CERT-XMCO : Avis d’expert, semaine du 7 juin au 13 juin 2010
juin 2010 par CERT-XMCO
– Date : 15 Juin 2010
– Gravité : Elevée
– Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Cette semaine, le CERT-XMCO retient 4 évènements majeurs :
– Adobe a corrigé 32 vulnérabilités au sein de Flash Player dont la vulnérabilité critique "0-day" référencée CVE-2010-1297 ;
– Tavis Ormandy, chercheur chez Google, a découvert une vulnérabilité critique au sein de Windows (gestion des URL "hcp ://") et publié un code d’exploitation fonctionnel ;
– La publication de 10 correctifs Microsoft (Excel, Office, Noyau Windows, SharePoint, .NET, IIS, Internet Explorer...) ;
– Le SSTIC 2010 a tenu ses promesses avec des présentations toujours aussi intéressantes.
Le CERT-XMCO recommande vivement de mettre à jour Flash Player afin de parer les exploitations massives menées depuis quelques jours par des groupes de pirates.
* Résumé des évènements majeurs :
– Vulnérabilité :
Plusieurs correctifs critiques ont été publiés cette semaine.
Suite à l’exploitation d’une vulnérabilité critique [1] découverte au sein d’Adobe Reader, Acrobat et Flash Player, Adobe a publié le bulletin APSB10-14 [2]. Le lecteur Flash Player a été mis à jour, mais la vulnérabilité référencée CVE-2010-1297 [3] reste exploitable au sein des visionneuses PDF qui devraient également être mises à jour à la fin du mois de juin. Le CERT-XMCO recommande de rester vigilant lors de l’ouverture de fichiers PDF provenant de sources douteuses et incite les entreprises ainsi que les particuliers à mettre à jour rapidement Flash Player vers la version 10.1.53.64.
Le "Black tuesday" du mois de juin [4] a permis de corriger un grand nombre de vulnérabilités au sein des logiciels Microsoft avec la sortie de 10 correctifs. Le CERT-XMCO conseille d’installer les correctifs MS10-034 [5] (kill-bits), MS10-035 [6] (Internet Explorer) et MS10-033 [7] (Windows Media) qui corrigent des vulnérabilités exploitables principalement sur des postes de travail.
– Conférences :
La conférence annuelle du SSTIC s’est déroulée du 9 au 11 juin dans la bonne humeur. Comme chaque année les conférences concernaient la sécurité de domaines variés (santé, cyberdéfense, hardware, GSM...) et étaient très intéressantes [8]. Un compte rendu de ces conférences sera présent dans le prochain numéro de l’ActuSécu.
– Cybercriminalité/attaques :
Une attaque massive a été menée en fin de semaine à l’encontre des serveurs web IIS/ASP [9]. Plus de 100 000 sites différents ont ainsi été compromis via une attaque d’injection SQL. Les pirates ont ainsi inséré une iframe pointant vers le site "http://ww.robint.us/u.js".
La faille Java "Launch()" corrigée en avril [10] revient sur le devant de la scène. De nombreux applets malicieux exploitant la vulnérabilité référencée CVE-2010-0886 [11] ont été identifiés sur plusieurs sites malveillants.
Les attaques de phishing/spam se sont amplifiées cette semaine. Twitter a été la première cible. Des millions d’emails d’alerte sur des attaques de force brute ont été envoyés à de nombreux utilisateurs de ce site de microblogging afin d’inciter à installer un logiciel de sécurité qui s’avère être un cheval de Troie. Les spammeurs continuent d’inonder nos boîtes aux lettres d’emails contenant des liens vers des sites d’achat de médicaments.
– Entreprise/juridique :
Après la sortie de l’iPad, AT&T a colmaté une brèche ayant permis la fuite de plus de 114 000 adresses emails d’utilisateurs du produit d’Apple [12].
Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
– Référence :
[1] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0701
http://www.adobe.com/support/security/advisories/apsa10-01.html
[2] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0734
http://www.adobe.com/support/security/bulletins/apsb10-14.html
[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
[4] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0693
http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx
[5] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0716
http://www.microsoft.com/france/technet/security/bulletin/ms10-034.mspx
[6] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0719
http://www.microsoft.com/france/technet/security/bulletin/ms10-035.mspx
[7] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0714
http://www.microsoft.com/france/technet/security/bulletin/ms10-033.mspx
[8] http://www.sstic.org/2010/actes/
[9] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0732
http://isc.sans.edu/diary.html?storyid=8935&rss
[10] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0727
http://www.sophos.com/blogs/sophoslabs/?p=9974
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0432
http://archives.neohapsis.com/archives/fulldisclosure/2010-04/0122.html
[11] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886
[12] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0726
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0745