme No m du Draft Jate litre 3GPP draft ietf v6ops 3gpp cases 03 draft ietf v6ops 3gpp analysis 03 PRONE graft finc Sbone phaseout 0 8 04 6bone IPv6 Testing Address Allocation Phaseout raft ymbk 6bone arpa delegation 01 4 4 DSLMIB draft ietf adslmib vdsl 08 18 04 Definitions of Managed Objects for VDSL ASCERTE draft dickel ascertech base 00 16 04 Ascertech s Billing and Accounting System Exchange Protocol AVT draft ietf avt rtp retransmission 07 04 04 draft ietf avt rtcp report extns 04 draft ietf avt rtp clearmode 00 draft ietf idr bgp identifier 02 04 04 AS wide Unique BGP Identifier for BGP 4 DHCP draft ietf dhc unused optioncodes 02 16 04 Unused DHCP Option Codes DIFFSER draft silverman diffserv mlefphb 01 08 04 Multi Level Expedited Forwarding draft ietf dnsext unknown rrs 05 draft ietf dnsext mdns 17 draft ietf dnsop inaddr required 04 draft josefsson dns url 07 p
122. rabilit dans YABB SE Le logiciel de gestion de forums YABB SE contient une vuln rabilit permettant un utilisateur de provoquer l ex cution de code PHP de son choix sur le serveur Forte 22 04 YABB SE 1 5 1 et pr c dents Correctif existant Fonction de personnalisation Inclusion de donn es externes NGSEC 2003 5 http www ngsec com docs advisories NGSEC 2003 5 txt ALERTES NON CONFI RMEES Les alertes pr sent es dans les tables de synth se suivantes ont t publi es dans diverses listes d information mais n ont pas encore fait l objet d une annonce ou d un correctif de la part de l diteur Ces alertes n cessitent la mise en place d un processus de suivi et d observation 2CM Vuln rabilit s dans le serveur d acc s RAS 1500 Le serveur d acc s RAS 1500 est sujet un d ni de service et rend accessible sa configuration Forte 24 03 3Com RAS 1500 firmware X2 0 10 2 Serveur HTTP embarqu 2 Non protection de certaines pages APACHE D bordement de buffer dans le module mod ntim Un d bordement de buffer dans le module mod ntim permet un attaquant distant de provoquer l ex cution de code arbitraire Critique 21 04 Module Apache mod_ntlm 0 4 et pr c dents et mod_ntimv2 0 1 EE Aucun correctif M canisme de journalisation D bordement de buffer http www securityfocus com archive 1 319239 D ni de service via mod access referer Le module Apache mod a
123. rewall Performance RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE Eo A O FR E EL L E pe L L ineme am Date re COPS 3483 03 03 Inf Framework for Policy Usage Feedback for Common Open Policy Service with Policy Provisioning ECML 3505 03 03 Inf Electronic Commerce Modeling Language ECML Version 2 Requirements Lu ee ETaT me BOER EE NAT 3519 04 03 Pst Mobile IP Traversal of Network Address Translation NAT Devices SIP 3520 04 03 Pst Session Authorization Policy Element VTS 3506 03 03 Inf Requirements and Design for Voucher Trading System VTS AUTRES RFC ge gt on Ne F Ama i i f LC ELA H323 3508 04 03 Inf ICAP 3507 04 03 Inf internet Content Adaptation Protocol ICAP IEPRER 3523 _ 04 03 inf IMAP____ 13516 04 03 Pst IPP 3510 04 03 Pst MPLS 3474 03 03 Inf Documentation of IANA assignments for GMPLS Resource Reservation Protocol ASON PPP 3518 04 03 Pst__ Point to Point Protocol PPP Bridging Control Protocol BCP LES DRAFTS raft hwang ipsec spiping 00 INTERCEP graft baker slem architecture 00 raft baker slem mib 00 raft bellovin mandate keymgmt 00 MOBILEIP Idraft nikander mobileip v6 ro sec 00 raft perkins mobileip precfg kbm 00 Veille Technologique S curit N 57 Page 20 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et V
124. rs montre qu ils correspondent tous a une r ponse aux requ tes mises vers le port UDP 137 Utilisation de tcptrace Nous avons volontairement choisi d analyser les v nements journalis s par l interm diaire de scripts crits sur mesure qui si nous tions dans un environnement d exploitation auraient fait l objet d am liorations afin de g n rer automatiquement toutes les informations n cessaires ceci probablement dans un format similaire celui utilis par le remarquable outil d analyse fwlogwatch On notera ce propos qu il est fort dommage que ce dernier ne reconnaisse pas le format tcpdump parmi les quelques 10 formats connus cisco netscreen snort text Un outil du domaine public tcptrace permet d engager une analyse assez similaire a la notre en proposant une pr sentation des v nements journalis s plus lisible que la pr sentation native de l outil tcpdump Ainsi la commande suivante nous g n rera une synth se de toutes les connexions TCP journalis es tcptrace b sotm27 1 arg remaining starting with sotm27 Ostermann s tcptrace version 6 2 0 Fri Jul 26 20 54536 packets seen 54350 TCP packets traced elapsed wallclock time 0 02 45 367537 329 pkts sec analyzed trace file elapsed time 119 19 48 341961 TCP connection info 1 db761f2a speednet ne jp 2388 172 16 134 191 139 a2b 4 gt 3 lt reset 2 218 163 9 89 HINET IP hinet net 4760 172 16 134 191
125. rt TCP 99 pr c demment mises en vidence ne proviendraient pas d une erreur de configuration du l outil d attaque Trame Source Service Donn e 2070 210 22 204 101 TCP 4899 Connexion sur le serveur Remote Administration 2080 210 22 204 101 TCP 4899 2079 210 22 204 101 TCP 4899 Connexion sur le serveur Remote Administration 3087 210 22 204 101 TCP 4899 Rupture de la connexion sur le serveur Remote Administration Nous nous heurtons maintenant un probl me de taille le protocole d change utilis par le produit de la soci t FAMATECH est tout particuli rement optimis pour transf rer la copie de l cran du syst me distant et les actions effectu es en retour par l utilisateur d placement de la souris tat des boutons frappes clavier En cons quence les actions contenues dans les quelques 1003 paquets de la seconde session 102Ko de donn es chang es ne peuvent tre d termin es et le contexte ne nous donne aucune information utile On notera seulement qu apr s cette session plus aucun change n aura lieu entre le syst me 210 22 204 101 et la cible d sormais consid r comme compromise Acquisition du ge swflash cab 5 Mars 2003 06h21 06h21 Le syst me cible se connecte sur le site 64 0 96 9 une adresse allou e dans un bloc appartenant a XO Communications un ISP pour t l charger le paquetage Macromedia swflash cab Un
126. rtainement aux tentatives de propagation du ver SQL Slammer Pour aller plus loin dans l analyse et d tecter les tentatives r elles et effectives de compromission de la cible nous allons devoir nous int resser au contenu des sessions Etude des attaques Deux outils peuvent nous aider dans cette d marche tcpflow qui permet de reconstituer chacun des flux de donn es TCP chang s entres les diff rentes sources et destinations les donn es tant stock es dans autant de fichiers qu il y a de couples sources destinations Snort qui permet de mettre rapidement en vidence les attaques autrement noy es dans la grande quantit d v nement enregistr s Utilisation de tcpflow La commande suivante permet d engager l analyse des flux TCP contenus dans le fichier sotm27 Veille Technologique S curit N 57 Page 52 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 tcpflow r sotm27 s Ceci conduit la cr ation de quelques 1164 fichiers dont 1031 correspondent aux donn es transmises vers la cible et 133 aux donn es transmises de la cible vers les syst mes externes La taille de ces fichiers va de 8 2 Mo un transfert WEB depuis le serveur users mrf va web rcn net quelques kilo octets Etant donn e la grande quantit d informations analyser une d marche structur e va dev
127. rus Virus Disaster What are the effects on victims of virus disasters Virus Impact Where do they come from Usage of Anti virus Products PC operating systems Network operating systemes Discussion Section The virus problem in companies continues to get worse Virus types Perception of the Virus problem Virus disasters and costs Virus disaster impact Protection strategies Appendices Appendix Survey Questionnaire Appendix B Possible Biases Appendix C Glossary of Common Terms in Anti virus discussion Compl ment d information http www trusecure com download dispatch VPS2002 pdf http www trusecure com download dispatch vps survey 2001 pdf Veille Technologique S curit N 57 Page 11 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 NIST SP800 50v2 BUILDING AN INFORMATION TECHNOLOGY SECURITY AWARENESS Description NJ Le NIST propose a la relecture la seconde version d un guide de 74 pages destin a faciliter la mise en nome oeuvre d un processus de sensibilisation et de formation a la s curit des syst mes d information Intitul Building an Information Technology Security Awareness amp Training Program ce guide est principalement destin aux instances gouvernementales am ricaines dans la cadre du programme FISMA Federal Information Security Management et de la circulaire A 130
128. s http www freedom to tinker com superdmca html http www michiganlegislature org printDocument asp obj Name mcl 750 540c amended amp version txt ROOTKITS Description La soci t iDefense tr s certainement connue de nos lecteurs pour ses alertes de s curit kd j DE FENS a publi en F vrier dernier une tude fort int ressante portant sur les outils d attaque pr LOTUS packag s d nomm s rootkit Avant d tudier le contenu de cette tude il peut tre utile de donner notre d finition du rootkit et d en rappeler la gen se Un rootkit est une collection organis e et pr te l emploi d utilitaires permettant d ouvrir et de conserver un acc s masqu sur un compte unix disposant de privil ges tendus ceux de root en g n ral Bien que les techniques l mentaires de dissimulation et de masquages utilis es dans les rootkits aient fait l objet de multiples articles publi s d s 1986 le terme rootkit n est r ellement apparu qu au milieu des ann es 90 Jusqu alors les pirates disposaient de leurs propres bo tes outils laborieusement assembl es et jalousement d fendues En effet rares taient les syst mes d exploitation accessibles tout un chacun en dehors des syst mes de type BSD et d riv s SunOS par exemple dont les sources taient assez facilement disponibles dans le milieux universitaire Ainsi les premiers composants des futurs rootkits firent
129. s avis class e par organisme metteur de l avis Afin de faciliter la lecture de ceux ci nous proposons un guide de lecture sous la forme d un synoptique r sumant les caract ristiques de chacune des sources d information ainsi que les relations existant entre ces sources Seules les organismes constructeurs ou diteurs disposant d un service de notification officiel et publiquement accessible sont repr sent s Avis Sp cifiques Avis G n raux _ Constructeurs Editeurs I nd pendants Organismes Syst mes Syst mes Editeurs Hackers Editeurs Autres Compaq Linux AUS CERT NetBSD uw _ Autres Typologies des informations publi es Publication de techniques et de programmes d attaques SGI OpenBS D D tails des alertes techniques et programmes SUN SCO Synth ses g n rales pointeurs sur les sites sp cif iques Notifications d taill es et correctifs techniques L analyse des avis peut tre ainsi men e selon les trois strat gies suivantes Recherche d informations g n rales et de tendances Lecture des avis du CERT et du CIAC Maintenance des syst mes Lecture des avis constructeurs associ s Compr hension et anticipation des menaces Lecture des avis des groupes ind pendants CERT NetBSD OpenBSD Xfree86 Linux FreeBSD Veille Technologique S curit N 57 Page 26 61 APOGEE Communications Tous droits r
130. s et non satisfaisantes pour arriver au r sultat attendu 5 Renforcement du positionnement des drapeaux de gestion des acc s la m moire PROT_WRITE et PROT EXEC de mani re assurer qu un segment autoris l ex cution ne le soit pas l criture L am lioration et l extension des fonctionnalit s offertes par le c l bre m canisme filtrage de paquets bpf avec l adjonction de r gles in line le contr le de la bande passante La version OpenBSD 3 3 dont la disponibilit est annonc e pour le 1 Mai int grera la majorit de ces volutions On notera par ailleurs le discret appel au peuple en mati re de contribution financi re le financement apport par le DARPA arrivant sous peu ch ance Advances in ELF binary runtime encr i N Metha amp S Clowes La protection des ex cutables par chiffrement de tout ou partie de l image ELF du binaire est un proc d ayant vu le jour en environnement UNIX en 2001 avec le d veloppement par le groupe TESO de BurnEye Remarquablement con u et n ayant fait l objet d aucune documentation publique cet utilitaire a donn du fil retordre aux analystes ayant eu tudier le code d exploitation OpenSSL dit X2 Le principe de base employ par de tels outils consiste chiffrer certains segments de code mais aussi manipuler les structures fondamentales de l image binaire dans l optique de la rendre invalide bien qu ex cutab
