Actu
CERT-XMCO : Avis d’expert, semaine du 28 juin au 4 juillet 2010
juillet 2010 par CERT-XMCO
- Date : 07 Juillet 2010
- Gravité : Moyenne
- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Le CERT-XMCO recommande aux entreprises et aux particuliers d’ajouter des clés de registres pour parer aux attaques Microsoft (faille CVE-2010-1885 connue sous le nom de "Faille du Centre d’Aide et de Support") et Adobe (CVE-2010-1240 connue sous le nom de "/Launch") qui sont virulentes en ce moment. Aucun correctif n’est actuellement efficace contre ces attaques, c’est pourquoi la mise en place d’une solution de contournement basée sur des clés de registre est recommandée.
– Pour pallier à la faille Adobe CVE-2010-1240/APSA10-01, définissez les paramètres suivants : "HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals : bAllowOpenFile=0, bSecureOpenFile=1"
– Pour pallier à la faille Microsoft CVE-2010-1885/KB2219475, supprimez (après un backup), la clé "HKEY_CLASSES_ROOT\HCP". Notez cependant que cette dernière solution altère le fonctionnement du panneau de contrôle et n’est donc pas sans conséquence.
* Résumé des évènements majeurs :
* Vulnérabilité :
Cette semaine, le bulletin de sécurité APSB10-15 [1] a été publié par Adobe. Les nouvelles versions 9.3.3 et 8.2.3 (Acrobat Reader et Adobe Reader) corrigent de nombreuses failles de sécurité, dont la vulnérabilité liée à l’utilisation de Flash dans les fichiers PDF référencée CVE-2010-1297 [2], et qui avait fait l’objet de l’alerte APSA10-01 [3] publiée au début du mois de juin ainsi que la faille "/Launch" référencée CVE-2010-1240 [4].
Malheureusement, la faille liée à la commande "/Launch" n’a pas été intégralement corrigée, puisque des chercheurs ont découvert des méthodes de contournement. L’utilisation de simples guillemets autour de la commande à exécuter (cmd.exe par exemple) rend le correctif inefficace [5]. Le CERT-XMCO recommande donc de mettre en place la solution de contournement proposée il y a quelques mois par Adobe.
De son côté, Microsoft a alerté ses clients sur l’exploitation massive [6] au cours des deux dernières semaines de la faille de sécurité référencée KB2219475 [7](CVE-2010-1885 [8]) présente au sein du centre d’aide et de support. Malgré l’absence de correctif, le CERT-XMCO rappelle à tous les clients de Microsoft qu’il existe une solution de contournement à mettre en place temporairement jusqu’à la publication d’un correctif [9].
* Entreprise/juridique :
Un banquier brésilien inculpé dans plusieurs affaires pourrait être prochainement relaxé [10]. Celui-ci aurait chiffré le contenu de son ordinateur avec le logiciel TrueCrypt. L’absence de texte de loi obligeant les citoyens brésiliens à fournir leur mot de passe a forcé les experts brésiliens, puis ceux du FBI à travailler sur le disque dur pendant près de 12 mois en vain.
Le Cert-IST a publié cette semaine les supports de présentation [11] qui ont eu lieu dans le cadre de son Forum annuel. Le thème de celui-ci était "Incidents de sécurité : Responsabilités et moyens d’actions de l’entreprise".
* Logiciels :
Google a publié cette semaine les premières versions de son navigateur incorporant un lecteur PDF [12]. Après avoir annoncé l’intégration d’un plug-in Flash [13] , et avoir opté pour le blocage des plug-ins vulnérables [14], Google veut faire de son navigateur une référence en matière de sécurité pour les internautes.
Néanmoins, tout n’est pas rose dans l’univers Google. Après avoir découvert l’existence de moyens techniques permettant au moteur de recherche de supprimer certaines applications utilisées sur Androïd, un chercheur à mener une étude sur deux types de messages pouvant être envoyés afin d’installer ou de supprimer une application sur ce type de smartphones [15]. Cette étude démontre l’existence de faille de sécurité dans l’implémentation de ces fonctions, pouvant être exploitée par des pirates afin de compromettre le système d’un smartphone. Dans le pire des cas, un pirate pourrait donc utiliser pour désinstaller une application de tout un parc de mobile équipé d’Androïd, voir transformer ce parc en un nouveau botnet en y installant un malware...
* Cybercriminalité/Attaques :
Enfin, côté cybercriminalité, deux botnets ont fait parler d’eux cette semaine. Kraken est revenu sur le devant de la scène plus d’un an après son démantèlement [16]. Asprox, quant à lui, se voit de plus en plus perfectionné, avec des fonctions avancées de détections et d’exploitation de faille de type "injection SQL" [17]. Comme souvent, ces réseaux de machines zombies servent principalement à envoyer de très nombreux pourriels.
- Référence :
[1] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0823
http://www.adobe.com/support/security/bulletins/apsb10-15.html
[2] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0734
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
[3] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0701
http://www.adobe.com/support/security/advisories/apsa10-01.html
[4] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0387
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240
[5] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0827
http://blog.bkis.com/en/adobe-fix-still-allows-escape-from-pdf/
[6] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0825
http://blogs.technet.com/b/mmpc/archive/2010/06/30/attacks-on-the-windows-help-and-support-center-vulnerability-cve-2010-1885.aspx
[7] http://www.microsoft.com/technet/security/advisory/2219475.mspx
[8] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0733
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885
[9] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0733
http://support.microsoft.com/kb/2219475
[10] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0816
http://www.theregister.co.uk/2010/06/28/brazil_banker_crypto_lock_out/
[11] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0810
http://www.cert-ist.com/fra/ressources/PresseFR/menuevenementscertist/
[12] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0824
http://blog.chromium.org/2010/06/bringing-improved-pdf-support-to-google.html
[13] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0824
http://chrome.blogspot.com/2010/06/adobe-flash-player-support-now-enabled.html
http://blog.chromium.org/2010/03/bringing-improved-support-for-adobe.html
[14] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0824
http://blog.chromium.org/2010/06/improving-plug-in-security.html
http://www.theregister.co.uk/2010/06/30/google_chrome_plug_in_blocker/
[15] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0814
http://jon.oberheide.org/blog/2010/06/28/a-peek-inside-the-gtalkservice-connection/
[16] http://www.xmcopartners.com/veille/dev/index.xmco?nv=CXA-2010-0821
http://www.theregister.co.uk/2010/06/29/kraken_botnet_resurgence/
[17] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0811
http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp
- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0845
