Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert : semaine du 21 au 27 mai

mai 2012 par CERT-XMCO

 Date : 31 Mai 2012

 Criticité : Faible

 Description :

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :

 Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent Linux [1] (NFSv4, mmap_sem, HUGETLB_PAGE), PHP [2], Windows [3] et enfin IBM Lotus Quickr [4]. L’exploitation de ces différentes failles de sécurité permet à un pirate de provoquer un déni de service, d’élever ses privilèges, voire de prendre le contrôle d’un système à distance.

 Correctifs :

Plusieurs correctifs ont été publiés. Ceux-ci concernent EMC AutoStart [5], Solaris [6] (libvorbis, OpenSSL, Flash Player), Google Chrome [7], Citrix Presentation Server et de XenApp [8], Symantec Enpoint Protection [9], Wireshark [10], HP-UX [11] et enfin Symantec Web Gateway [12].

 Exploit :

Plusieurs codes d’exploitations ont aussi été divulgués cette semaine pour OpenOffice [13], Novell Client [14], PHP [15] et enfin HP Virtual SAN Appliance [16]. Un pirate est ainsi en mesure d’élever localement ses privilèges, voire de prendre le contrôle d’un système à distance.

 Conférence / Recherche :

FlashBack [17] ne rapporterait pas autant d’argent aux pirates que ce qui avait été envisagé initialement. D’après une étude de Symantec, au lieu de rapporter près de 10 000 dollars par jours, ce n’est que 15 000 dollars qui auraient pu être amassés par les pirates sur une période de 3 semaines....

Le chercheur Behrang Fouladi a procédé à une annonce importante. Il aurait réussi à cloner un token RSA SecurID [18], et aurait ainsi été en mesure de générer des codes d’identification valides depuis un autre ordinateur. Même si cette annonce est importante, son impact reste limité. En effet, la prouesse du chercheur ne concerne pour le moment que la version logicielle du token, et non la version physique.

Google a lancé la semaine dernière une campagne de sensibilisation afin d’alerter les internautes victimes de DNSChanger [19]. Selon les données récoltées par le FBI sur les anciens serveurs des pirates, il y aurait encore environ 330 000 internautes victimes du malware.

Moxie Marlinspike et Trevor Perrin, deux chercheurs réputés pour leurs travaux en matière de cryptographie viennent de publier auprès de l’IETF une nouvelle proposition de norme afin de faire évoluer l’écosystème SSL/TLS. Baptisée "Trust Assertions for Certificate Keys" [20] (TACKS), la proposition est très proche de la technique de "certificat pining" mise en place par Google au sein de son navigateur Chrome, et vise à la rendre suffisamment générique pour être adaptable dans tous les contextes, et déployable à grande échelle. En effet, ces deux points correspondaient aux points faibles de la technique de Google.

De nombreux expatriés français souhaitant voter sont confrontés à des problèmes pour se connecter au système de vote en ligne [21]. En effet, la dernière mise à jour de Java 1.7 serait incompatible avec l’application Java utilisée au sein du système de vote en ligne développé par la société espagnole Scytl.

 Cybercriminalité / Attaques :

Initialement, la compromission de Global Payments [22] remontait au début de l’année 2012. Il y a quelques semaines, les premières traces de cette dernière avaient pu être datées de juin 2011. Aujourd’hui, selon une nouvelle source, les premières traces de l’attaque remonteraient en réalité à janvier 2011.

SpyEye et Zeus, deux des malwares les plus connus du moment continuent d’évoluer. De nouvelles fonctionnalités viennent en effet de leur être ajoutées. Mais contrairement à ce qui avait pu être observé jusqu’alors, les derniers ajouts ne sont plus liés directement à la fonctionnalité première de ces "bankers". SpyEye [23] est désormais capable de filmer et d’enregistrer un internaute à son insu via la webcam et le micro de l’ordinateur. De son côté, Zeus [24] est désormais capable de se transformer en "ransomware" en verrouillant complètement l’ordinateur de la victime tant que ce dernier n’a pas payé une rançon.

 Entreprise :

Yahoo [25] a publié par erreur une clef de chiffrement privée avec son extension "Axis" pour Google Chrome.

 Juridique :

La Commission européenne [26] proposera, d’ici la fin de l’année, une législation contraignante pour l’ensemble des États membres afin d’aider ces derniers à combler leurs lacunes dans le domaine de la cyber-sécurité.

Le botmaster de Bredolab [27] a récemment été condamné à 4 ans de prison en Arménie.

 Vie Privée :

Le FBI vient de créer une unité nommée "Domestic Communications Assistance Center" [28], chargée de surveiller les communications électroniques : Internet, réseaux sans fil, voix sur IP. Cette unité permettra notamment au FBI de s’adapter aux évolutions technologiques des moyens de communication, renforçant ainsi ses capacités d’écoutes légales.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

 Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0863

http://www.openwall.com/lists/oss-security/2012/05/18/7

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0869

http://permalink.gmane.org/gmane.linux.kernel.mm/78590

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0887

http://marc.info/?l=linux-mm&m=133728900729735

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0870

http://cxsecurity.com/issue/WLB-2012050163

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0874

http://blog.cr4.sh/2012/05/post-ms12-034-0day.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0891

http://www.ibm.com/support/docview.wss?uid=swg21596191

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0902

http://archives.neohapsis.com/archives/bugtraq/2012-05/att-0120/ESA-2012-020.txt

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0881

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0882

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0885

https://blogs.oracle.com/sunsecurity/

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0880

http://googlechromereleases.blogspot.fr/2012/05/stable-channel-update_23.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0879

http://support.citrix.com/article/CTX133159

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0878

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120522_00

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120522_01

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0877

http://www.wireshark.org/security/wnpa-sec-2012-08.html

http://www.wireshark.org/security/wnpa-sec-2012-09.html

http://www.wireshark.org/security/wnpa-sec-2012-10.html

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0868

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03316985

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0864

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120517_00

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0883

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/fileformat/openoffice_ole.rb

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0873

http://www.exploit-db.com/exploits/18914/

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0871

http://packetstormsecurity.org/files/112851

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0862

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/multi/misc/hp_vsa_exec.rb

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0865

http://www.net-security.org/malware_news.php?id=2111

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0872

http://www.sensepost.com/blog/7045.html

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0875

http://googleonlinesecurity.blogspot.com/2012/05/notifying-users-affected-by-dnschanger.html

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0897

https://threatpost.com/en_us/blogs/dnschanger-lingers-330k-systems-still-infected-77000-us-052412#.T75JxEH-NZM.twitter

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0903

http://arstechnica.com/security/2012/05/ssl-fix-flags-forged-certificates-before-theyre-accepted-by-browsers/

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0903

http://www.lemagit.fr/article/securite-france-bugs/11118/1/le-systeme-vote-ligne-des-francais-expatries-handicape-par-bug-java/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0866

http://www.h-online.com/security/news/item/Global-Payments-breach-reportedly-worse-than-expected-1578956.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0884

http://www.h-online.com/security/news/item/SpyEye-rips-off-users-and-films-them-in-the-process-1582556.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0884

http://www.net-security.org/malware_news.php?id=2120

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0890

http://nakedsecurity.sophos.com/2012/05/24/yahoo-leaks-its-own-private-key-via-new-axis-chrome-extension/

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0867

http://euobserver.com/22/116239

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0899

http://www.theregister.co.uk/2012/05/23/bredolab_botmaster_jailed/

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0904

http://news.cnet.com/8301-1009_3-57439734-83/fbi-quietly-forms-secretive-net-surveillance-unit/

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0918


Voir les articles précédents

    

Voir les articles suivants