Microsoft a publié, à la fin de la semaine, son bulletin de sécurité KB2501696 2. Ce dernier concerne la gestion du protocole MHTML (CVE-2011-0096). L'exploitation de cette faille de sécurité permettrait à un pirate de dérober certaines données sensibles en incitant, simplement, un internaute à visiter un site spécialement conçu. D'après l'éditeur, des informations permettant l'exploitation de cette vulnérabilité ont déjà été publiées. Cependant, la faille ne serait pas encore exploitée.[1]

Plusieurs logiciels Symantec[2] [3] [4] [5] [6], ainsi que SAP Cristal Reports [7] , Cisco Content Services Gateway[8], Opéra[9], OpenOffice[10], RealPlayer[11] ou encore le serveur DHCP de l'ISC[12] ont été mis à jour cette semaine. Les failles de sécurité pouvaient être exploitées pour provoquer des dommages pouvant aller jusqu'à la compromission d'un système vulnérable.

Plusieurs codes d'exploitation ont été publiés. Un code ciblant SAP Crystal Report Server 2008[13] permet d'accéder à certaines informations sensibles en menant une attaque de "Directory Traversal". D'autres codes permettant d'exploiter des failles présentes dans Oracle[14] Document[15] Capture[16] ont été publiés. Afin d’utiliser cette vulnérabilité, un pirate doit inciter un internaute à visiter un site spécialement conçu.

Les serveurs hébergeant les différents sites et services de SourceForge[17] et de Fedora[18] ont été piratés cette semaine. Dans un cas comme dans l'autre, les personnes en charge de la gestion de ces incidents ont été très transparentes. Elles ont précisément décrit les actions réalisées, les risques existants et les informations en leur possession. A première vue, il semblerait que les pirates n'aient pas eu le temps d'accomplir de méfaits. Dans les deux cas, la surveillance d'indicateurs adaptés aurait permis de détecter rapidement l'attaque et de prendre ainsi les mesures nécessaires.

Un site "underground" de vente d'identifiants permettant d'accéder aux panels d'administration de sites gouvernementaux, militaires et de l'éducation a été découvert. Le pirate proposerait, par exemple, l'accès total en tant qu'administrateur au site des forces armées d'Albanie pour 499 dollars.[19]

Une ancienne version de Darkness aurait été mise gratuitement à disposition sur Internet. Grâce à celle-ci, les pirates seraient capables de mettre sur pied de petits botnets très efficaces reposant simplement sur une trentaine de machines zombie. Récemment, Darkness était responsable de l'attaque de 1,5 site en moyenne par jour, et même jusqu'à 3 sites par jour lors du dernier trimestre de l'année 2010...[20]

D'après TrendMicro, la fusion de Zeus et de SpyEye serait en cours. La version 1.3.05 de SpyEye semble apporter bon nombre de nouvelles fonctionnalités empruntées à son ex-concurrent Zeus.[21]

Le rachat de McAfee par Intel pour un montant de 7,68 milliards de dollars a été validé (sous conditions) cette semaine par la Commission Européenne.[22]

La récente explosion qui a frappé l'aéroport de Moscou aurait été déclenchée de façon involontaire par un opérateur de téléphonie mobile en envoyant d'un SMS de bonne année. En effet, un téléphone portable était utilisé par le kamikaze en tant que détonateur. Celui-ci devait déclencher l'explosion de l'engin à la suite de la réception d'un SMS.[23]

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO