Avis d’expert : semaine du 1 au 7 novembre 2010

Avis d’expert : semaine du 1 au 7 novembre 2010

Le CERT-XMCO recommande l’installation des correctifs disponibles pour Adobe Flash Player, proposés dans son bulletin APSB10-26. Cette publication fait suite au bulletin d’alerte APSA10-05 dans lequel Adobe alertait ses clients de la découverte d’une vulnérabilité 0day au sein de Flash Player. L’éditeur devrait publier d’autres mises à jour corrigeant la même vulnérabilité le 9 novembre (pour Flash Player sur Androïd) ainsi que dans la semaine du 15 novembre (Adobe Reader et d’Acrobat). Pour ces deux derniers logiciels, le CERT-XMCO recommande la suppression de la librairie partagée « authplay.dll » en tant que solution de contournement provisoire.

* Résumé des évènements majeurs :
Vulnérabilités :
Adobe a révélé cette semaine l’existence d’un 0-day permettant d’exécuter du code via un fichier PDF sous Adobe Reader. La faille référencée CVE-2010-4091 provient de la fonction JavaScript « printSeps() ». Un correctif devrait être publié le 15 novembre. Un code d’exploitation a été diffusé sur internet.

Peu de temps auparavant, alors que le correctif APSB10-25 venait tout juste d’être publié, une autre vulnérabilité difficilement exploitable pour un pirate avait été révélée au sein de Shockwave Player. L’exploitation de celle-ci permet à un attaquant distant de prendre le contrôle d’un système vulnérable. Il était néanmoins nécessaire pour cela d’inciter un utilisateur à ouvrir la fenêtre de préférences ainsi qu’à ouvrir une page Internet spécialement conçue pour pouvoir exploiter cette faille à distance…

Une faille de sécurité critique au sein d’Internet Explorer (6, 7 et 8) a été découverte. En incitant un utilisateur à visiter une page Internet spécialement conçue, un pirate est en mesure de compromettre un système vulnérable. La faille de sécurité provient de la gestion de l’attribut « clip » par la librairie partagée « mshtml.dll ». Microsoft a réagi en publiant le bulletin de sécurité référencée KB2458511. Un code d’exploitation fonctionnel est déjà disponible sur Internet.

Correctifs :
Adobe a publié cette semaine son bulletin de sécurité APSB10-26 corrigeant plusieurs failles de sécurité au sein de son lecteur Flash, dont la vulnérabilité référencée CVE-2010-3654 présentée dans le bulletin d’alerte APSA10-05. Dans le même temps, des correctifs pour Flash sur Androïd ainsi que pour Reader et Acrobat ont été annoncés pour le 9 novembre et pour la semaine du 15.

Une faille de sécurité critique a été corrigée au sein de ProFTPd. Celle-ci permettait de prendre le contrôle d’un serveur à distance. Un code d’exploitation est disponible sur Internet.

Une autre faille de sécurité a été corrigée au sein du serveur DHCP de l’ISC. Son exploitation permettait à un pirate de provoquer un déni de service.

Exploits :
Un code d’exploitation de la vulnérabilité référencée CVE-2010-3654 affectant Flash Player (voir APSA10-05) a été publié sur Internet.

Cybercriminalité / Attaques :
Un nouveau mode de distribution de malware a fait son apparition sur Internet. Un pirate a eu l’idée de donner son malware spécialisé dans le vol d’informations à ces « clients ». Ceux-ci, qui sont en général spécialisés dans la dissémination, se chargent de la mise en place de campagne visant à propager et à installer le cheval de Troie sur un grand nombre de machines. Une fois installé ; les deux pirates reçoivent une copie des informations dérobée. Ainsi chacun travaille pour la réussite de l’opération complète : le développeur créé un malware « techniquement » efficace, pendant que ses « clients » se chargement de garantir son installation sur les postes des victimes.

Conférence / Recherche :
Une étude ciblant la qualité du code source d’Androïd a été publiée par la société Coverity. La qualité du code serait particulièrement bonne de manière générale, avec deux fois moins de bogues qu’habituellement dans le domaine industriel (0,47 défaut pour 1000 lignes de code au lieu de 1 défaut pour 1000 lignes de code). Cependant, les portions du noyau spécifiques à Androïd, lequel est largement dérivé de Linux, ont une plus grande densité de défaut que le reste du kernel (0,78 défaut pour 1000 lignes de code).

Entreprises :
Google a annoncé cette semaine l’extension de son programme de récompense. Celui-ci permettait jusqu’à présent aux chercheurs ayant découvert une faille de sécurité au sein de Google Chrome de se voir offrir une somme d’argent allant jusqu’à 3133,7 dollars en fonction de la criticité de la découverte. Avec cette extension, les chercheurs sont donc maintenant invités à rechercher des failles de sécurité présente au sein des applications web. Seuls certains domaines ainsi que leurs sous domaines sont concernés, par exemple google.com ou encore youtube.com. Le géant de la recherche a néanmoins cadré très précisément les limites auxquels les chercheurs doivent se tenir. Pas question par exemple d’attaquer les infrastructures des opérateurs tiers hébergeant ses services…

Google et Facebook ont réagi à de récentes critiques dans le domaine de la protection de la vie privée de leurs utilisateurs. Google a ainsi retiré de son « Androïd Market » une application malveillante appelée « Secret SMS Replicator » pouvant être utilisée par un pirate afin d’obtenir une copie des messages texte envoyés à un utilisateur. De son côté, Facebook a réagi à une récente étude dans laquelle un chercheur avait montré que bon nombre d’application transmettait, voir revendait des informations personnelles.

La version 2.0 du standard PCI-DSS a officiellement vu le jour. Au programme, pas de grandes nouveautés, mais plutôt de nombreuses clarifications. Celle-ci deviendra applicable à partir du 1er janvier 2011. Parmi les changements, cette mise à jour a été l’occasion d’un alignement des cycles de publication avec les standards PA-DSS et PTS. Les experts auraient aimé voir certains sujets tels que la « tokenization » traités. Espérons que la prochaine version prévue normalement pour 2014 inclura les nombreux retours d’expérience des professionnels sur ce sujet…

International :
La seconde partie de la simulation « Cyber Europe 2010 » s’est tenue cette semaine. Organisée par l’ENISA, cette première édition de l’exercice de protection des infrastructures critique a permis à l’ensemble des acteurs européens (plus de 150 personnes) impliqués d’établir des relations de confiance, de prendre conscience des différences existantes, de tester les canaux de communication, de mettre en avant l’interdépendance et enfin d’aider les états membres à valider les procédures existantes et à en mettre en place de nouvelle, lorsque nécessaires.

Prévention :
Sophos a publié une version gratuite de son antivirus « Sophos Anti-Virus Home Edition for Mac » à destination des systèmes Mac OS.

XMCO :
Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmco.fr/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO