Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert : semaines du 13 au 26 février

février 2012 par CERT-XMCO

 Date : 29 Fevrier 2012

 Criticité : Elevée

 Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert : À la suite de la publication de différents codes [1] d’exploitation [2], le CERT-XMCO recommande l’installation de la dernière version de Java [3] (Java 6 Update 31 / javacpufeb2012).

Par ailleurs, Microsoft ayant publié différents correctifs dans le cadre du "Patch Tuesday" [4] du mois de février, le CERT-XMCO recommande l’installation en priorité des correctifs MS12-010 [5] (IE) et MS12-013 [6] (Windows), ainsi que MS12-008 [7] (Windows) et MS12-016 [8] (.Net/SilverLight).

Enfin, le CERT-XMCO recommande l’installation de la dernière version de Flash [9] publiée par Adobe.

* Résumé des évènements majeurs :
 Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques au cours des deux dernières semaines. Parmi les logiciels concernés figurent Symantec pcAnywhere [10], plusieurs modelés de routeur D-Link [11] (DAP-1150 et DSL-2640B) et Linksys [12] (WAG54GS), Novell Messenger Client [13] et enfin l’OS pour smartphone Apple iOS [14] 5.0.1.

 Correctifs :

Dans le cadre de son "Patch Tuesday" [4] du mois de février, Microsoft a publié des correctifs pour Windows (MS12-008 [7], MS12-009 [16], MS12-012 [15], MS12-013 [6]), Internet Explorer (MS12-010 [5]), SharePoint (MS12-011 [17]), Windows Media (MS12-014 [18]), Visio Viewer 2010 (MS12-015 [19]) et enfin SilverLight et .Net (MS12-016 [8]). L’exploitation de ces différentes failles de sécurité permettait à un pirate d’élever localement ses privilèges, voire de prendre le contrôle complet du système à distance.
Le CERT-XMCO recommande l’installation en priorité des correctifs MS12-010 [5] (IE) et MS12-013 [6] (Windows), ainsi que MS12-008 [7] (Windows) et MS12-016 [8] (.Net/SilverLight).

Dans le même temps, Adobe a publié des correctifs pour Shockwave [20] (APSB12-02), Flash [9] (APSB12-03) et Adobe RoboHelp [21] (APSB12-04), et Oracle viens de publier une nouvelle version de sa machine virtuelle Java [3] (Java 6 Update 31 / javacpufeb2012). Le CERT-XMCO recommande en priorité l’installation de la dernière version du Flash Player et de Java, dont les failles peuvent être exploitées afin de prendre le contrôle d’un système à distance.

Enfin, plusieurs autres correctifs ont été publiés. Ceux-ci concernent les logiciels Mozilla Firefox, Thunderbird et SeaMonkey [22], Google Chrome [23], Cisco Small Business SRP 500 [24], Cisco IronPort Encryption Appliance [25], Cisco Nexus [26], IBM WebSphere Lonbardi [27], WebSphere DataPower [28] et IBM Rational License Key Server et d’IBM Telelogic License Server [29], SAP NetWeaver [30], SAP AG Netweaver [31], Puppet [32], Samba [33], Bugzilla [34], BlackBerry Tablet OS [35], Apache HTTP [36], PhpMyAdmin [37] (PMASA-2012-1), Citrix XenServer [38], Zimbra Collaboration Suite [39], et enfin Horde [40].

 Exploit :
Plusieurs preuves de concept ont été divulguées cette semaine pour Horde [41], Trend Micro Control Manager [42] et enfin pour Java [1]. Pour Java [2], ces deux codes d’exploitation ciblent des vulnérabilités corrigées dans la dernière version publiée (Java 6 Update 31 / javacpufeb2012), ainsi que dans la version Java 6 Update 19 (1.6.0_19 ou 6u19 / javacpumar2010).

 Conférence / Recherche :
D’après les informations publiées par une équipe de chercheurs de l’EPFL, des problèmes dans la génération des clefs de chiffrement [43] rendraient de nombreux serveurs vulnérables à différentes attaques sur Internet.

La nouvelle version de ZeuS [44] ne nécessiterait plus de serveurs de C&C. En effet, les auteurs du malware auraient ajouté un mécanisme de P2P permettant au malware de se passer tout simplement de serveur de contrôle pour fonctionner, chacun des systèmes compromis jouant le rôle d’un tel serveur pour ses "voisins".

