Avis d’expert : semaine du 22 au 28 novembre 2010

Avis d’expert : semaine du 22 au 28 novembre 2010

Le CERT-XMCO alerte ses lecteurs de la publication de plusieurs codes d’exploitation ciblant les systèmes Windows (élévations de privilèges exploitant des vulnérabilités du noyau [1] et du planificateur de tâche [2], déni de service d’un serveur IIS [3] et vulnérabilités Java [4]).
XMCO recommande donc l’installation des mises à jour proposée respectivement par Microsoft et Oracle dans les bulletins de sécurité MS10-065 [5] et JavaCpuOct2010 [6] (Java 6 Update 22). Concernant les deux élévations de privilèges, aucun correctif n’est actuellement proposé par Microsoft.
Le CERT-XMCO recommande de restreindre l’accès au planificateur de tâches aux utilisateurs de confiance, ainsi que de placer la clef de registre « HKCU\EUDC\[Language]\SystemDefaultEUDCFont » en lecture seule.

* Résumé des évènements majeurs :
Vulnérabilités :
Un chercheur a découvert plusieurs failles de sécurité présentes au sein d’Androïd [7] pouvant être exploitées pour accéder à certaines informations sensibles. Aucun correctif n’est actuellement disponible. Google prévoit de corriger ces failles dans la prochaine version « GingerBread » de son système d’exploitation pour smartphone.

Correctifs :
Apple a publié la version 4.2 du système d’exploitation iOS [8]. L’exploitation des nombreuses failles de sécurité permettait à un pirate d’accéder à des informations sensibles, voire de compromettre un système mobile.

Cybercriminalité / Attaques :
Plusieurs codes d’exploitation ont été publiés cette semaine.
Le premier concerne la vulnérabilité 0day actuellement exploitée par Stuxnet. Celle-ci est liée au planificateur de tâches de Windows [9] et permet à un attaquant local d’élever ses privilèges. La faille affecte les dernières versions du système d’exploitation : Windows Vista, Windows 7 et enfin Windows 2008. Le code d’exploitation étant disponible au sein d’un célèbre framework d’exploitation, le CERT-XMCO recommande la restriction de l’accès au planificateur de tâche afin de n’autoriser que les utilisateurs de confiance à y accéder.
Un second code d’exploitation ciblant Windows [10] a été publié dans la même semaine. Ce code permet une fois de plus d’élever localement ses privilèges sur les systèmes d’exploitation récents de Microsoft. D’après certaines sources, il pourrait être possible d’exploiter celle-ci sur Windows XP. La faille permet donc de contourner l’UAC implémenté par Microsoft. Celle-ci est liée à la façon dont la fonction « NtGdiEnableEUDC » traite les données retournées par la fonction « RtlQueryRegistryValues » lors de la lecture de la clef de registre « HKCU\EUDC\[Language]\SystemDefaultEUDCFont ». Le CERT XMCO recommande de mettre en place une solution de contournement afin de limiter le risque d’exploitation de cette faille de sécurité. Il est nécessaire pour cela de définir les droits d’accès à cette clef de registre en lecture seule.
Un autre code d’exploitation permettant de provoquer un déni de service sur un serveur web Microsoft IIS [11] a été publié. La vulnérabilité référencée CVE-2010-1899 [11] est liée au traitement des requêtes HEAD sur les pages ASP. Le CERT-XMCO recommande l’installation du correctif de sécurité MS10-065 [12]publié au cours du mois de septembre.

Enfin, une dernière preuve de concept permettant de compromettre un système utilisant le plug-in Java [13] a été publiée. La vulnérabilité référencée CVE-2010-3563 [14] est liée à la gestion des politiques de sécurité par l’exécutable « javaws » (Java Web Start) lorsque celui-ci est appelé au sein de la classe « BasicServiceImpl ». Le CERT-XMCO recommande l’installation de l’Update 22 de Java 6 [15] qui a été publié par Oracle dans son bulletin de sécurité « JavaCpuOct2010 » [17].

