Avis d’expert : semaine du 14 au 20 février 2011

Avis d’expert : semaine du 14 au 20 février 2011

* Avis d’expert :
Le CERT-XMCO recommande l’installation de l’Update 24 de Java 6. Cette mise à jour a été publiée par Oracle dans le cadre de son cycle de sécurité. Comme le précise le bulletin de sécurité JavaCpuFeb2011; celle-ci corrige plusieurs failles de sécurité critiques au sein de la suite Java.

* Résumé des évènements majeurs :
Vulnérabilités :
Plusieurs failles de sécurité ont été découvertes cette semaine au sein d’OpenLDAP, du moteur PHP et de l’outil Oracle Database Export.
Une autre vulnérabilité a été découverte au sein du composant Active Directory de Windows. Son exploitation permettrait de provoquer un déni de service, voire d’élever localement ses privilèges.

Enfin, Charlie Miller a annoncé avoir découvert la faille de sécurité qu’il utilisera pour remporter le prix associé à l’exploitation de Safari lors du concours Pwn2Own. En conséquence, le chercheur a seulement réalisé cette annonce et n’a fourni aucune information sur cette faille.

Correctifs :
Oracle a publié son bulletin JavaCpuFeb2011 proposant une mise à jour de sa JVM. De nombreuses failles de sécurité ont été corrigées. Leur exploitation permettait à un pirate d’aller jusqu’à prendre le contrôle d’un système distant.

De nombreux autres correctifs ont été publiés cette semaine. Parmi les logiciels concernés se trouvent les produits VMware, PhpMyAdmin, TYPO3, Internet GateKeeper de F-Secure, Cisco Security Agent, Novell ZenWorks Configuration Management et enfin ClamAV.

Exploits :
Plusieurs exploits ont été publiés au cours de cette semaine. Parmi les logiciels ciblés, Oracle Database Export, IBM Lotus Domino, Novell ZenWorks Configuration Management et iPrint Server.

De plus, un module a été ajouté au framework d’exploitation Metasploit permettant d’exploiter la faille de sécurité découverte au sein de la fonction « BowserWriteErrorLogEntry() » du pilote Windows NT SMB Minirdr (« mrxsmb.sys ») [18]. L’exploitation de cette faille permet à un pirate de provoquer un déni de service d’un serveur Active Directory via l’envoi d’une requête SMB « Browser Election » spécialement conçue.

Cybercriminalité / Attaques :
Un général israélien se serait attribué les crédits de la planification et de la mise en place de l’attaque « Stuxnet » dans une vidéo présentée lors d’une soirée en l’honneur de son départ en retraite. Cette vidéo a ensuite été publiée sur Internet par le journal Haaretz.

McAfee a publié une étude présentant une attaque baptisée « Night Dragon« . Celle-ci viserait particulièrement les géants du secteur de l’industrie énergétique et reposerait sur différentes attaques classiques telles que du phishing, de l’ingénierie sociale ou encore l’exploitation de vulnérabilités Windows.

Conférence / Recherche :
La société Damballa, spécialisée dans l’étude des botnets, a publié cette semaine le top 10 de ces réseaux constitués de machines zombies [21]. La forte hausse du nombre de systèmes compromis serait principalement liée au nombre croissant de pack d’exploitation et de toolkits disponibles. Ces outils coutent de 100 à 1.000 dollars et permettent aux personnes n’ayant aucune compétence en programmation d’assembler ses propres exploits et malwares grâce à quelques clics de souris.

D’après une étude réalisée par le gouvernement britannique, le cybercrime coûterait chaque année 27 milliards de livres au Royaume-Uni [22].

Entreprises :
Le Service Pack 1 de Windows 7 et de Windows Server 2008 a été publié en version Beta. Seule une version internationale d’environ 2Go serait disponible… Microsoft a aussi publié sur Windows Update une mise à jour permettant de désactiver l’Autorun sur sous Windows XP et Vista. L’éditeur avait déjà publié un outil permettant de faire cela, mais celui-ci nécessitait une intervention de l’utilisateur. Grâce à cette mise à jour, l’ensemble des utilisateurs de Windows devrait maintenant être protégé contre les virus exploitant ce type de fonctionnalité.

Google a mis à jour son service d’authentification afin de proposer à l’ensemble des internautes la possibilité de s’authentifier avec un mécanisme d’authentification forte. Celui-ci repose sur l’envoi d’un SMS vers un numéro de portable associé à un compte Google, contenant un mot de passe à usage unique.

Internationnal :
L’ANSSI a publié cette semaine un document présentant ses 4 objectifs et ses 7 axes d’effort sur lesquels repose la stratégie adoptée dans le cadre de la mise en place des mesures préconisées par le Livre blanc sur la défense et la sécurité nationale paru en 2008.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO