07 novembre 2008 - Certa
Contents
1. http www openbsd org plus44 html 7 Ports observ s Le tableau B et la figure T montrent les rejets pour les ports sous surveillance que nous avons constat s sur des dispositifs de filtrage entre le 30 octobre et le 06 novembre 2008 8 Liens utiles M mento sur les virus Note d information du CERTA sur l acquisition de correctifs http www certa ssi gouv fr site CERTA 2001 INE 004 ote d information du CERTA sur les syst mes obsol tes ttp www certa ssi gouv fr site CERTA 2005 INF 003 ote d information du CERTA sur les bonnes pratiques concernant l h bergement mutualis http www certa ssi gouv fr site CERTA 2005 INE 005 Note d information du CERTA sur les mots de passe http www certa ssi gouv fr site CERTA 2005 INE 001 Note d information sur la terminologie d usage au CERTA http wWww certa ssi gouv fr site CERTA 2006 INE 002 Note d information du CERTA sur les enjeux de s curit li s une migration vers IPv6 http wWww certa ssi gouv fr site CERTA 2006 INE 004 Unix security checklist version 2 0 du 8 octobre 2001 Publication du CERT australien http www auscert org au render html it 1935 Note d information du CERTA sur les risques associ s aux cl s USB http wWww certa ssi gouv fr site CERTA 2000 INE 006 Note d information du CERTA sur les outils d indexation et de recherche http www certa ssi gouv fr site CERTA 20062. 18264 TCP CheckPoint interface http www certa ssi gouv fr site CER 54345 TCP HP Mercury http www certa ssi gouv fr site CER 65535 UDP LANDesk Management Suite http www certa ssi gouv fr site CER TAB 2 Correctifs correspondant aux ports destination des paquets re jet s port pourcentage 135 tcp 33 07 25 tcp 25 66 445 tcp 13 75 1433 tcp 5 07 1026 udp 1 23 1027 udp 3 24 23 tcp 2 82 1434 udp 2 67 22 tcp 2 6 139 tcp 1 48 2967 tcp 1 26 21 tcp 1 12 80 tcp 0 84 4899 tcp 0 77 137 udp 0 49 3128 tcp 0 28 111 tcp 0 21 9898 tcp 0 07 TAB 3 Paquets rejet s Liste des tableaux 1 Gestion du document 2 Correctifs correspondant aux ports destination des paquets rejet s 3 Paquets rejet s Gestion d taill e du document 07 novembre 2008 version initiale
3. f renc 1027 udp 3 2 NetBios ssn et samba 13 icp 1 5 Non r f renc 1026 udp 4 2 Microsoft smb 445 icp 13 8 FIG 1 R partition relative des ports pour la semaine du 30 10 2008 au 07 11 2008 R f rence possible CERTA http www certa ssi gouv fr site CER ttp www certa ssi souv fr site CER http www certa ssi gouv fr site CER ttp www certa ssi gouv fr site CER http www certa ssi souv fr site CER ttp www certa ssi gouv fr site CER http www certa ssi gouv fr site CER ttp wWww certa ssi souv fr site CER RTA 2007 A 005 00 http www certa ssi sgouv fr site CER ttp www certa ssi gouv fr site CER http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER ttp www certa ssi gouv fr site CER ttp www certa ssi souv fr site CER ttp www certa ssi souv fr site CER ttp www certa ssi souv fr site CER http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER ttp www certa ssi souv fr site CER ttp www certa ssi gouv fr site C http www certa ssi gouv fr site CER http www certa ssi sgouv fr site CER ttp www certa ssi souv fr site C ttp www certa ssi gouv fr site C ttp www certa ssi souv fr site CER ttp www certa ssi souv fr site C ttp www certa ssi
4. ttp www certa ssi gouv fr site 445 UDP Microsoft smb http www certa ssi gouv fr site CER 1023 TCP Serveur ftp de Sasser E 1080 TCP Wingate MyDoom F http www certa ssi gouv fr site CER 1433 TCP MS SQL Server http www certa ssi gouv fr site CER 1434 UDP MS SQL Monitor http www certa ssi gouv fr site CER 2100 TCP Oracle XDB FTP http www certa ssi gouv fr site CER 2381 TCP HP System Management http www certa ssi gouv fr site CER 2512 TCP Citrix MetaFrame http www certa ssi gouv fr site CER 2513 TCP Citrix MetaFrame http www certa ssi gouv fr site CER 2745 TCP Bagle 2967 TCP Symantec Antivirus Yellow Worm http www certa ssi gouv fr site CER 3104 TCP CA Message Queuing http www certa ssi gouv fr site CER 3127 TCP MyDoom 3128 TCP Squid MyDoom http www certa ssi gouv fr site CER ttp www certa ssi souv fr site CER http www certa ssi gouv fr site CER ttp www certa ssi souv fr site CER 3268 TCP Microsoft Active Directory http www certa ssi gouv fr site CER 3306 TCP MySQL 4899 TCP Radmin _ 5000 TCP Universal Plug and Play Bobax Kibuv http www certa ssi gouv fr site CER ttp www certa ssi souv fr site 5151 UDP IPSwitch WS_TP http www certa ssi gou
5. INE 009 Note d information du CERTA sur la gestion des noms de domaine http wWww certa ssi gouv fr site CERTA 2007 INE 001 Note d information du CERTA sur le bon usage de PHP http wWww certa ssi gouv fr site CERTA 2007 INE 002 Z zZz 9 Rappel des avis mis Dans la p riode du 01 au 07 novembre 2008 le CERTA a mis les avis suivants CERTA 2008 AVI 537 Vuln rabilit dans phpMyAdmin CERTA 2008 AVI 538 Vuln rabilit dans IBM Tivoli Storage Manager CERTA 2008 AVI 539 Vuln rabilit du produit SonicWALL CERTA 2008 AVI 540 Vuln rabilit dans Net snmp CERTA 2008 AVI 541 Multiples vuln rabilit s dans Adobe Acrobat et Adobe Reader CERTA 2008 AVI 542 Vuln rabilit des produits CISCO CERTA 2008 AVI 543 Multiples vuln rabilit s dans VLC CERTA 2008 AVI 544 Vuln rabilit dans Adobe ColdFusion CERTA 2008 AVI 545 Vuln rabilit dans Nagios CERTA 2008 AVI 030 001 Multiples vuln rabilit s dans XOrg ajout de la r f rence au bulletin de s curit HP UX CERTA 2008 AV1I 317 001 Multiples vuln rabilit s dans XOrg ajout de la r f rence au bulletin de s curit HP UX 10 Actions sugg r es 10 1 Respecter la politique de s curit La Politique de S curit des Syst mes d Information PSST est l ensemble formalis dans un document ap plicable des directives proc dures codes de conduite r gles organisationnelles et techniqu
6. SFC en anglais http technet microsoft com en us library bb491008 aspx Description de l utilitaire FCIV http support microsoft com kb 841290 6 Nouvelle version OpenBSD Le CERTA informe ces correspondants qu une nouvelle version du syst me d exploitation OpenBSD a t mise disposition pour t l chargement sous licence BSD Il s agit de OpenBSD 4 4 Parmi les fonctionnalit s ajout es on peut trouver l apparition de nouveaux pilotes pour diff rents mat riels le support mat riel de nouveaux syst mes UltraSPARC IV T1 T2 et Fujitsu SPARC64 V VI VIT par exem ple la prise en compte d IPv6 pour le serveur Web Apache httpd une meilleure prise en compte des fichiers de configuration au cours d une mise jour du syst me par l outil sysmerge la mise en oeuvre d OpenSSH dans sa version 5 1 avec en particulier le support de chroot de nouveaux outils rpc statd tcpbench etc le support de WPA et WPA2 PSK pour plusieurs mod les de cartes sans fil un meilleur suivi d tats TCP par pf ind pendemment des num ros de s quences etc La liste pr c dente est loin d tre exhaustive Les informations concernant cette nouvelle version ainsi que les changements apport s sont visibles aux adresses suivantes Site officiel OpenBSD http www openbsd org 44 html Page de changement changelog de la version 4 4 pour OpenBSD
7. l objet par Adobe des bulletins APSB08 18 et APSB08 20 De mani re g n rale il est important d appliquer les correctifs et de d sactiver par d faut toute fonctionnalit qui n est pas couramment demand e Cette r gle s applique pour toute application dont celles d Adobe Chacune de ces fonctionnalit s peut tre vue comme une surface d attaque suppl mentaire pour le syst me Cette pratique est indispensable et il faut viter que de telles applications puissent tre activ es ou lanc es spontan ment au cours d une navigation Web l ouverture automatique d un document PDF dans le navigateur est proscrire par exemple 2 Vuln rabilit MS08 067 Cette semaine de nouveaux codes exploitant la vuln rabilit d crite dans le bulletin Microsoft MS08 067 et l avis CERTA 2008 AVI 523 ont t signal s par des diteurs d antivirus et Microsoft Ceux ci font suite l apparition de preuves de faisabilit publiques ciblant des syst mes anglais de Windows XP et Windows 2003 Pour le moment l exploitation de la vuln rabilit semble relativement limit e Il n est toutefois pas impossible de voir appara tre des codes plus virulents ou sophistiqu s prochainement La mise jour reste une imp rative n cessit 2 1 Documentation Bulletin d actualit CERTA 2008 ACT 043 Bulletin Microsoft MS08 067 24 octobre 2008 http wWww certa ssi gouv fr site CERTA 2008 ACT 043 pd Entr e du bl
8. les courriels au format html mais en texte brut ne pas cliquer sur les liens inclus dans un courriel tre m fiant vis vis des courriels car il n y a pas de garantie par d faut sur l metteur 4 2 Documentation Portail de la S curit Informatique 5 Contr le d int grit des fichiers sous Microsoft Windows Le CERTA recommande r guli rement d effectuer des contr les d int grit de fichiers afin de v rifier qu ils n ont pas t directement modifi s par certains codes malveillants Voici quelques solutions possibles pour ef fectuer cette t che lorsque ces fichiers appartiennent un environnement Microsoft Windows 5 1 L outil SFC de Microsoft Windows L outil SFC System File Checker int gr au syst me d exploitation de Microsoft permet de v rifier l int grit des fichiers syst me Il fait partie des outils de protection des fichiers syst me critique de Microsoft Windows Selon la version du syst me d exploitation le contr le d int grit se base sur diff rents crit res taille source emplacement base de signature mais dans tous les cas l outil permet une restauration du fichier dans sa version d origine g n ralement via le r pertoire SystemRoot System32 Dllcache Il est galement possible de r parer le contenu de ce r pertoire si ce dernier est endommag Cet outil offre aussi la possibilit de planifier des contr les au d marrage de la machin
9. EX Libert galit Fraternit R PUBLIQUE FRAN AISE PREMIER MINISTRE S G D S N Paris le 07 novembre 2008 Agence nationale de la s curit N CERTA 2008 ACT 045 des syst mes d information CERTA Affaire suivie par CERTA BULLETIN D ACTUALIT Objet Bulletin d actualit 2008 45 Conditions d utilisation de ce document Derni re version de ce document Gestion du document R f rence CERTA 2008 ACT 045 Titre Bulletin d actualit 2008 45 Date de la premi re version 07 novembre 2008 Date de la derni re version Source s Pi ce s jointe s Aucune TAB 1 Gestion du document Une gestion de version d taill e se trouve la fin de ce document Le bulletin d actualit est disponible dans son int gralit et au format PDF l adresse suivante http wWww certa ssi gouv fr site CERTA 2008 ACT 045 pd Un extrait du bulletin ne reprenant que les articles de la semaine se trouve en HTML l adresse suivante http www certa ssi gouv fr site CERTA 2008 ACT 045 1 Vuln rabilit s Adobe Le CERTA a publi cette semaine plusieurs avis de s curit concernant des produits Adobe CERTA 2008 AVI 541 Multiples vuln rabilit s dans Adobe Acrobat et Adobe Reader CERTA 2008 AVI 544 Vuln rabilit dans Adobe ColdFusion CERTA 2008 AVI 546 Multiples vuln rabilit s dans Adobe Flash Player Certaines d
10. ation ssi gouv fr 11 Les bulletins d actualit L objectif des bulletins d actualit est de fournir une illustration par l actualit r cente de certaines mesures de s curit pragmatiques appliquer Bien que par nature a posteriori cette illustration a vocation servir de base pour tirer des enseignements plus g n raux m me de prot ger contre des incidents futurs L actualit est donn e par l analyse de machines que le CERTA r alise dans le cadre de ses missions Un fait est jug d actualit s il est la fois r cent et significatif c est dire recoup par diff rentes analyses Les bulletins d actualit n ont pas la pr tention de constituer des statistiques fiables de l activit informatique malveillante mais ce qui nous semble avoir beaucoup plus d int r t de montrer partir d exemples concrets r els et anonymis s comment d couvrir que l on est ou a t attaqu et comment limiter l impact de ces attaques La qualit des bulletins d actualit sera am lior e gr ce votre participation Si vous souhaitez participer prenez contact avec le CERTA en accord avec votre cha ne fonctionnelle de la s curit des syst mes d information SMTP 25 tcp 25 7 Telnet 23 tcp 2 7 SSH 221cp 2 6 Microsoft RPC 135cp 33 1 FTP 21 icp 1 1 Reste 3 1 Non r f renc 2967 tcp 1 3 MS SQL Monitor 1434 udp 2 7 MS SQL Server 1433cp 5 1 Non r
11. configuration est conforme la poli tique de s curit dans le cas d un d ploiement sans fil pr f rer CCMP AES TKIP viter au niveau du point d acc s d autoriser de multiples algorithmes de chiffrement utiliser des solutions de chiffrement compl mentaires VPN IPSec SSH etc pour TKIP si son utilisation est in vitable configurer une ren gociation de cl s tr s fr quente Les technologies sans fil pr sentent des risques intrins ques qu il n est pas possible de supprimer quel que soit le m canisme de s curit mis en place Il faut donc d connecter physiquement toute interface sans fil qui n est pas n cessaire ou qui n est pas utilis e 3 3 Documentation associ e Liste des produits certifi s par la Wi Fi Alliance http certifications wi f org wbces_certified_products php lang en FAQ Wi Fi Alliance Security Wi Fi Protected Access http wi f org knowledge_center_overview php type 2 Standard IEEE 802 1 11 http standards ieee org getieee802 download 802 1 11 2004 pdf Fonctionnement de TKIP document Intel http cache www intel com cd 00 00 01 77 17769_80211_part2 pd 4 Campagne de filoutage visant un registrar 4 1 Pr sentation Cette semaine les clients d un bureau d enregistrement de noms de domaine registrar ont t cibl s par une attaque de type filoutage suivant un sc nario classique Un courriel les informai
12. e Il est n cessaire d avoir des droits d administration pour utiliser ce programme 5 2 L outil FCIV de Microsoft Le programme FCIV File Checksum Integrity Verifier permet d effectuer des contr les d int grit de fichiers par rapport une base de signatures L utilitaire en ligne de commandes n est pas document ni support par Microsoft FCIV permet des calculs de condensats via les algorithmes MDS et SHA I Il est par exemple possible d effectuer des calculs de hash de mani re r cursive sur un r pertoire jug critique et d enregister les r sultats dans une base de donn es de fichier XML Un contr le peut ainsi tre fait partir de cette base Il est donc important que ces donn es de r f rence soit enregistr es partir de donn es saines Ce logiciel est compatible avec les versions 2000 XP et Server 2003 de Microsoft Windows 5 3 Remarques Le CERTA tient galement pr ciser que ces applications sont cit es titre d exemple et que d autres outils sont bien s r disponibles Il ne faut galement pas oublier que les outils utilisant des commandes ou fonctions du syst me peuvent tre biais s en cas de compromission Il est donc pr f rable lorsque cela est possible d utiliser des outils externes au syst me pour contr ler l int grit de ce dernier compilation statique de binaires sur des postes d di s c d rom de d marrage Documentation Manuel d utilisation de
13. er anticiper des incidents en remarquant par exemple des activit s anormales Le CERTA peut vous aider dans ce travail d analyse 10 6 R agir aux incidents de s curit Organisez vous pour r agir aux incidents de s curit en particulier pour assurer une certaine continuit dans les quipes d administration et de s curit Le CERTA a pour mission de vous aider r pondre aux incidents de s curit informatique Ne traitez pas les dysfonctionnements des machines la l g re Dans certains incidents dans lesquels le CERTA intervient les administrateurs des machines font spontan ment part de petits dysfonctionnements inexpliqu s et d apparence anodine qui s av rent au cours de l analyse tre li s un incident majeur de s curit N h sitez pas prendre contact avec le CERTA si vous constatez de l activit sur les ports d crits ci dessus 10 7 Former et sensibiliser les utilisateurs La s curit d un syst me d information doit reposer sur une approche de d fense en profondeur Cela signifie entre autres choses que l utilisateur est partie prenante de la s curit Sa vigilance son niveau de formation et de sensibilisation participent la s curit du syst me C est pourquoi il est essentiel de pr voir des s ances de formation et de sensibilisation des utilisateurs acteurs de la s curit Pour vous aider dans ces actions la DCSSI dispose d un centre de formation http www form
14. es ayant pour objectif la protection des syst mes d information de l organisme Elle traduit la reconnaissance officielle de l importance accord e par la direction g n rale de l organisme la s curit de ses syst mes d information D une mani re g n rale elle contient une partie relative aux l ments strat giques de l organisme p rim tre contexte enjeux orientations strat giques en mati re de SSL r f rentiel r glementaire chelle de sensibilit besoins de s curit menaces et une partie relative aux r gles de s curit applicables Elle constitue donc une traduction concr te de la strat gie de s curit de l organisme Quoique puisse sugg rer ce document la politique de s curit en vigueur dans votre service doit primer Cette section pr cise n anmoins quelques mesures g n rales de nature vous pr munir contre les agressions d crites dans ce document En effet la s curit des syst mes d information ne repose pas exclusivement sur des outils mais aussi sur une organisation et des politiques 10 2 Concevoir une architecture robuste A la lumi re des enseignements tir s de ce qui a t pr sent dans les bulletins d actualit il convient de v rifier que les applications mises en oeuvre ou l tude ont une architecture qui r siste aux incidents d crits 10 3 Appliquer les correctifs de s curit Le tableau 2 rappelle les avis du CERTA correspondant aux applicat
15. es vuln rabilit s cit es dans ces publications concernent l interpr tation de fichiers PDF par Adobe Reader et Adobe Acrobat D autres concernent l interpr tation de codes Flash Dans les deux cas il s agit de formats fr quemment utilis s De mauvaises configurations du poste de travail peuvent faciliter l exploitation de ces derni res A titre d exemple la vuln rabilit Adobe JavaScript touchant la fonction util printf est tr s semblable celles publi es en janvier 2008 Adobe a mis plusieurs mois corriger celle ci Les pr c dentes sont encore mas sivement exploit es par diff rentes bo tes outil de compromission Plusieurs articles de bulletins d actualit y font r f rence cette ann e Il est donc important de v rifier comme le CERTA avait signal en janvier la d sac tivation de l interpr tation Adobe JavaScript par les lecteurs Adobe Reader et Acrobat Cette fonctionnalit n est que tr s rarement utile Elle peut tre activ e ponctuellement pour des fichiers de confiance y ayant recours Secr tariat g n ral de la d fense et de la s curit nationale ANSSI COSSI CERTA 51 bd de La Tour Maubourg T l 01 71 75 8450 Web http www certa ssi gouv fr 75700 Paris 07 SP Fax 0171758470 M l certa svp certa ssi gouv Flash est une application tr s souvent pr sente sur les postes des utilisateurs Cette application pr sente de multiples vuln rabilit s ayant fait
16. ions ou codes malveillants relatifs aux ports tudi s dans les sections pr c dentes 10 4 Utiliser un pare feu L application des correctifs sur un parc informatique important n est probablement pas imm diate Un pare feu correctement configur peut retenir certaines attaques informatiques le temps d appliquer les correctifs Cependant un pare feu peut donner une illusion de protection Cette protection est bris e par la moindre introduction d un ordinateur nomade dans la partie prot g e On remarque qu il y a de nombreux paquets rejet s destination de ports l gitimement utilis s par des applications de prise de main distance La t l administration correspond une demande qui grandit avec la taille du parc g rer Les paquets rejet s montrent le risque associ ce type d application Ce risque peut tre amoindri par l usage correct d un pare feu 10 5 Analyser le r seau De nombreux paquets rejet s tudi s correspondent aux ports ouverts par divers virus vers chevaux de Troie Si votre politique de s curit autorise le balayage des ports ouverts sur les postes de travail ou les serveurs il peut s av rer utile de le faire r guli rement afin de d couvrir les machines potentiellement contamin es avant qu un intrus ne le fasse votre place L analyse des journaux de votre pare feu est une source pertinente d informations pour la s curit de votre r seau et de vos syst mes Cela peut vous aid
17. nt flot la diff rence d AES qui consid re des blocs plus adapt s des paquets Les mises en oeuvre dites WPA n utilisent pas l option de chiffrement CCMP AES qui reste bien optionnel pour les quipements Il faut donc bien comprendre le chiffrement et la m thode de gestion de cl s qui sont d ploy s Les termes WPA et WPA2 ne sont pas toujours explicitement distingu s Il est galement indispensable de conna tre les capacit s des quipements et la r alit de la mise en oeuvre et du d ploiement Certains points d acc s sont par exemple configur s pour ne pas avoir une politique trop rigide Ainsi afin de permettre des quipements de g n ration ant rieure de pouvoir communiquer ils peuvent automatiquement choisir un chiffrement TKIP plut t que CCMP AES Cette modification peut tre faite pour le seul quipement ou l ensemble des quipements associ s baissant ainsi le niveau de s curit global Il est donc important de v rifier la configuration de son point d acc s y compris les options avanc es de s curit Cette bonne pratique est valable quelle que soit l annonce qui pourra tre faite dans les prochains jours 3 2 Recommandations Sans faire aucune pr somption sur les annonces qui pourraient tre faites au cours de la semaine prochaine les bons principes ci dessous restent applicables v rifier les configurations des points d acc s afin de s assurer que leur
18. oc notes du MSRC http blogs technet com msrc archive 2008 1 1 05 latest on ms08 067 aspx Entr e du bloc notes de F Secure http www f secure com weblog archives 00001526 html 3 Vuln rabilit s dans certaines mises en oeuvre de WPA 3 1 Pr sentation des faits La presse s est fait l cho ces derniers jours de probl mes de s curit associ s une mesure de s curit Wi Fi WPA Des chercheurs annonceront lors d une prochaine conf rence de s curit des vuln rabilit s concernant WPA associ au protocole de gestion de cl s TKIP Temporal Key Integrity Protocol Cet article n a pas pour but de d terminer s il s agit d un effet d annonce ni de faire de suppositions sur une future pr sentation Il tient cependant clarifier certains termes et rappeler quelques bonnes pratiques WPA pour Wi Fi Protected Access est une solution mise en place pour combler les lacunes de s curit de la solution optionnelle WEP initiale WPA est une solution mettant partiellement en oeuvre les recommandations du standard de s curit Wi Fi IEEE 802 111 datant de juin 2004 L impl mentation compl te du standard IEEE 802 1 1i conduit la certification WPA2 Le standard IEEE 802 111 pr sente trois algorithmes de chiffrement possibles WEP TKIP et CCMP Les deux premiers sont bas s sur l algorithme RC4 tandis que CCMP s appuie sur AES Advanced Encryption Standard RC4 est un algorithme de chiffreme
19. souv fr site CER ttp www certa ssi souv fr site CER http www certa ssi gouv fr site CER ttp www certa ssi gouv fr site CER ttp www certa ssi gouv fr site C http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER ttp www certa ssi souv fr site CER ttp www certa ssi souv fr site C http www certa ssi gouv fr site CER ttp www certa ssi gouv fr site CER ttp www certa ssi gouv fr site C http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER ttp www certa ssi souv fr site CER ttp www certa ssi souv fr site C http www certa ssi gouv fr site CER ttp www certa ssi gouv fr site CER Port Protocole Service Porte d rob e 21 TCP FTP _ 22 TCP SSH _ 23 TCP Telnet 25 TCP SMTP _ 42 TCP WINS 69 UDP IBM Tivoli Provisioning Manager 80 TCP HTTP _ 106 TCP MailSite Email Server 111 TCP Sunrpc portmapper 119 TCP NNTP _ 135 TCP Microsoft RPC _ 137 UDP NetBios ns 139 TCP NetBios ssn et samba _ 143 TCP IMAP 389 TCP LDAP z 427 TCP Novell Client 443 TCP HTTPS _ 445 TCP Microsoft smb http www certa ss1 gouv fr site CER ttp www certa ssi gouv fr site CER ttp www certa ssi gouv fr site C ttp www certa ss1 gouv fr site CER ttp www certa ss1 gouv fr site CER ttp www certa ss1 gouv fr site CER http wWww certa ssi souv fr site CER ttp www certa ssi gouv fr site
20. t d un probl me ils devaient absolument se connecter l adresse indiqu e pour y remedier En l occurence le pr texte tait que les informations associ es au nom de domaine et accessible via une requ te whois taient erron es Le texte du lien cliquer correspondait bien au site du registrar alors que la cible du lien pointait sur un domaine compl tement diff rent L objectif des attaquants est inconnu mais bien que le profit ne soit pas imm diat on imagine l int r t que cela peut avoir de contr ler un maximum de noms de domaine En effet lorsqu un utilisateur classe un site comme tant de confiance seule l URL et le nom de domaine associ sont pris en compte par le navigateur plus rarement l adresse IP Si un attaquant arrive changer l IP correspondante une URL au niveau du registrar pour faire transiter les requ tes par une machine sous son cont le il pourra injecter du code qui s ex cutera avec le niveau de confiance du site initial Certains registrars offrent aussi la possibilit d h berger les sites la compromission des identifiants permet alors d obtenir le contr le total des sites associ s au compte Si l attaque est dans sa forme des plus classiques la cible est relativement innovante et il faut s attendre ce que d autres registrars soient vis s Le CERTA recommande les m mes bonnes pratiques que pour tous les cas de phishing d j rencontr s entre autres ne pas lire
21. v fr site CER 5151 TCP ESRI ArcSDE http www certa ssi gouv fr site CER 5554 TCP SGI ESP HTTP Serveur ftp de Sasser 5900 TCP VNC http www certa ssi gouv fr site CER http www certa ssi gouv fr site CER 6014 TCP IBM Tivoli Monitoring http www certa ssi gouv fr site CER 6070 TCP BrightStor ARCserve Enterprise Backup http www certa ssi gouv fr site CER 6101 TCP Veritas Backup Exec http www certa ssi gouv fr site CER 6106 TCP Symantec Backup Exec http www certa ss1 gouv fr site CER 6129 TCP Dameware Miniremote http www certa ssi gouv fr site CER ttp www certa ss1 gouv fr site CER 6502 TCP CA BrightStor ARCserve Backup http www certa ssi gouv fr site CER 6503 TCP CA BrightStor ARCserve Backup http www certa ssi gouv fr site CER 6504 TCP CA BrightStor ARCserve Backup http www certa ssi gouv fr site CER 8080 TCP IBM Tivoli Provisioning Manager http www certa ssi gouv fr site CER 8866 TCP Porte d rob e Bagle B 9898 TCP Porte d rob e Dabber 10000 TCP Webmin Veritas Backup Exec http www certa ssi gouv fr site CER ttp www certa ssi souv fr site 10080 TCP Amanda MyDoom 10110 TCP IBM Tivoli Monitoring http www certa ssi gouv fr site CER 10916 TCP Ingres 10925 TCP Ingres 12168 TCP CA eTrust antivirus http www certa ssi gouv fr site CER 13701 TCP Veritas NetBackup http www certa ssi gouv fr site CER
Download Pdf Manuals
Related Search