Avis d’expert : semaine du 16 au 22 août 2010

Avis d’expert : semaine du 16 au 22 août 2010

Le CERT-XMCO recommande l’application du correctif cumulatif Adobe APSB-10-17 qui corrige la faille « /Launch » (CVE-2010-1240) des lecteurs PDF Adode Reader et Adobe Acrobat.

* Résumé des évènements majeurs :
Vulnérabilités :
Cette semaine, plusieurs failles de sécurité importantes ont été rendues publiques. Les systèmes d’exploitation de Microsoft sont vulnérables à une attaque appelée « DLL hijacking« . À la suite de la correction par Apple, la semaine dernière, d’une faille de sécurité présente dans iTunes et annoncée dans un bulletin de sécurité de la société AcrosSecurity , HD Moore a publié certaines informations permettant d’étendre la portée de cette faille à de très nombreuses autres applications utilisées sur Windows. Des informations supplémentaires devraient être disponibles en début de semaine. En incitant un utilisateur à ouvrir un fichier spécialement conçu hébergé sur un partage distant (WebDAV, SMB, …), un pirate est en mesure de forcer un programme tiers à charger certaines librairies malveillantes présentes sur le partage, permettant ainsi la compromission distante du système. De son côté, Tavis Ormandy a publié des informations ainsi qu’une preuve de concept relative à une vulnérabilité au sein de la fonction « win32k!GreStretchBltInternal() » de la librairie GDI (Graphics Device Interface) de Windows permettant de provoquer un déni de service, voire de compromettre un système.

Par ailleurs, une élévation de privilèges sur FreeBSD était exploitable localement. La faille de sécurité était liée à une mauvaise gestion du drapeau de lecture-seule par la fonction « mbufs()« . Deux preuves de concept sont disponibles sur Internet.

Enfin, la faille de sécurité affectant Coldfusion corrigée la semaine dernière par Adobe dans le bulletin APSB10-18 se trouve être plus importante que ce qui n’avait été annoncé par l’éditeur. Une preuve de concept a ainsi fait son apparition sur Internet. Celle-ci permet à un pirate d’obtenir des informations sensibles comme des mots de passe via l’envoi d’une requête HTTP spécialement conçue. Grâce à ce mot de passe, l’attaquant peut ensuite prendre le contrôle du serveur en y déposant un script CFM malicieux via l’interface d’administration qui lui permettrait d’exécuter des commandes sur le système sous-jacent.

Logiciels / Correctifs :
Adobe a publié le correctif APSB10-17 pour Reader et Acrobat. Celui-ci corrige la faille « /Launch » référencée CVE-2010-1240 pour laquelle le correctif APSB10-15 (inefficace) avait déjà été publié. D’autres vulnérabilités ont été corrigées : le lecteur Flash embarqué dans ces logiciels a également été mis à jour, près d’une semaine après que le bulletin APSB10-16 ait été publié, alors même que Google avait publié dans la journée une nouvelle version de son navigateur Google Chrome intégrant la mise à jour de Flash.

Cybercriminalité / Attaques :
L’un des plus imposants forums au monde, 4Chan, s’est vu utiliser comme vecteur de propagation de malware. Le site, qui ne nécessitait aucune authentification pour écrire un message, a vu apparaitre une grande quantité de posts contenant des images au format PNG. Des messages accompagnaient ces images, afin de pousser les utilisateurs à exécuter le malware sur leur système. Les équipes responsables du forum ont réagi en supprimant les messages incriminés, et en indiquant aux utilisateurs la démarche à suivre pour ne pas devenir à son tour une victime.

Un autre malware a fait son apparition. Celui-ci copie l’interface de Windows Update afin d’inciter les utilisateurs à installer un cheval de Troie sur leur PC, permettant ainsi aux pirates d’installer de nombreux autres programmes malveillants.

Les smartphones utilisant Androïd sont une fois de plus la cible d’un programme malveillant. En effet, des chercheurs ont découvert que le logiciel « Tap Snake » transmettait les coordonnées GPS de ses utilisateurs afin de rendre possible leur suivi. L’application a été par la suite supprimée de l’App Store de Google.

Un nouveau botnet a fait son apparition. « dd_ssh » exploite une faille présente dans les vieilles versions de PhpMyAdmin afin de compromettre des serveurs, puis de les utiliser pour mener des attaques de force brute sur des serveurs SSH.

Entreprises / Juridique :
Deux annonces ont secoué le petit monde des géants de l’informatique. Le fondeur Intel a annoncé le rachat de l’éditeur de solution antivirale McAfee pour plus de 7 milliards de dollars. De son côté, HP a acquis Fortify. Des consolidations qui vont probablement faire évoluer le paysage de la sécurité dans le monde de l’entreprise.

Oracle a de son côté déposé une plainte devant les tribunaux contre Google accusant le géant de la recherche d’avoir enfreint un certain nombre de brevets liés à Java dans le cadre du projet Dalvik, une réimplémentation de la machine virtuelle Java pour Androïd.

Enfin, le PCI Council a présenté un document de travail au sein duquel des premières informations sur la version 2 du PCI DSS sont fournies. Cette nouvelle version du standard n’apporte pas de réelle modification par rapport à la version actuelle. Le PCI DSS, qui sera plus aligné avec le PA-DSS, mettra l’accent sur l’établissement du périmètre ainsi que sur la gestion des logs et validera dans certaines conditions, l’utilisation d’une approche basée sur les risques. Néanmoins, ce document ne parle pas du tout de « Tokenization » ni de chiffrement.

Vous pouvez suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO