XMCO, Avis d’expert : semaine du 21 au 25 mars
mars 2011 par XMCO PARTNERS
Date 28 Mars 2011
Criticité Moyenne
Description Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Suite à la publication d’un code exploitant une vulnérabilité au sein du Flash Player (APSA11-01), le CERT-XMCO recommande l’installation des correctifs disponibles pour Flash Player (APSB11-05), Adobe Reader et Adobe Acrobat (APSB11-06).
* Résumé des évènements majeurs :
– Vulnérabilités : Une faille de sécurité a été découverte au sein des concentrateurs VPN Cisco [1]. Ceux-ci réagissent différemment en fonction de la validité du groupe spécifié au sein des messages IKE. Cette erreur permettrait à un attaquant de mener une attaque de force brute afin de récupérer le nom du groupe.
Plusieurs autres vulnérabilités ont été découvertes au sein du serveur TFTP d’Avaya IP Office Manager [2], de RealPlayer, d’IBM Lotus Domino [3], d’HP Virtual SAN [4] et de l’iOS d’Apple [5]. L’exploitation de ces failles de sécurité permettrait à un attaquant de provoquer un déni de service voire de compromettre un système.
– Correctifs : De multiples vulnérabilités ont été corrigées au sein de Mac OS X [6]. L’exploitation de celles-ci permettait à un attaquant de mener des attaques de type "Cross-Site Scripting", de voler des informations, d’élever ses privilèges, de provoquer un déni de service, voire de compromettre un système.
Une vulnérabilité critique a été corrigée au sein des logiciels Adobe (Flash, Reader et Acrobat) [7]. L’exploitation de celle-ci permettait à un attaquant distant de prendre le contrôle d’un système via l’ouverture d’un fichier spécialement formé. Cette vulnérabilité a été rapidement exploitée par des pirates.
Enfin, plusieurs vulnérabilités ont été corrigées au sein des logiciels Solaris [8] [9], Novell Netware [10], Symantec LiveUpdate Administrator [11], CATIA [12], VideoLan [13], Google Chrome [14] et de plusieurs applications Citrix [15].
– Exploits : Un code d’exploitation permettant à un attaquant de prendre le contrôle d’un système via une vulnérabilité dans Novell Netware [16] a été publié. Celui-ci prend la forme d’un script Python et permet d’envoyer une commande FTP malicieuse dans le but de provoquer un débordement de tampon.
Un second exploit ciblant le serveur TFTP d’Avaya IP Office Managera [17] a été publié. En envoyant une requête spécialement conçue à la machine cible, le pirate est en mesure de provoquer un déni de service.
– Juridique : Aux Pays-Bas, le piratage d’un routeur pour accéder à un réseau Wi-Fi n’est pas une infraction pénale [18]. En effet, un étudiant a été jugé pour avoir posté une menace de mort sur un forum après avoir piraté un routeur Wi-Fi pour masquer son identité. Cette affaire a abouti à une nouvelle jurisprudence. En s’appuyant sur des éléments de la loi datant du début des années 90, le juge a estimé que le routeur piraté par l’étudiant ne remplissait pas les trois critères caractérisant un ordinateur selon la justice néerlandaise. Le jeune accusé n’a donc pas été poursuivi pour "acte de piratage".
– Conférence / Recherche : Des dizaines de codes d’exploitation et de preuves de concept ciblant des failles sur les systèmes SCADA (Supervisory Control And Data Acquisition) [19] ont été publiées cette semaine. Il semblerait qu’une société russe, se présentant comme spécialisée dans la sécurité des systèmes d’informations, ait lancé un kit d’exploitation regroupant les vulnérabilités dévoilées publiquement.
– Cybercriminalité / Attaques : Pour la seconde fois en peu de temps, une application malveillante disponible pour les smartphones reposant sur Androïd et exploitant une vulnérabilité connue a été découverte [20]. Celle-ci était en mesure d’élever ses privilèges afin d’installer une porte dérobée sur le système et d’accéder au compte administrateur. Google a supprimé l’application de l’Androïd Market et a enclenché un processus de suppression automatique de l’application sur tous les téléphones infectés.
