30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Avis d’expert : semaine du 7 au 13 mai

mai 2012 par CERT-XMCO

– Date : 15 Mai 2012

– Criticité : Elevée

– Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert : Dans le cadre de son "Patch Tuesday" [1] du mois de mai, Microsoft a publié plusieurs correctifs. Le CERT-XMCO recommande l’installation en priorité des correctifs proposés dans les bulletins MS12-029 [2] (Word), MS12-34 [3] (Windows, .Net, Silverlight) ainsi que MS12-035 [4] (.Net). L’exploitation des différentes failles de sécurité corrigées permettait en effet de prendre le contrôle d’un système à distance.

* Résumé des évènements majeurs :

– Vulnérabilités :
De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le CMS Drupal [5], Symantec Web Gateway [6] et enfin EMC Documentum IRM Server [7]. L’exploitation de ces différentes failles de sécurité permettait respectivement d’accéder à des données pouvant être sensibles, de mener une attaque de type "Cross-Site Scripting" (XSS), voire de provoquer un déni de service.

– Correctifs :
Dans le cadre de son "Patch Tuesday" [1] du mois de mai, Microsoft a publié des correctifs pour Word [2] (MS12-029), Office [8] (MS12-030), Visio Viewer [9] (MS12-031), la pile TCP/IP de Windows [10] (MS12-032), Windows Partition Manager [11] (MS12-033), Microsoft Office [3], Silverlight, .NET, Microsoft Windows (MS12-034) et enfin au sein du framework .Net [4] (MS12-035).

Dans le même temps, Adobe a publié des correctifs pour Shockwave Player [12] (APSB12-13), Flash Professional [13] (APSB12-12), Photoshop [14] (APSB12-11) et enfin Illustrator [15] (APSB12-10).

Plusieurs autres correctifs ont aussi été publiés. Ceux-ci concernent les systèmes d’exploitation AIX [16] et OS/400 [17], IBM Tivoli Access Manager [18], Mac OS X [19], Safari [20], Cisco Secure ACS [21], CiscoWorks Prime LAN Management Solution [23], Cisco Unified MeetingPlace [24], Opera [25], EMC Documentum IRM Server [26], OpenSSL [27], IBM Rational ClearQuest [28], Horde IMP Webmail Client [29], SAP Netweaver [30], PHP [31], l’iOS d’Apple [32], et enfin HP Performance Insight [33].

– Exploit :
Un code d’exploitation a été divulgué cette semaine pour Firefox [34]. En incitant un internaute à visiter une page spécialement conçue, un pirate était en mesure de prendre le contrôle d’un système à distance.

– Conférence / Recherche :
Après Mozilla, c’est au tour d’Apple [35] d’interdire l’exécution au sein de Safari des plug-ins tiers vulnérables.

Un chercheur a découvert que la dernière mise à jour de Mac OS X Lion (10.7.3) contenait une faille de sécurité critique [36]. Cette dernière expose en effet le mot de passe FileVault dans certains fichiers de traces stockés en clair sur le disque dur.

– Cybercriminalité / Attaques :
Des pirates ont publié sur Internet les identifiants et les mots de passe de plus de 55 000 comptes Twitter [37]. La validité de ces comptes est cependant suspicieuse, puisqu’il semblerait que ces derniers soient des comptes utilisés par les pirates pour envoyer du spam.

Un chercheur a découvert une nouvelle technique d’attaque avancée utilisée contre plus de 1000 sites WordPress [38] compromis. Grâce à cette dernière, la compromission d’un serveur WordPress devient persistante, puisque c’est le mécanisme de mise à jour automatique qui est chargé de remettre en place la porte dérobée.

Des pirates chercheraient à faire chanter Symantec [39] en prétendant avoir le code source de Norton Internet Security 2012. Selon Symantec, le code source ne correspondrait pas au logiciel en question.

Un documentaire baptisé "ZERO DAY" [40] est en cours de réalisation. Ce dernier traitera des côtés obscurs d’Internet, tels que la cyber-criminalité, ou encore le cyber-espionnage. L’objectif de ce documentaire est de plonger le spectateur en plein coeur d’un monde souvent ignoré du grand public.

– Entreprise
Microsoft [41] a annoncé avoir suspendu son partenariat MAPP avec la société chinoise Hangzhou DPTech Technologies dans le cadre de la fuite d’information au sujet de la faille MS12-020. Selon l’enquête menée par Microsoft, cette société est en effet à l’origine de la fuite de la preuve de concept permettant de provoquer un déni de service à distance en envoyant un paquet RDP spécialement conçu.

– Juridique :
Le FBI voudrait obliger les géants d’Internet à mettre en place des systèmes d’interception [42] lui permettant d’accéder au contenu des échanges des internautes.

– Vie Privée :
La CNIL [43] a annoncé étudier la sécurité des cartes de payement sans contact à la suite des récentes conférences au cours desquelles ce sujet sensible a été abordé.

Une faille de sécurité affectant Firefox pourrait impacter la confidentialité des échanges réalisés au travers du réseau Tor [44], et donc nuire à la vie privée des internautes. En effet, il a été découvert que le navigateur n’utilisait pas le proxy Tor configuré pour relayer les requêtes DNS associées à l’usage des WebSocket. Ainsi, un attaquant interceptant le trafic réseau local serait en mesure de savoir quels sont les sites visités par un internaute.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

– Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0755

http://blogs.technet.com/b/msrc/archive/2012/05/03/advanced-notification-service-for-may-2012-security-bulletin-release.aspx

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0779

http://technet.microsoft.com/fr-fr/security/bulletin/MS12-029

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0784

http://technet.microsoft.com/fr-fr/security/bulletin/ms12-034

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0785

http://technet.microsoft.com/en-us/security/bulletin/ms12-035

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0803

http://www.securityfocus.com/archive/1/522651