131. sage transmis par un client vers son serveur de rattachement sera imm diatement redistribu vers l ensemble des serveurs constituant le r seau IRC Ce message sera diffus a tous les clients ayant rejoint le groupe de discussion ou channel dans le jargon dans lequel il a t mis On compte l heure actuelle une quinzaine de grands r seaux IRC officiels non interconnect s et actuellement en activit Citons EFFNet le r seau historique IRCNet AOL Microsoft Undernet DalNet mais aussi de nombreux r seaux pouvant tre qualifi s de priv s 2 Quel est le message transmis par IRC pour rejoindre le r seau Apr s s tre connect sur un serveur IRC via une session ouverte g n ralement sur le port TCP 6667 l utilisateur devra mentionner le ou les canaux de discussion qu il souhaite rejoindre En pratique l utilisateur aura pr alablement choisi un pseudonyme ou nickname unique dans le r seau IRC utilis Apr s validation de ce pseudonyme par le serveur l utilisateur pourra utiliser les commandes sa disposition pour obtenir la liste des canaux de discussion publics et ventuellement rejoindre l un de ces canaux par le biais de la commande JOIN La particularit du r seau IRC r side dans un choix de conception remarquable consistant rendre totalement dynamique la cr ation d un canal la premi re personne activant la commande JOIN sur le nom d un canal inexistant en de
132. st matique du port secalit o cme m Servers Found TCP 1433 correspondant au point d acc s au IP Address Name Clustered Version TCP Porta service SQL Serveur nai Ba PCL No 00 194 010 00 0 PYLS1L Fb 7 No singin L utilisateur pourra s il le souhaite indiquer comme lis o era 3 00 154 adresse de d part l adresse IP de diffusion raie bara 2 tee correspondant au r seau cible en lieu et place d une ERREEN i plage d adresses Il sera ainsi possible d identifier imm diatement les syst mes actifs et configur s pour r pondre une telle requ te 00 05 26 Server 10 MM M MM Port 1599 Connection error DBNETLIB Connection0pen Connect 4 00 05 26 Server 10 8 Port 1433 Connection error DBNETLIB CommectionOpen Connect Cette m thode donne cependant des r sultats RER Stace IN g n ralement incomplets ou partiels conduisant a me ee ae recommander de configurer le sondage en indiquant dev ous la plage des adresses IP cibles Une recherche syst matique des comptes d acc s et mots de passe associ s peut tre activ e en pr cisant le nom des fichiers contenant les identifiants et les mots de passe tester Dans l hypoth se o aucun fichier n est param tr l outil recherchera simplement la pr sence d un compte sa sans mot de passe une situation h las trop courante et exploit e avec grand b n fice par de nombreux codes mobiles ou outils d attaque Les tests men s sur cet out
133. t RSA Security annon ait mi Mai 2001 la reprise de la s rie de d fis RSA Factoring challenge sous une nouvelle forme en offrant une dotation allant de 10 000 200 000 avec l ouverture de huit nouveaux d fis Rapport N 34 Mai 2001 Le 1 Avril 2003 sic une quipe de l universit de Bonn a cependant annonc tre venue bout de RSA 160 l un des d fis restant r soudre dans la premi re s rie Rappelons qu l poque le nom du d fi exprimait la taille du nombre devant tre factoris en digits chiffres d cimaux soient 540 bits dans le cas de ce d fi Si le d fi RSA 155 512 bits n avait demand que 7 4 mois B7si Date Taille Dur e calendaires de travail en dur e mais 35 7 ann es quivalentes RSA 100 1991 de puissance de calcul distribu e sur 160 SUN 175 400Mhz 8 RSA 110 1992 SGI 200Mhz 120 PII 300 400Mhz 4 Digital 500Mhz le d fi RSA 160 540 bits n a n cessit que 17 jours de travail en LRSA 120 1993 s appuyant sur 32 R12000 et 72 stations alpha EV67 RSA 129 1977 426 bits Utilisant la m thode de crible dite General Number Field RSA 130 1996 428 bits Sieve ou GNFS cette factorisation a b n fici des RsA 140 1999 465 bits remarquables progr s en mati re de puissance de calcul RSA 155 1999 disponible constat e depuis la derni re factorisation r ussie 512 bits LE 1999 RSA 160 2003 540 bits Les huit d fis de la nouvelle s rie restent ce jour ouverts qui
134. t c etc snort conf r sotm27 Une synth se des alertes peut alors tre rapidement obtenue en recherchant toutes les lignes commen ant par la cha ne dans le fichier alert g n r par snort grep alert Nous obtenons ainsi une liste des 155 alertes qu il va nous falloir tudier mais qui peuvent toutes tre regroup es en 3 cat gories Ref rence Titre Occurrences 1 2003 2 MS SQL Worm propagation attempt 1 1 615 3 SCAN SOCKS Proxy attempt Sa 100 2 1 PORTSCAN DETECTED from 24 197 194 106 86 Nous le constatons si nous avons bien confirmation des tentatives d acc s dues au ver SQL Slammer port UDP 1434 et du sondage r alis par le syst me 24 197 194 106 aucune alerte n appara t concernant le probl me du partage de fichier SMB pr c demment identifi Le lecteur aura probablement aussi remarqu l absence de toute r f rence aux tentatives d exploitation de la vuln rabilit ida A cela deux raisons 1 Le protocole SMB permettant le partage de fichier sur Internet TCP 445 ne fait l objet d aucune r gle pr d finie puisque son utilisation ne peut tre consid r e comme une vuln rabilit mais tout au plus comme un probl me de configuration 2 Les tentatives d exploitation du d bordement de buffer pr sent dans le syst me d index IIS ici caract ris es par la pr sence d une requ te du type GET NULL IDA CCCCCCCCCCCC sont comptabilis es en ta
135. t dans un format concis afin de r duire le volume des journaux Ainsi dans le cas des journaux g n r s par les outils tcpdump et snort une option est propos e qui conduit l enregistrement des structures pertinentes dans un format binaire donc non lisible par une tre humain 7 Avec quels serveurs IRC le syst me compromis dont l adresse est 172 16 134 191 communique t il Nous avons observ a partir de la trame 35739 plusieurs tentatives de connexion vers les serveurs IRC suivants Adresse IP Nom DNS R sultats Essais 209 126 161 29 ISP CARI pas de nom Pas de r ponse 9 66 33 65 58 DNS ns espaciosweb net Pas de r ponse 9 63 241 174 144 CERFnet Pas de nom 217 199 175 10 ns2 caralarmuk com Serveur satur 1 209 196 44 172 ISP SPRINT ipdwbc0271atl2 public registeredsite com L application du filtre suivant sur les trames pr sent es par l outil Ethereal permet de confirmer qu aucun syst me n a t oubli dans notre analyse Syst me compromis tablissant une session TCP flag SYN vers IRC ip src eq 172 16 134 191 tcp flags syn eq 1 and tcp flags ack eq 0 tcp dstport eq 6667 8 Sur la p riode d analyse combien de syst mes ont acc d le botnet via 209 196 44 172 N L tude des 548 lignes correspondant aux messages transmis par le serveur IRC 209 196 44 172 destination du syst me compromis nous a permis d identifier 6918 1 pseudonym
136. tp www loria fr zimmerma records factor html http www loria fr zimmerma records rsa160 http www nfsnet org faq nfs htm WIFI DCSSI SECURITE DES RESEAUX WIFI Description La mission de produire des recommandations relatives l utilisation et l exploitation des r seaux sans fil avait t confi e Henri SERRES Directeur central de la s curit des syst mes d information au Secr tariat g n ral de la D fense Nationale par les ministres de l industrie et de la recherche La DCSSI a ainsi labor deux documents e Une pr sentation synth tique de la s curit des r seaux utilisant la norme 802 11b Wi Fi e Un document qui pr sente une analyse des diff rents types de risques auxquels les r seaux Wi Fi sont expos s ainsi qu une s rie de conseils permettant de mieux contr ler le niveau de s curit et si possible de r duire les risques Le premier document pr sente en 2 pages les l ments dont il faudra tenir compte lors de l tablissement d un r seau sans fil 1 Les risques li s l utilisation de cette technologie 2 La planification et l organisation du d ploiement 3 La protection physique des mat riels et des sites 4 Les m canismes de protection chiffrement et authentification Le second document de 9 pages intitul Recommandations La s curisation des r seaux sans fil aborde dans le d tail les diff rents risques li s a l utilisation de la technologie dite sa
137. ts r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 MICROSOFT 31 MUTT 32 ORACLE 32 OPENSSH PAM 32 REAL NETWORKS 32 SAMBA 32 SENDMAIL 32 SETI HOME 33 SGI 33 SUN 33 VIGNETTE 34 XFS 34 YABB 34 ALERTES NON CONFIRMEES 34 3COM 34 APACHE 34 HP 34 IBM 35 LINKSYS 35 NETGEAR 35 PROGRESS 35 SNORT 35 STUNNEL 35 AUTRES INFORMATIONS 35 REPRISES D AVIS ET CORRECTIFS 35 APACHE 36 CERT 36 CIAC 36 CLEARSWIFT 37 FREEBSD 37 HP 37 IBM 38 LINUX CALDERA 38 LINUX DEBIAN 38 LINUX MANDRAKE 39 LINUX REDHAT 39 MICROSOFT 39 ORACLE 40 OPENBSD 40 OPENSSH 40 SETI HOME 40 SGI 40 SUN 40 CODES D EXPLOITATION 41 LINUX Al MI CROSOFT Al BULLETINS ET NOTES 41 CERT 42 SYMANTEC 42 ATTAQUES 43 OUTILS 43 SQLPING NET 43 TECHNIQUES 43 VIRUS ELF 43 IRC BOTNET SCAN OF THE MONTH 47 Veille Technologique S curit N 57 Page 3 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Le mot de la r daction Le 24 avril Microsoft d voilait Windows Server 2003 avec la promesse de fournir un syst me 3D c est dire s curis par sa conception secure by Design s curis par d faut secure by Default et s curis dans son d ploiement secure in Deployment Nous conseillons fortement la lecture d un tres int ressant article qui tente de faire le point a c
