Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT XMCO : avis d’expert, semaine du 4 au 10 avril

avril 2011 par CERT-XMCO

 Date : 13 Avril 2011

 Criticité : Moyenne

 Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :

 Vulnérabilités :
Plusieurs failles de sécurité ont été découvertes cette semaine. Les produits Microsoft sont particulièrement exposés puisque des failles ont été identifiées au sein de Windows Vista [1], de la gestion de l’IPv6 par Windows [2], de Windows Media Player [3], et enfin au sein d’Internet Explorer [4]. L’exploitation de ces différentes failles permettrait de provoquer un déni de service pour les deux premières, voire de compromettre un système à distance pour les deux dernières.

Une dernière faille affectant VLC [5] a été découverte. Son exploitation permettrait de prendre le contrôle d’un système lors de l’ouverture d’un fichier s3m malformé.

 Correctifs :
De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels concernés, Zend Server [6], WebSphere Application Server [7], Joomla [8], HP Network Node Manager [9], DHCP Client [10], Solaris [11], WordPress [12], HTTPComponents d’Apache [13], Redmine [14] et enfin RoundCube [15].

 Exploits :
Plusieurs codes d’exploitation ont été publiés cette semaine.
Le premier exploit cible Windows Media Player [16] et permet de provoquer un déni de service lors de l’ouverture d’un fichier spécialement conçu.
Le second code d’exploitation permet de prendre le contrôle à distance d’un serveur Zend Server Java Bridge [17].
Enfin, le dernier exploit permet de prendre le contrôle à distance d’un serveur Lotus Domino iCalendar [18] via l’envoi d’un email contenant une invitation iCalendar malformée.

 Juridique :
Plusieurs experts en sécurité informatique ont déposé un dossier relatif à l’Affaire Wikileaks [19] opposant le gouvernement américain au géant du micro-blogging Twitter devant la justice américaine. Selon eux, il existe un réel danger pour la vie privée de chacun lorsqu’un gouvernement oblige des sociétés à transmettre des informations personnelles. En effet, l’accumulation de données personnelles par Twitter permettrait de dresser le profil précis, le comportement d’un internaute, y compris ses déplacements. Ces experts mettent donc en avant l’importance de l’obtention d’un mandat avant toute demande de ce type...

 Conférence / Recherche :
Avec le déclin annoncé de l’IPv4, et les futurs déploiements de l’IPv6, les chercheurs "commencent" à s’intéresser à ce nouveau domaine. Un nouveau type d’attaque, baptisée "SLAAC Attack" [20] a ainsi été présentée. Le mécanisme d’auto-configuration normalisé permettrait de forcer, à distance, un système à définir un nouveau routeur afin de détourner l’ensemble des communications. Dans le même domaine, il serait possible de provoquer un déni de service en envoyant simplement un grand nombre de datagramme IP de type "Neighbor Discovery".

D’après un rapport publié par IBM [21], le nombre de vulnérabilités et de codes d’exploitation dévoilés publiquement aurait connu une forte hausse en 2010 (+29 % par rapport à 2009 pour les vulnérabilités, contre +21 % pour les exploits).

À la suite de l’affaire Comodo, Google a annoncé la mise en place de nouvelle fonction de sécurité visant à protéger l’Internet. Chrome [22] se verra doté d’une fonction permettant de bloquer les plug-ins n’étant pas à jour. Le navigateur proposera un lien vers la dernière version publiée. De plus, une fenêtre d’alerte [23] demandera une confirmation de la part d’un utilisateur avant de procéder au téléchargement d’un exécutable lorsque celui-ci sera considéré comme suspicieux. Enfin, Google propose la mise en place d’une nouvelle fonction de sécurité au sein de la norme DNS. Baptisée DANE [24], cette évolution, fortement inspirée par DNSSEC et reposant sur celui-ci, permettra de spécifier au sein d’un enregistrement DNS l’autorité d’enregistrement habilité à "certifier" un site Internet.

 Cybercriminalité / Attaques :
De nouvelles informations ont été publiées par RSA [25] à la suite de l’attaque qu’a subie la société. D’après le communiqué de presse, la faille 0day ciblant le lecteur Flash récemment publié par Adobe serait le vecteur d’attaque principal. Pour rappel, celle-ci a récemment été corrigée par Adobe.

Un nouveau mode de fonctionnement a pu être observé dans le "petit" monde des packs d’exploitation avec l’arrivée de RoboPak Exploit Kit [26]. Après le SaaS (Software As A Service), le PaaS (Plateform As A Service) et et enfin l’IaaS (Infrastructure As A Service), ce nouveau venu sur la scène pirate introduit un nouveau mode de fonctionnement baptisé EaaS (Exploits As A Service). Ce n’est plus le logiciel qui est vendu, mais le service associé. Il est donc désormais possible d’acheter un droit d’utilisation du logiciel à la journée, à la semaine, voir au mois pour des tarifs peu élevés et fortement dégressifs.

