Avis d’expert : semaine du 8 au 14 novembre 2010

Avis d’expert : semaine du 8 au 14 novembre 2010

Le CERT-XMCO recommande l’installation des correctifs Microsoft jugés comme étant « importants » par l’éditeur : MS10-088 (PowerPoint), MS10-089 (Forefront Unified Access Gateway) et plus particulièrement du MS10-087 qui affecte Microsoft Office et qui est jugé « critique ».

* Résumé des évènements majeurs :
Correctifs :
Dans le cadre de son « Patch Tuesday » du mois de novembre, Microsoft a publié les bulletins de sécurité MS10-087 (MS Office), MS10-088 (PowerPoint) et MS10-089 (Forefront Unified Access Gateway). Ces bulletins sont jugés comme étant critiques pour Office, et important pour les deux autres.
Adobe a publié cette semaine son bulletin de sécurité APSB10-27 proposant un correctif pour Flash Media Server.
Apple a, de son côté, publié des correctifs pour QuickTime et Mac OS X. En incitant un utilisateur à ouvrir un document multimédia spécialement conçu avec QuickTime, un pirate était en mesure de compromettre un système à distance. Concernant Mac OS, de très nombreux composants logiciels du système d’exploitation ont été mis à jour. L’exploitation des vulnérabilités permettait à un pirate de compromettre un système.

Exploits :
Plusieurs exploits ont été rendus publics cette semaine. Le premier permet d’exploiter une vulnérabilité référencée CVE-2010-3867 découverte la semaine dernière au sein de ProFTPd dans la gestion des commandes Telnet IAC.
La deuxième preuve de concept permet d’exploiter la vulnérabilité référencée CVE-2010-3962 présentée la semaine dernière au sein d’Internet Explorer. La faille de sécurité était liée à la gestion de l’attribut « clip » par la librairie partagée « mshtml.dll ». L’exploitation de cette erreur permet à un pirate de corrompre la mémoire d’un système distant, afin d’en prendre le contrôle après avoir incité un utilisateur à visiter une page Internet spécialement conçue. Microsoft n’a toujours pas publié de correctif, mais propose une solution de contournement.
Enfin, une preuve de concept exploitant une vulnérabilité (CVE-2010-4091) présente au sein d’Adobe Reader et permettant de corrompre la mémoire du processus a été publiée. Celle-ci contredit les propos d’Adobe qui annonçait que l’exploitation de cette vulnérabilité permettait uniquement de provoquer un déni de service. Cette vulnérabilité est liée à l’utilisation de la fonction « Doc.printSeps » du plug-in « EScript.api ». Une solution de contournement et un correctif ont néanmoins été proposés.

Cybercriminalité / Attaques :
Des pirates ont exploité pour la seconde fois en peu de temps l’identité de l’organisation du Prix Nobel pour inciter des utilisateurs à ouvrir un document malveillant. Après avoir compromis le site internet de l’organisation, les pirates ont, cette fois, envoyé un grand nombre de pourriels contenant une invitation à la cérémonie de remise du prix qui se tenait le 11 novembre dernier. Ce courriel, prétendument envoyé par « Alex Gladstein », le vice-président à la Statégie de l' »Oslo Freedom Forum », contenait en pièce jointe un PDF malveillant intitulé « invitation.pdf ». Ce document spécialement conçu permettait d’exploiter la vulnérabilité référencée CVE-2010-2883, récemment corrigée par Adobe dans son bulletin de sécurité APSB10-21.
Dans le même temps, des criminels ont utilisé la dernière faille de sécurité 0day ciblant Internet Explorer après avoir piraté le site de la branche d’Amnesty International basée à Hong Kong. L’objectif était de compromettre les systèmes des internautes visitant le site avec le navigateur de Microsoft. Un code d’exploitation de cette même faille a parallèlement été ajouté au kit d’exploitation « Eleonor« . Cette mise à jour de l’outil destiné aux pirates a donc eu lieu moins de 2 jours après que le code d’exploitation ait été dans la nature, et environ une semaine après que la faille ait été rendue publique…
Enfin, une campagne de distribution de pourriels a été lancée visant plus spécifiquement des spécialistes de la sécurité informatique [23]. Un lien les dirigeait vers un faux centre de commande et de contrôle d’un botnet reposant sur Zeus. L’objectif des pirates était de diriger ces chercheurs vers un pot de miel (« honeypot ») afin de récupérer diverses informations telles que leurs adresses IP. Ces informations pourraient avoir une valeur ajoutée très importante pour les pirates dans un futur plus ou moins proche. En effet, en relevant les adresses IP de leurs victimes, les pirates pourraient configurer leurs systèmes malveillants afin d’empêcher les spécialistes de s’y connecter.

Conférence / Recherche :
BlackSheep, une nouvelle extension pour Firefox permet de contrer les pirates utilisant Firesheep ou tout autre programme permettant de réaliser une attaque de vol de session en écoutant le trafic réseau (« HTTP Session Hijacking »/ »sidejacking ») sur un réseau local. De faux cookies de session sont ainsi envoyés afin de piéger les pirates.
Le monde de la sécurité est actuellement en pleine mutation. Après Google et Mozilla, c’est au tour de Baracuda Networks de lancer son programme de récompense lors de la découverte de failles de sécurité.

Entreprises :
Microsoft a été fortement critiquée cette semaine par ses concurrents pour avoir débuté une campagne de promotion de son antivirus « Security Essentials« . En effet, le géant de Redmond a utilisé son service Windows Update afin de pousser ses clients américains dépourvus d’antivirus à installer le produit estampillé Microsoft. Il semblerait donc que la forte réprimande européenne liée au manque de concurrence dans le domaine des navigateurs ait porté ces fruits…

XMCO :
L’application iCERT-XMCO pour iPad est maintenant disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6

Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmco.fr/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO