30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : avis d’expert, semaine du 23 au 29 août

septembre 2010 par CERT-XMCO

- Date : 01 Septembre 2010

- Gravité : Moyenne

- Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Le CERT-XMCO recommande de mettre en place les solutions de contournement [1] proposées par Microsoft afin de se protéger contre l’exploitation distante de la faille permettant la compromission d’un système via le chargement par Windows de librairies malveillantes lors de l’ouverture d’un fichier.

* Résumé des évènements majeurs :

- Vulnérabilités :

La faille [2] liée au chargement de librairies malveillantes lors de l’ouverture d’un fichier a fait beaucoup parler d’elle. Cette vulnérabilité, qui avait fait sa première apparition publique la semaine dernière dans un bulletin de sécurité pour iTunes [3], a rapidement pris de l’ampleur.

La faille de sécurité en question est liée au chargement automatique par Windows de librairies (DLL) dans le répertoire de travail local (CWD) lors du lancement d’une application. Un pirate déposant dans un dossier quelconque (local ou distant), un fichier associé à une application vulnérable, ainsi qu’une librairie spécialement conçue peut compromettre le système d’un utilisateur simplement. Pour cela, le pirate doit inciter la victime potentielle à ouvrir le fichier (par exemple un fichier audio, vidéo, un document Office...) afin que l’application vulnérable soit lancée, et qu’elle charge automatiquement la librairie du pirate se trouvant dans le même répertoire. L’ouverture de celle-ci permettra alors au pirate de compromettre le système de l’utilisateur, et d’obtenir les mêmes privilèges que ceux de la victime. Tous les jours, de nouvelles preuves de concept sont disponibles pour les applications les plus courantes [4]. Microsoft propose une solution de contournement [1], mais a annoncé que l’ensemble des éditeurs devrait mettre à jour leurs logiciels vulnérables, puisque le comportement de Windows est standard, et commun à de nombreux autres systèmes d’exploitation. Des chercheurs sont d’ailleurs parvenus à exploiter ce type de faille de sécurité sur des distributions Linux telles que Debian, Ubuntu ou encore Fedora [5].

- Logiciels / Correctifs :

Une étude [6] réalisée par l’équipe X-Force d’IBM présente des résultats inquiétants. Sur l’ensemble des vulnérabilités qui ont été rapportées aux éditeurs et recensées par IBM sur la première moitié de l’année 2010, pas moins d’une sur deux attend toujours la publication d’un correctif par son éditeur. Malgré les efforts de certains d’entre eux dans le domaine de la transparence et de la réactivité, il reste toujours de mauvais élèves chez les éditeurs... Adobe est particulièrement bien noté sur cette période, puisque seulement 3 % des vulnérabilités qui lui ont été rapportées ne sont pas encore corrigées. De leurs côtés, Google est de plus en plus surveillé par les chercheurs et prend ainsi la place d’HP dans le top 10 du nombre de failles par vendeurs. Apple, suivi par Microsoft, est en tête de ce même classement.

- Cybercriminalité / Attaques :

Deux ans après le drame du vol JK5022 à Madrid et selon le journal "El Pais" [7], un rapport interne de la compagnie aérienne Spanair a révélé qu’un virus aurait infecté un système de monitoring TOWS (TakeOff Warning System) pendant la période du crash. D’après certains spécialistes, il est possible que celui-ci soit au moins en partie responsable du crash de l’avion MD-82 de la compagnie espagnole qui avait couté la vie de 154 personnes.

Le Pentagone, relayé par de nombreux journalistes [8], a révélé cette semaine l’existence d’une attaque datant de 2008 menées contre le système d’informations militaire utilisé par les Amèricains. En pleine guerre en Irak et en Afghanistan, un support de stockage externe USB a été utilisé pour introduire un cheval de Troie. Celui-ci s’est propagé au sein de nombreuses zones du SI, y compris confidentielles, et aurait pu exfiltrer des données sensibles vers des ennemis. L’opération "Buckshot Yankee" a par la suite donné lieu à la mise en place d’une stratégie de sécurité drastique, interdisant par exemple l’utilisation des ports USB au sein du SI. Cette attaque a été présentée comme étant la plus importante en date ciblant les ordinateurs des militaires américains.

Le botnet YoyoDDoS [9], qui avait fait son apparition sur internet au mois de mars dernier, s’est fait remarquer. Pas moins de 180 attaques menées à l’encontre de sites marchands ou de sites de jeux en ligne ont été répertoriées. Plusieurs techniques sont utilisées par les pirates pour saturer les serveurs (flood HTTP, UDP, TCP, ICMP). Mis à part quelques serveurs américains, coréens et allemands, la majorité des cibles est chinoise (plus de 126 sur 180).

À peine deux mois après sont lancement, le système antipiratage de l’Androïd est déjà contourné [10]. Un développeur d’application a démontré qu’en décompilant "simplement" une application protégée, en modifiant une partie spécifique du code, puis en la recompilant, il est possible de cracker des applications "protégées"...

- Entreprises / Juridique :

Après la présentation réalisée par le chercheur Barnaby Jack, il y a quelques semaines lors de la dernière conférence BlackHat qui se tenait à Las Vegas aux États-Unis, plusieurs fabricants de distributeurs automatiques de billets (Hantle et Triton) ont annoncé avoir corrigé les failles de sécurité découvertes par le chercheur [11]. Ceci est une bonne nouvelle, puisque d’après le chercheur, il était possible d’exploiter ce type de faille sur la quasi-totalité des modèles de distributeurs pour retirer de l’argent.

Visa a publié cette semaine, avec l’aide du SANS, un document [12] présentant 10 "best practices" disponibles pour les entreprises travaillant dans le domaine des applications de paiement en ligne. Celles-ci, qui sont déjà concernées par le standard PA-DSS (Payment Application Data Security Standard), voient donc apparaitre 10 nouveaux "coups de pouce" utilisés dans le cadre de ce type de développement nécessitant un certain niveau de sécurité.

Enfin, Dell et HP se disputent l’acquisition de la société 3Par [13], spécialisée dans le stockage et la gestion des données. La première offre de Dell valorisait à 18 dollars l’action 3Par, qui après plusieurs contre-offres est maintenant évaluée à 30 dollars par HP.

Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

- Référence :

[1]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1076

http://support.microsoft.com/kb/2264107

[2]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1089

http://www.microsoft.com/technet/security/advisory/2269637.mspx

[3]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1076

http://www.acrossecurity.com/aspr/ASPR-2010-08-18-1-PUB.txt

[4]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1079

http://secunia.com/advisories/windows_insecure_library_loading/

[5]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1091

http://threatpost.com/en_us/blogs/some-linux-distros-vulnerable-version-dll-hijacking-bug-082610