CERT XMCO : avis d’expert, semaine du 4 au 10 avril
avril 2011 par CERT-XMCO
– Date : 13 Avril 2011
– Criticité : Moyenne
– Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Résumé des évènements majeurs :
– Vulnérabilités :
Plusieurs failles de sécurité ont été découvertes cette semaine. Les produits Microsoft sont particulièrement exposés puisque des failles ont été identifiées au sein de Windows Vista [1], de la gestion de l’IPv6 par Windows [2], de Windows Media Player [3], et enfin au sein d’Internet Explorer [4]. L’exploitation de ces différentes failles permettrait de provoquer un déni de service pour les deux premières, voire de compromettre un système à distance pour les deux dernières.
Une dernière faille affectant VLC [5] a été découverte. Son exploitation permettrait de prendre le contrôle d’un système lors de l’ouverture d’un fichier s3m malformé.
– Correctifs :
De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels concernés, Zend Server [6], WebSphere Application Server [7], Joomla [8], HP Network Node Manager [9], DHCP Client [10], Solaris [11], WordPress [12], HTTPComponents d’Apache [13], Redmine [14] et enfin RoundCube [15].
– Exploits :
Plusieurs codes d’exploitation ont été publiés cette semaine.
Le premier exploit cible Windows Media Player [16] et permet de provoquer un déni de service lors de l’ouverture d’un fichier spécialement conçu.
Le second code d’exploitation permet de prendre le contrôle à distance d’un serveur Zend Server Java Bridge [17].
Enfin, le dernier exploit permet de prendre le contrôle à distance d’un serveur Lotus Domino iCalendar [18] via l’envoi d’un email contenant une invitation iCalendar malformée.
– Juridique :
Plusieurs experts en sécurité informatique ont déposé un dossier relatif à l’Affaire Wikileaks [19] opposant le gouvernement américain au géant du micro-blogging Twitter devant la justice américaine. Selon eux, il existe un réel danger pour la vie privée de chacun lorsqu’un gouvernement oblige des sociétés à transmettre des informations personnelles. En effet, l’accumulation de données personnelles par Twitter permettrait de dresser le profil précis, le comportement d’un internaute, y compris ses déplacements. Ces experts mettent donc en avant l’importance de l’obtention d’un mandat avant toute demande de ce type...
– Conférence / Recherche :
Avec le déclin annoncé de l’IPv4, et les futurs déploiements de l’IPv6, les chercheurs "commencent" à s’intéresser à ce nouveau domaine. Un nouveau type d’attaque, baptisée "SLAAC Attack" [20] a ainsi été présentée. Le mécanisme d’auto-configuration normalisé permettrait de forcer, à distance, un système à définir un nouveau routeur afin de détourner l’ensemble des communications. Dans le même domaine, il serait possible de provoquer un déni de service en envoyant simplement un grand nombre de datagramme IP de type "Neighbor Discovery".
D’après un rapport publié par IBM [21], le nombre de vulnérabilités et de codes d’exploitation dévoilés publiquement aurait connu une forte hausse en 2010 (+29 % par rapport à 2009 pour les vulnérabilités, contre +21 % pour les exploits).
À la suite de l’affaire Comodo, Google a annoncé la mise en place de nouvelle fonction de sécurité visant à protéger l’Internet. Chrome [22] se verra doté d’une fonction permettant de bloquer les plug-ins n’étant pas à jour. Le navigateur proposera un lien vers la dernière version publiée. De plus, une fenêtre d’alerte [23] demandera une confirmation de la part d’un utilisateur avant de procéder au téléchargement d’un exécutable lorsque celui-ci sera considéré comme suspicieux. Enfin, Google propose la mise en place d’une nouvelle fonction de sécurité au sein de la norme DNS. Baptisée DANE [24], cette évolution, fortement inspirée par DNSSEC et reposant sur celui-ci, permettra de spécifier au sein d’un enregistrement DNS l’autorité d’enregistrement habilité à "certifier" un site Internet.
– Cybercriminalité / Attaques :
De nouvelles informations ont été publiées par RSA [25] à la suite de l’attaque qu’a subie la société. D’après le communiqué de presse, la faille 0day ciblant le lecteur Flash récemment publié par Adobe serait le vecteur d’attaque principal. Pour rappel, celle-ci a récemment été corrigée par Adobe.
