Avis d’expert : semaine du 25 au 31 octobre 2010

Avis d’expert : semaine du 25 au 31 octobre 2010

Le CERT-XMCO recommande de mettre en place une solution temporaire de protection contre l’exploitation de la faille de sécurité affectant le lecteur Flash embarqué au sein du logiciel Adobe Reader (CVE-2010-3654, APSA10-05). Pour cela, le CERT-XMCO recommande de supprimer la libraire « authplay.dll » en attendant la publication d’un correctif par Adobe.

* Résumé des évènements majeurs :
Vulnérabilités :
Une vulnérabilité critique au sein de Firefox a été découverte par un adolescent de 12 qui s’est donc vu récompensé par la « nouvelle » prime de 3000 $ offerte par Mozilla. Peu de temps après, un 0day a été découvert sur le site du prix Nobel. Celui-ci permettait d’exploiter une faille de sécurité inconnue jusqu’alors au sein de la fonction JavaScript « document.write() ». Mozilla a réagi très rapidement en publiant un correctif en 2 jours.

Adobe a publié cette semaine le bulletin d’alerte APSA10-05 à la suite de l’exploitation sur Internet d’une faille de sécurité au sein du lecteur Flash. Des documents PDF embarquant une animation Flash malveillante ont été envoyés aux internautes dans le cadre d’une campagne d’envoi massif de pourriels. La suppression de la librairie partagée « authplay.dll » présente dans le répertoire d’installation d’Adobe Reader permet de protéger les utilisateurs de ce logiciel contre l’exploitation de cette faille via le format de fichier PDF. Néanmoins, aucune solution autre que la désinstallation n’est actuellement disponible pour protéger les utilisateurs de Flash Player…

Une faille de sécurité au sein de l’iOS a été découverte. Un pirate serait en mesure de contourner le verrouillage d’un iPhone afin d’accéder à l’ensemble du carnet d’adresses d’un utilisateur, voire de réaliser des appels téléphoniques.

Après avoir découvert la faille de « DLL hijacking« , Across Security vient de faire resurgir une autre faille similaire, liée à la gestion de l’expansion par Windows des variables (telles que « %APPDATA% ») contenues dans le « PATH ». L’exploitation de cette faille de sécurité en parallèle du chargement automatique des librairies partagées depuis le dossier courant permet alors à un pirate de prendre le contrôle d’un système distant.

Correctifs :
Adobe a publié cette semaine le bulletin APSB10-25 proposant un correctif à la faille de sécurité référencée CVE-2010-3653 affectant Shockwave qui avait été présentée dans le bulletin d’alerte APSA10-04. De nombreuses autres failles de sécurité ont été corrigées par la même occasion. Même si celles-ci ne sont pas actuellement exploitées sur Internet, un code d’exploitation est disponible. Le CERT-XMCO recommande donc l’installation de la version 11.5.9.615 de Shockwave.

Exploits :
Un code d’exploitation a été publié sur Internet. Celui-ci permet d’exploiter la vulnérabilité référencée CVE-2010-3552 récemment corrigée par Oracle dans la dernière version de Java (6 Update 22) lors de la publication de son bulletin « javacpuoct2010« . La faille de sécurité provient d’un manque de validation du paramètre « docbase », et permet à un pirate de prendre le contrôle à distance d’un système vulnérable en incitant simplement un utilisateur à visiter une page internet malveillante.

Cybercriminalité / Attaques :
Zeus continue de faire parler de lui. Ses nouvelles fonctionnalités ont été l’occasion de publier de nouveaux articles. Une rumeur stipulerait par ailleurs l’arrêt de son développement par Slavik, son développeur, et la prise de sa succession par Harderman, le développeur du concurrent SpyEye. La médiatisation trop importante de Zeus ces derniers temps est probablement la cause de la fusion de ces deux outils malveillants. Le retrait de Slavik de la scène pirate lui permettrait ainsi de se faire plus discret, et de faire retomber toute l’attention qui était portée sur lui. Dans le même temps, cette évolution permet à Harderman de revoir à la hausse les prix de son outil…

Les pirates composant la Cyber-Armée Iranienne auraient amorcé un changement de stratégie en mettant sur pied un botnet d’environ 400 000 machines. Ce botnet serait pour le moment loué à d’autres pirates pour mener à bien leurs cyberattaques, mais il pourrait être à terme utilisé par ce groupuscule pour réaliser d’autres types de méfaits ; par exemple en représailles à l’infection par Stuxnet de l’Iran…

