Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert, semaine du 24 au 30 janvier

février 2011 par CERT-XMCO

- Date : 02 Fevrier 2011

- Gravité : Moyenne

- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Le CERT-XMCO recommande l’installation de la dernière version d’Opéra (11.01) [1] à la suite de la correction d’une faille de sécurité critique qui pouvait être exploitée afin de prendre le contrôle d’un système distant.
Le CERT-XMCO recommande aussi la mise en place de la solution de contournement proposée par Microsoft relative à la gestion du protocole MHTML [2]. L’exploitation de cette faille de sécurité permet de mener une attaque similaire à une attaque de "Cross-Site Scripting" (XSS).

* Résumé des évènements majeurs :

- Vulnérabilités :

Microsoft a publié, à la fin de la semaine, son bulletin de sécurité KB2501696 [2]. Ce dernier concerne la gestion du protocole MHTML. L’exploitation de cette faille de sécurité permettrait à un pirate de dérober certaines données sensibles en incitant, simplement, un internaute à visiter un site spécialement conçu. D’après l’éditeur, des informations permettant l’exploitation de cette vulnérabilité ont déjà été publiées. Cependant, la faille ne serait pas encore exploitée.

- Correctifs :

Plusieurs logiciels Symantec [3], ainsi que SAP Cristal Reports [4], Cisco Content Services Gateway [5], Opéra [1], OpenOffice [6], RealPlayer [7] ou encore le serveur DHCP de l’ISC [8] ont été mis à jour cette semaine. Les failles de sécurité pouvaient être exploitées pour provoquer des dommages pouvant aller jusqu’à la compromission d’un système vulnérable.

- Exploits :

Plusieurs codes d’exploitation ont été publiés.
Un code ciblant SAP Crystal Report Server 2008 [9] permet d’accéder à certaines informations sensibles en menant une attaque de "Directory Traversal".

D’autres codes permettant d’exploiter des failles présentes dans Oracle [10] Document [11] Capture [12] ont été publiés. Afin d’utiliser cette vulnérabilité, un pirate doit inciter un internaute à visiter un site spécialement conçu.

- Cybercriminalité / Attaques :

Les serveurs hébergeant les différents sites et services de SourceForge [13] et de Fedora [14] ont été piratés cette semaine. Dans un cas comme dans l’autre, les personnes en charge de la gestion de ces incidents ont été très transparentes. Elles ont précisément décrit les actions réalisées, les risques existants et les informations en leur possession. À première vue, il semblerait que les pirates n’aient pas eu le temps d’accomplir de méfaits. Dans les deux cas, la surveillance d’indicateurs adaptés aurait permis de détecter rapidement l’attaque et de prendre ainsi les mesures nécessaires.

Un site "underground" de vente d’identifiants permettant d’accéder aux panels d’administration de sites gouvernementaux, militaires et de l’éducation a été découvert [15]. Le pirate proposerait, par exemple, l’accès total en tant qu’administrateur au site des forces armées d’Albanie pour 499 dollars.

Une ancienne version de Darkness [16] aurait été mise gratuitement à disposition sur Internet. Grâce à celle-ci, les pirates seraient capables de mettre sur pied de petits botnets très efficaces reposant simplement sur une trentaine de machines zombie. Récemment, Darkness était responsable de l’attaque de 1,5 site en moyenne par jour, et même jusqu’à 3 sites par jour lors du dernier trimestre de l’année 2010...

- Conférence / Recherche :

D’après Trend Micro, la fusion de Zeus et de SpyEye [17] serait en cours. La version 1.3.05 de SpyEye semble apporter bon nombre de nouvelles fonctionnalités empruntées à son ex-concurrent Zeus.

- Entreprises :

Le rachat de McAfee par Intel [18] pour un montant de 7,68 milliards de dollars a été validé (sous conditions) cette semaine par la Commission Européenne.

- International :

La récente explosion qui a frappé l’aéroport de Moscou aurait été déclenchée de façon involontaire par un opérateur de téléphonie mobile en envoyant d’un SMS de bonne année [19]. En effet, un téléphone portable était utilisé par le kamikaze en tant que détonateur. Celui-ci devait déclencher l’explosion de l’engin à la suite de la réception d’un SMS.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

- Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0115

http://www.opera.com/support/kb/view/982/

http://www.opera.com/support/kb/view/983/

http://www.opera.com/support/kb/view/984/

http://www.opera.com/support/kb/view/985/

http://www.opera.com/support/kb/view/986/

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0131

http://www.microsoft.com/technet/security/advisory/2501696.mspx

http://support.microsoft.com/kb/2501696

http://blogs.technet.com/b/srd/archive/2011/01/28/more-information-about-the-mhtml-script-injection-vulnerability.aspx

http://blogs.technet.com/b/msrc/archive/2011/01/28/microsoft-releases-security-advisory-2501696.aspx

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0018

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0096

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0112

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0145

http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110126_00

http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110126_01

http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110131_00

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0099

https://service.sap.com/sap/support/notes/1458310

https://service.sap.com/sap/support/notes/1458309

https://service.sap.com/sap/support/notes/1476930

http://dsecrg.com/pages/vul/show.php?id=301

http://dsecrg.com/pages/vul/show.php?id=302

http://dsecrg.com/pages/vul/show.php?id=303

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0110

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6791d.shtml

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0121

http://packetstormsecurity.org/files/view/97907/VSR-2011-01-26.txt

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0128

http://service.real.com/realplayer/security/01272011_player/en/

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0111

http://www.isc.org/software/dhcp/advisories/cve-2011-0413

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0118

http://www.exploit-db.com/exploits/16054/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0119

http://www.exploit-db.com/exploits/16053/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0120

http://www.exploit-db.com/exploits/16056/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0122

http://www.exploit-db.com/exploits/16055/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0132

http://sourceforge.net/blog/sourceforge-attack-full-report/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0098

http://lists.fedoraproject.org/pipermail/announce/2011-January/002911.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0097

http://blog.imperva.com/2011/01/major-websites-govmiledu-are-hacked-and-up-for-sale.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0103

http://www.darkreading.com/insider-threat/167801100/security/attacks-breaches/229100144/active-darkness-ddos-botnet-s-tool-now-available-for-free.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0106

http://blog.trendmicro.com/spyeyezeus-toolkit-v1-3-05-beta/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0117

http://www.theregister.co.uk/2011/01/27/intel_takeover_approved/

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0114

http://www.leaderpost.com/news/Text+message+blows+suicide+bomber+accident/4172966/story.html

- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]

- Lien extranet XMCO Partners :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0150


Voir les articles précédents

    

Voir les articles suivants