Cybercriminalité / Attaques :
Un pirate a détourné le compte Twitter [18] d’un officiel Indonésien pour annoncer l’arrivée d’un faux tsunami. La victime a fait de son mieux pour reprendre rapidement le contrôle de son compte afin d’éviter tout débordement de foule. Il semblerait que la victime utilisait un mot de passe faible.

Comme Adobe l’avait annoncé [19], des pirates mènent actuellement de nombreuses campagnes d’envoi de pourriel [20] afin d’inciter les utilisateurs à installer des malwares à leur insu. Le thème utilisé est la sortie de la dernière version X (10) des outils de l’éditeur. Dans le même temps, des chercheurs ont détecté l’exploitation sur Internet [21] de la faille de sécurité référencée CVE-2010-4091 [22] récemment corrigée par Adobe lors de la publication du bulletin APSB10-28 [23] (Adobe Reader). Le CERT-XMCO recommande donc l’installation de la version 9.4.1 ou encore de la version X (10) de ce logiciel.

Contrairement à ce qui avait été annoncé, le développement de Zeus [24] se poursuit. Le malware devrait bientôt bénéficier d’un système de plug-ins provenant de son concurrent direct SpyEye. Dans le même temps, le développement de SpyEye semble être arrêté. Néanmoins, le botnet continue de grossir et de prendre de l’importance…

Conférence / Recherche :
Le SANS [25] a publié une mise à jour de ses prévisions pour 2011 et 2012 concernant les évolutions à venir dans le petit monde de la sécurité. La sécurité ne devrait plus être perçue de la même façon par les clients. Cette industrie qui était auparavant une sorte de niche va prendre de la hauteur et devenir de plus en plus reconnue. Les attaques ciblées récentes du type Stuxnet ou encore Aurora devraient être de plus en plus fréquentes. L’ingénierie sociale, ainsi que les médias sociaux, devrait être exploitée dans des attaques de plus en plus complexes. En réponse à cela, la sensibilisation devrait donc être un nouvel axe de lutte contre la prolifération des malwares. La conformité, et les standards tels que PCI-DSS devraient prendre de plus en plus d’importance, et murir au fil du temps. Enfin, le cloud-computing devrait continuer à prendre de l’importance, mais ses utilisateurs prendront dans le même temps conscience des nombreux problèmes associés (audit, flexibilité…). Après la présentation dans le cadre d’une conférence organisée par l’OWASP d’un nouveau type d’attaque en déni de service reposant sur la méthode HTTP POST, deux outils viennent d’être publiés. Pour réaliser cette attaque, RUDY [26] (pour R-U-Dead-Yet) et OWASP HTTP Post Tool [27] s’inspirent de SlowLoris et reposent sur un envoi très lent du corps de la requête POST au serveur. D’après leurs auteurs, il est encore plus difficile de se protéger efficacement contre ce type d’attaques que contre SlowLoris. Le chercheur néerlandais Berend-Jan Wever aussi connu en tant que « SkyLined » a publié un article [27] dans lequel il annonce avoir réussi à contourner l’une des protections apportées par l’outil Enhanced Mitigation Experience Toolkit (EMET) de Microsoft. Pour rappel, EMET permet de gérer et d’ajouter des fonctions de sécurité utilisées au sein du système d’exploitation Windows et des applications reposant sur celui-ci. D’après lui, « Export address table Address Filter » (EAF) est censé protéger un système contre l’utilisation des fonctions systèmes sensibles par des codes non « valides » (comprendre « shellcode »). Cette sécurité repose donc sur la validation du code faisant appel aux fonctions exportées par les librairies partagées « ntdll.dll » et « kernel32.dll ». Cette dernière empêche ainsi un pirate ayant réussi à corrompre la mémoire d’un système d’utiliser les fonctions sensibles lui permettant de compromettre un système. D’après le chercheur qui travaille pour Google, cette protection est facilement contournable, et cela, même si l’algorithme de fonctionnement d’EAF venait à être retouché… En conséquence, même si celle-ci venait à être adoptée en masse, les pirates n’auraient qu’à modifier légèrement leurs codes d’exploitation afin de la contourner…

Entreprises :
La société Secunia spécialisée en sécurité a été victime d’un piratage. Plus précisément, le serveur DNS permettant de résoudre le nom de domaine de la société a été piraté afin de diriger les internautes vers un serveur web contrôlé par le pirate. Cette attaque menée contre un grand nom de la sécurité montre une fois de plus le rôle critique de l’architecture DNS sur laquelle repose une part importante de l’internet.

