Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Avis d’expert, semaine du 14 au 18 mars

mars 2011 par XMCO PARTNERS

 Date : 22 Mars 2011

 Gravité : Moyenne

 Description :

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Suite à la publication d’un code exploitant la vulnérabilité "Java codebase trust", le CERT-XMCO recommande une fois de plus l’installation du correctif publié par Oracle dans le bulletin JavaCpuFeb2011 le mois dernier.
Par ailleurs, une vulnérabilité 0day critique affectant Adobe Reader a été publiée. Adobe a réagi en publiant un correctif le lundi 21 mars. Le CERT-XMCO recommande d’installer ce correctif.

* Résumé des évènements majeurs :

 Vulnérabilités :
Adobe a annoncé mardi dernier, la découverte d’une vulnérabilité 0day critique dans Adobe Flash et Reader [1]. Cette vulnérabilité peut être exploitée pour prendre le contrôle à distance d’un système implémentant un de ces deux logiciels. Des attaques exploitant celle-ci ont déjà été identifiées sur Internet : un fichier Excel (.XLS) malveillant dans lequel serait contenue une animation Flash, spécialement conçue, serait envoyé par email à de nombreux internautes. Seul Flash Player serait actuellement pris pour cible par les pirates. Adobe a annoncé qu’un correctif sera publié durant la semaine du 21 mars. Le CERT-XMCO recommande de se préparer au déploiement de se correctif et de redoubler de vigilance lors de la réception de pièce jointe.

Une vulnérabilité a été découverte au sein du navigateur Internet utilisé sur les smartphones BlackBerry [2]. L’exploitation de celle-ci permet à un attaquant de prendre le contrôle d’un smartphone reposant sur la version 6.0 du logiciel BlackBerry Device Software. La faille de sécurité serait liée à la gestion des styles CSS au sein de Webkit.

Une vulnérabilité a été découverte sur la machine virtuelle Java installée avec Novell Access Manager [3]. La faille de sécurité provient d’un problème de conversion entre deux types de données permettant à un attaquant de provoquer un déni de service.

 Correctifs :
De multiples vulnérabilités on été corrigées au sein de SAP Crytal Reports 2008 [4], SAP NetWeaver [5], SAP GUI [6], VMware vCenter [7], HP Client Automation Enterprise [8], IBM Lotus Quickr [9], Asterisk Open Source [10], Kerberos [11], RSA Access Manager Server [12], et enfin Flash Player sur Solaris [13].

 Exploits :
Une preuve de concept exploitant l’une des vulnérabilités affectant les versions inférieures à Java 6 Update 24 a été publiée [14]. Cette dernière, intégrée au sein du framework d’exploitation Metasploit pourrait donc prochainement être utilisée par des pirates afin de prendre le contrôle d’un système.

Un code d’exploitation permettant d’élever ses privilèges au sein du Runtime .Net sur un système Windows a été publié [19]. Celle-ci permet de modifier le fichier, et force le système à exécuter des commandes arbitraires. Un compte local est néanmoins nécessaire pour pouvoir exploiter cette vulnérabilité.

De nombreux autres exploits ont été publiés cette semaine. Ces codes d’exploitation ciblent des vulnérabilités de Foxit Reader [15], HP OpenView Performance Insight Server [16], Adobe ColdFusion [17], et enfin ActiveX RealPlayer [18].

 Actualité :
La nouvelle version de la célèbre tablette tactile d’Apple, sortie le 11 mars dernier, a tenu 3 jours après sa sortie avant d’être jailbreakée [20]. Le hacker Comex a réussi à contourner les diverses protections de la version 4.3 du système d’exploitation iOS. Il semblerait que la vulnérabilité exploitée soit située en espace utilisateur ("User Land").

 Cybercriminalité / Attaques :
Le botnet Rustock [21], responsable d’une importante quantité de spams, semblerait avoir arrêté son émission le 16 mars 2011 à 15h. Ce dernier représentait parfois à lui seul la moitié du spam enregistré par certains chercheurs.

Le célèbre fournisseur de solutions de sécurité, RSA [22], a récemment été victime d’une attaque particulièrement sophistiquée. D’après les premiers éléments découverts, des informations sensibles relatives système d’authentification forte RSA SecurID auraient ainsi été volées. Parmi les informations que les pirates auraient pu récupérés, figurent les graines utilisées par RSA SecurID pour la génération des 6 chiffres aléatoires par le token RSA, ou encore le code source de la solution RSA SecurID. Les attaquants pourraient prédire les chiffres générés par les tokens, réduisant ainsi le niveau de sécurité de l’authentification de l’entreprise victime, ou avoir toutes les cartes en main afin de trouver des vulnérabilités exploitables.

 Référence :

[1] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0397
http://www.adobe.com/support/security/advisories/apsa11-01.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0402
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB26132

[3] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0415
http://www.novell.com/support/viewContent.do?externalId=7008129

[4] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0394
https://service.sap.com/sap/support/notes/1509610

[5] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0395
http://dsecrg.com/pages/vul/show.php?id=309

[6] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0393
https://service.sap.com/sap/support/notes/1511179

[7] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0398
http://www.vmware.com/security/advisories/VMSA-2011-0005.html

[8] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0399
https://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02750690

[9] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0416
https://www-304.ibm.com/support/docview.wss?uid=swg27013341

[10] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0409
http://downloads.asterisk.org/pub/security/AST-2011-003.html

[11] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0403
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2011-003.txt

[12] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0408
http://archives.neohapsis.com/archives/bugtraq/2011-03/att-0148/ESA-2011-009.txt

[13] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0389
http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_adobe_flash2

[14] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0406
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11982/entry/modules/exploits/windows/browser/java_codebase_trust.rb

[15] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0390
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11952/entry/modules/exploits/windows/fileformat/foxit_reader_filewrite.rb

[16] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0404
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11969/entry/modules/exploits/windows/http/hp_openview_insight_backdoor.rb

[17] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0405
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11974/entry/modules/exploits/windows/http/coldfusion_traversal.rb

[18] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0419
https://www.metasploit.com/redmine/projects/framework/repository/revisions/12009/entry/modules/exploits/windows/browser/realplayer_cdda_uri.rb

[19] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0391
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11904/entry/modules/post/windows/escalate/net_runtime_modify.rb

[20] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0396
http://ipad-apple.fr/jailbreak-ipad/jailbreak-ipad-2-cest-deja-fait/346

[21] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0413
http://labs.m86security.com/2011/03/rustock-down/

[22] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0417
http://www.rsa.com/node.aspx?id=3872

 Lien extranet XMCO Partners :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0435


Voir les articles précédents

    

Voir les articles suivants