Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO PARTNER : Avis d’expert, semaine du 6 au 12 juin

juin 2011 par XMCO PARTNERS

 Date : 14 Juin 2011

 Gravité : Elevée

 Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert : L’utilisation de token RSA SecurID étant avérée dans le cadre du piratage de Lockheed Martin [1], le CERT-XMCO recommande aux nombreuses entreprises qui utilisent cette solution de contacter RSA afin d’obtenir (gratuitement) de nouveaux tokens.

* Résumé des évènements majeurs :

 Vulnérabilités :

Une faille de sécurité a été identifiée au sein de Symantec Mail Security [2]. L’envoi d’un email spécialement conçu par un pirate permet de prendre le contrôle du système lors du scan de la pièce jointe.

 Correctifs :

Comme tous les 4 mois, Oracle a publié son bulletin de sécurité relatif à Java. L’éditeur a annoncé la publication de l’Update 26 de Java 6 dans son bulletin JavaCpuJune2011 [3]. Cette nouvelle version corrige 17 failles de sécurité pouvant être exploitées à distance pour prendre le contrôle d’un système.

Adobe a publié son bulletin APSB11-03 [4] qui propose un correctif pour une faille de sécurité jugée importante par l’éditeur. La faille en question permettait de réaliser une attaque de type "Cross-Site Scripting" (XSS). Celle-ci serait actuellement exploitée par les pirates dans le cadre d’attaque ciblée.

De nombreuses autres vulnérabilités ont été corrigées au sein des logiciels tels que le navigateur Google Chrome [5], le lecteur de fichiers multimédia VLC [6], l’interpréteur Python [7], le serveur de messagerie Fetchmail [8], ou encore le contrôle d’ActiveX de Novell iPrint Client [9].

 Exploit :

Deux codes d’exploitation ont été publiés cette semaine. Le premier cible IBM Tivoli Management Framework [10] et permet de prendre le contrôle d’un système à distance. Le second cible le contrôle d’ActiveX de Cisco AnyConnect VPN Client [11] et permet de prendre le contrôle d’un système à distance en forçant le navigateur d’un internaute à télécharger et à installer un logiciel malveillant.

 Conférence / Recherche :

Alors que se tenait l’édition 2011 du SSTIC à Rennes, la troisième édition de l’iCCC (International Conference on Cyber Conflic), une autre conférence internationale dédiée à la (cyber-)sécurité se déroulait à Tallinn en Estonie. Cette conférence, organisée par le CCDCOE (Cooperative Cyber Defence - Centre of Excellence) de l’OTAN, regroupait plus de 300 experts civils et militaires venus du monde entier. Cet événement a donné lieu à plusieurs annonces concernant l’organisation de la cyber-défense de l’OTAN et de l’Europe. Dans la continuité de l’adoption de sa "stratégie numérique" en mai 2010, l’Europe va mettre en place un CERT à disposition des nombreuses institutions européennes [12]. Dans le même temps, l’OTAN a annoncé l’adoption par les différents ministres de la Défense des membres de l’Alliance d’une politique de cyber-défence [13]. Celle-ci a pour objectif de clarifier les mécanismes politiques et opérationnels définis par l’Alliance dans le cadre de la réponse à une cyber-attaque. Cette politique devrait avoir pour conséquence de placer l’ensemble des acteurs de la cyber-défense des membres de l’OTAN sous le commandement de l’Alliance.

 Cybercriminalité / Attaques :

Quelques jours après sa présentation aux développeurs, la version Beta de l’iOS 5 est déjà jailbreakée [14]. La faille de sécurité exploitée ne serait pas encore connue d’Apple, mais la société a encore un peu de temps devant elle pour la débusquer et la corriger avant la sortie de la version finale en fin d’année.

La banque internationale Citibank a été victime d’une attaque [15]. Certaines informations personnelles telles que les noms, adresses de courriel et numéros de comptes bancaires d’un grand nombre de clients auraient ainsi été dérobées par les pirates. Les informations de carte bancaire ne seraient cependant pas concernées par ce vol.

Alors que le leader d’al-Quaeda vient de se faire tuer, le MI6 s’attaque aux moyens de communication du groupe terroriste [16]. Les espions ont remplacé le contenu d’un manuel expliquant comment fabriquer une bombe par des recettes de cuisine...

Enfin, les pirates ont découvert une nouvelle méthode leur permettant de gagner de l’argent sur le dos d’Apple et des internautes [17]. À l’aide d’identifiant Apple dérobée, les pirates achètent de la musique, des applications, ou des films sur l’iTunes Store, puis demandent à Apple de se faire rembourser sur un autre compte pour une raison quelconque...

