Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert : semaine du 23 au 29 janvier

février 2012 par CERT-XMCO

 Date : 01 Fevrier 2012

 Gravité : Elevée

 Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert : Après qu’un premier malware [0] exploitant la faille référencée CVE-2012-0003 [23] ait été découvert, des chercheurs ont publié un code d’exploitation [1] permettant de tirer parti de la vulnérabilité. Celui-ci permet de prendre le contrôle d’un système Windows à distance en incitant un internaute à visiter une page web spécialement conçue. Le CERT-XMCO recommande donc l’installation du correctif MS12-004 [2] publié par Microsoft.

Par ailleurs, le serveur Telnetd utilisé au sein de Cisco IronPort [3] étant vulnérable à la faille découverte récemment au sein de FreeBSD, Cisco a publié un bulletin de sécurité [3] demandant à ses clients de désactiver le support de Telnet au sein des produits vulnérables. Le CERT-XMCO recommande de migrer vers l’utilisation d’un protocole plus sûr, tel que SSH.

* Résumé des évènements majeurs :

 Vulnérabilités :

Plusieurs vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le serveur Apache HTTPd [4], Cisco IronPort [3] ainsi que le noyau Linux [5]. Le CERT-XMCO recommande tout particulièrement la désactivation du service Telnet sur Cisco IronPort. Une faille de sécurité au sein de celui-ci peut en effet être exploitée afin de prendre le contrôle du système à distance.

 Correctifs :

De nombreux correctifs ont été publiés. Ceux-ci concernent Solaris [6] (Tomcat, ProFTPd, GlassFish), HP-UX [7] (OpenSSL, Java), IBM DB2 Accessories Suite [8] et SolidDB [9], RSA enVision [10], EMC Networker [11], Joomla ! [12], Trend Micro DataArmor et DriveArmor [13], Symantec Altiris IT Management Suite [14] et pcAnywhere [15], Opera [16] et Google Chrome [17], SAP Netweaver [18], et enfin le framework Apache Struts [19].

 Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine, permettant d’élever ses privilèges via une vulnérabilité au sein du noyau Linux [20], ainsi que de prendre le contrôle d’un système via des failles au sein du framework Struts [21] et Windows Media [22]. Le CERT-XMCO recommande en particulier l’installation du correctif MS12-004 [2] qui corrige la faille présente au sein de Windows. Pour rappel, celle-ci peut être exploitée à distance via un contrôle ActiveX présent au sein d’Internet Explorer.

 Conférence / Recherche :

TrendMicro aurait découvert un premier code malveillant [0] exploitant la faille de sécurité référencée CVE-2012-0003 [23], récemment corrigée par Microsoft dans le bulletin MS12-004 [2]. Le code en question permet de générer une page Internet permettant de forcer le chargement d’un fichier malveillant par le contrôle ActiveX Windows Media, afin d’installer sur le système de la victime un logiciel malveillant. Un code d’exploitation a enfin aussi été publié sur Internet.

Avec la prolifération des malwares, un nouveau type de code malveillant vient de faire son apparition : les "Frankenwares" [24]. En réalité, il s’agit d’une nouvelle appellation plutôt que d’un nouveau type de malware. Ce terme désigne en effet le résultat de la contamination d’un exécutable malveillant par un autre code malveillant, produisant ainsi un nouveau malware affublé de l’ensemble des fonctionnalités de deux autres malwares pris séparément.

 Cybercriminalité / Attaques :

Selon Microsoft, l’un des pirates se cachant derrière Kelihos [25] travaillerait pour un éditeur de solution de sécurité. Cependant, Krebs semble émettre quelques doutes sur les informations révélées par Microsoft.

 Entreprise :

Symantec [26] soulève de nouvelles interrogations quant au vol du code source de pcAnywhere. Selon la société, le code source de cette solution n’aurait jamais été transmis à l’Inde qui était à priori la cible de l’attaque des pirates ayant publié le code source. Comment celle-ci a-t-elle pu avoir ces données en sa possession  ? Par ailleurs, comment la société n’a-t-elle pas pu découvrir le vol de données lors de l’analyse de l’attaque qu’elle a subie il y a 6 ans, alors que Symantec a été en mesure de la confirmer ce mois-ci en étudiant les mêmes traces  ? Enfin, Symantec est revenu sur certaines de ses déclarations et recommande de ne plus utiliser certains de ses logiciels tels que pcAnywhere.

 Juridique :

Les entreprises européennes seront bientôt soumises à une législation [27] restrictive en matière de vie privée.

 Vie Privée :

L’opérateur [28] de téléphonie mobile anglais O2 aurait révélé les numéros de téléphone des abonnés aux sites internet visités depuis leur mobile. Il semblera que l’opérateur a cependant corrigé ce problème.

L’ActuSecu n°30 est disponible depuis une semaine. Au programme les Scams, les kits d’exploitation, le résumé de la conférence BruCON et l’analyse de plusieurs vulnérabilités (Apache Killer, FreeBSD...).
http://www.xmco.fr/actusecu.html

 Référence :

[0] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0126

http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0131

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/298b94d3970c1e4653602cdfafd9a92215dc15d9/entry/modules/exploits/windows/browser/ms12_004_midi.rb

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0034

http://technet.microsoft.com/en-us/security/bulletin/ms12-004

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0132

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120126-ironport

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0133

http://httpd.apache.org/security/vulnerabilities_22.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0104

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=e268337dfe26dfc7efd422a804dbb27977a3cccc

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0115

http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_apache_tomcat1

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0135

http://blogs.oracle.com/sunsecurity/entry/cve_2011_3190_vulnerability_in

http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_apache_tomcat2

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0116

http://blogs.oracle.com/sunsecurity/entry/cve_2011_4130_use_after

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0136

http://blogs.oracle.com/sunsecurity/entry/cve_2011_3389_chosen_plaintext2

[7] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0124

http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03169289

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0110

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03122753

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0111

http://www.ibm.com/support/docview.wss?uid=swg21578978

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0106

http://www.ibm.com/support/docview.wss?uid=swg27021052

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0137

http://archives.neohapsis.com/archives/bugtraq/2012-01/att-0165/ESA-2012-007.txt

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0134

http://archives.neohapsis.com/archives/bugtraq/2012-01/att-0164/ESA-2012-005.txt

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0123

http://www.joomla.org/announcements/release-news/5405-joomla-174-released.html

http://www.joomla.org/announcements/release-news/5403-joomla-250-released.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0122

http://esupport.trendmicro.com/solution/en-us/1060043.aspx

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0118

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0118

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0114

http://www.opera.com/docs/changelogs/windows/1161/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0109

http://googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0112

http://dsecrg.com/pages/vul/show.php?id=411

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0107

http://struts.apache.org/2.x/docs/s2-009.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0105

http://git.zx2c4.com/CVE-2012-0056/tree/mempodipper.c

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0108

http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0131

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/298b94d3970c1e4653602cdfafd9a92215dc15d9/entry/modules/exploits/windows/browser/ms12_004_midi.rb

[23]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

[24] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0120

http://www.malwarecity.com/blog/virus-infects-worm-by-mistake-1246.html

[25] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0117

http://blogs.technet.com/b/microsoft_blog/archive/2012/01/23/microsoft-names-new-defendant-in-kelihos-case.aspx

[26] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0139

http://www.wired.com/threatlevel/2012/01/symantec-source-code-hack/

[27] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0121

http://www.bbc.co.uk/news/technology-16677370

[28] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0119

http://thenextweb.com/mobile/2012/01/25/uk-mobile-operator-o2-sends-your-phone-number-to-every-website-you-visit/

 Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0154


Voir les articles précédents

    

Voir les articles suivants