Un nouveau mode de fonctionnement a pu être observé dans le "petit" monde des packs d’exploitation avec l’arrivée de RoboPak Exploit Kit [26]. Après le SaaS (Software As A Service), le PaaS (Plateform As A Service) et et enfin l’IaaS (Infrastructure As A Service), ce nouveau venu sur la scène pirate introduit un nouveau mode de fonctionnement baptisé EaaS (Exploits As A Service). Ce n’est plus le logiciel qui est vendu, mais le service associé. Il est donc désormais possible d’acheter un droit d’utilisation du logiciel à la journée, à la semaine, voir au mois pour des tarifs peu élevés et fortement dégressifs.
Cette semaine, la société Epsilon [27] a reconnu officiellement avoir été victime d’un vol de données. Plusieurs millions d’adresses email ainsi que les noms des utilisateurs associés auraient ainsi été dérobés. Ces différentes informations pourraient être utilisées sous peu afin de lancer des campagnes de phishing de grande ampleur...
SpyEye et Zeus continuent d’évoluer. Le code source de Zeus [28] a été publié sur Internet sous la forme d’une archive protégée par mot de passe. De nombreux hackers tentent actuellement de bruteforcer celui-ci pour obtenir le code source. Cette publication engendrera potentiellement l’apparition de nombreuse variante du malware. SpyEye [29] de son côté reprend une fonction de Zeus. Cette version du malware ciblant les smartphones Symbian se voit ajouter une des nombreuses fonctionnalités de son concurrent Zeus permettant d’intercepter les mTANs (Mobile Transaction Authentification Number) envoyés par la banque par SMS. Grâce à cette information, les pirates sont en mesure de réaliser des transactions bancaires.
Une nouvelle campagne de spam pousse les internautes à installer la dernière version de certains logiciels Adobe [30]. Pour cela, et comme pour toute attaque de phishing, les victimes doivent au préalable fournir des informations personnelles...
– Entreprises :
Microsoft a annoncé la date de son prochain "Patch Tuesday" [31]. Mardi 12 avril seront publiés 17 bulletins de sécurité corrigeant pas moins de 64 vulnérabilités. Neuf d’entre eux sont jugés critiques ; contre huit importants. Parmi les logiciels impactés : Microsoft Windows, Microsoft Office, Internet Explorer, Visual Studio, .NET Framework et enfin GDI+.
– XMCO :
XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
Référence
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0501
http://seclists.org/fulldisclosure/2011/Apr/38
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0515
http://samsclass.info/ipv6/proj/flood-router6a.htm
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0503
http://www.spinics.net/linux/lists/bugtraq/msg44386.html
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0537
http://www.hackersbay.in/2011/04/ie9-exploit-puts-windows-7-sp1-at-risk.html
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0533
https://www.sec-consult.com/files/20110407-0_libmodplug_stackoverflow.txt
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0505
http://www.zerodayinitiative.com/advisories/ZDI-11-113/
[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0508
http://www-01.ibm.com/support/docview.wss?uid=swg27007951
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0516
http://developer.joomla.org/security/news/340-20110401-core-information-disclosure.html
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0517
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02776387
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0520
https://www.isc.org/software/dhcp/advisories/cve-2011-0997
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0523
http://www.kb.cert.org/vuls/id/648244
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0524
http://wordpress.org/news/2011/04/wordpress-3-1-1/
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0528
http://www.apache.org/dist/httpcomponents/httpclient/RELEASE_NOTES-4.1.x.txt
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0535
http://www.redmine.org/news/53
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0536
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1492
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0502
http://www.spinics.net/linux/lists/bugtraq/msg44386.html
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0506
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0512
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0504
http://www.net-security.org/secworld.php?id=10839
[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0513
http://www.theregister.co.uk/2011/04/04/slaac_attack_microsoft_windows/
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0525
http://www.scmagazineus.com/number-of-reported-vulnerabilities-spiked-in-2010/article/199823/
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0522
http://googleonlinesecurity.blogspot.com/2011/04/protecting-users-from-malicious.html
[23]
http://googleonlinesecurity.blogspot.com/2011/03/chrome-warns-users-of-out-of-date.html
[24]
http://googleonlinesecurity.blogspot.com/2011/04/improving-ssl-certificate-security.html
[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0499
http://blogs.rsa.com/rivner/anatomy-of-an-attack/
[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0509
http://www.kahusecurity.com/2011/robopak-exploit-kit
[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0510
[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0521
http://www.net-security.org/malware_news.php?id=1681
[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0518
http://www.h-online.com/security/news/item/Attacks-on-German-mTAN-banking-users-1222260.html
[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0519
http://www.net-security.org/secworld.php?id=10854
[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0527
http://www.microsoft.com/technet/security/Bulletin/MS11-apr.mspx
[REFERENCE-CVE] :
Référence CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]
Id XMCO Partners : CXA-2011-0584
Lien extranet XMCO Partners : https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0584