CERT-XMCO : Avis d’expert, semaine du 24 au 30 janvier
février 2011 par CERT-XMCO
- Date : 02 Fevrier 2011
- Gravité : Moyenne
- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Le CERT-XMCO recommande l’installation de la dernière version d’Opéra (11.01) [1] à la suite de la correction d’une faille de sécurité critique qui pouvait être exploitée afin de prendre le contrôle d’un système distant.
Le CERT-XMCO recommande aussi la mise en place de la solution de contournement proposée par Microsoft relative à la gestion du protocole MHTML [2]. L’exploitation de cette faille de sécurité permet de mener une attaque similaire à une attaque de "Cross-Site Scripting" (XSS).
* Résumé des évènements majeurs :
- Vulnérabilités :
Microsoft a publié, à la fin de la semaine, son bulletin de sécurité KB2501696 [2]. Ce dernier concerne la gestion du protocole MHTML. L’exploitation de cette faille de sécurité permettrait à un pirate de dérober certaines données sensibles en incitant, simplement, un internaute à visiter un site spécialement conçu. D’après l’éditeur, des informations permettant l’exploitation de cette vulnérabilité ont déjà été publiées. Cependant, la faille ne serait pas encore exploitée.
- Correctifs :
Plusieurs logiciels Symantec [3], ainsi que SAP Cristal Reports [4], Cisco Content Services Gateway [5], Opéra [1], OpenOffice [6], RealPlayer [7] ou encore le serveur DHCP de l’ISC [8] ont été mis à jour cette semaine. Les failles de sécurité pouvaient être exploitées pour provoquer des dommages pouvant aller jusqu’à la compromission d’un système vulnérable.
- Exploits :
Plusieurs codes d’exploitation ont été publiés.
Un code ciblant SAP Crystal Report Server 2008 [9] permet d’accéder à certaines informations sensibles en menant une attaque de "Directory Traversal".
D’autres codes permettant d’exploiter des failles présentes dans Oracle [10] Document [11] Capture [12] ont été publiés. Afin d’utiliser cette vulnérabilité, un pirate doit inciter un internaute à visiter un site spécialement conçu.
- Cybercriminalité / Attaques :
Les serveurs hébergeant les différents sites et services de SourceForge [13] et de Fedora [14] ont été piratés cette semaine. Dans un cas comme dans l’autre, les personnes en charge de la gestion de ces incidents ont été très transparentes. Elles ont précisément décrit les actions réalisées, les risques existants et les informations en leur possession. À première vue, il semblerait que les pirates n’aient pas eu le temps d’accomplir de méfaits. Dans les deux cas, la surveillance d’indicateurs adaptés aurait permis de détecter rapidement l’attaque et de prendre ainsi les mesures nécessaires.
Un site "underground" de vente d’identifiants permettant d’accéder aux panels d’administration de sites gouvernementaux, militaires et de l’éducation a été découvert [15]. Le pirate proposerait, par exemple, l’accès total en tant qu’administrateur au site des forces armées d’Albanie pour 499 dollars.
Une ancienne version de Darkness [16] aurait été mise gratuitement à disposition sur Internet. Grâce à celle-ci, les pirates seraient capables de mettre sur pied de petits botnets très efficaces reposant simplement sur une trentaine de machines zombie. Récemment, Darkness était responsable de l’attaque de 1,5 site en moyenne par jour, et même jusqu’à 3 sites par jour lors du dernier trimestre de l’année 2010...
- Conférence / Recherche :
D’après Trend Micro, la fusion de Zeus et de SpyEye [17] serait en cours. La version 1.3.05 de SpyEye semble apporter bon nombre de nouvelles fonctionnalités empruntées à son ex-concurrent Zeus.
- Entreprises :
Le rachat de McAfee par Intel [18] pour un montant de 7,68 milliards de dollars a été validé (sous conditions) cette semaine par la Commission Européenne.
- International :
La récente explosion qui a frappé l’aéroport de Moscou aurait été déclenchée de façon involontaire par un opérateur de téléphonie mobile en envoyant d’un SMS de bonne année [19]. En effet, un téléphone portable était utilisé par le kamikaze en tant que détonateur. Celui-ci devait déclencher l’explosion de l’engin à la suite de la réception d’un SMS.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
- Référence :
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0115
http://www.opera.com/support/kb/view/982/
http://www.opera.com/support/kb/view/983/
http://www.opera.com/support/kb/view/984/
http://www.opera.com/support/kb/view/985/
http://www.opera.com/support/kb/view/986/
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0131
http://www.microsoft.com/technet/security/advisory/2501696.mspx
http://support.microsoft.com/kb/2501696
http://blogs.technet.com/b/msrc/archive/2011/01/28/microsoft-releases-security-advisory-2501696.aspx
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0018
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0096
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0112
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0145
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0099
https://service.sap.com/sap/support/notes/1458310
https://service.sap.com/sap/support/notes/1458309
https://service.sap.com/sap/support/notes/1476930
http://dsecrg.com/pages/vul/show.php?id=301
http://dsecrg.com/pages/vul/show.php?id=302
http://dsecrg.com/pages/vul/show.php?id=303
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0110
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6791d.shtml
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0121
http://packetstormsecurity.org/files/view/97907/VSR-2011-01-26.txt
[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0128
http://service.real.com/realplayer/security/01272011_player/en/
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0111
http://www.isc.org/software/dhcp/advisories/cve-2011-0413
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0118
http://www.exploit-db.com/exploits/16054/
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0119
http://www.exploit-db.com/exploits/16053/
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0120
http://www.exploit-db.com/exploits/16056/
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0122
http://www.exploit-db.com/exploits/16055/
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0132
http://sourceforge.net/blog/sourceforge-attack-full-report/
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0098
http://lists.fedoraproject.org/pipermail/announce/2011-January/002911.html
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0097
http://blog.imperva.com/2011/01/major-websites-govmiledu-are-hacked-and-up-for-sale.html
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0103
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0106
http://blog.trendmicro.com/spyeyezeus-toolkit-v1-3-05-beta/
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0117
http://www.theregister.co.uk/2011/01/27/intel_takeover_approved/
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0114
http://www.leaderpost.com/news/Text+message+blows+suicide+bomber+accident/4172966/story.html
- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]
- Lien extranet XMCO Partners :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0150