 Juridique :

Un jeune français a été condamné à six mois de prison avec sursis [18], et à 15 000 euros de dommages et intérêt pour avoir développé et mis à disposition Freezer, un logiciel de piratage. Le logiciel permettait de télécharger des morceaux de musiques depuis les sites d’écoute en ligne tels que Deezer.

 Entreprises :

Adobe [19] et Microsoft [20] ont annoncé la publication des correctifs le mardi 14 juin. Le Patch Tuesday sera être constitué de 16 bulletins, alors qu’Adobe n’en a annoncé qu’un seul.

L’autorité de certification française Certigna a publié par erreur sur son site internet une clef privée [21]. Plus de peur que de mal, puisque contrairement à la rumeur qui a circulée, la clef privée partagée n’était pas "valide". Celle-ci était destinée à réaliser des tests, et ne correspondait en rien à celle utilisée pour signer les certificats vendus aux différents clients. L’autorité de certification a d’ailleurs précisé que la "vraie" clef était stockée dans un HSM spécialement conçu pour stoker de manière fiable des clefs cryptographiques...

RSA a reconnu que les informations dérobées par les pirates avaient été utilisées par les pirates dans le cadre des récentes attaques contre Lockheed Martin [1]. La société a immédiatement lancé une offre de renouvellement des token SecurID de ses clients. Suite à cette annonce, une banque australienne a réagi en demandant publiquement le remplacement des 50 000 cartes utilisées par ses propres clients.

 Internationnal :
Microsoft s’attaque de nouveau au Rustok [22]. Cette fois-ci, c’est devant les tribunaux américains que le géant de Redmond cherche à faire valoir ses droits et à arrêter les activités malveillantes du botnet.

Enfin, XMCO a publié cette semaine le numéro 28 de l’ActuSécu, intitulé "Comodo, RSA : les géants de la sécu...le maillon faible". Au sommaire : Comodo/RSA/Sony, Lizamoon, PCI-DSS et les bases de données, analyse Flash CVE-2011-0609, Actu, ...
http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

 Référence :

[1] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0891

http://arstechnica.com/security/news/2011/06/rsa-finally-comes-clean-securid-is-compromised.ars

[2] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0921

http://www.kb.cert.org/vuls/id/126159

[3] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0902

http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html

[4] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0878

http://www.adobe.com/support/security/bulletins/apsb11-13.html

[5] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0901

http://googlechromereleases.blogspot.com/2011/06/chrome-stable-release.html

[6] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0884

http://www.videolan.org/vlc/releases/1.1.10.html

[7] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0885

http://www.python.org/download/releases/2.6.7/

http://www.python.org/download/releases/2.5.6/

[8] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0895

http://www.fetchmail.info/fetchmail-SA-2011-01.txt

[9] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0893

http://www.novell.com/support/viewContent.do?externalId=7008708

[10] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0892

http://www.exploit-db.com/exploits/17365/

[11] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0896

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12868/entry/modules/exploits/windows/browser/cisco_anyconnect_exec.rb

[12] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0924

http://europa.eu/rapid/pressReleasesAction.do?reference=IP/11/694&format=HTML&aged=0&language=EN&guiLanguage=en

http://www.csmonitor.com/World/Europe/2011/0608/How-Estonians-became-pioneering-cyberdefenders/%28page%29/2

[13] http://www.nato.int/cps/en/SID-867C8DF7-C161CCEB/natolive/news_75358.htm

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0906
http://www.theregister.co.uk/2011/06/07/ios_five_jailbroken/

[15] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0910

http://www.theregister.co.uk/2011/06/09/citibank_hack_attack/

[16] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0890

http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/8553366/MI6-attacks-al-Qaeda-in-Operation-Cupcake.html

[17] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0899

http://www.betanews.com/article/iTunes-hack-widespread-and-Apple-appears-to-know-about-it/1307390216

[18] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0922

http://www.zdnet.fr/actualites/six-mois-de-prison-avec-sursis-pour-l-auteur-du-logiciel-freezer-39761552.htm

[19] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0917

http://blogs.adobe.com/psirt/2011/06/prenotification-quarterly-security-updates-for-adobe-reader-and-acrobat-3.html

[20] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0920

http://www.microsoft.com/technet/security/bulletin/ms11-jun.mspx

[21] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0908

https://www.certigna.fr/archives/2984

[22] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0909

http://www.techeye.net/security/microsoft-chases-botnet-herders-into-russia

 Lien extranet XMCO Partners :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0932


Voir les articles précédents

    

Voir les articles suivants