Avis d’expert : semaine du 30 août au 5 septembre 2010

Avis d’expert : semaine du 30 août au 5 septembre 2010


* Résumé des évènements majeurs :
Vulnérabilités :
Une faille de sécurité a été découverte au sein de l’ActiveX « QTPlugin.ocx » fourni avec QuickTime. Un pirate peut compromettre un système vulnérable en incitant simplement un utilisateur à visiter une page internet spécialement conçue. Cette page devra contenir un paramètre appelé « _Marshaled_pUnk ». Le CERT-XMCO recommande la plus grande prudence, étant donné qu’un exploit est disponible sur internet. L’exploitation de la vulnérabilité permet de contourner les protections DEP et ASLR de Windows, via le chargement d’une librairie relative à Windows Live Messenger par Internet Explorer qui ne tire pas parti de ces protections.

Un an après une présentation qui avait eu lieu dans le cadre de la conférence HAR 2009, un chercheur a publié un code permettant de retrouver le mot de passe des comptes administrateurs prédéfinis sur un routeur ou un switch à partir de son adresse MAC. Depuis un an, aucun des constructeurs n’avait réagi. Parmi les fabricants incriminés, on retrouve 3Com, Dell, SMC, Foundry ou encore EdgeCore.

Logiciels :
Novell a publié un bulletin de sécurité relatif à l’utilisation d’OpenSSH sur Netware. Ce bulletin précisait l’existence d’une faille de sécurité permettant de provoquer un déni de service à distance. Malheureusement, la faille de sécurité serait plus critique que prévu, et le chercheur qui avait découvert l’existence de cette vulnérabilité la fait savoir en publiant une démonstration, ainsi qu’une preuve de concept.

Correctifs :
Après avoir proposé un outil et une solution de contournement pour la faille relative au chargement de librairie, Microsoft a proposé cette semaine un « Fix It« . Cet outil permet, en quelques clics, de mettre en place les recommandations effectuées antérieurement, et pour lesquelles il était nécessaire d’installer un premier outil, puis de manipuler la base de registre. Cette simplification de la procédure permet à tous les utilisateurs de se protéger simplement contre une exploitation distante de la vulnérabilité.

Cybercriminalité / Attaques :
Pour la seconde fois au cours du mois d’août, les pirates s’en sont pris à un fournisseur de service DNS. DtDNS, tout comme DnsMadeEasy, a subi des attaques en deni de service distribué. DnsMadeEasy a rapporté qu’un débit entrant de plus de 50Gbits/s avait saturé plusieurs liens entrants de 10 Gbits/s chacun…

Recherche / Conférence :
De son côté, l’université américaine de Duke, sponsorisée par le RIPE, a voulu tester « dans la nature » une implémentation sécurisée du protocole BGP basé sur l’utilisation d’un attribut dit « transitif ». Lors de l’émission des premières annonces BGP par le RIPE NCC, ce champ optionnel a provoqué une réaction en chaine causée par un bug au sein de certains routeurs cisco utilisant l’IOS. Lors de la réception des annonces, les tables de routages ont été corrompues, et les routeurs ont envoyé des annonces invalides, provoquant ainsi de légères perturbations sur le réseau mondial.

Internationnal :
Dans l’affaire opposant Research In Motion (RIM) au gouvernement indien, une nouvelle étape a été franchie. RIM a déposé un dossier de proposition au gouvernement indien qui est en train de l’étudier. Les Indiens ont donc donné un répit de 60 jours à RIM, en demandant aux opérateurs de retarder la coupure des services de messagerie sécurisés utilisés par les smartphones canadiens.

Entreprises :
Une étude réalisée par Trend Micro montre que les vols d’informations sensibles en entreprises sont pour la majorité des cas réalisés par des employés via des moyens basiques : clefs USB, mails… Il est donc le plus souvent difficile de s’en protéger sans que cela ne passe par une sensibilisation des employés aux risques personnels et professionnels encourus, aux recommandations…

De nombreuses opérations de rachat ont eu lieu : après McAfee, Intel s’est offert la branche mobile de son concurrent Infineon. Le match entre Dell et HP s’est soldé par une victoire d’HP qui rachète le spécialiste du stockage 3Par, Google s’offre Angstro et SocialDeck, IBM procède au rachat de Storewise, CA à celui de Arcot et Citrix à celui de VMLogix. Dans le même temps, AMD a annoncé vouloir supprimer la marque ATI et Cisco s’intéresserait à Skype. Par ses nombreux rachats, les entreprises montrent un intérêt particulier pour les domaines du stockage, du « cloud computing » et des réseaux sociaux.

Enfin, XMCO a publié cette semaine le numéro 26 de l’ACTU-SECU. Au sommaire : 0day, ASPROX, exploitations massives, phishing, attaques ciblées : le retour en force des hackers …

Vous pouvez suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

Cert-XMCO