Avis d’expert : semaine du 7 au 13 mars 2011

Avis d’expert : semaine du 7 au 13 mars 2011

Le CERT-XMCO recommande l’installation du correctif MS11-015 qui corrige deux failles de sécurité au sein du framework Windows Media. L’ouverture d’un fichier spécialement conçu permettrait de prendre le contrôle d’un système à distance.

* Résumé des évènements majeurs :
Vulnérabilités :
Une faille de sécurité a été découverte au sein d’Internet Explorer. L’exploitation permettait de tromper un utilisateur en menant une attaque de « spoofing » afin de manipuler l’adresse de la page visitée.

Correctifs :
Microsoft a publié trois correctifs dans le cadre de son « Patch Tuesday » du mois de mars. Ceux-ci sont relatifs au framework Windows Media (MS11-015), à Groove (MS11-016), ainsi qu’au Client Bureau à distance (MS11-017). L’exploitation des 4 quatre failles de sécurité permettrait de prendre le contrôle d’un système à distance via l’ouverture d’un fichier spécialement conçu. Le CERT-XMCO recommande l’installation du correctif MS11-015.

De nombreux autres correctifs ont été publiés cette semaine pour VMware ESX(i), Postfix, Tomcat, Safari, Java pour Mac OS X, l’iOS d’Apple, et enfin Joomla!.

Google Chrome a aussi été mis à jour. La version 10.0.648.127 corrige de nombreuses failles. Celle-ci apporte une nouvelle fonction de sécurité : la mise en place du bac à sable du lecteur Flash intégré au logiciel qui devrait complexifier l’exploitation de vulnérabilités.

Exploits :
Un code d’exploitation permettant d’élever ses privilèges sur un système Windows a été publié. La définition de droits d’accès trop peu restrictifs à l’exécutable correspondant au service « .Net Runtime Optimization Service » permettait de modifier le fichier, et ainsi qu’à forcer le système à exécuter des commandes arbitraires. Un compte local est, néanmoins, nécessaire pour pouvoir exploiter cette vulnérabilité.

Un second exploit a été publié. Celui-ci cible le contrôle ActiveX utilisé au sein de la solution Novell iPrint Client. L’exploitation de cette faille permet à un pirate de prendre le contrôle d’un système à distance en incitant simplement un internaute à visiter un site spécialement conçu.

Cybercriminalité / Attaques :
L’ANSSI a révélé cette semaine que le système d’information de Bercy, le Ministère de l’Économie et des Finances, a été attaqué. Les pirates auraient réussi à prendre le contrôle de 150 systèmes en envoyant des courriels piégés à l’aide de Chevaux de Troie. L’attaque durait depuis le mois de décembre. L’ANSSI était à pied d’oeuvre depuis janvier pour colmater les brèches et identifier les commanditaires de ce piratage.
En fin de semaine, des documents comportant de nombreuses informations sensibles sur le SI du Ministère des Affaires Étrangères et Européennes a été publié par le Ministère en question. Les documents publiés décrivent en détail le Système d’Informations du Ministère. Ceux-ci ont été publiés dans le cadre d’une consultation publique relative à la définition, au pilotage et au renforcement de la sécurité des SI du Ministère.

Un développeur a publié « K0de Sploit Pack« , un pack d’exploitation dérivé du célèbre Eleonore en Open Source. Celui-ci proposerait des améliorations lui permettant d’être plus efficace dans la compromission des systèmes d’exploitation au travers d’un navigateur vulnérable. Le pirate aurait demandé l’aide des internautes afin de poursuivre les améliorations apportées à K0de Sploit Pack.

Un nouveau Banker vient de faire son apparition. Tatanga possède plusieurs fonctionnalités évoluées qui feront peut-être de lui un concurrent aux célèbres Zeus et SpyEye.

Par ailleurs, Zeus continue d’évoluer alors que l’arrêt du développement avait été annoncé récemment. Après avoir été adapté pour Symbian et Windows Mobile, le malware fait désormais son apparition sur BlackBerry.

Conférence / Recherche :
Le fameux chercheur Jon Oberheide a publié les résultats d’une étude sur une faille de type « Cross-Site Scripting » (XSS) au sein de l’Androïd Market. Si celui-ci n’avait pas informé Google de son existence, le chercheur aurait été capable de prendre le contrôle d’un smartphone à distance en incitant simplement un internaute à cliquer sur un lien le dirigeant vers le site en question.

Par ailleurs, le concours en question se déroulait en fin de semaine. Pwn2Own aura vu Internet Explorer 8 sur Windows 7 tombé dès le premier jour. Le vainqueur a exploité pour cela, pas moins de 3 failles de sécurité différentes ! Safari sur Mac OS n’aura pas résisté plus longtemps, contrairement à Firefox et Google Chrome.

Entreprises :
Après l’épisode « DroidDream » de la semaine précédente au cours duquel Google avait dû supprimer un grand nombre d’applications malveillantes de son Androïd Market, le géant de la recherche a souhaité prendre d’autres mesures réparatrices. Google a ainsi utilisé son « kill switch » pour supprimer à distance et sans confirmation les applications malveillantes des smartphones de ses clients. L’éditeur a, ensuite, poussé vers les appareils concernés une mise à jour permettant de les débarrasser du malware résiduel. Kaspersky a réagi en dénonçant les techniques utilisées par Google pour réaliser cela : en effet, la mise à jour se comporte de la même façon qu’un malware. Une faille de sécurité est exploitée afin d’obtenir les privilèges SYSTEM, permettant de supprimer le malware, puis de s’auto-supprimer. Au final, le mal est partiellement réparé puisque la faille est toujours exploitable. Un autre malware a d’ailleurs fait son apparition en fin de semaine. Celui-ci se faisait passer pour la mise à jour de Google, et était présent sur des sites alternatifs à l’Androïd Market officiel.

XMCO :
XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment…
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO