Avis d’expert : semaine du 26 juillet au 1 aout 2010

Avis d’expert : semaine du 26 juillet au 1 aout 2010

Plusieurs de nos clients nous ont fait part de tentatives d’exploitation par des malwares de la famille « W32.Changeup » de la faille de sécurité liée aux raccourcis de type LNK sous Windows. Le CERT-XMCO réitère donc sa préconisation et recommande aux entreprises comme aux particuliers de rester vigilants sur l’exploitation éventuelle de cette vulnérabilité.
Pour rappel, cette faille de sécurité de type 0-day est particulièrement importante, puisqu’il suffit que l’utilisateur explore un dossier local (clef USB, etc.), ou distant (partage réseau, WebDAV, etc.) contenant un fichier de raccourci malveillant, pour que sa machine soit compromise. Par ailleurs, des codes d’exploitation sont disponibles publiquement sur internet.
Microsoft propose le correctif MS10-046 disponible pour les systèmes actuellement supportés, ainsi que deux solutions de contournements. Cependant, la mise en place de ces solutions de contournement provoque des effets de bords (désactivation de l’affichage des icônes des raccourcis) rendant difficile l’utilisation de Windows. Certains éditeurs de solution antivirale ont aussi proposé leur solution de protection.
Pour le CERT-XMCO, aucune solution viable sur le long terme n’est actuellement disponible pour les systèmes non supportés (Windows 2000 SP4 et Windows XP SP2 entre autres). Le CERT-XMCO recommande donc a tous les utilisateurs de Windows XP SP2 de passer à Windows XP SP3 toujours supporté et pour lequel un correctif est disponible.

* Résumé des évènements majeurs :
Vulnérabilités :
La faille de sécurité liée au fichier de raccourci LNK, présente au sein des systèmes d’exploitation Microsoft a continué de faire parler d’elle. Des malwares exploitant cette faille ont été observés dans la nature. En attendant un correctif officiel de la part de Microsoft, et en plus d’offrir la détection de ces fichiers malveillants, certains éditeurs de solutions antivirales tels que Sophos ou G-Data ont proposé des outils permettant de protéger un système vulnérable contre une exploitation de cette vulnérabilité.

Les éditeurs des navigateurs web Firefox, Chrome, Safari ont respectivement mis à jour leurs logiciels, afin de combler plusieurs failles de sécurité permettant d’aller jusqu’à compromettre le système d’un internaute.

Logiciels :
Deux applications, respectivement disponibles pour iPhone et pour Androïd sur les AppStore d’Apple et de Google, ont été identifiées comme suspectes. En effet, l’application financière « Citi Mobile App » disponible pour iPhone a été mise à jour à la suite de la découverte de la divulgation (en clair) par l’application de certaines informations bancaires (numéro de compte, codes d’accès, etc.) lors d’une synchronisation avec iTunes. De son côté, « Jackeey Wallpaper » a été montrée du doigt comme étant à l’origine de l’envoi de très nombreuses informations personnelles sur des serveurs en Chine, alors même que cela n’est en aucun cas nécessaire pour le bon fonctionnement de l’application (gestion des fonds d’écran).

Cybercriminalité / Attaques :
Dans le cadre de la dernière édition de la conférence BlackHat, le chercheur Barnaby Jack a enfin pu présenter son travail de recherche sur les distributeurs automatiques de billets. Celle-ci a été l’occasion pour lui de divulguer certains détails sur les vulnérabilités découvertes, ainsi que de réaliser une démonstration. Il a ainsi montré qu’il était possible de récupérer de l’argent via une attaque réussie.

Toujours dans le cadre de la BlackHat (ainsi que dans celui de la DEFCON), un chercheur de la société AirTight a présenté son travail sur le WPA2. En menant une attaque surnommée « WPA Hole 196« , celui-ci serait en mesure de contourner le mécanisme de chiffrement après s’être authentifié sur le réseau. L’exploitation de cette faille de sécurité permettrait à un utilisateur légitime de récupérer, voire de modifier (??) les données échangées par d’autres personnes.

Par ailleurs, le créateur du botnet Mariposa, un jeune homme de 23 ans connu sous le pseudonyme « Iserdo », a été arrêté en Slovénie avec deux autres suspects. Pour rappel, ce botnet comptait jusqu’à 13 millions de zombies. Le FBI, la Guardia Civil, ainsi que la police slovène continuent d’enquêter sur cette affaire.

Enfin, un chercheur voulant mettre en exergue l’importance de la gestion par les utilisateurs de leurs données personnelles sur Facebook a rendu publique une liste contenant le nom associé à l’identifiant unique et à l’URL de prés d’un compte Facebook sur cinq.

Entreprises :
Adobe et Microsoft ont annoncé un partenariat. Afin de ne pas avoir à réinventer la roue, Adobe entre dès à présent dans le programme « MAPP » (Microsoft Active Protection Program) de Microsoft. Ce programme permettra à de nombreux professionnels de la sécurité d’obtenir avant leur publication, des informations sur les mises à jour des logiciels Adobe.

Juniper a annoncé procéder au rachat de la société SMobile Systems, spécialisée dans le développement de logiciels de sécurité pour smartphones et tablets, pour un montant de 70 millions de dollars. Cette acquisition permettra à l’éditeur d’élargir le spectre de sa solution JunOS Pulse à destination des smartphones, tablets, netbooks et autres ordinateurs portable ; en ajoutant la protection des appareils fonctionnant sous Androïd, Apple iOS, Symbian, BlackBerry et Windows Mobile des virus, spyware et autres menaces, ainsi qu’en fournissant un moyen de contrôle parental.

Enfin, après que Mozilla et Google aient annoncé l’augmentation des primes décernée aux chercheurs pour la découverte de faille de sécurité dans leurs logiciels, certains géants tels que Microsoft ont fait savoir qu’une telle politique ne correspondait pas avec leur façon de récompenser les chercheurs. Ainsi, Apple, Adobe, Oracle ou encore Microsoft refusent de rémunérer les chercheurs « à la vulnérabilité ».

Vous pouvez suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO