CERT-XMCO : Avis d’expert : semaine du 5 au 11 mars
mars 2012 par CERT-XMCO
– Date : 14 Mars 2012
– Criticité : Moyenne
– Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Plusieurs failles de sécurité ont été corrigées par Adobe au sein de Flash [9].
Microsoft a annoncé la publication de 6 bulletins de sécurité dans le cadre de son "Patch Tuesday" du mois de mars [36] le mardi 13.
* Résumé des évènements majeurs :
– Vulnérabilités :
Peu de vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés, figure entre autres le navigateur Safari [1] et BlackBerry OS [2].
– Correctifs :
Cette semaine, Apple a publié plusieurs correctifs pour son système d’exploitation iOS [3], iTunes [4], et Apple TV [5]. VMware a également publié des correctifs pour ses solutions VMware vCenter Chargeback Manager [7], VMware VirtualCenter et VMware ESX [8]. Plusieurs failles de sécurité ont également été corrigées au sein de Flash [9].
Plusieurs autres correctifs ont été publiés. Ceux-ci concernent le navigateur Google Chrome [10], le CMS DotNetNuke [11], Drupal [12] et Joomla [13], le WAF Barracuda [14], HP Network Node Manager i [15], RSA SecurID Software Token Converter [16], MantisBT [17], Symantec Enterprise Vault [18], Symfony2 [19] et Novell ZENworks Configuration Management [20]. Enfin, IBM a publié des correctifs pour ses solutions IBM Tivoli [21], IBM Maximo Asset Management [22] et le serveur de base de données IBM DB2 [23].
Microsoft a annoncé la publication de 6 bulletins de sécurité dans le cadre de son "Patch Tuesday" du mois de mars [36] le mardi 13.
– Exploit :
Une preuve de concept a été divulguée cette semaine pour Adobe Flash Player [24]. L’exploitation de cette faille de sécurité permet de prendre le contrôle d’un système à distance.
– Conférence / Recherche :
Les concours de sécurité Pwn2Own et Pwnium lancés la semaine dernière à Vancouver, dans le cadre de la conférence CanSecWest, ont permis d’identifier et d’exploiter des failles au sein de l’ensemble des navigateurs [31]. La nouveauté de cette année est l’exploitation d’une faille de sécurité au sein du navigateur Google Chrome permettant de prendre le contrôle à distance. Quelques jours avant le lancement de ce concours, Google venait de corriger un total de 17 failles de sécurité au sein de son navigateur [32]. L’éditeur du navigateur Chrome a également distribué un total de 50 000 dollars aux chercheurs ayant découvert ces vulnérabilités.
Mozilla vient d’annoncer la mise en place, prochainement, d’une solution visant à interdire l’exécution de modules additionnels (DLL XPCOM) non protégés par l’ASLR [34]. Cette fonction de sécurité devrait être disponible dans la version 13 de Firefox.
Un chercheur a piraté le site GitHub pour prouver l’existence d’une faille au sein du framework "Ruby On Rails" [25].
– Cybercriminalité / Attaques :
La société Imperva a publié un rapport présentant les résultats de l’analyse d’une attaque menée par le groupe d’hacktivistes Anonymous [26].
Dans le même temps, des experts russes se sont réunis afin de discuter de l’avenir des attaques de déni de service distribuées (DDOS) [27]. Selon eux, sorties du champ commercial, ces attaques DDoS qui sont trop peu rentables devraient majoritairement devenir un élément de contestation.
La version d’évaluation du système d’exploitation "POSReady 2009" destinée à être utilisée au sein de solutions embarquées serait infectée par un malware nommé "SSOExec" [29].
L’adoption par le Canada de la carte à puce a permis de faire reculer les fraudes par clonage de cartes de crédit de 41 % en 2011 [33].
– Juridique :
Le marché des cartes prépayées s’est progressivement développé en France et sa potentielle attractivité pour des opérations de blanchiment d’argent inquiète Tracfin [30]. Jean-Baptiste Carpentier, le directeur de Tracfin, est particulièrement préoccupé par le défi posé par ce nouveau marché.
Le FBI a obtenu une autorisation pour poursuivre l’opération DNS-OK [35]. Celle-ci avait pour but de maintenir en place les serveurs de commande et de contrôle utilisés par les pirates. L’autorisation au départ fixée jusqu’au 8 mars 2012 vient d’être étendue de 120 jours.
La presse russe a pu rencontrer Andrei Sabelnikov (créateur présumé du botnet Kelihos) pour l’interroger sur le conflit l’opposant au géant américain Microsoft [28].
XMCO a récemment publié un nouvel article sur son blog :
* Marché noir : multiplication des ventes automatisées de serveurs compromis
https://cert.xmco.fr/blog/index.php?post/2012/03/05/March%C3%A9-noir-%3A-multiplication-des-ventes-automatis%C3%A9es-de-serveurs-compromis
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
– Référence :
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0375
http://secunia.com/advisories/45758/
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0342
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB30152
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0381
http://support.apple.com/kb/HT5192
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0382
http://support.apple.com/kb/HT5191
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0379
http://support.apple.com/kb/HT5193
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0351
http://secunia.com/advisories/44976/
[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0378
http://www.vmware.com/security/advisories/VMSA-2012-0002.html
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0377
http://www.vmware.com/security/advisories/VMSA-2012-0003.html
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0336
http://www.adobe.com/support/security/bulletins/apsb12-05.html
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0368
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0383
http://www.dotnetnuke.com/News/Security-Policy/Security-bulletin-no.65.aspx
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0352
http://drupal.org/node/1471870
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0335
http://developer.joomla.org/security/news/391-20120301-core-sql-injection.html
http://developer.joomla.org/security/news/392-20120302-core-xss-vulnerability.html
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0372
http://www.vulnerability-lab.com/get_content.php?id=444
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0355
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03223954
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0346
http://packetstormsecurity.org/files/110504/ESA-2012-013.txt
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0343
http://www.mantisbt.org/bugs/changelog_page.php?version_id=140
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0338
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0337
http://www.exploit-db.com/exploits/18560/
[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0333
http://www.novell.com/support/viewContent.do?externalId=7010137
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0357
http://www.ibm.com/support/docview.wss?uid=swg21584666
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0356
http://www.ibm.com/support/docview.wss?uid=swg21584666
[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0354
http://www.ibm.com/support/docview.wss?uid=swg21586193
[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0353
[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0340
http://www.zdnet.com/blog/security/how-github-handled-getting-hacked/10473
[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0380
http://www.imperva.com/docs/HII_The_Anatomy_of_an_Anonymous_Attack.pdf
[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0358
http://tasstelecom.ru/articles/one/3396
[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0348
http://www.gazeta.ru/business/2012/03/07/4029821.shtml
[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0334
http://seclists.org/fulldisclosure/2012/Mar/17
[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0350
[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0364
http://www.zdnet.com/blog/security/pwn2own-2012-google-chrome-browser-sandbox-first-to-fall/10588
[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0339
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update.html
[33]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0359
http://www.directioninformatique.com/DI/client/fr/DirectionInformatique/Nouvelles.asp?id=66410
[34]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0347
http://blog.kylehuey.com/post/18120485831/address-space-layout-randomization-now-mandatory-for
[35]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0344
http://www.f-secure.com/weblog/archives/00002323.html
[36]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0371
http://blogs.technet.com/b/msrc/archive/2012/03/08/march-2012-ans.aspx
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0404