Cette semaine, la société Epsilon [27] a reconnu officiellement avoir été victime d’un vol de données. Plusieurs millions d’adresses email ainsi que les noms des utilisateurs associés auraient ainsi été dérobés. Ces différentes informations pourraient être utilisées sous peu afin de lancer des campagnes de phishing de grande ampleur...

SpyEye et Zeus continuent d’évoluer. Le code source de Zeus [28] a été publié sur Internet sous la forme d’une archive protégée par mot de passe. De nombreux hackers tentent actuellement de bruteforcer celui-ci pour obtenir le code source. Cette publication engendrera potentiellement l’apparition de nombreuse variante du malware. SpyEye [29] de son côté reprend une fonction de Zeus. Cette version du malware ciblant les smartphones Symbian se voit ajouter une des nombreuses fonctionnalités de son concurrent Zeus permettant d’intercepter les mTANs (Mobile Transaction Authentification Number) envoyés par la banque par SMS. Grâce à cette information, les pirates sont en mesure de réaliser des transactions bancaires.

Une nouvelle campagne de spam pousse les internautes à installer la dernière version de certains logiciels Adobe [30]. Pour cela, et comme pour toute attaque de phishing, les victimes doivent au préalable fournir des informations personnelles...

 Entreprises :
Microsoft a annoncé la date de son prochain "Patch Tuesday" [31]. Mardi 12 avril seront publiés 17 bulletins de sécurité corrigeant pas moins de 64 vulnérabilités. Neuf d’entre eux sont jugés critiques ; contre huit importants. Parmi les logiciels impactés : Microsoft Windows, Microsoft Office, Internet Explorer, Visual Studio, .NET Framework et enfin GDI+.

 XMCO :
XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

Référence

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0501

http://seclists.org/fulldisclosure/2011/Apr/38

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0515

http://samsclass.info/ipv6/proj/flood-router6a.htm

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0503

http://www.spinics.net/linux/lists/bugtraq/msg44386.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0537

http://www.hackersbay.in/2011/04/ie9-exploit-puts-windows-7-sp1-at-risk.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0533

https://www.sec-consult.com/files/20110407-0_libmodplug_stackoverflow.txt

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0505

http://www.zerodayinitiative.com/advisories/ZDI-11-113/

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0508

http://www-01.ibm.com/support/docview.wss?uid=swg27007951

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0516

http://developer.joomla.org/security/news/340-20110401-core-information-disclosure.html

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0517

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02776387

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0520

https://www.isc.org/software/dhcp/advisories/cve-2011-0997

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0523

http://www.kb.cert.org/vuls/id/648244

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0524

http://wordpress.org/news/2011/04/wordpress-3-1-1/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0528

http://www.apache.org/dist/httpcomponents/httpclient/RELEASE_NOTES-4.1.x.txt

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0535

http://www.redmine.org/news/53

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0536

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1492

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0502

http://www.spinics.net/linux/lists/bugtraq/msg44386.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0506

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12212/entry/modules/auxiliary/admin/zend/java_bridge.rb

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0512

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12236/raw/modules/exploits/windows/lotus/domino_icalendar_organizer.rb

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0504

http://www.net-security.org/secworld.php?id=10839

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0513

http://www.theregister.co.uk/2011/04/04/slaac_attack_microsoft_windows/

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0525

http://www.scmagazineus.com/number-of-reported-vulnerabilities-spiked-in-2010/article/199823/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0522

http://googleonlinesecurity.blogspot.com/2011/04/protecting-users-from-malicious.html

[23]
http://googleonlinesecurity.blogspot.com/2011/03/chrome-warns-users-of-out-of-date.html

[24]
http://googleonlinesecurity.blogspot.com/2011/04/improving-ssl-certificate-security.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0499

http://blogs.rsa.com/rivner/anatomy-of-an-attack/

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0509

http://www.kahusecurity.com/2011/robopak-exploit-kit

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0510

http://www.h-online.com/security/news/item/Millions-of-email-addresses-exposed-in-Epsilon-breach-1221307.html

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0521

http://www.net-security.org/malware_news.php?id=1681

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0518

http://www.h-online.com/security/news/item/Attacks-on-German-mTAN-banking-users-1222260.html

[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0519

http://www.net-security.org/secworld.php?id=10854

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0527

http://www.microsoft.com/technet/security/Bulletin/MS11-apr.mspx

[REFERENCE-CVE] :

Référence CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]

Id XMCO Partners : CXA-2011-0584

Lien extranet XMCO Partners : https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0584


Voir les articles précédents

    

Voir les articles suivants