CERT-XMCO : Avis d’expert : semaine du 23 au 29 avril
mai 2012 par CERT-XMCO
– Date : 02 Mai 2012
– Criticité : Moyenne
– Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert : A la suite de la publication par un chercheur en sécurité d’une preuve de concept [1] permettant d’exploiter une faille de sécurité au sein de toutes les versions d’Oracle Database depuis la version 8i, le CERT-XMCO recommande la mise en place des solutions de mitigations proposées à l’adresse suivante. La publication de ces informations fait suite à une incompréhension entre le chercheur et l’éditeur...
* Résumé des évènements majeurs :
– Vulnérabilités :
Deux vulnérabilités ont été rendues publiques cette semaine. La première concerne le logiciel SumatraPDF [2]. La seconde concerne l’environnement de développement Visual Studio [3].
– Correctifs :
Plusieurs correctifs ont été publiés. Ceux-ci concernent PHP [4], HP NonStop Server [5], VMware ESX [6], Linux/Samba [7], IBM Rational AppScan et IBM Rational PolicyTester [8], Mozilla Firefox, Thunderbird et SeaMonkey [9], HP-UX [10] (Samba), OpenSSL [11], Asterisk [12], SPIP [13] et enfin IBM Tivoli Directory Server [14].
– Exploit :
Plusieurs codes d’exploitations ont été divulgués cette semaine permettant de prendre le contrôle d’un système Windows via l’exploitation d’une faille au sein de Microsoft Office [15] (MS12-027), ainsi que de contourner certaines restrictions de sécurité au sein du serveur GlassFish [16].
Par ailleurs, à la suite d’une incompréhension entre Oracle et le chercheur Joxean Koret, le chercheur a publié des informations sensibles [1] concernant une faille présente au sein de l’ensemble des versions d’Oracle Database depuis la version 8i. Parmi les informations publiées figure une preuve de concept permettant d’exploiter la faille de sécurité critique sous certaines conditions. Aucun correctif n’étant disponible pour cette faille, le CERT-XMCO recommande la mise en place de solution de remédiation proposée par le chercheur.
– Conférence / Recherche :
Google [17] augmente le montant des récompenses attribuées aux chercheurs.
Selon une récente étude [18], 90 % des sites les plus fréquentés au monde seraient vulnérables à des attaques sur SSL.
Après avoir interdit l’exécution des plug-ins non protégés par ASLR (Firefox 13) [19] ; après avoir demandé aux internautes de valider l’exécution des plug-ins tiers (Firefox 14) [20] ; après avoir placé sur liste noire les versions vulnérables de Java [21] ; et après avoir mis en place un nouveau mécanisme de mise à jour entièrement automatique [22] (Firefox 12, 13 et 14), Mozilla vient d’annoncer une nouvelle mesure visant à améliorer la sécurité des internautes sur Internet : la suppression des favicons [23], régulièrement utilisées pour tromper les internautes.
L’AFNOR [24] a annoncé la mise en place d’un groupe de travail chargé de réfléchir à la prévention des fuites de données sensibles. Actuellement, le projet n’en est qu’à l’étude de faisabilité. Le groupe de travail proprement dit ne devrait être lancé lui qu’entre juin et septembre prochain, et le référentiel n’est attendu que d’ici 10 à 12 mois.
Selon une étude [25] menée par la société Imperva, les pirates utilisent de plus en plus d’outils automatiques.
– Cybercriminalité / Attaques :
D’après une étude [26] publiée par la société Bit9, les entreprises craignent les attaques des hacktivistes tels que les Anonymous. Malheureusement, l’étude montre que ce risque majeur, comme l’a démontrée l’année 2011, n’est pas pris en compte au travers des projets sécurité des entreprises.
FlashBack [27] continue de réserver des surprises aux utilisateurs de Mac OS X. Contrairement à ce qui avait été annoncé la semaine précédente, le nombre de systèmes compromis n’est pas en diminution, mais reste quasiment inchangé avec près de 560 00 systèmes compromis. Dans le même temps, une nouvelle variante de malware a fait son apparition.
Après la révélation d’une faille de sécurité sur une télévision Samsung [35], le grand public découvre que les équipements électroménagers pourraient bientôt être la cible des pirates.
– Entreprise :
Selon l’étude annuelle "2012 Information Security Breaches Survey" [28] du cabinet PricewaterhouseCoopers, les entreprises anglaises sont de plus en plus visées par des tentatives de piratage.
Après Symantec, VMware [29] est victime d’un pirate qui a publié le code source de l’un de ses logiciels.