 Cybercriminalité / Attaques :

Les développeurs du projet Horde ont découvert une porte dérobée [45] au sein de leur outil à la suite du piratage de l’un de leurs serveurs. Celle-ci a rapidement été identifiée et supprimée. Une preuve de concept [41] permettant de l’exploiter a été publiée. Le CERT-XMCO recommande donc l’installation de la dernière version du logiciel.

Bien que souvent ignorés ou non médiatisés, les cas avérés de fraudes téléphoniques [46] sont toujours aussi nombreux.

Des chercheurs ont observé une des premières attaques de déni de service distribuées sur le réseau IPv6 [47]. Le nombre de systèmes connectés en IPv6 est donc maintenant suffisamment important pour que les pirates s’y intéressent, et qu’ils soient en mesure de mener ce type d’attaques.

Il semblerait que le botnet Cutwail [48], dont l’activité avait été fortement réduite ces derniers temps, soit de nouveau actif. À plusieurs reprises, les chercheurs auraient constaté une forte augmentation de l’activité du botnet en terme de nombre de pourriels envoyés.

 Entreprise :
Mozilla [49] prend des mesures à l’encontre des autorités de certification ayant émis des certificats d’autorités subordonnées. La Fondation demande entre autres à ce que les certificats de ce type dont l’usage n’est pas clairement maitrisé par les autorités émettrices soient révoqués rapidement.

Symantec [50] a publié une enquête sur l’utilisation des technologies mobiles en entreprise en 2012. La société observe en effet la montée en puissance de l’utilisation des technologies mobiles, ainsi que la prise de conscience des intervenants quant à la complexité de ce sujet en terme de sécurité.

Nortel [51] serait probablement victime de pirates chinois présents au sein de son SI depuis près de 10 ans. D’après un ancien employé, il semblerait que la société n’ai pas cherché à réagir à ces attaques, ni à mettre en place de solution lui permettant de se protéger efficacement.

 Internationnal :
Le démantèlement de DNSChanger [52] pourrait aboutir en une coupure de l’accès à Internet des nombreux systèmes toujours infectés.

 Juridique :
Selon une étude publiée par le cabinet "Javelin Strategy & Research", la fraude à l’identité [53] serait en forte augmentation aux États-Unis.

 Vie Privée :
Google [54] aurait été pris la main dans le sac pour avoir mis en place différentes solutions de contournement lui permettant de forcer certains navigateurs tels que Safari ou Internet Explorer à accepter certains cookies lui permettant de pister les internautes, alors même que ceux-ci pensaient avoir configuré leur navigateur de façon à interdire ce type de mécanisme.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

 Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0262

https://github.com/rapid7/metasploit-framework/blob/3c3be4c809431c804674ba106f4ef551459851f8/modules/exploits/windows/browser/java_mixer_sequencer.rb

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0288

https://github.com/rapid7/metasploit-framework/blob/e262d7a7ffc9331135300cf2ff1e678a7312ed58/modules/exploits/windows/browser/java_ws_vmargs.rb

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0236

http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0213

http://blogs.technet.com/b/msrc/archive/2012/02/09/ans-for-february-2012-and-some-notes-on-sdl.aspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0230

http://technet.microsoft.com/en-us/security/bulletin/ms12-010

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0233

http://technet.microsoft.com/en-us/security/bulletin/ms12-013

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0228

http://technet.microsoft.com/en-us/security/bulletin/ms12-008

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0237

http://technet.microsoft.com/en-us/security/bulletin/ms12-016

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0246

http://www.adobe.com/support/security/bulletins/apsb12-03.html

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0269

http://www.exploit-db.com/exploits/18493/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0224

http://websecurity.com.ua/5561/

http://websecurity.com.ua/5567/

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0278

http://ivanobinetti.blogspot.com/2012/02/d-link-dsl-2640b-authentication-bypass.html

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0271

http://ivanobinetti.blogspot.com/2012/02/cisco-linksys-wag54gs-adsl-router.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0272

http://aluigi.altervista.org/adv/nim_1-adv.txt

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0275

http://www.macbidouille.com/news/2012/02/21/faille-de-securite-dans-ios-5-0-1

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0232

http://technet.microsoft.com/en-us/security/bulletin/MS12-012

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0229

http://technet.microsoft.com/en-us/security/bulletin/ms12-009

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0231

http://technet.microsoft.com/en-us/security/bulletin/ms12-011

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0234

http://technet.microsoft.com/en-us/security/bulletin/ms12-014

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0235

http://technet.microsoft.com/en-us/security/bulletin/ms12-015

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0226

http://www.adobe.com/support/security/bulletins/apsb12-02.html

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0227

http://www.adobe.com/support/security/bulletins/apsb12-04.html

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0260

https://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox10.0.2

https://www.mozilla.org/security/known-vulnerabilities/thunderbird.html#thunderbird10.0.2

https://www.mozilla.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.7.2

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0244

http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0287

http://www.cisco.com/en/US/products/csa/cisco-sa-20120223-srp500.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0258

http://tools.cisco.com/security/center/viewAlert.x?alertId=25045

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0245

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120215-nxos

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0267

http://www-01.ibm.com/support/docview.wss?uid=swg1IC79890

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0259

http://www.ibm.com/support/docview.wss?uid=swg21578730

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0239

http://www.ibm.com/support/docview.wss?uid=swg21579415

[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0268

http://dsecrg.com/pages/vul/show.php?id=412

http://dsecrg.com/pages/vul/show.php?id=413

http://dsecrg.com/pages/vul/show.php?id=414

http://dsecrg.com/pages/vul/show.php?id=415

http://dsecrg.com/pages/vul/show.php?id=416

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0263

http://packetstormsecurity.org/files/109919/sapagnetweaver-overflow.txt

[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0296

http://puppetlabs.com/security/cve/CVE-2012-1053/

http://puppetlabs.com/security/cve/CVE-2012-1054/

[33]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0295

http://www.samba.org/samba/security/CVE-2012-0870

[34]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0282

http://www.bugzilla.org/security/4.0.4/

[35]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0273

http://www.blackberry.com/btsc/KB29565

[36]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0270

http://www.apache.org/dist/httpd/CHANGES_2.4

[37]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0261

http://www.phpmyadmin.net/home_page/security/PMASA-2012-1.php

[38]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0249

http://support.citrix.com/article/CTX132219

[39]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0247

http://files.zimbra.com/website/docs/7.0/Zimbra%20OS%20Release%20Notes%207.1.4-2.pdf

[40]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0225

http://lists.horde.org/archives/announce/2012/000749.html

[41]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0248

http://pastebin.com/U3ADiWrP

[42]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0280

https://github.com/rapid7/metasploit-framework/blob/291e083d65bc37201c80d7fe33b241dfcac642d2/modules/exploits/windows/misc/trendmicro_cmdprocessor_addtask.rb

[43]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0242

https://www.eff.org/deeplinks/2012/02/researchers-ssl-observatory-cryptographic-vulnerabilities

[44]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0294

http://www.cio.com/article/700654/Symantec_New_ZeuS_Botnet_No_Longer_Needs_Central_Command_Servers

[45]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0240

http://dev.horde.org/h/jonah/stories/view.php?channel_id=1&id=155

[46]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0293

http://www.infosecisland.com/blogview/20483-Prevent-VoIP-Toll-Fraud-with-Proper-Configurations.html

http://www.viperlab.net/news-events/blog/exploiting-sbc-international-sip-toll-fraud-case-study

[47]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0279

http://ddos.arbornetworks.com/2012/02/a-milestone-in-ipv6-deployment/

[48]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0264

http://www.h-online.com/security/news/item/Cutwail-botnet-back-in-action-1437644.html

[49]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0265

https://wiki.mozilla.org/CA%3ACommunications#February_17.2C_2012

[50]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0281

http://www.symantec.com/content/en/us/about/media/pdfs/b-state_of_mobility_survey_2012.en-us.pdf

[51]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0241
http://www.cbc.ca/news/world/story/2012/02/14/nortel-chinese-hackers.html

[52]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0266
http://www.cnis-mag.com/en-bref-105.html

[53]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0283
http://net-security.org/secworld.php?id=12458

[54]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0274

http://online.wsj.com/article_email/SB10001424052970204880404577225380456599176-lMyQjAxMTAyMDEwNjExNDYyWj.html

 Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0309


Voir les articles précédents

    

Voir les articles suivants