Le botnet Bredolad a été démantelé par les autorités néerlandaises. Pour cela, une méthode juridiquement exotique a été utilisée. En effet, les spécialistes néerlandais ont piraté à leur tour les zombies composant le botnet afin d’avertir les utilisateurs de la compromission, et de leur demander de « nettoyer » leur machine. Une telle méthode est légalement interdite dans bon nombre de pays dans lesquels se trouvaient les systèmes infectés…

D’après l’étude « Mapping the Mal Web » de McAfee, les domaines .com et .vn serait les plus « dangereux ». Ceux-ci hébergeraient le plus de pages Internet malveillantes…

Une autre étude menée par la société Damballa stipule que les pays occidentaux hébergeraient la majorité des serveurs de commande et de contrôle (C&C). Les résultats de cette étude ont été sévèrement critiqués [19] par bon nombre de spécialistes des botnets, pour qui le travail de Damballa n’a pas été fait de façon correcte…

Koobface fait encore parler de lui. Une nouvelle variante appelée « boonana » a fait son apparition sur Internet. Celle-ci permet maintenant de compromettre aussi bien les postes des utilisateurs de réseaux sociaux sous Windows, que sous Mac OS ou encore sous Unix…

Un nouveau type d’attaque contre le système bancaire a été découvert. Le principe des « Flash attacks » est de réaliser un nombre très important de petits débits passants sous la limite des systèmes de détection de fraude en un court laps de temps. Pour cela, les pirates dérobent les informations contenues dans la bande magnétique d’une carte bancaire à l’aide d’un « skimmer » présent sur un automate (DAB). Un grand nombre de copies de cette carte est ensuite réalisé à partir de ces informations. Les pirates n’ont ensuite plus qu’à s’organiser pour définir une date et une heure précise auxquelles les milliers de copies seront utilisées au travers du monde pour retirer de l’argent depuis un compte unique. Ce type d’attaque ne fonctionne bien évidemment que dans les pays faisant encore confiance à la piste magnétique, mais il est important de rappeler que l’ensemble de cartes bancaires est encore équipé d’une telle piste. Les Français peuvent donc potentiellement être pris pour cible d’une telle attaque…

Conférence / Recherche :
Dans le cadre de la douzième édition de la conférence internationale Toorcon qui se tenait à San Diego aux États-Unis, le chercheur Éric Butler a publié une extension Firefox dénommée FireSheep permettant de montrer les dangers pour les utilisateurs d’une mauvaise gestion par les sites internet de l’identification et de l’authentification. En effet, lorsque le protocole de chiffrement SSL/TLS est uniquement utilisé pour l’authentification, un pirate est alors en mesure de réaliser des attaques lui permettant de dérober le cookie de session dans les échanges HTTP réalisés entre un client et un serveur afin d’usurper l’identité d’un internaute sur un site. FireSheep permet par exemple de dérober les cookies de session en écoutant les communications effectuées sur un réseau (WiFi) peu sécurisé, et de les utiliser extrêmement simplement en cliquant directement sur l’icône associée au site vulnérable. Attention à ne pas se méprendre, cette attaque n’est en rien liée à Mozilla. La plateforme est ici simplement utilisée pour sa flexibilité. Par ailleurs, les internautes sont encouragés à naviguer sur les versions SSL/TLS des sites qu’ils visitent.

Les chercheurs de l’université de Cambridge ont publié cette semaine le code source ainsi que les plans de la maquette utilisée pour démontrer la faille de sécurité présente au sein du protocole EMV. Pour rappel, ces chercheurs avaient démontré il y a plusieurs mois qu’il était possible de réaliser des payements avec des cartes bancaires dérobées sans avoir besoin d’en connaitre le code PIN…

Entreprises :
Apple a annoncé cette semaine vouloir supprimer certains logiciels historiquement vulnérables afin de renforcer la sécurité de son système d’exploitation. Le lecteur Flash d’Adobe, tout comme Java pourrait donc faire les frais de cette nouvelle directive d’Apple… Il resterait bien entendu la possibilité aux utilisateurs de Mac OS d’installer ces logiciels tiers manuellement.

Prévention :
Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) a clôturé son initiative de sensibilisation à la sécurité informatique. Son Mois de la Sensibilisation à la Cyber-Sécurité (« Cyber Security Awareness Month », aka « CSAM ») a été l’occasion de recommander la mise en place de 31 bonnes pratiques concernant l’informatique au sein du cercle familial, scolaire et professionnel.

XMCO :
Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmco.fr/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO