CERT-XMCO : Avis d’expert : semaine du 12 au 25 décembre
décembre 2011 par CERT-XMCO
– Date : 27 Decembre 2011
– Gravité : Elevée
– Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert : À la suite de la publication par Microsoft et Adobe des nombreux correctifs dans le cadre de leurs cycles de sécurité, le CERT-XMCO recommande l’installation des correctifs MS11-087 [1] (Windows), MS11-092 [2] (Windows Media), MS11-090 [3] (Windows) et APSB11-30 [4] (Adobe Reader). Ce dernier correctif correspondrait à une faille de sécurité actuellement exploitée par les pirates dans le cadre d’attaque ciblée sur Internet.
Enfin, l’équipe responsable des aspects "sécurité" du logiciel TYPO3 [5] recommande l’installation de la dernière version du logiciel à la suite de la correction d’une faille de sécurité permettant de prendre le contrôle complet du système depuis Internet. Cette faille serait, elle aussi, activement exploitée par les pirates.
* Résumé des évènements majeurs :
– Vulnérabilités :
De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent Java [6], le noyau Linux [7] (pilot BATMAN, KVM et l’IOCTL "SG_IO"), IBM ECM [8] et DB2 [9], Novell Sentinel Log Manager [10], Windows 7 [11], Kaspersky Internet Security [12].
– Correctifs :
Dans le cadre de son "Patch Tuesday" [13] du mois de décembre, Microsoft a publié des correctifs pour Windows [1] (MS11-087), Office avec support du Chinois [14] (MS11-088), Word [15] (MS11-089), les contrôles ActiveX sur Internet Explorer [3] (MS11-090), Publisher [16] (MS11-091), Windows Media [2] (MS11-092), le composant OLE de Windows [17] (MS11-093), PowerPoint [18] (MS11-094), Active Directory [19] (MS11-095), Excel [20] (MS11-096), le processus CSRSS de Windows [21] (MS11-097), Windows [22] (MS11-098), et enfin Internet Explorer [23] (MS11-099). L’exploitation de ces failles permettait à un pirate d’élever localement ses privilèges, voire de prendre le contrôle du système à distance.
Dans le même temps, Adobe a publié les bulletins APSB11-29 [24] et APSB11-30 [25] correspondant à des correctifs pour Coldfusion (XSS) et Adobe Reader et Adobe Acrobat (prise de contrôle d’un système à distance).
Plusieurs autres correctifs ont aussi été publiés. Ceux-ci concernent les produits IBM Rational Rhapsody [26], Lotus Domino [27], IBM Java [28], AIX [29] (X et Inventory Scout), Tivoli Federated Identity Manager [30], Barracuda Control Center [31] et Barracuda Web Filter [31], HP Managed Printing Administration [33], HP-UX [34], les produits WebSense [35], VLC [36], phpMyAdmin [37] (PMASA-2011-19, PMASA-2011-20), Mozilla Firefox et Thunderbird [38], Avaya Call Management System [39], le serveur DNS Unbound [40], RoundCube [41], Novell Access Manager [42], TYPO3 [43], Solaris [44], JBoss Enterprise Portal Platform [45], RSA SecurID Software Token [46] et RSA Adaptive Authentication [47], Google Chrome [48], Cacti [49] et enfin Winamp [50].
Enfin, Oracle a publié une mise à jour de Java [51] (Java SE 6 Update 30). Celle-ci n’apporterait cependant pas de correctif de sécurité.
– Conférence / Recherche :
Selon une récente étude réalisée par la société Accuvant, le navigateur web de Google [52] serait le navigateur le plus sûr du marché pour naviguer sur Internet. Pour aboutir à ce résultat, les chercheurs ne seraient pas intéressés au nombre de failles de sécurité rapportées et/ou corrigées, qui ne décrivent pas forcément la qualité ou la sécurité d’un logiciel ; mais plutôt aux fonctions de sécurité implémentées au sein de ces logiciels.