– Internationnal :
Le Group-IB a publié un rapport sur le monde de la cybercriminalité russe [30]. Le chiffre d’affaires généré par le monde russe de la cybercriminalité a doublé ; les principales activités restent la fraude en ligne et le spam ; enfin, la Mafia organise et structure le cybercrime en Russie.
– Juridique :
L’Union européenne [31] se mobilise contre la censure, et réfléchit au problème du commerce, par les entreprises européennes, de solutions techniques pouvant être utilisées à des fins de censure.
Les erreurs de procédures s’accumulent dans le cadre du procès MegaUpload [32] et la dernière en date pourrait sonner le glas de la liberté pour le fondateur de Megaupload, Kim Dotcom. Même le juge américain chargé officiellement de l’affaire n’y croit plus.
Les autorités anglaises ont procédé à la fermeture de 36 sites de carding [33]. Bien que des dizaines d’autres sites aux activités similaires continuent d’exister sur la Toile, c’est la première fois que le monde du carding est attaqué avec une telle envergure par les autorités.
– Vie Privée :
Microsoft a corrigé une vulnérabilité de type 0day au sein d’Hotmail [34]. Cette dernière aurait été exploitée par des pirates afin d’accéder aux boites aux lettres des internautes.
XMCO a publié le numéro 31 de l’ActuSécu, intitulé "R2D2, Cybercriminalité et pharmacies fictives". Au sommaire : R2D2 - présentation et utilisation du Cheval de Troie allemand, Cybercriminalité - la vente de médicaments sur Internet, les résumés des conférences GSDays, Blackhat Amsterdam et JSSI, l’actualité du moment - analyses des vulnérabilités JAVA (CVE-2012-0500 et CVE-2012-0507), MS12-020, /proc/
http://www.xmco.fr/actusecu.html
XMCO a récemment publié un nouvel article sur son blog :
* Kits de carding et de hacking : la Russie livre à domicile
http://blog.xmco.fr/index.php?post/2012/04/23/Kits-de-carding-et-de-hacking-%3A-la-Russie-livre-à-domicile
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
– Référence :
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0724
http://isc.sans.org/diary/Critical+Unpatched+Oracle+Vulnerability/13069
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0691
http://didasec.wordpress.com/2012/04/23/sumatrapdf-v2-0-1-chm-and-mobi-files-memory-corruption/
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0703
http://waleedassar.blogspot.fr/2012/04/microsoft-incremental-linker-integer.html
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0723
http://www.php.net/archive/2012.php#id2012-04-26-1
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0721
http://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c03289980
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0717
http://www.vmware.com/security/advisories/VMSA-2012-0008.html
[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0707
http://www.securityfocus.com/archive/1/522487/30/0/threaded
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0702
http://www-01.ibm.com/support/docview.wss?uid=swg21592188
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0698
http://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox12
http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html#thunderbird12
http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.9
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0690
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03297338
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0689
http://www.openssl.org/news/secadv_20120424.txt
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0687
http://downloads.asterisk.org/pub/security/AST-2012-004.html
http://downloads.asterisk.org/pub/security/AST-2012-005.html
http://downloads.asterisk.org/pub/security/AST-2012-006.html
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0685
http://archives.rezo.net/archives/spip.mbox/J5US6ZZVZ6WTD3XVT64TFHI2B6OV6YYZ/
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0683
http://www-01.ibm.com/support/docview.wss?uid=swg24032501
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0697
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0681
http://www.exploit-db.com/exploits/18766/
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0688
http://googleonlinesecurity.blogspot.fr/2012/04/spurring-more-vulnerability-research.html
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0722
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0347
http://blog.kylehuey.com/post/18120485831/address-space-layout-randomization-now-mandatory-for
[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0628
http://threatpost.com/en_us/blogs/mozilla-weighing-opt-requirement-web-plugins-041212
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0662
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0700
[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0705
http://firefoxnightly.tumblr.com/post/21651838676/the-identity-button-has-been-redesigned
[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0701
[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0709
http://www.theregister.co.uk/2012/04/24/crackers_tools/
[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0692
http://www.informationweek.com/news/security/attacks/232900691
[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0693
[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0720
[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0699
http://blogs.vmware.com/security/2012/04/vmware-security-note.html
[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0695
[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0682
[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0694
[33]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0706
http://www.theinquirer.net/inquirer/news/2170672/soca-shuts-credit-card-trading-web-sites
[34]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0708
http://news.hitb.org/content/0day-remote-password-reset-vulnerability-msn-hotmail-patched
[35]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0704
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0735