138. ttp www apache org dist httpd Announcement2 html Le service DirectoryService de MacOS X permet un utilisateur local d acqu rir les privileges root Forte 10 04 Apple MacOS X 10 2 4 et pr c dents Correctif existant Ex cution de fichier non contr l Stake http www atstake com research advisories 2003 a041003 1 txt osition d informations des dossiers DropBox Un utilisateur non i peut modifier les permissions d un dossier DropBox afin d en r v ler son contenu Moyenne 14 04 Apple MacOS X versions 10 0 10 2 4 MacOS X Server versions 10 0 10 2 4 Correctif existant Service de partage de fichiers Modification des permissions d un dossier DropBox http www info apple com usen security security_ updates html D bordement de buffer dans QuickTime Moyenne 31 03 Apple Quicktime 5 x et 6 0 sur Windows SSOSSCCCCSCSCSCSCSSSS Vuln rabilit dans WebLogic Une vuln rabilit dans WebLogic permet a un utilisateur de contourner l authentification pour acc der a certaines applications Forte 26 03 BEA WebLogic 7 0 et 7 0 0 1 toute plate forme Correctif existant Cache de l authentification Non r initialisation du cache BEA03 27 00 http dev2dev bea com resourcelibrary advisoriesnotifications BEA03 27 jsp CISCO f i Le D Yes J D bordement de buffer dans CS ACS Le service d administration Cisco Secure Access Control Server contient un d bordement
139. tus Notes et Domino Le CERT CC a publi un avis r sumant les vuln rabilit s de Lotus Notes et Domino r cemment publi es et faisant le point sur les versions effectivement vuln rables Sont reprises Les alertes initialement annonc es par NGSSoftware auxquelles sont vuln rables les versions inf rieures aux 5 0 12 et 6 0 1 de Lotus Notes Une en particulier n cessite l application du correctif CF1 apr s passage en version 6 0 1 Les alertes initialement annonc es par Rapid7 auxquelles sont vuln rables les versions inf rieures la 5 0 12 http www cert org advisories CA 2003 11 html Correctifs pour Sendmail IBM a publi des correctifs pour Sendmail sujet a un d bordement de buffer dans le traitement des en t tes Ces correctifs sont disponibles pour AIX 4 3 3 5 1 0 et 5 2 0 http www 1 ibm com services continuity recover1 nsf MSS MSS OAR E01 2003 0461 1 Ww A d A 4 d A FE LP FR WIN SPA TA Yay Caldera annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages OpenSSL CSSA 2003 013 0 OpenSSL CSSA 2003 014 0 apcupsd CSSA 2003 015 0 sendmail CSSA 2003 016 0 onibilit de nombreux correctifs Debian annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages bonsai krb5 lor mutt heimdal kernel mips ecartis dietlibc krb4 mutt lpr ppd kernel s390 apcupsd sendmail metrics Samba moxftp glibc xfsdump
140. u e par Theo DeRaadt l unique responsable de l volution du syst me OpenBSD propose un bilan de l utilisation des fonds 2 3 million de dollars attribu s par le DARPA dans le cadre du financement de projets ayant trait la s curit Ces fonds ont ainsi permis d employer 6 d veloppeurs a plein temps d acheter du mat riel d organiser une session de codage d une semaine mais aussi de financer l audit du projet OpenSSL Les nouveaux d veloppements ont principalement port sur La r duction du nombre d ex cutables dits SUID c est a dire s ex cutant avec les privil ges du propri taire root en g n ral Ce travail cons quent de r organisation des groupes des utilisateurs mais aussi de modification du code a permis de produire une distribution ne contenant plus que 8 binaires SUID au lieu des 40 binaires SUID pr c demment livr s chfn login passwd rsh su sudo lockspool authpf Dans la m me logique un effort visant diminuer le nombre d utilitaires SGID s ex cutant avec les privileges du groupe a aussi t engag Le renforcement du principe l mentaire de s curit dit de s paration des privil ges Le proc d utilis consiste a regrouper les op rations a risque dans un processus s ex cutant dans un contexte restreint jail process dans le jargon les autres op rations tant g r es par u
141. ul 2003 Editeurs Cumul 2002 Editeurs Netscape 0 SCO 2 Sco Macromedia FC DCE CO se Macromedia 31 107 Linux RedHat 20 49 102 32 14 j Linux Debian 30 83 120 N Linux Mandr 1 D Netscape etscape 0 2 Microsoft Microsoft FreeBSD Stake eEye X Force 22 54 57 Veille Technologique S curit N57 Page 27 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 ALERTES DETAILLEES Les tables suivantes pr sentent une synth se des principales alertes de s curit mises par un organisme fiable par l diteur du produit ou par le constructeur de l quipement Ces informations peuvent tre consid r es comme fiables et authentifi es En cons quence les correctifs propos s s il y en a doivent imm diatement tre appliqu s IS Relayage d e mails via Amavis no Un probleme dans Amavis ng autorise le relayage d e mail Forte 10 04 Amavis Amavis ng versions 0 1 6 1 0 1 6 3 Mauvaise interaction entre Amavis ng et Postfix http amavis sourceforge net http www securityfocus com bid 7306 Multiples vuln rabilit s dans Apache Plusieurs vuln rabilit s du serveur Apache ont t r v l es avec la publication de la version 2 0 45 Forte 03 04 Apache 2 0 44 et pr c dents toutes plates formes Correctif existant Serveur Apache Gestion des descripteurs de fichier h
142. urrage dans le jargon Le segment DATA suit toujours le segment TEXT page 3 La repr sentation des pages m moire allou es pour un processus propos e ci contre permet de mieux visualiser l organisation des donn es en m moire Dans un fichier ex cutable ELF sont pr sents physiquement un certain nombre de segments charger en m moire qui constitueront le segment DATA et le segment TEXT de l image m moire du processus Plus pr cis ment un fichier ex cutable ELF est constitu d une ent te ELF de l index de l ent te du programme des segments charger en m moire de l index des sections optionnelles de segments optionnels informations de d bogage D apr s les sp cifications du format ELF un fichier ex cutable ELF commence par un ent te qui contient une carte d crivant l organisation du fichier Les diverses sections contiennent elles diverses informations telles que des instructions des donn es une table de symboles etc L index de l ent te du programme quand il existe indique au syst me comment cr er l image du processus en m moire Cet index doit tre pr sent dans un fichier ex cutable pour qu il soit valide L index des sections contient lui des informations sur les sections du fichier comme leur nom leur taille etc Le fichier ex cutable est une repr sentation statique du programme et le syst me se charge d en faire une repr sentat
143. us indique qu il s agit du syst me ipdwbc0271atl2 public registeredsite com Nous ne pouvons qu envisager que ce syst me agisse en tant que relais vers le r seau IRC AOL lt sat Cocco com 0039 rgceiuggac sThis Server was Created Sun Jan 19 2003 at 19 04 03 PST Mes aol com 004 rgeiuggae irc5 aol con 2 8 hnyboricd 6 3 1 oOiwszerkiycdnxko biklimmopstye lt irc5 aol com 005 rgdiuggac WALLCHOPS PREFIX ov CHANTYPES amp MAXCHANNELS 20 MAXBANS 25 NICKLEN 9 TOPICLEN 120 KICKLEN 90 NETWORK Xnet CHANMODES be k 1 imnpst EXCEPTS KNOCK MODES 4 are supported by this server lt irc5 aol com 251 rgodiuggac There are 0 users and 4752 invisible on 4 servers lt 31ire5 a0l com 252 rodiuggac I IRC Operators online lt irc5 aol com 254 rgdiuggac 4 channels formed lt 21705 80 l com 255 rodiuggae sI have 346 clients and servers lt irc5 aol com 265 rgdiuggac Current local users 346 Max 348 lt 1re5 a0l com 266 rgdiuggae sCurrent global Users 4752 Max 4765 lt 1re5 a0l com 250 rgeiuggaec shighnest Connection Counts 249 348 clients 378 since server was re started lt 1re5 a0l com 375 rgeiuggaec arco aols com Message of the Day dico CO Com 3572 rgciuggaec s WELCOME TO AMERICA ONLINES IRC SERVER Aile io com 572 rgadiuggaec z lt 21rC5 a0l com 372 rgciuggac s 11l WARNING WARNING WARNING WARNING yd lt eo aO CON robes CON EE S ERVER SOAs BOR OPEN ERONI S lt bees lol Cons 37
144. ves d attaque SQL SLAMMER 2 Mars 2003 00h27 Quelques 55 tentatives de propagation du code SQL Slammer ont t journalis es Trame Source Service Donn e 104 206 149 148 192 UDP 1434 Code SQL Slammer Acc s distants la base de registre 4 Mars 2003 03h55 Plusieurs syst mes tiers acc dent avec plus ou moins de succ s la base de registre et plus particuli rement aux informations de s curit par l ouverture d une connexion dite IPC anonyme puis association de cette connexion avec un quelconque outil d acc s SMB Ce type d attaque est en nette recrudescence depuis l apparition d outils dont le ver W32 Deloder permettant d automatiser la recherche d acc s et l installation de portes d rob es Trame Source Service Donn e Connexion IPC anonyme 172 16 134 192 IPC Enum ration de la base de registre D Lecture de divers objets de la base de s curit samr 418 422 195 36 247 77 TCP 445 Mise en place d un acc s d rob Remote Administration 5 Mars 2003 03h38 03h39 Parmi les syst mes pr c dents le syst me 210 22 204 101 faire preuve d une activit intense consistant d abord analyser la base de registre puis transf rer le paquetage FAMATECH Remote Administration et enfin lancer son ex cution Par d faut ce produit utilise le port TCP 4899 pour accueillir les sessions d administration Trame Source Service Donn
145. vient l administrateur le sysop c est dire la personne ayant toute autorit sur les futurs utilisateurs de ce canal La dur e de vie d un canal est directement li e a la pr sence d au moins un utilisateur actif sur celui ci Un administrateur quittant son canal par la commande QUIT perdra imm diatement son privil ge au d triment de l utilisateur suivant dans la liste des connexions moins qu il n ait d l gu cette autorit un autre utilisateur ou lui m me par le biais d un autre pseudonyme Lorsque tous les utilisateurs d un canal ont quitt celui ci ce canal pourra de nouveau tre r attribu 3 Qu est ce qu un botnet Le mode de fonctionnement de l IRC a tr s rapidement conduit une v ritable gu rilla virtuelle dont l objet est la conservation ou la prise de contr le des canaux qu ils soient publics et normalement maintenus actifs ou priv s et accessibles sur invitation Les proc d s permettant de conserver le contr le d un canal ont volu s au fur et mesure de l accroissement de l Internet Initialement ce contr le tait assur par le biais de scripts r guli rement activ s par les clients IRC afin de maintenir une activit minimale sur le canal Les limitations inh rentes ce proc d perte du canal en cas d arr t du client ou de rupture de la connexion ont conduit d velopper un syst me coop ratif et distribu constitu d agents appel s bots
146. x de croissance des infections h las consid r e par les auteurs du rapport comme n tant qu un ph nom ne transitoire l absence du grand v nement big bang malicious code event jusqu alors observ chaque ann e par le pass et l origine de la majorit des d sastres report s par les soci t s interrog es Melissa en 1999 LoveLetter en 2000 et Nimda en 2001 En 2002 les 80 d sastres mentionn s par les personnes interrog es ont eu pour origine 4 virus sur une p riode de 9 mois Le rapport de 52 pages contient de nombreux tableaux statistiques et graphiques tablis sur la base des r ponses au questionnaire dont une copie est jointe en fin de rapport En pratique 306 r ponses ont t consid r es comme valables vis vis des crit res tablis pour cette tude L analyse de ces r ponses a permis de d gager 80 cas ayant donn lieu un d sastre au sens des crit res technico conomiques tablis par l I CSA Un premier tableau int ressant extrait du rapport page 14 d taille les virus l origine des d sastres les plus r cents Veille Technologique S curit N 57 Page 10 61 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Avril 2003 Nom du virus Fr quence dans Nombre de machines code mobile les r ponses impliqu s KELZ 121 278 NIMDA 20 86 285 LOVELETTER ET RS 33 395 BUGBEAR Oooo 13 18 2
147. yse statistique pr sente sous Ethereal nous permet d tablir une liste des protocoles pr sent s tri s par activit Protocole Service Nb Paquets Soit en HTTP 12028 22 07 9809 17 99 NetBIOS Session 3769 DATA ait 1 68 DEC RPC DATA DATA 2 oo 00 Cette rapide tude met en vidence la nn de l utilisation des protocoles TCP HTTP IRC puis NetBIOS Le positionnement d un filtre ip addr eq 172 16 134 191 permet de confirmer que les v nements journalis s concernent tous le syst me compromis dont l adresse 172 16 134 191L nous est donn e dans la pr sentation du d fi Protocole TCP L utilisation de l excellent utilitaire tcpdump va nous permettre d extraire rapidement tous les changes TCP ayant t journalis s et ainsi d obtenir une liste exhaustive des adresses IP des syst mes ayant communiqu s avec la cible On notera en effet que la liste d adresses IP produites par l outil snort est g n ralement restreinte aux seules adresses ayant d clench es l une des r gles d analyse Le script suivant va nous permettre d extraire automatiquement les informations n cessaires adresse IP source port destination ainsi que l activit mesur e en terme de nombre de sessions engag es NetBIOS Name Svc ee cea aren O16 cc in eee en Paquet SYN uniquement Avie ode deem E Source et Destination eee eg print 9 Yet 1 ye Me U W 3 ee ST Adresse Src Port Dst s
Download Pdf Manuals
Related Search