Avis d’expert : semaine du 21 au 27 février 2011

Avis d’expert : semaine du 21 au 27 février 2011

Le CERT-XMCO recommande l’installation des correctifs Cisco ASA et FWSM publiés cette semaine.

* Résumé des évènements majeurs :
Vulnérabilités :
Une vulnérabilité au sein de la fonction « grapheme_extract() » du moteur PHP a été découverte. Son exploitation permettrait de provoquer un déni de service.

Une autre faille de sécurité a été découverte au sein de la solution Citrix Licensing. Celle-ci permettrait aussi de provoquer un déni de service, voire de contourner certaines restrictions de sécurité.

Correctifs :
De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels vulnérables mis à jour : l’antivirus ClamAV, Asterisk, le serveur DNS Bind, Cisco ASA, FWSM et Telepresence, le composant Microsoft Malware Protection Engine utilisé par les différentes solutions antivirales de l’éditeur, le lecteur de fichier PDF Foxit Reader, Novell Netware et enfin le contrôle ActiveX fourni avec CA Internet Security Suite.

Exploits :
Un exploit ciblant le célèbre navigateur Internet Firefox de la Fondation Mozilla a été publié au sein du framework d’exploitation Metasploit. La faille utilisée a été corrigée au mois d’octobre 2010 lors de la publication du bulletin MFSA2010-73 et de la version 3.6.12 du logiciel. Son exploitation permettait à un pirate de prendre le contrôle d’un système vulnérable en incitant simplement un internaute à visiter une page spécialement conçue.

De nombreux autres codes d’exploitation ont été publiés cette semaine pour Lotus Domino, pour Novell ZENworks, iPrint Server et Netware. Ceux-ci permettent de provoquer des dénis de service à distance, mais pourraient être modifiés pour prendre le contrôle d’un système vulnérable.

Cybercriminalité / Attaques :
La dernière variante du malware « Spy.Felxispy » aurait infecté plus de 150 000 smartphones en Chine, tous reposants sur le système d’exploitation Symbian. Ce malware aurait la capacité d’écouter les conversations d’un utilisateur en activant discrètement la fonction de « Conference Call » lorsqu’un appel serait intercepté. Le malware serait aussi en mesure d’activer le micro à distance, et de voler les messages reçus et émis depuis le téléphone infecté afin d’espionner une victime.

Un autre virus a été découvert cette semaine. Comme de nombreux autres malwares, « OddJob » est destiné à détourner la session d’un utilisateur visitant son compte bancaire en ligne. Sa particularité est qu’il intercepterait les requêtes de déconnexion d’un utilisateur, afin de maintenir ainsi la session active, autorisant ainsi les cybercriminels à vider le compte bancaire de la victime alors que celle-ci pense être déconnectée.

Conférence / Recherche :
Selon une étude intitulée « The Cost of Cyber Crime » publiée conjointement par le gouvernement britannique et l’industrie, le cybercrime coûterait chaque année 27 milliards de livres au Royaume-Uni (2 % du PIB !) [20]. Selon certains chercheurs, les chiffres avancés ne refléteraient pas la réalité. Néanmoins, l’effort fait pour mesurer les coûts du cybercrime et l’encouragement fait aux victimes à rapporter le préjudice subit sont des points très positifs à ne pas négliger.

Entreprises :
Microsoft a publié la version finale du Service Pack 1 des systèmes d’exploitation Windows 7 et Windows Server 2008 R2. L’installation de ce SP apporterait des correctifs pour plus de 780 bogues ainsi que plusieurs améliorations de sécurité. Plusieurs versions sont disponibles en fonction du moyen d’installation et du type de plateforme matérielle utilisée.

Internationnal :
Après la France, c’est au tour des Pays-Bas de publier sa stratégie en matière de cybersécurité. Tout comme dans le cas français, la cybersécurité est présentée comme un enjeu majeur pour l’avenir de la société et pour le développement économique du pays. L’objectif recherché par le NCSC (National Cyber Security Centre) et par le CERT national Govcert.nl est la création de forts liens de coopération entre les différents acteurs composant le paysage de la société néerlandaise jouant un rôle dans le domaine de la sécurité.

L’Asie, sous la responsabilité de l’APCERT (Asia Pacific Computer Emergency Response Team), vient de réaliser un test grandeur nature de sa capacité à répondre à une cyber-attaque massive ciblant, entre autres, ses systèmes critiques. Comme pour les États-Unis avec la simulation CyberStorm 3, puis l’Europe avec CYBER EUROPE 2010, l’objectif était de tester les liens de communication existants entre les 20 équipes réparties dans les 15 pays participants, ainsi que les procédures de réaction mises en place.

L’affaire Wikileaks continue de suivre son cours. Vendredi, la justice anglaise a autorisé l’extradition de Julian Assange vers la Suède où il serait appelé à comparaître dans un procès pour des viols que le prévenu réfute. Assange dispose désormais d’une semaine pour faire appel de cette décision, ce que ses avocats prévoient faire. Le fondateur de Wikileaks pourrait risquer une nouvelle extradition vers les États-Unis où il risquerait la prison à vie, voire la peine de mort.

XMCO :
Enfin, XMCO a publié cette semaine le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, …
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO