CERT-XMCO : Avis d’expert : semaine du 23 au 29 janvier
février 2012 par CERT-XMCO
– Date : 01 Fevrier 2012
– Gravité : Elevée
– Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert : Après qu’un premier malware [0] exploitant la faille référencée CVE-2012-0003 [23] ait été découvert, des chercheurs ont publié un code d’exploitation [1] permettant de tirer parti de la vulnérabilité. Celui-ci permet de prendre le contrôle d’un système Windows à distance en incitant un internaute à visiter une page web spécialement conçue. Le CERT-XMCO recommande donc l’installation du correctif MS12-004 [2] publié par Microsoft.
Par ailleurs, le serveur Telnetd utilisé au sein de Cisco IronPort [3] étant vulnérable à la faille découverte récemment au sein de FreeBSD, Cisco a publié un bulletin de sécurité [3] demandant à ses clients de désactiver le support de Telnet au sein des produits vulnérables. Le CERT-XMCO recommande de migrer vers l’utilisation d’un protocole plus sûr, tel que SSH.
* Résumé des évènements majeurs :
– Vulnérabilités :
Plusieurs vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le serveur Apache HTTPd [4], Cisco IronPort [3] ainsi que le noyau Linux [5]. Le CERT-XMCO recommande tout particulièrement la désactivation du service Telnet sur Cisco IronPort. Une faille de sécurité au sein de celui-ci peut en effet être exploitée afin de prendre le contrôle du système à distance.
– Correctifs :
De nombreux correctifs ont été publiés. Ceux-ci concernent Solaris [6] (Tomcat, ProFTPd, GlassFish), HP-UX [7] (OpenSSL, Java), IBM DB2 Accessories Suite [8] et SolidDB [9], RSA enVision [10], EMC Networker [11], Joomla ! [12], Trend Micro DataArmor et DriveArmor [13], Symantec Altiris IT Management Suite [14] et pcAnywhere [15], Opera [16] et Google Chrome [17], SAP Netweaver [18], et enfin le framework Apache Struts [19].
– Exploit :
Plusieurs preuves de concept ont été divulguées cette semaine, permettant d’élever ses privilèges via une vulnérabilité au sein du noyau Linux [20], ainsi que de prendre le contrôle d’un système via des failles au sein du framework Struts [21] et Windows Media [22]. Le CERT-XMCO recommande en particulier l’installation du correctif MS12-004 [2] qui corrige la faille présente au sein de Windows. Pour rappel, celle-ci peut être exploitée à distance via un contrôle ActiveX présent au sein d’Internet Explorer.
– Conférence / Recherche :
TrendMicro aurait découvert un premier code malveillant [0] exploitant la faille de sécurité référencée CVE-2012-0003 [23], récemment corrigée par Microsoft dans le bulletin MS12-004 [2]. Le code en question permet de générer une page Internet permettant de forcer le chargement d’un fichier malveillant par le contrôle ActiveX Windows Media, afin d’installer sur le système de la victime un logiciel malveillant. Un code d’exploitation a enfin aussi été publié sur Internet.
Avec la prolifération des malwares, un nouveau type de code malveillant vient de faire son apparition : les "Frankenwares" [24]. En réalité, il s’agit d’une nouvelle appellation plutôt que d’un nouveau type de malware. Ce terme désigne en effet le résultat de la contamination d’un exécutable malveillant par un autre code malveillant, produisant ainsi un nouveau malware affublé de l’ensemble des fonctionnalités de deux autres malwares pris séparément.
– Cybercriminalité / Attaques :
Selon Microsoft, l’un des pirates se cachant derrière Kelihos [25] travaillerait pour un éditeur de solution de sécurité. Cependant, Krebs semble émettre quelques doutes sur les informations révélées par Microsoft.
– Entreprise :
Symantec [26] soulève de nouvelles interrogations quant au vol du code source de pcAnywhere. Selon la société, le code source de cette solution n’aurait jamais été transmis à l’Inde qui était à priori la cible de l’attaque des pirates ayant publié le code source. Comment celle-ci a-t-elle pu avoir ces données en sa possession ? Par ailleurs, comment la société n’a-t-elle pas pu découvrir le vol de données lors de l’analyse de l’attaque qu’elle a subie il y a 6 ans, alors que Symantec a été en mesure de la confirmer ce mois-ci en étudiant les mêmes traces ? Enfin, Symantec est revenu sur certaines de ses déclarations et recommande de ne plus utiliser certains de ses logiciels tels que pcAnywhere.
– Juridique :
Les entreprises européennes seront bientôt soumises à une législation [27] restrictive en matière de vie privée.
– Vie Privée :
L’opérateur [28] de téléphonie mobile anglais O2 aurait révélé les numéros de téléphone des abonnés aux sites internet visités depuis leur mobile. Il semblera que l’opérateur a cependant corrigé ce problème.
L’ActuSecu n°30 est disponible depuis une semaine. Au programme les Scams, les kits d’exploitation, le résumé de la conférence BruCON et l’analyse de plusieurs vulnérabilités (Apache Killer, FreeBSD...).
http://www.xmco.fr/actusecu.html
– Référence :
[0] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0126
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0131
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0034
http://technet.microsoft.com/en-us/security/bulletin/ms12-004
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0132
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120126-ironport
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0133
http://httpd.apache.org/security/vulnerabilities_22.html
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0104
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0115
http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_apache_tomcat1
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0135
http://blogs.oracle.com/sunsecurity/entry/cve_2011_3190_vulnerability_in
http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_apache_tomcat2
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0116
http://blogs.oracle.com/sunsecurity/entry/cve_2011_4130_use_after
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0136
http://blogs.oracle.com/sunsecurity/entry/cve_2011_3389_chosen_plaintext2
[7] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0124
http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03169289
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0110
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03122753
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0111
http://www.ibm.com/support/docview.wss?uid=swg21578978
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0106
http://www.ibm.com/support/docview.wss?uid=swg27021052
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0137
http://archives.neohapsis.com/archives/bugtraq/2012-01/att-0165/ESA-2012-007.txt
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0134
http://archives.neohapsis.com/archives/bugtraq/2012-01/att-0164/ESA-2012-005.txt
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0123
http://www.joomla.org/announcements/release-news/5405-joomla-174-released.html
http://www.joomla.org/announcements/release-news/5403-joomla-250-released.html
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0122
http://esupport.trendmicro.com/solution/en-us/1060043.aspx
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0118
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0118
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0114
http://www.opera.com/docs/changelogs/windows/1161/
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0109
http://googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0112
http://dsecrg.com/pages/vul/show.php?id=411
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0107
http://struts.apache.org/2.x/docs/s2-009.html
[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0105
http://git.zx2c4.com/CVE-2012-0056/tree/mempodipper.c
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0108
http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0131
[23]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003
[24] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0120
http://www.malwarecity.com/blog/virus-infects-worm-by-mistake-1246.html
[25] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0117
[26] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0139
http://www.wired.com/threatlevel/2012/01/symantec-source-code-hack/
[27] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0121
http://www.bbc.co.uk/news/technology-16677370
[28] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0119
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0154