Avis d’expert : semaine du 13 au 19 septembre 2010

Avis d’expert : semaine du 13 au 19 septembre 2010

Le CERT-XMCO recommande l’installation des correctifs Microsoft publiés dans le cadre du « Patch Tuesday » du mois de septembre. Parmi les correctifs jugés importants, XMCO, tout comme Microsoft, recommande tout particulièrement l’installation du MS10-061 (spouleur d’impressions), qui est activement exploité par l’un des virus du moment « STUXNET« , ainsi que l’installation du MS10-062 (codec MPEG-4).

* Résumé des évènements majeurs :
Vulnérabilités :
Quelques jours seulement après la publication de l’alerte APSA10-02 à la suite de la découverte au sein d’Adobe Reader d’une vulnérabilité de type 0day (CVE-2010-2883) activement exploitée, Adobe a publié cette semaine son alerte APSA10-03 relative à Flash (CVE-2010-2884) et le correctif associé (ASPB10-022).

Exploits :
Un code exploitant une faille de sécurité présente au sein de la version 64 Bits du noyau Linux a été publié. La preuve de concept, qui contient une porte dérobée permet d’élever localement ses privilèges. La faille est plus précisément liée à la gestion des binaires 32 bits par un noyau 64 bits. Une solution de contournement est disponible.

Dans le cadre du projet MOAUB (Month Of Abyssec Undisclosed Mugs), Abyssec a continué à publier cette semaine ses preuves de concept. Parmi les logiciels ciblés : Real Player (MOUAB #13), Novell iPrint (MOAUB #14), IPSwitch iMail Server (MOAUB #15), Excel (MOAUB #16 / MS10-038), et Firefox (MOAUB #17 / MFSA2010-37). Le CERT-XMCO recommande l’installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.

Correctifs :
Une mise à jour de Samba a été publiée à la suite de la découverte d’une faille de sécurité, référencée CVE-2010-3069, au sein du serveur. L’exploitation de celle-ci permettait à un pirate de provoquer un déni de service, voire de compromettre un système.

Dans le cadre de son « Patch Tuesday » du mois de septembre, Microsoft a publié pas moins de 9 bulletins de sécurité concernant Windows et la suite Office. Les failles de sécurité sont jugées de critique (MS10-061 : spouleur d’impressions, MS10-062 : codec MPEG-4, MS10-063 : processeur de scripts Unicode et MS10-064 : Outlook) à important (MS10-065 : IIS, MS10-066 : RPC, MS10-067 : WordPad, MS10-068 : LSASS et MS10-069 : CSRSS).

Cybercriminalité / Attaques :
Le malware Stuxnet fait beaucoup parler de lui actuellement. Ce dernier exploiterait pas moins de 4 vulnérabilités critiques de type 0day dont les vulnérabilités MS10-046 (LNK) et MS10-061 (Spooleur d’impression).

Le botnet IMDDOS ainsi que son portail commercial ont fait leur apparition sur internet. Le site propose aux internautes d’acheter un service « original ». Il s’agit de la location d’un botnet afin de mener des attaques en déni de service distribué « sur demande ». Pour le moment uniquement en chinois, le site propose plusieurs services gratuits ou payants, et même des abonnements mensuels ou annuels…

Cybercriminalité / Attaques :
Dans le cadre de la conférence internationale « Ekoparty », des chercheurs ont présenté une attaque sur l’implémentation de l’algorithme AES au sein du framework ASP.Net. L’attaque en question, appelée « Padding Oracle », permet de prédire relativement simplement la valeur de la clef privée utilisée par un serveur dans le cadre d’un échange avec un client, et d’accéder ainsi à certaines informations sensibles, voire de contourner certaines restrictions de sécurité.

Internationnal :
Un des comptes Twitter du gouvernement français a été piraté. Le message du pirate a été supprimé, et un message d’explication l’a remplacé.

Entreprises :
Après Microsoft, Adobe ainsi que d’autres grands noms de la sécurité informatique, c’est au tour de SAP d’annoncer la mise en place de son propre cycle de publication de correctifs. Celui-ci sera, tout comme celui d’Adobe, calqué sur le « Patch Tuesday » de Microsoft.

XMCO :
XMCO a reçu cette semaine son accréditation lui permettant de délivrer la certification PCI DSS à ses clients.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité sur le compte Twitter du CERT-XMCO :
http://twitter.com/certxmco


Cert-XMCO