Neuf certificats frauduleux [21] visant les sites internet de plusieurs grandes sociétés telles que Google, Yahoo, ou encore Skype ont été délivrés la semaine dernière par une autorité de certification racine appelée Comodo. Les attaquants ont eu accès à un compte utilisateur de la RA (Registration Authority) par des moyens non déterminés. Ces certificats pourraient être utilisés dans des attaques de type "Man-in-the-Middle" sur une connexion protégée par le protocole SSL. Les principaux éditeurs de navigateurs Web ont été avertis et ont mis à jour leur liste de révocation.
La Commission Européenne a été victime d’une attaque informatique de grande ampleur deux jours avant le sommet de Bruxelles [22]. Les dirigeants devaient s’intéresser au sort de la Libye, aux opérations militaires menées actuellement, ainsi qu’à la sûreté du nucléaire en Europe depuis les incidents survenus au Japon. Un porte-parole de la Commission a déclaré que seuls quelques services ont été affectés. Il semblerait que les pirates aient envoyé des courriels contenant un fichier malveillant en pièce jointe pour pénétrer à l’intérieur du système d’informations.
– Vie privée : Research In Motion (RIM) vient de mettre à disposition de ses clients privés européens l’application BlackBerry Protect [23]. Celle-ci permet aux utilisateurs de protéger leur smartphone de la même manière que les entreprises peuvent le faire avec le BlackBerry Enterprise Server. Cette application permet au propriétaire du téléphone de sauvegarder ses contacts, son calendrier, ses tâches, ses notes, ses signets et ses SMS. Ces données sauvegardées peuvent ensuite être restaurées sur le smartphone d’origine ou sur un nouvel appareil BlackBerry. D’autres services, également disponibles, permettent de localiser son smartphone si celui-ci a été égaré, d’effacer toutes les données et de verrouiller le téléphone à distance.
XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...
Référence [1] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0441
http://www.cisco.com/en/US/products/products_security_response09186a0080b5992c.html
[2] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0451
http://dl.packetstormsecurity.net/1103-exploits/avayaipom-dos.txt
[3] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0438
http://www.zerodayinitiative.com/advisories/ZDI-11-110/
[4] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0450
http://www.zerodayinitiative.com/advisories/ZDI-11-111/
[5] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0442
http://www.zerodayinitiative.com/advisories/ZDI-11-109/
[6] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0432
http://support.apple.com/kb/HT4581
[7] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0431
http://www.adobe.com/support/security/bulletins/apsb11-06.html
[8] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0428
http://blogs.sun.com/security/entry/cve_2010_3814_buffer_overflow
[9] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0429
http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_libpng
[10] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0426
http://www.zerodayinitiative.com/advisories/ZDI-11-106/
[11] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0436
[12] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0444
http://www-01.ibm.com/support/docview.wss?uid=swg1HE02859
[13] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0445
http://www.coresecurity.com/content/vlc-vulnerabilities-amv-nsv-files
[14] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0449
http://googlechromereleases.blogspot.com/2011/03/stable-channel-update.html
[15] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0456
http://support.citrix.com/article/CTX128366
[16] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0427
http://www.zerodayinitiative.com/advisories/ZDI-11-106/
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0452
http://dl.packetstormsecurity.net/1103-exploits/avayaipom-dos.txt
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0430
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0439
http://hackingexpose.blogspot.com/2011/03/attack-code-for-scada-vulnerabilities.html
[20] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0440
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0443
http://www.microsoft.com/technet/security/advisory/2524375.mspx
[22] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0446
http://www.euractiv.com/en/future-eu/cyber-attack-european-commission-reported-news-503461
[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0437
http://www.h-online.com/security/news/item/BlackBerry-Protect-now-available-in-Europe-1211456.html
Id XMCO Partners CXA-2011-0458
Lien extranet XMCO Partners https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0458