Avis d’expert : semaine du 15 au 21 novembre 2010

Avis d’expert : semaine du 15 au 21 novembre 2010

Le CERT-XMCO recommande l’installation du correctif APSB10-28 qui corrige de multiples vulnérabilités au sein d’Adobe Reader. Avec la précédente publication du bulletin APSB10-26 qui concernait le lecteur Flash, Adobe clôt ainsi l’alerte APSA10-05.

* Résumé des évènements majeurs :
Vulnérabilités :
Un chercheur a découvert une faille de sécurité au sein de la plate-forme Androïd. Cette faille est liée à la gestion de l’installation des applications depuis l’Androïd Market. Lorsqu’un utilisateur installe une application, celle-ci pourrait d’elle-même procéder automatiquement à l’installation d’autres applications. Le chercheur en a fait la démonstration en déposant une preuve de concept sous le nom « Angry Birds Bonus Levels » sur l’Androïd Market. Malgré appellation, « Angry Birds Bonus Levels » n’est en rien une extension du jeu populaire « Angry Birds ». L’installation de cette application entrainait celle de trois autres applications (à des fins de démonstration) aux noms de « Fake Contact Stealer », « Fake Location Tracker » et « Fake Toll Fraud ». Google a rapidement réagi en supprimant ces 4 applications de son Androïd Market.

Correctifs :
Apple a publié cette semaine un correctif pour son navigateur Internet Safari. De multiples failles de sécurité ont été corrigées. En incitant un internaute à visiter une page spécialement conçue, un pirate était en mesure d’accéder à certaines informations sensibles et de compromettre le système de sa victime.

OpenSSL a corrigé une faille de sécurité au sein de sa librairie. La faille de sécurité était relative au traitement des extensions TLS. Elle pouvait être exploitée par un pirate pour provoquer un déni de service, voire de compromettre un serveur utilisant les fonctionnalités offertes par la librairie. Apache n’est pas affecté par ce bogue. Dans le même temps, la fondation Apache a corrigé une faille de sécurité au sein du module « mod_fcgid » qui pouvait être exploité afin de provoquer un déni de service.

VMware a publié un correctif pour ses solutions de virtualisation ESX(i) Server. Les failles de sécurité provenaient du noyau Linux et du serveur Kerberos utilisé par la solution logicielle « Likewise ».

Enfin, Adobe a publié le correctif APSB10-28 pour Adobe Reader qui, avec l’APSB10-26 à destination de Flash, vient clôturer l’alerte APSA10-05. Cette alerte était liée à l’exploitation dans la nature d’une vulnérabilité référencée CVE-2010-3654 présente au sein du Flash Player. Les logiciels de la suite Acrobat, qui embarquaient le Flash Player au sein de la librairie partagée « authplay.dll », étaient également vulnérables. La version 9.4.1 d’Adobe Reader corrige enfin la faille de sécurité référencée CVE-2010-4091. Celle-ci était liée à la fonction « Doc.printSeps » du plug-in « EScript.api ». Tout d’abord, Adobe avait annoncé que son exploitation ne permettait de provoquer qu’un déni de service, mais ensuite un chercheur a publié un code d’exploitation prouvant qu’il était possible de compromettre un système par ce biais.

Cybercriminalité / Attaques :
Stuxnet est réapparu sur le devant de la scène. Symantec a complété son rapport pour y ajouter une étude du code embarqué dans le malware ciblant le PLC (« Programmable Logic Controller »). D’après cette étude, Stuxnet serait, entre autres, conçu pour modifier la vitesse de rotation de certains moteurs utilisés dans le cadre de la procédure d’enrichissement de l’uranium. Cette modification provoquerait, à terme, une usure prématurée de ce type d’équipement. Par ailleurs, le matériel ciblé a été identifié précisément (contrôleurs Siemens S7-315 et S7-417). De son côté, Trend Micro propose un outil qui permet de détecter les postes compromis par Stuxnet sur un réseau local. Enfin, le chercheur Ralph Langner propose de nombreux autres détails dans ses billets.

