CERT-XMCO : avis d’expert, semaine du 6 au 12 septembre
septembre 2010 par CERT-XMCO
- Date : 14 Septembre 2010
- Gravité : Moyenne
- Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Une vulnérabilité 0day au sein d’Adobe Reader est activement exploitée sur Internet (bulletin de sécurité Adobe APSA10-02 [1]). Aucun correctif pour Adobe Acrobat ou Reader n’est actuellement disponible. Les éditeurs antivirus ont publié des signatures pour ces fichiers. Le CERT-XMCO recommande aux RSSI de s’assurer que leur passerelle antivirus scanne bien les fichiers PDF et que les signatures sont à jour (Symantec signature 20101.1.1.7 "Bloodhound.PDF !gen1" ; McAfee signature 5.400.0.1158 "Exploit-PDF.ps.gen" ; TrendMicro signature 9.120.0.1004 "TROJ_PIDIEF.WM").
* Résumé des évènements majeurs :
- Vulnérabilités :
À la suite de la découverte [2] d’un PDF malveillant contenant un code d’exploitation, Adobe ainsi que plusieurs chercheurs ont émis une alerte de sécurité [3]. En effet, cette faille permet de compromettre un système à distance via l’ouverture d’un PDF contenant une police de caractères spécialement conçue afin de corrompre le champ "uniqueName" d’une table "SING". L’ouverture d’un tel document permet à un pirate de prendre le contrôle à distance d’un système. De plus, les recherches effectuées ont montré que l’attaque était complexe. Le document PDF contient plusieurs pages incluant un code d’exploitation propre à chaque version du logiciel. Par ailleurs, le fichier exécutable installé est signé numériquement [4] avec la clef privée correspondant à un certificat appartenant à la banque américaine "Vantage Credit Union".
Un code d’exploitation [5] permettant d’exploiter une faille de sécurité [6] présente dans les versions antérieures à l’Update 19 de Java 6 a été rendu public. La faille concerne la désérialisation d’un objet "RMIConnectionImpl" dans un contexte privilégié, afin de permettre à un attaquant de prendre le contrôle d’un système. La vulnérabilité nécessite qu’un pirate incite un internaute à visiter une page internet malveillante contenant un Applet Java spécialement conçu. Le CERT-XMCO recommande de mettre à jour la machine virtuelle Java [7].
Un chercheur a publié une preuve de concept relative à une vulnérabilité [8] présente au sein d’Internet Explorer. Celle-ci permettra à un pirate d’accéder et de manipuler à distance des informations sensibles via l’utilisation de la directive CSS "@import". La faille serait connue de Microsoft depuis 2008...
Plusieurs autres codes d’exploitation ont été rendus disponibles dans le cadre du mois des vulnérabilités Abysssec. Parmi les logiciels vulnérables ciblés, Movie Maker (MOAUB #04 [9] / MS10-016 [10]), le codec MPEG-Layer 3 de Windows (MOAUB #05 [11] / MS10-026 [12]), HP OpenView (MOAUB #06 [13]), Novell Netware FTP (MOAUB #07 [14]), MS Visio (MOAUB #08 [15] / MS10-028 [16]), Firefox (MOAUB #09 [17] / MFSA2010-30 [18]), MS Office Excel (MOAUB #10 [19] / MS10-038 [20]), MS Office Word (MOAUB #11 [21] / MS10-056 [22]) et enfin Adobe Reader (MOAUB #12 [23] / APSB10-15 [24]). Le CERT-XMCO recommande l’installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.
- Correctifs :
Microsoft a annoncé [25] que son prochain "Patch Tuesday" aura lieu le 14 septembre. Au programme, 9 bulletins de sécurité (4 critiques et 5 importants) concernant Windows et Office.
- Cybercriminalité / Attaques :
Des pirates ont mené une attaque [26] assez ingénieuse en imitant les pages d’avertissement des navigateurs web afin de pousser les internautes à télécharger et à installer leurs malwares...
Un nouveau cheval de Troie [27] ciblant la plateforme Androïd a été découvert. Celui-ci utilise les techniques SEO (Search Engine Optimization) afin d’apparaître dans les premiers résultats des moteurs de recherche.
Un ver se propageant via d’anciennes techniques [28] a fait son apparition. Transmis par courriel/pourriel, il scanne le carnet d’adresses du système de la victime afin d’envoyer de nouveaux mails. Il se recopie aussi sur des partages distants, ainsi que sur des supports de stockages externes...
Alors que plusieurs serveurs C&C du botnet "Cutwail/Pushdo" avaient été fermés par les professionnels de la sécurité, 5000 pourriels provenant des zombies du botnet auraient été envoyés [29]. Les pirates sont donc probablement déjà en train de le remettre sur pieds.
- Internationnal :
Une clef USB [30] contenant plus de 2000 documents appartenant à un officier anglais a été retrouvée dans la rue. Les 4 Go de données non chiffrés contenant des informations sensibles concernant le terrorisme, la gestion de crise, ou encore une liste de noms et des grades des officiers anglais pourraient se retrouver entre de mauvaises mains...
- Entreprises :
NSS Labs, une société spécialisée dans la sécurité vient d’annoncer vouloir lancer un nouveau site de vente en ligne de code d’exploitation [31]. Les chercheurs pourront ainsi mettre en vente leurs exploits, qui seront testés par NSS avant d’être mis à disposition des entreprises et autres acheteurs dont les identités seront préalablement validées. Seuls des codes permettant d’exploiter des failles de sécurité dont les correctifs ont été publiés seront mis en vente.
Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
- Référence :
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
http://www.adobe.com/support/security/advisories/apsa10-02.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1151
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
http://www.adobe.com/support/security/advisories/apsa10-02.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1160
http://www.securelist.com/en/blog/2287/Adobe_Reader_zero_day_attack_now_with_stolen_certificate
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1162
http://www.metasploit.com/redmine/projects/framework/repository/revisions/10255
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0388
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0094
[7]
http://java.sun.com/javase/downloads/index.jsp
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1141
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1142
http://archives.neohapsis.com/archives/fulldisclosure/2010-09/0066.html
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1138
http://www.exploit-db.com/movie-maker-remote-code-execution-ms10-016/
http://www.exploit-db.com/exploits/14886/
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0286
http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010- 0265
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1137
http://www.exploit-db.com/moaub-5-microsoft-mpeg-layer-3-audio-stack-based-overflow/
http://www.exploit-db.com/exploits/14895/
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0449
http://www.microsoft.com//technet/security/Bulletin/MS10-026.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0480
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1144
http://www.exploit-db.com/moaub-6-hp-openview-nnm-webappmon-exe-execvp_nc-remote-code-execution/
http://www.exploit-db.com/exploits/14916/
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1146
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1145
http://www.exploit-db.com/exploits/14928/
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1161
http://www.exploit-db.com/moaub-8-microsoft-office-visio-dxf-file-stack-overflow/
http://www.exploit-db.com/exploits/14944/
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0447
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0550
http://www.microsoft.com/france/technet/security/bulletin/MS10-028.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1681
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0254
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0256
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1158
http://www.exploit-db.com/moaub-9-mozilla-firefox-xslt-sort-remote-code-execution-vulnerability/
http://www.exploit-db.com/exploits/14949/
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0788
http://www.mozilla.org/security/announce/2010/mfsa2010-30.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1199
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1169
http://www.exploit-db.com/moaub-10-excel-rtd-memory-corruption/
http://www.exploit-db.com/exploits/14966/
[2Ø]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0721
http://www.microsoft.com/technet/security/bulletin/ms10-038.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1246
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1176
http://www.exploit-db.com/moaub11-microsoft-office-word-sprmcmajority-buffer-overflow/
http://www.exploit-db.com/exploits/14971
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1015
http://www.microsoft.com/technet/security/bulletin/MS10-056.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1900
[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1177
http://www.exploit-db.com/moaub12-adobe-acrobat-and-reader-pushstring-memory-corruption/
http://www.exploit-db.com/exploits/14982/
[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0823
http://www.adobe.com/support/security/bulletins/apsb10-15.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2201
[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1167
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx
[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1132
[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1157
http://www.net-security.org/malware_news.php?id=1460
[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1172
http://threatpost.com/en_us/blogs/new-email-worm-turns-back-clock-virus-attacks-090910
[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1156
http://blog.trendmicro.com/pushdo-takedown-damages-botnet/
http://blog.trendmicro.com/new-fake-facebook-spam-waves-send-through-cutwailpushdo-botnet/
[3Ø]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1139
http://www.dailystar.co.uk/news/view/152395/Manchester-Police-dump-terror-secrets-in-the-street
[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1174
- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1182