Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert : semaine du 28 mai au 3 juin

juin 2012 par CERT-XMCO

 Date : 06 Juin 2012

 Criticité : Moyenne

 Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :
Le CERT-XMCO recommande aux internautes la plus grande vigilance lors de l’ouverture des courriels leur étant envoyés [1]. En effet, plusieurs annonces sont venues confirmer une tendance observée depuis plusieurs mois. Selon différents chercheurs, les pirates mettent de plus en plus de soins dans la réalisation de leurs attaques de phishing, ainsi que dans leurs spams et leurs scams.

* Résumé des évènements majeurs :

 Vulnérabilités :

Une vulnérabilité a été rendue publique cette semaine au sein de PostgreSQL [2]. Son exploitation permet à un pirate de contourner certaines restrictions de sécurité en menant une attaque de force brute.

 Correctifs :

Plusieurs correctifs ont été publiés. Ceux-ci concernent IBM WebSphere Application Server [3], les distributions Java d’IBM [4] et pour HP-UX [5], HP LoadRunner [6], FreeBSD [7], Cisco IOS XR [8], Horde Groupware [9], Asterisk [10] (AST-2012-007, AST-2012-008), et enfin VMware vSphere Management Assistant [11] (VMSA-2012-0010). L’exploitation de ces différentes failles de sécurité permettait à un pirate de provoquer différents dommages pouvant aller jusqu’à la compromission d’un système à distance.

 Exploit :

Un code d’exploitation a été divulgué cette semaine. Celui-ci permet d’exploiter une faille de type LFI au sein de Symantec Web Gateway [12] afin de prendre le contrôle d’un système à distance.

 Conférence / Recherche :

Un article publié par le journaliste David E. Sanger dans le New York Times [13] confirme le rôle majeur des États-Unis dans la cyber-attaque Stuxnet fortement médiatisée au cours de l’été 2010.

Une équipe de chercheur a réussi à développer un script permettant de casser reCAPTCHA [14], le célèbre système de captcha de Google. L’attaque menée permet de contourner la protection apportée par reCAPTCHA avec un taux de réussite de plus de 99 %. L’équipe a présenté les résultats de ses recherches à la conférence de sécurité LayerOne à Los Angeles. Ils ont néanmoins été frustrés lors de leur démonstration, et pour cause, Google a apporté des améliorations à leur système une heure avant la présentation, rendant l’attaque inefficace.

Un chercheur de l’Université de Cambridge a récemment analysé une puce régulièrement utilisée par les militaires américains et fabriquée en Chine [15]. En scannant l’interface JTAG de la puce de type FPGA (Field Programmable Gate Array), qui sert normalement à la programmer et à la déboguer, le chercheur a découvert une porte dérobée insérée par le fabricant et inconnue jusqu’alors.

Les équipements du géant américain des télécoms AT&T, ainsi que ceux appartenant à 47 autres opérateurs de téléphonie mobile, ont été identifiés comme étant vulnérables aux vols de sessions TCP [16]. Des chercheurs de l’université du Michigan ont mis au point une attaque permettant de voler les sessions TCP de certaines communications mobiles et d’injecter arbitrairement du trafic entre un utilisateur et un site web légitime. La sévérité de cette annonce est relative, puisque concrètement, cette vulnérabilité ne concerne que le trafic de données en clair, et non la voix ou les données chiffrées.

 Cybercriminalité / Attaques :

Les cyber-armes utilisées sur Internet semblent être de plus en plus souvent découvertes et dévoilées au grand jour. Après Stuxnet, puis Duqu, un nouveau malware baptisé "Flame" [17] vient d’être découvert par plusieurs entités internationales spécialisées dans le domaine de la sécurité des systèmes d’informations. En effet, les chercheurs du laboratoire CrySyS (Laboratory of Cryptography and System Security) de l’université de Budapest, quasiment en même temps que ceux de l’éditeur de solutions antivirales Kaspersky viennent de publier les premiers résultats de l’étude de ce malware qui semble, à première vue, principalement cibler les pays du Moyen-Orient. Étrangement, tout comme Stuxnet et Duqu, Flame semble particulièrement cibler l’Iran. Mais de nombreux autres pays semblent aussi être ciblés par les auteurs du malware. Kaspersky a ainsi été en mesure de trouver des traces du malware en Israël, en Palestine, au Soudan, en Syrie, au Liban, en Arabie Saoudite, et en Égypte. De leur côté, les chercheurs de CrySyS ont découvert des traces d’infection en Hongrie. Flame serait un malware de la catégorie des "information stealer".

Les Jeux Olympiques de Londres approchant, des chercheurs ont annoncé avoir découvert une nouvelle campagne d’envoi massif de pourriels [18] utilisant pour thème les Jeux olympiques de Londres. Les pourriels envoyés par les pirates contiennent en pièce jointe un document PDF spécialement conçu pour exploiter la faille de sécurité référencée CVE-2010-2883 affectant Adobe Reader.

Le nombre d’attaques de phishing rapporté à l’APWG a considérablement augmenté ces derniers temps [1]. Les pirates semblent mettre de plus en plus d’effort dans la conception d’arnaques crédibles afin de tromper les utilisateurs. En effet, ces derniers sont de plus en plus conscients des risques existants. Les phisheurs et les scammeurs utilisent de plus en plus régulièrement des domaines compromis afin d’héberger leur page de phishing pour masquer leurs intentions. De même, il y aurait également une augmentation de 16 % des attaques de phishing reposant sur l’utilisation d’un nom de domaine usurpé.

 Entreprise :

Microsoft a annoncé l’intégration du Flash Player au sein d’Internet Explorer [19]. Microsoft n’est pas le seul à prendre cette voix, puisque le géant de Redmond emboite le pas à Google qui avait choisi cette option il y a quelques années.

 Juridique :

La loi Godfrain [20], en vigueur depuis 1988, a été modifiée pour la première fois par le législateur afin de sanctionner plus lourdement les attaques visant les systèmes informatiques de l’État. Le législateur a ajouté au texte de loi sanctionnant les "atteintes aux systèmes de traitement automatisé de données", la notion de données personnelles, qui dénature totalement la portée du texte.

 Vie Privée :

La "cookie law" [21], une nouvelle loi relative à la protection de la vie privée des internautes est entrée en vigueur le week-end dernier au Royaume-Uni. Ce nouveau texte est basé sur une directive européenne concernant la protection de la vie privée en ligne, dont elle est une transcription.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

 Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0916

http://www.net-security.org/secworld.php?id=12997

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0944

http://www.postgresql.org/about/news/1398/

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0932

http://www-304.ibm.com/support/docview.wss?uid=swg21595172

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0911

http://www.ibm.com/developerworks/java/jdk/alerts/

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0927

https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03350339

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0928

https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03216705

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0921

http://security.freebsd.org/advisories/FreeBSD-SA-12:02.crypt.asc

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0913

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120530-iosxr

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0912

http://lists.horde.org/archives/announce/2012/000772.html

http://lists.horde.org/archives/announce/2012/000773.html

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0909

http://downloads.asterisk.org/pub/security/AST-2012-007.pdf

http://downloads.asterisk.org/pub/security/AST-2012-008.pdf

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0905

http://www.vmware.com/security/advisories/VMSA-2012-0010.html

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0906

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/http/symantec_web_gateway_lfi.rb

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0934

http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0915

http://www.h-online.com/security/news/item/Google-s-reCAPTCHA-briefly-cracked-1586689.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0908

https://www.cl.cam.ac.uk/~sps32/sec_news.html#Assurance

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0933

http://arstechnica.com/security/2012/05/smartphone-hijacking-on-att-47-other-carriers/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0907

http://www.crysys.hu/skywiper-statement.html

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0914

http://www.f-secure.com/weblog/archives/00002370.html

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0929

http://arstechnica.com/information-technology/2012/05/windows-8-will-integrate-include-adobe-flash/

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0917

http://www.donneespersonnelles.fr/du-plomb-dans-la-loi-godfrain

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0910

http://www.bbc.co.uk/news/technology-18206810#

 Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0959


Voir les articles précédents

    

Voir les articles suivants