Google a réagi rapidement à la publication par un chercheur d’une preuve de concept permettant d’exploiter une vulnérabilité présente au sein de l’une des nombreuses API Google. Celle-ci permettait de forcer un internaute visitant un site malveillant en étant connecté à son compte Gmail à envoyer un courriel. Google a mis hors-ligne le blogue hébergé sur la plateforme Blogspot afin de protéger les internautes, et a dans le même temps corrigé la vulnérabilité présente dans son API.

International :
Récemment plusieurs chercheurs reconnus sur la scène internationale comme Moxie Marlinspike ont été arrêtés et auditionnés par les douanes américaines alors qu’il rentrait d’un voyage à l’étranger. Dernièrement, les forces de l’ordre ont essayé pénétré le portable du chercheur, ainsi que ces téléphones portables. Le chercheur a refusé de fournir les mots de passe leur permettant d’accéder au contenu de son ordinateur et a été libéré au bout de quelques heures. Néanmoins, celui-ci craint que le matériel ait été piraté à son insu…

L’Union Européenne, les États-Unis et l’OTAN viennent d’adopter plusieurs mesures relatives à la sécurité dans le cyberespace.
La Commission européenne a annoncé en début de semaine ses propositions relatives au développement de trois systèmes destinés à élever le niveau de sécurité dans le cyberespace :

  • Un centre européen du cybercrime sera établi d’ici 2013. Celui-ci coordonnera les actions entre les différents états membres, les institutions de l’Union européenne et les partenaires internationaux.
  • Un système de partage d’information et d’alerte devrait également être mis en place d’ici 2013. Ce dernier facilitera la communication entre les différentes équipes de réponse à incidents et les autorités compétentes.
  • Enfin, la Commission souhaiterait la création d’un réseau de CERT d’ici 2012, avec un CERT dans chaque pays de l’Union. L’objectif de la mise en place de ce nouveau réseau serait de gérer le flot d’informations dans le but de prévenir les cyberattaques.

Dans le même temps, le président des États-Unis, le président de la Commission européenne et le président du Conseil de l’Europe ont annoncé la mise en place d’un groupe de travail sur la cybersécurité. Ce groupe se concentrera sur l’aspect commercial et les menaces potentielles concernant le consommateur lambda. L’Union Européenne et les États-Unis devraient également établir un compromis sur la protection des données personnelles. Ce compromis devrait faciliter la conclusion d’autres accords sur les transferts de données, par exemple concernant les enregistrements de noms de passagers.

Enfin, l’OTAN a, de son côté, adopté son « concept stratégique » lors du sommet à Lisbonne. Ce document contient des plans pour le développement de nouvelles mesures pour combattre les cyberattaques sur les réseaux militaires. Ce nouveau concept stratégique remplace un document de 10 ans d’âge et cherche donc à s’adapter à l’ère d’Internet.

Justice :
Un pirate écossais vient d’être condamné à 18 mois de prison et 5 000 livres d’amende pour avoir compromis plusieurs milliers de machines. Matthew Anderson, âgé de 33 ans et père de 5 enfants, utilisait son botnet pour envoyer des pourriels, voler des données personnelles ou encore, espionner ses victimes par le biais de leur webcam. L’homme n’en était pas à son premier acte malveillant sur internet. En effet, il avait déjà été impliqué dans des attaques de dénis de service à l’encontre du « British National Party » et du « Countryside Alliance ».

XMCO :
L’application iCERT-XMCO pour iPad est maintenant disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6

Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmco.fr/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO