– Date : 21 Juin 2010

– Gravité : Elevée

– Description :

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Cette semaine a été marquée par l’annonce d’une faille de sécurité critique au sein du centre d’aide et de support de Windows et de l’exploit associé. Par ailleurs, les attaques exploitant la faille du lecteur Flash, corrigé récemment, s’intensifient. Le CERT-XMCO recommande d’appliquer rapidement les solutions proposées par Microsoft afin de parer contre les attaques en cours et de mettre à jour le lecteur Flash.

* Résumé des évènements majeurs :

– Vulnérabilité :

Cette semaine, SAP et Apple ont publié des bulletins de sécurité. En utilisant certaines commandes spéciales envoyées au serveur Telnet, un pirate pouvait contourner certaines restrictions de sécurité au sein de la distribution Java embarquée avec les logiciels SAP Enterprise Portal, SAP NetWeaver ou encore SAP Web Application Server [1]. De son côté, Apple a publié des correctifs pour Mac OS X [2] ainsi que pour iTunes [3]. On notera par ailleurs que la version mise à jour par Apple du lecteur Flash reste vulnérable [4].

De son côté, un chercheur travaillant pour Google a publié des détails ainsi qu’un code d’exploitation relatif à une vulnérabilité critique [5] référencée CVE-2010-1885 [6], présente au sein du centre d’aide et de support de Windows XP et Windows Serveur 2003. Cette annonce a soulevé beaucoup de polémique [7] ; entre autres à cause du délai de 5 jours (seulement) laissé à Microsoft pour réagir entre l’annonce privée et l’annonce publique. De nombreux éditeurs [8] et journalistes [9] se sont (probablement injustement [10]) indignés du non-respect du principe de "responsible-disclosure". La faille de sécurité est liée à un manque de validation de certaines entrées par le gestionnaire de protocole "hcp", et permet de compromettre un système Windows. Le code d’exploitation fourni à titre de démonstration a rapidement été repris au sein de framework d’exploitation [11]. Les pirates ont de leur côté lancé des attaques massives de cette faille sur Internet [12]. Le CERT-XMCO recommande donc à tous les utilisateurs la plus grande prudence lors de la visite de site internet peu sûr, ainsi que l’application de la solution de contournement proposée par Microsoft [13].

Par ailleurs, la vulnérabilité référencée CVE-2010-1297 [14], récemment corrigée par Adobe au sein du Flash Player (voir APSB10-14) est en cours d’exploitation par les pirates. L’exploitation de cette faille permet à un pirate de compromettre un système via la simple visite d’une page malveillante par un internaute.

Enfin, une campagne massive de distribution de pourriels tente d’inciter les utilisateurs de Skype à visiter une page Internet malveillante [15]. Celle-ci exploite une faille de sécurité au sein du plug-in "EasyBits Extras Manager" utilisé par Skype. La faille est utilisée afin d’installer des malwares sur le système des utilisateurs crédules. Le CERT-XMCO recommande donc à tous les internautes la plus grande prudence lors de l’ouverture d’emails contenant des liens vers des sites internet.

– Cybercriminalité/Attaques :

Les campagnes de SPAM s’intensifient ces derniers jours. Les pirates utilisent Skype, Facebook, Twitter et les sujets d’actualité (Coupe du Monde) afin de diriger les internautes vers des sites hébergeant des kits d’exploitation de vulnérabilités [16].

Une porte dérobée a été découverte au sein du serveur IRC Open Source UnrealIRCd. Celle-ci aurait été insérée par des pirates au sein de l’archive "Unreal3.2.8.1.tar.gz" [17]. En envoyant des chaines de caractères préfixées de "AB ;", les pirates étaient en mesure d’exécuter des commandes sur le système, sans authentification préalable. Les autres versions n’auraient pas été ciblées.

– Entreprise/juridique :

AT&T a subi les foudres des journalistes. Des données sensibles telles que des adresses de courriel, ou encore des numéros permettant de retrouver facilement l’identifiant unique IMSI de chaque client ont pu être obtenus depuis le site ayant servi à vendre les derniers iPads ainsi que les iPhone 4 [18]. Ces deux erreurs se sont produites coup sur coup, au cours des deux dernières semaines.

Orange, qui proposait un service de sécurisation censé empêcher le téléchargement illégal P2P, a été contraint de le retirer de la vente. Des pirates ont en effet été capables de mener une étude approfondie du logiciel utilisé par les clients [19], ainsi que de l’infrastructure en place. Un serveur central contenant des nombreuses informations personnelles a pu être compromis [20]. Par ailleurs, les nombreuses failles de sécurité existantes au sein du logiciel ont obligé l’opérateur à retirer son service de la vente [21]. En effet, il aurait été simple pour un pirate ayant compromis l’infrastructure du système de le transformer en un botnet...

– Référence :

[1] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0762
http://archives.neohapsis.com/archives/fulldisclosure/2010-06/0371.html
http://service.sap.com/sap/support/notes/1425847

[2] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0751
http://support.apple.com/kb/HT4188

[3] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0760
http://support.apple.com/kb/HT4220

[4] http://blogs.adobe.com/psirt/2010/06/apple_security_update_2010-004.html

[5] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0733
http://seclists.org/fulldisclosure/2010/Jun/205

[6] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885
http://www.microsoft.com/technet/security/advisory/2219475.mspx

[7] http://www.scmagazineus.com/microsoft-confirms-help-center-vulnerability/article/172155/

[8] http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-help-vulnerability-disclosure.aspx

[9] http://www.computerworld.com/s/article/9177948/Google_researcher_gives_Microsoft_5_days_to_fix_XP_zero_day_bug

[10] http://seclists.org/dailydave/2010/q2/58

[11] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0735
http://www.metasploit.com/modules/exploit/windows/browser/ms10_xxx_helpctr_xss_cmd_exec

[12] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0752
http://www.sophos.com/blogs/sophoslabs/?p=10045

[13] http://support.microsoft.com/kb/2219475

[14] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297

[15] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0734
http://www.adobe.com/support/security/bulletins/apsb10-14.html

[16] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0772
http://www.net-security.org/secworld.php?id=9429

[17] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0736
http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt

[18] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0756
http://arstechnica.com/security/news/2010/06/atts-ipad-security-breach-could-be-worse-than-initially-thought.ars

[19] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0754
http://seclists.org/fulldisclosure/2010/Jun/346

[20] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0742
http://bluetouff.com/2010/06/13/orange-vous-securise-ayez-confiance/

[21] http://owni.fr/2010/06/17/orange-nenvisage-pas-un-nouveau-logiciel-anti-p2p/

– Référence CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885

– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0781