Adobe a annoncé la sortie imminente de la version X (10) de ses outils. Préférant prévenir plutôt que guérir, l’éditeur a pris les devants en annonçant qu’il existait un risque non négligeable que des pirates utilisent cet « évènement » dans le cadre d’attaques de phishing à l’encontre des internautes. En effet, la réputation internationale de l’éditeur, de son logiciel et de son identité visuelle ainsi que l’attente impatiente des internautes pour cette nouvelle version annoncée depuis longtemps font de cette sortie un terrain de jeux très propice pour les pirates.

Après BredoLab, c’est au tour du botnet KoobFace d’être mis en difficultés par les professionnels de la sécurité. En effet, le week-end dernier, un chercheur canadien a alerté un FAI anglais pour qu’il coupe l’accès à trois serveurs de commande et de contrôle (C&C). Koobface, qui se diffuse principalement via les réseaux sociaux, a fait l’objet d’un rapport complet sur son fonctionnement. Nart Villeneuve a rédigé ce rapport après avoir réussi à infiltrer un des serveurs de C&C des pirates. D’après le chercheur, ces informations seront utiles pour les forces de l’ordre lorsque celles-ci se pencheront sur ce botnet. En effet, ce dernier utilise de nombreuses techniques pour gêner les professionnels de la sécurité dans leur travail. Néanmoins, la disparition de 3 serveurs C&C ne signifie pas la fin de ce botnet. Comme l’opération Bredolab l’avait montré, il suffit d’un seul serveur de C&C restant pour que le botnet reparte.

Conférence / Recherche :
L’ENISA a publié récemment les premières conclusions (partielles) de la simulation « Cyber Europe 2010« . D’après les retours faits par les participants à l’agence, l’échange des leçons apprises par chacun d’entre eux est attendu avec impatience. La participation du secteur privé à cet exercice est attendue pour la prochaine édition. Enfin, les différents avancements des États membres dans la mise en place de procédure de réaction à ce type de menace mettent clairement en évidence le manque cruel d’un plan de réaction européenne uniforme. Par ailleurs, l’ENISA a su montrer son rôle de leader dans l’organisation ce type d’exercice et sera donc attendue de pieds fermes pour le prochain exercice.

Entreprises :
Adobe a publié cette semaine la version X (10) de sa suite logicielle Acrobat. Cette version majeure de Reader et d’Acrobat est l’occasion pour Adobe de mettre en place une nouvelle architecture et d’ajouter d’un bac à sable (« sandbox ») qui vise à protéger, au mieux, les utilisateurs et les clients des nombreuses attaques menées par les pirates. Quatre billets postés par Adobe présentent en détail ces nouvelles caractéristiques. À noter, ce « bac à sable » n’est actuellement disponible que pour les plates-formes Windows.

Une semaine après avoir annoncé l’extension de son programme de récompense, Google annonce que 20 000 dollars de récompense sont déjà en cours d’attribution. D’après le comité d’attribution des récompenses, celles-ci seraient plutôt généreuses pour cette première phase de lancement. En effet, plusieurs vulnérabilités mineures n’auraient pas dû être éligibles en temps normal. Cependant, Google reconnaît qu’un certain nombre de rapports sont d’excellentes qualités.

International :
Dans un rapport publié cette semaine par une commission américaine dépendant du Congrès, les États-Unis accusent la Chine d’être les commanditaires d’un détournement massif des communications sur Internet [26]. Le 8 avril dernier, de 3:00pm UTC à 3:18pm UTC, deux opérateurs chinois ont détourné près de 15 % du trafic Internet mondial en annonçant des « routes » BGP erronées. Ce n’est pas la première fois qu’un tel détournement du trafic à lieu, mais l’importance du trafic détourné, ainsi que les cibles laissent un fort doute. En effet, ce détournement ciblait principalement les communications à destination, ou en provenance, des domaines « .gov » et « .mil » des États-Unis et de certains de leurs Alliés comme le Royaume-Uni, le Japon ou encore l’Australie. De nombreuses organisations publiques comme le Sénat, les différentes armées (Air, Terre, Marine), le secrétariat à la Défense, la NASA, ainsi que de nombreuses autres agences gouvernementales ont aussi été impactées. Enfin, le secteur privé n’a pas été épargné par ce détournement. Des sociétés comme Dell, IBM, Microsoft ou encore Yahoo pourraient avoir été touchées. Il est impossible de savoir ce qu’il est advenu des données qui ont transité par la Chine.

XMCO :
L’application iCERT-XMCO pour iPad est maintenant disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6

Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmco.fr/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO