http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-011/CERTFR-2014-ALE-011.html

Une gestion de version détaillée se trouve à la fin de ce document.

1 – Risque(s)

• élévation de privilèges

2 – Systèmes affectés

• Windows Server 2003
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
• Windows 8 et Windows 8.1
• Windows Server 2012

3 – Résumé

Une vulnérabilité a été découverte dans l’implémentation du KDC Kerberos de Microsoft Windows. Elle permet à un attaquant d’altérer certaines propriétés d’un ticket de service sans que ces modifications soient détectées. L’attaquant peut ainsi éléver ses privilèges au niveau administrateur de domaine. Microsoft a indiqué avoir connaissance d’attaques limitées et ciblées exploitant cette vulnérabilité.

4 – Recommandation

Le CERT-FR recommande d’appliquer le correctif du bulletin de sécurité Microsoft MS14-068.

5 – Documentation

• Bulletin de sécurité Microsoft MS14-068 du 18 novembre 2014

  https://technet.microsoft.com/en-us/library/security/ms14-068.aspx
  

• Référence CVE CVE-2014-6324

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6324
  

Gestion détaillée du document

18 novembre 2014

version initiale.

Le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) vient de publier une alerte de sécurité relative à une vulnérabilité dans le noyaux Linux.

Une vulnérabilité a été corrigée dans le noyau Linux. Elle permet à un attaquant de provoquer une élévation de privilèges. Un code d’exploitation est disponible publiquement et activement utilisé.

En attendant que votre distribution intègre le correctif, il est possible de contourner le code d’exploitation en utilisant un noyau durci tel que grsecurity ou les fonctionnalités processeurs :

• Supervisor Mode Access Prevention ;
• Supervisor Mode Execution Protection.

Il est aussi possible de :

• recompiler son noyau avec le correctif du noyau Linux ;
• recompiler son noyau en désactivant la fonctionnalité CONFIG_PERF_EVENTS ;
• d’utiliser un noyau vanilla stable corrigé.

Plus d’information sur le site du CERTA : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ALE-005/CERTA-2013-ALE-005.html

Une vulnérabilité a été découverte sur des terminaux équipés du composant «Exynos 4» (Exynos 4210 ou Exynos 4412) de Samsung. Le pilote de ce composant permet à une application d’élever ses privilèges sur le système et d’exécuter du code en tant qu’administrateur (root).

La liste des systèmes affectés pourrait potentiellement être étendue à des terminaux d’autres marques équipés du composant «Exynos 4» et du pilote Samsung correspondant.

Contournement provisoire

En attendant la publication d’un correctif par le constructeur, le CERTA recommande de ne pas installer d’application non vérifiée sur ces terminaux.

Plus d’informations : http://www.certa.ssi.gouv.fr/site/CERTA-2012-ALE-008/CERTA-2012-ALE-008.html

Le CERTA constate un intérêt renouvelé pour l’exploitation malveillante de la fonctionnalité de renégociation de clés de session du protocole SSL/TLS afin de provoquer un déni de service

Plusieurs articles et des outils récemment publiés sur l’Internet mettent en lumière certaines fonctionnalités du protocole SSL/TLS. En effet, le protocole SSL requiert des traitements significativement plus coûteux pour le serveur que le client lors de l’établissement d’une session ou lors de la renégociation de clés de session. Cette forte asymétrie des traitements entre le client et le serveur permet à un ou plusieurs clients d’épuiser les ressources serveur et de réaliser un déni de service. Les publications récentes détaillent ces aspects et proposent des outils, très simples d’utilisation, mettant en pratique cette attaque.

Toutes les applications reposant sur l’utilisation d’un canal SSL/TLS sont potentiellement vulnérables (HTTPS, POPS, IMAPS, LDAPS, …).

La plus efficace de ces attaques consiste à utiliser une seule connexion TCP pour réaliser de nombreuses renégociations des clés de session SSL/TLS.

Une variante de cette attaque, plus facilement détectable, consiste pour le client à multiplier les connexions TCP pour établir un grand nombre de sessions SSL/TLS. Cette variante sera privilégiée par l’attaquant lorsque la renégociation de clés de session initié par le client est désactivée sur le serveur.

Mesures de contournement

S’agissant d’une fonctionnalité du protocole SSL/TLS, aucun correctif n’est à attendre de la part des éditeurs d’implémentation du protocole SSL/TLS.

Néanmoins, un certain nombre de vérification et/ou précautions s’imposent pour prévenir un déni de service sur des applications critiques reposant sur le protocole SSL/TLS.

Désactivation de la fonctionnalité de renégociation de clés de session initiée par le client

La fonctionnalité de renégociation des clés de session a déjà donné lieu à la publication de l’avis CERTA-2009-AVI-482. Lors du traitement de cette vulnérabilité, les différents éditeurs d’implémentation du protocole SSL/TLS ont proposé des mises à jour refusant par défaut les demandes de renégociation de clés de session initiées par le client.

Pour l’implémentation OpenSSL, la version OpenSSL 0.9.8l désactive la renégotiation de clé inititiée par le client. Les versions 0.9.8m et supérieures réactivent cette fonctionnalité. Il revient alors à l’administrateur de s’assurer que les applications proposant un canal chiffré avec OpenSSL sont configurées pour refuser les demandes de renégociation des clés de session. Par exemple, le module mod_ssl de Apache rejette ces demandes dans les versions récentes.

Pour l’implémentation de Microsoft Windows (Schannel), les mises à jour de Schannel.dll sont documentées dans l’avis de sécurité Microsoft KB977377.

Ces mises à jour désactivent par défaut la renégociation de clés de session initiée par le client. Il est important de bien noter que les vulnérabilités adressées par ces mises à jour ne sont pas liées aux exploitations malveillantes par déni de service décrites dans cette alerte.

Cette mesure permet de prévenir l’exploitation la plus efficace de cette vulnérabilité.

Surveillance et limitation des connexions TCP

L’autre technique ici utilisée est un déni de service plus classique reposant sur la multiplication des connexions au serveur et le déclenchement de traitements coûteux pour le serveur (ici l’établissement de sessions SSL/TLS).

Dans ce contexte, il convient de recourir au moyen habituels de prévention de ce risque :

• Augmentation des capacités du serveurL’attaque reposant sur l’attrition des ressources du serveur, il peut suffir d’augmenter significativement les capacités de traitement afin de pouvoir absorber la charge de l’attaque sans impacter la charge normale de l’application.
• Limitation du nombre de connexionsL’application de mesures de limitation du nombre de connexions TCP simultanées va efficacement limiter l’accès de l’attaquant aux ressources du serveur et ainsi prévenir l’attaque.
• Utilisation de matériel spécialisé type Hardware Security Module (HSM)Des matériels spécialisés type HSM permettent d’augmenter significativement le nombre de négociations SSL/TLS réaliséées par unité de temps et donc la résistance aux attaques. Lorsque ces boitiers sont utilisés, il est important de s’assurer que les protocoles acceptés par l’application côté serveur sont bien accélérés par ce matériel. En effet, si un protocole négocié entre le client et le serveur n’est pas accéléré alors la protection apportée par le dispositif n’est plus efficace.

Plus d’informations : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-005/CERTA-2011-ALE-005.html