Actu
CERT-XMCO : Avis d’expert, semaine du 26 avril au 2 mai 2010
mai 2010 par CERT-XMCO
- Date : 03 Mai 2010
- Gravité : Moyenne
- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Cette semaine, aucune nouvelle vulnérabilité critique n’a été publiée. Le CERT-XMCO retient cependant trois évènements principaux.
Microsoft a publié une seconde version du correctif MS10-025 qui corrige une vulnérabilité de Windows Media Unicast Service sur Windows 2000 SP4. Parallèlement, une vulnérabilité de "Cross Site Scripting" a été identifiée au sein de SharePoint.
Enfin, une campagne de distribution de pourriels de grande envergure distribue un PDF malicieux tirant parti de la faille "/Launch". Le CERT-XMCO recommande aux utilisateurs de rester vigilants et de ne pas ouvrir les pièces jointes en provenance de sources douteuses.
* Résumé des évènements majeurs :
Microsoft a mis à jour le correctif MS10-025 pour les systèmes Windows 2000 SP4 uniquement. En effet, lors de sa première publication, le correctif n’était pas efficace. Microsoft avait donc décidé de le retirer afin de le mettre à jour. Même si le composant vulnérable n’est pas installé par défaut, nous attirons votre attention sur le fait qu’un code d’exploitation a été rendu public. Il est donc nécessaire d’installer le correctif si le service Windows Media Unicast est utilisé.
Après un an et demi d’accalmie, un nouveau malware semblable à ceux de la famille Storm vient d’être identifié sur Internet. Cette nouvelle mouture serait moins virulente. Cependant, nous vous rappelons qu’en son temps, le botnet "Storm Worm" était responsable de près de 20% de l’émission des pourriels et était constitué de plus d’un million de machines infectées.
De son côté, le botnet Zeus continue d’évoluer. Les dernières versions du malware exploitent la récente vulnérabilité "/Launch" du lecteur PDF d’Adobe et de Foxit. De plus, de nouvelles fonctionnalités ont été mises en oeuvre pour complexifier la détection du malware telles que la génération de noms de fichiers aléatoires et l’infection de nouveaux processus système.
Parallèlement, une campagne de distribution massive de spam exploite également la faille "/Launch". Un mail provenant d’une adresse du type "operator@MON_ENTREPRISE.com" ou encore "alert@MON_ENTREPRISE.com" est envoyé afin de prévenir les victimes d’un changement de configuration des paramètres de messagerie (POP et SMTP). L’ouverture de la pièce jointe "doc.pdf" incluse au sein de cet email et la validation de la boite de dialogue affichée permet de compromettre un système Windows.
Enfin, un pirate russe aurait mis la main sur plus de 1,5 million de comptes Facebook et aurait procédé à leur vente au détail sur Internet.
- Référence :
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0515
http://www.microsoft.com/france/technet/security/Bulletin/MS10-025.mspx
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0524
http://www.microsoft.com/france/technet/security/advisory/983438.mspx
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0523
http://blogs.iss.net/archive/maliciouspdfspam.html
http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0520
https://www.honeynet.org/node/539
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0513
- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0817
- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0530
Suivez le CERT-XMCO sur Twitter : http://twitter.com/certxmco