OpenDNS, une société qui offre un service gratuit de résolution de noms de domaines, vient de lancer un nouveau "service" baptisé DNSCrypt [53]. Celui-ci vise à simplifier la sécurisation de ce protocole. En effet, bien que le protocole DNS soit utilisé partout et tout le temps (internet, ail, messagerie instantanée, etc.), il est réputé pour être particulièrement sensible en matière de sécurité. Malgré cela, il n’intègre, de base, aucune fonction de sécurisation. L’objectif de l’outil et du protocole est de chiffrer les données échangées entre le client et le serveur DNS interrogé afin de garantir la confidentialité et l’intégrité de données.
Selon les résultats d’une étude publiée par la société ViaForensic, l’application Google Wallet [54] stockerait des données sensibles de façon non sécurisée.
Le NIST [55] a publié un brouillon détaillant le fonctionnement du modèle de vérification de confiance au niveau du BIOS.
Tout comme l’a fait Google pour Chrome, Microsoft devrait ajouter, en 2012, une fonction de mise à jour automatique à Internet Explorer [56].
Microsoft serait actuellement en train de travailler sur une nouvelle méthode d’authentification [57] pour Windows 8. Microsoft s’est probablement inspirée du mécanisme d’authentification de Google pour les smartphones Android. Au lieu de reconnaitre le déplacement d’un doigt passant par des points clairement identifiés sur l’écran tactile du smartphone, l’utilisateur devra reproduire des mouvements enregistrés au préalable à l’aide de son doigt sur une photo. Pour complexifier la chose, plusieurs types de mouvements seront demandés à l’utilisateur lors de l’enregistrement de son "geste" d’authentification : un cercle, une ligne et enfin un clic.
– Cybercriminalité / Attaques :
Symantec [58] a confirmé les récentes attaques contre le secteur de la défense américain. Celles-ci reposent sur la faille découverte par le CSIRT de Lockheed Martin au sein d’Adobe Reader, qui a été corrigée cette semaine. Selon plusieurs chercheurs, le récent 0day Adobe aurait pu être utilisé pour obtenir des informations secrètes sur les drones de combat américain.
Afin de dérober les informations contenues dans la piste magnétique des cartes bancaires, les pirates ne s’attaquent plus seulement aux distributeurs automatiques de billets, mais également aux autres équipements intégrant un lecteur de cartes. Ainsi, la chaine américaine de supermarchés Lucky a annoncé avoir détecté la présence de skimmers [59] sur les lecteurs de cartes présents sur les bornes de paiement présentes dans les caisses libre-service.
Un analyste spécialisé en cyber-défense travaillant pour l’U.S. Air Force Research Institute [60] a annoncé dans une interview au journal "The Diplomat" que ce ne sont pas les États-Unis et Israël qui se cachent derrière Stuxnet, mais la Russie. En effet, selon lui, il est inconcevable que ces deux grands pays en soient à l’origine étant donné que tous deux démentent officiellement toute implication dans cette affaire, alors que "rien ne les y oblige"...
Alors que l’on vient tout juste d’apprendre que Gemmet, une filiale de l’autorité de certification KPN, aurait été victime de pirates, une autre autorité de certification baptisée GlobalSign [61] vient de publier une analyse de l’attaque dont elle a été victime au début du mois de septembre. Il est important de noter que pour une fois, une autorité de certification présente en détail les différents tenants et aboutissants de cet incident de sécurité. Il semblerait que l’autorité de certification ait manoeuvré de la meilleure façon qu’il soit, aussi bien en terme de communication qu’en terme de gestion d’incident, pour sortir grandi par cet incident de sécurité.
Visa serait actuellement en train de mener une enquête dans le cadre de la possible compromission des systèmes d’un prestataire de paiement [62] basé dans l’est de l’Europe (probablement en Roumanie). D’après les premières informations, Visa semble avoir été informée de la mise en vente sur internet de données personnelles appartenant aux détenteurs de carte de paiement.
Le code source de la version 11 du système d’exploitation Solaris [63] aurait été publié sur Internet. Très peu d’informations sont disponibles au sujet de cette fuite d’information. Il s’agirait d’un fichier de 100 Mo de données correspondant à la version 11 Build 175 de l’OS, et à la révision 33 du système de fichiers propriétaire ZFS.
– Entreprise :
Microsoft [64] vient d’annoncer qu’il arrêtera de supporter les produits des gammes "professionnelles" Windows XP et Office 2003 à partir du 8 avril de l’année 2014. À partir de cette date, l’éditeur ne publiera plus aucun correctif de sécurité concernant ces deux logiciels. L’éditeur aura donc offert respectivement 12 ans et 10 ans de supports pour ces deux logiciels. C’est l’abandon progressif des utilisateurs de ces deux logiciels qui aurait poussé l’éditeur à prendre cette décision.
Afin de mettre un terme à l’affaire "CarrierIQ" [65], la société éditrice du logiciel vient de publier un descriptif très complet de sa solution installée sur de nombreux smartphones aux États-Unis. Celui-ci présente entre autres le fonctionnement de la solution, mais il identifie aussi les données présentes sur un smartphone auxquelles un opérateur est en mesure d’accéder. Enfin, le document précise comment les données personnelles sont protégées grâce au processus défini par CarrierIQ.
– Internationnal :
Les États-Unis [66] ont publié leurs priorités en matière de R&D dans le secteur de sécurité. Afin de répondre aux différents challenges précédemment identifiés, le document propose une stratégie reposant sur 4 points principaux permettant de rendre le cyber-espace plus sûr et plus fiable. Les quatre points en questions sont :
– induire le changement ;
– développer les Fondements scientifiques ;
– maximiser l’impact de la recherche ;
– et enfin, accélérer la mise en application.
D’après une étude demandée par le gouvernement, entre 500 000 et 1 million de passeports biométriques [67] seraient des faux, alors que ceux-ci sont considérés comme infalsifiables. La faille de sécurité ne se situerait pas au niveau du document administratif en lui-même, mais plutôt dans le processus à suivre pour l’obtenir. En effet, il est possible d’obtenir un passeport biométrique en présentant simplement un acte de naissance. Or il est tout à fait possible de produire un faux acte de naissance à l’aide d’une simple photocopieuse.
– Juridique :
Tandis que la France vient tout juste de porter plainte contre X dans une affaire de phishing, l’unité de police baptisée PCeU [68] ("Police Central e-Crime Unit") a procédé à l’arrestation de 6 personnes dans le cadre d’une affaire similaire ayant permis aux pirates de dérober plus d’un million de Livres sterling à des étudiants anglais boursiers.
XMCO a récemment publié un nouvel article sur son blog :
* 50 000 cartes bancaires françaises piratées en septembre
https://cert.xmco.fr/blog/index.php?post/2011/12/19/50-000-cartes-bancaires-fran%C3%A7aises-pirat%C3%A9es-en-septembre
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
– Référence :
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2166
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-087
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2171
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-092
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2169
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-090
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2205
http://www.adobe.com/support/security/bulletins/apsb11-30.html
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2201
http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/
De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent Java [6], le noyau Linux [7] (pilot BATMAN, KVM et l’IOCTL "SG_IO")
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2149
http://blog.infobytesec.com/2011/12/pwning-java-update-process-2007-today.html
[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2157
https://lists.open-mesh.org/pipermail/b.a.t.m.a.n/2011-December/005904.html
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2228
https://lkml.org/lkml/2011/12/22/270
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2231
http://permalink.gmane.org/gmane.comp.emulators.kvm.devel/83564
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2192
http://www.ibm.com/support/docview.wss?uid=swg21574454
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2233
http://www.ibm.com/support/docview.wss?uid=swg21576372
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2206
http://packetstormsecurity.org/files/107974/novellslm-traversal.txt
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2209
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2215
http://packetstormsecurity.org/files/108043/VL-129.txt
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2138
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2167
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-088
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2168
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-089
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2170
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-091/
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2172
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-093
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2173
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-094
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2174
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-095
[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2175
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-096
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2176
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-097
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2177
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-098
[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2178
http://technet.microsoft.com/fr-fr/security/bulletin/ms11-099
[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2179
http://www.adobe.com/support/security/bulletins/apsb11-29.html
[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2205
http://www.adobe.com/support/security/bulletins/apsb11-30.html
[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2232
http://www.ibm.com/support/docview.wss?uid=swg21576352
[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2222
http://www.ibm.com/support/docview.wss?uid=swg21575247
[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2218
http://www.ibm.com/support/docview.wss?uid=swg21571596
[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2180
http://aix.software.ibm.com/aix/efixes/security/invscout_advisory2.asc
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2189
http://aix.software.ibm.com/aix/efixes/security/xorg_advisory.asc
[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2183
http://www.ibm.com/support/docview.wss?uid=swg21575309
http://www.ibm.com/support/docview.wss?uid=swg24031351
http://www.ibm.com/support/docview.wss?uid=swg24031348
http://www.ibm.com/support/docview.wss?uid=swg24029500
[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2221
http://securityreason.com/exploitalert/11071
[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2164
http://www.vulnerability-lab.com/get_content.php?id=29
[33]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2230
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03128469
[34]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2191
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02945548
[35]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2229
http://archives.neohapsis.com/archives/bugtraq/2011-12/0091.html
http://archives.neohapsis.com/archives/bugtraq/2011-12/0093.html
http://archives.neohapsis.com/archives/bugtraq/2011-12/0094.html
http://archives.neohapsis.com/archives/bugtraq/2011-12/0095.html
[36]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2220
http://www.videolan.org/security/sa1108.html
[37]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2219
http://www.phpmyadmin.net/home_page/security/PMASA-2011-19.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-20.php
[38]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2216
http://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox9
http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html#thunderbird9
[39]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2213
https://support.avaya.com/css/P8/documents/100146780
[40]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2208
http://unbound.nlnetlabs.nl/downloads/CVE-2011-4528.txt
[41]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2207
http://trac.roundcube.net/wiki/Changelog
[42]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2202
http://www.novell.com/support/viewContent.do?externalId=7009901
[43]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2201
http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/
[44]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2196
http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_network_time
[45]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2190
https://rhn.redhat.com/errata/RHSA-2011-1822.html
[46]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2185
http://seclists.org/bugtraq/2011/Dec/att-88/ESA-2011-039.txt
[47]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2181
http://archives.neohapsis.com/archives/bugtraq/2011-12/att-0073/ESA-2011-036.txt
[48]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2182
http://googlechromereleases.blogspot.com/2011/12/stable-channel-update.html
[49]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2163
http://forums.cacti.net/viewtopic.php?f=4&t=45871
[50]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2154
http://forums.winamp.com/showthread.php?t=332010
[51]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2165
http://www.oracle.com/technetwork/java/javase/6u30-relnotes-1394870.html
[52]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2150
[53]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2151
http://www.opendns.com/technology/dnscrypt/
[54]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2156
http://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html
[55]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2159
http://www.fiercegovernmentit.com/story/nist-details-trusted-root-bios-verification-model/2011-12-11
[56]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2188
[57]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2210
http://blogs.msdn.com/b/b8/archive/2011/12/16/signing-in-with-a-picture-password.aspx
[58]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2153
http://www.techcentral.ie/article.aspx?id=17937#.TuXwvwh0hVI.twitter
[59]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2155
http://savemart.com/index.php?id=449
[60]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2161
http://the-diplomat.com/2011/12/10/was-russia-behind-stuxnet/?all=true
[61]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2184
http://www.globalsign.co.uk/company/press/121411-security-incident-report.html
[62]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2204
[63]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2211
http://www.phoronix.com/scan.php?page=news_item&px=MTAzMDE
[64]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2152
[65]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2160
http://www.carrieriq.com/PR.20111212.pdf
[66]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2158
http://www.whitehouse.gov/blog/2011/12/06/federal-cybersecurity-rd-strategic-plan-released
[67]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2212
[68]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2162
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2241