Avis d’expert : semaine du 19 au 25 avril 2010

Avis d’expert : semaine du 19 au 25 avril 2010

Cette semaine, l’actualité de la sécurité informatique a été calme : pas de nouveaux « 0-day » ou d’attaques massives.
La menace la plus importante du moment demeure l’exploitation d’une faille de sécurité d’un plugin JAVA pour Internet Explorer par l’intermédiaire de sites web compromis ou hébergés par des pirates.
Pour se protéger de ces attaques, le CERT-XMCO recommande la mise à jour des machines virtuelles JAVA à la version 6 Update 20 ou la désactivaton par GPO de l’ActiveX « Java Deployment Toolkit ».

* Résumé des évènements majeurs :
Quelques jours après la découverte d’une vulnérabilité critique et la publication d’un correctif par Oracle (Java 6 Update 20), la vulnérabilité du plug-in Java a été largement exploitée cette semaine. Des sites tels que « songlyrics.com » auraient été compromis par des pirates (russes ?). La mise à jour d’Oracle prenant surtout en compte Internet Explorer, la fondation Mozilla a vivement réagi en bloquant les versions vulnérables du plug-in « Java Deployement Toolkit » dans son navigateur.

Par ailleurs, l’attaque surnommée « Aurora » fait encore parler d’elle. Le New York Times a ainsi publié de nouvelles informations à son sujet. Les pirates à l’origine de l’attaque auraient ciblé le SSO de Google baptisé Gaïa. Ces derniers auraient dérobé une partie de son code (si ce n’est la totalité) et auraient pu potentiellement insérer des portes dérobées. Google, ainsi que nombre d’experts sécurité prennent ce risque au sérieux, puisque les pirates pourraient potentiellement accéder aux informations privées de millions d’utilisateurs. Néanmoins, aucune information n’a été reconnue publiquement par Google qui aurait par ailleurs élevé le niveau de sécurité de certaines parties de son infrastructure.

Après avoir mis à jour sa base de signature vers la version « DAT 5958« , les antivirus McAfee utilisés sur les systèmes Windows XP SP3 ont confondu l’exécutable système « scvhost.exe » avec le virus référencé « W32/Wecorl.a », le plaçant ainsi par mesure préventive en quarantaine. L’absence de cet exécutable indispensable au fonctionnement de Windows a provoqué de nombreux problèmes aussi bien dans le monde de l’entreprise que chez les particuliers.

Tout comme les récentes éruptions volcaniques, les termes « DAT », « 5958 », ou encore « McAfee » ont été utilisés par les pirates dans le cadre de campagne de pollution des moteurs de recherche qui dirigeaient ainsi les utilisateurs vers des sites hébergeant des malwares.

Les smartphones sont à la mode, et les pirates le savent. Un malware se faisant passer pour un outil de « jailbreak » d’iPhone a ainsi été découvert. D’autre part, des vulnérabilités critiques ont été découvertes au sein de Palm WebOS. Le simple envoi de SMS permettait de modifier la configuration du téléphone (ouverture d’un site internet, lancement d’un téléchargement, installation d’un certificat racine, désactivation de l’interface sans fil…).

Enfin, Microsoft retire le correctif MS10-025 qui ne corrigeait pas la vulnérabilité présente au sein de Windows Media Services. Une nouvelle version du correctif devrait être publiée cette semaine.


Cert-XMCO