Rechercher Contactez-nous

Suivez-nous sur Twitter

Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Avis d’expert : semaine du 27 septembre au 3 octobre

octobre 2010 par CERT-XMCO

– Date : 07 Octobre 2010

– Gravité : Moyenne

– Description :

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Cette semaine, le CERT-XMCO porte de nouveau votre attention sur le malware Stuxnet qui continue d’infecter un grand nombre d’entreprises.
Pour rappel, le virus a été développé pour infecter, voire saboter, les systèmes supervisés par des centres de contrôle SCADA équipés des systèmes Siemens S7-400 PLC et SIMATIC WinCC.
L’exploitation de quatre vulnérabilités 0day Windows, dont deux ont été corrigées par Microsoft, ainsi que de nombreux autres détails techniques prouvent que ce malware a été développé par des professionnels.

* Résumé des évènements majeurs :
– Virus :
Plusieurs études approfondies du malware Stuxnet ont été publiées par Symantec [1] et Esset [2]. Le fonctionnement de ce malware y est analysé de manière très précise.

– Vulnérabilités :
Une étude [3] publiée par un éditeur de solution antivirale montre que l’autorun serait la faille de sécurité du moment. En effet, la majorité des infections relevées sur les postes de travail serait due à des virus exploitant ce mécanisme...

– Exploits :
Dans le cadre du projet MOAUB [4] (Month Of Abyssec Undisclosed Bugs), Abyssec a continué à publier cette semaine ses dernières preuves de concept. Parmi les logiciels ciblés : Internet Explorer (MOAUB #27 [5]), Excel (MOAUB #29 [6] / MS10-038 [7]) et enfin le processeur de script Unicode de Windows (MOAUB #30 [8] / MS10-063 [9]). Le CERT-XMCO recommande l’installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.

– Correctifs :
Microsoft a publié cette semaine le bulletin MS10-070 [10] corrigeant la faille de sécurité découverte au sein de l’implémentation ASP.Net de l’algorithme de chiffrement AES. L’exploitation de la vulnérabilité permettait à un pirate d’accéder à des informations sensibles, voire de contourner certaines restrictions de sécurité. Néanmoins, Microsoft a introduit dans ce correctif une option de configuration permettant aux utilisateurs de conserver le comportement vulnérable du framework ASP.Net...

Red Hat a annoncé [11] la fin du support de la version 3 de sa solution RHEL. L’éditeur recommande de migrer vers RHEL 5.

Adobe a annoncé cette semaine la publication le 5 octobre d’un correctif (APSB10-021 [12]) correspondant à l’alerte APSA10-02 [13] publiée il y a quelques semaines. Pour rappel, l’exploitation de la faille de sécurité référencée CVE-2010-2883 [14] avait été observée sur internet...

– Cybercriminalité / Attaques :
ZeuS a fait parler de lui cette semaine. Zitm (Zeus In The Mobile) [15], une version mobile du malware aurait fait son apparition sur Internet. Celle-ci serait spécialisée dans le vol de "mTAN" (Mobile Transaction Authentication Number) utilisé par les banques dans le cadre d’une authentification forte permettant d’accéder à leurs services en ligne.

Par ailleurs, alors qu’un chercheur de Google avait découvert une faille de sécurité dans l’application en ligne utilisée par les serveurs C&C du botnet Zeus, un correctif [16] a été publié dans les trois jours suivants. Les cybercriminels semblent donc être beaucoup plus réactifs que les éditeurs de solutions logicielles...

Enfin, des arrestations [17] ont eu lieu au Royaume-Uni. Celles-ci ciblaient plusieurs personnes en charge d’un botnet anglais permettant aux cyberpirates de voler et de blanchir de l’argent. Pas moins de 10 millions de dollars issus d’environ 600 comptes bancaires différents auraient ainsi été dérobés dans les trois derniers mois par les malfrats...

Un Vénézuélien a été condamné [18] à 10 ans de prison aux États-Unis pour avoir piraté des réseaux VoIP. Le criminel a ainsi vendu 10 millions de minutes de communication sur Internet en utilisant des serveurs VoIP piratés appartenant à de grands opérateurs tels qu’AT&T.

En France, un réseau [19] de trafic de codes de "désimlockage" des téléphones portables a été démantelé. Celui-ci opérait depuis une dizaine d’années. Des personnes travaillant directement chez les opérateurs revendaient simplement les codes auxquels ils avaient accès à d’autres complices pour 3 euros. Ces codes étaient ensuite revendus jusqu’à 30 euros à des particuliers par le biais de boutiques peu scrupuleuses. Un des criminels est soupçonné d’avoir gagné jusqu’à 25 000 euros par mois avec cette combine...

– Conférence / Recherche :
Des chercheurs ont publié une étude [20] sur l’utilisation des données personnelles par les applications Androïd. Les résultats sont plutôt alarmants puisque deux applications sur trois auraient un comportement suspect. Les chercheurs regrettent néanmoins de ne pas être en mesure de réaliser une telle étude sur les autres plateformes mobiles (iPhone et BlackBerry) qui ne sont pas "ouvertes" comme l’est Androïd.

Un éditeur de solution antivirale a publié une étude [21] présentant de nouveaux botnets. Les serveurs utilisés par le réseau social Twitter semblent être de plus en plus fréquemment utilisés comme serveur de C&C...

Alors que la clef maitre [22] utilisée pour protéger l’écosystème Blu-Ray avait été publiée sur Internet la semaine précédente, des chercheurs ont publié cette semaine une implémentation de l’algorithme de chiffrement HDCP [23].

– Entreprises :
Le DSI du gouvernement américain a pour la première fois évoqué le sujet IPv6 [24] en demandant aux agences gouvernementales et fédérales de rendre dans les deux ans à venir l’intégralité de leurs services accessible au public en IPv6. La migration vers le nouveau protocole bénéficiera de deux années supplémentaires pour les réseaux internes de ces agences.

– Internationnal :
Dans un autre domaine, les USA réalisaient cette semaine une simulation (CyberStorm 3 [25]) permettant de valider les bonnes pratiques utilisées par l’ensemble des intervenants nationaux dans le cadre d’une cyberattaque. Douze intervenants internationaux parmi lesquels figurait la France aidaient les USA dans la réalisation de ce test grandeur nature.

Enfin, l’Administration Obama a émis un souhait relatif aux nouveaux moyens de communication dans le cybermonde. Celle-ci envisagerait de proposer un texte de loi [26] imposant aux entreprises de mettre en place une porte dérobée dans leurs solutions afin que le gouvernement américain soit en mesure d’accéder à l’ensemble des échanges réalisés de manière discrète. De nombreuses solutions seraient impactées par une telle loi, à commencer par l’offre BlackBerry du Canadien RIM...

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :

http://twitter.com/certxmco

– Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1306

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[2]
http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1299

http://www.net-security.org/malware_news.php?id=1479

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1109

http://www.exploit-db.com/moaub-0days-binary-analysis-exploit-pocs/

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1278

http://www.exploit-db.com/moaub-27-microsoft-internet-explorer-mshtml-findtext-processing-issue/