Avis d’expert : semaine du 4 au 10 avril 2011

Avis d’expert : semaine du 4 au 10 avril 2011

Le CERT-XMCO ne note aucun événement particulier à retenir cette semaine.

Résumé des évènements majeurs :

Vulnérabilités :

Plusieurs failles de sécurité ont été découvertes cette semaine. Les produits Microsoft sont particulièrement exposés puisque des failles ont été identifiées au sein de Windows Vista, de la gestion de l’IPv6 par Windows, de Windows Media Player, et enfin au sein d’Internet Explorer. L’exploitation de ces différentes failles permettrait de provoquer un déni de service pour les deux premières, voire de compromettre un système à distance pour les deux dernières.
Une dernière faille affectant VLC a été découverte. Son exploitation permettrait de prendre le contrôle d’un système lors de l’ouverture d’un fichier .S3M malformé.

Correctifs :

De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels concernés, Zend Server, WebSphere Application Server, Joomla, HP Network Node Manager, DHCP Client, Solaris, WordPress, HTTPComponents d’Apache, Redmine et enfin RoundCube.

Exploits :

Plusieurs codes d’exploitation ont été publiés cette semaine. Le premier exploit cible Windows Media Player et permet de provoquer un déni de service lors de l’ouverture d’un fichier spécialement conçu.
Le second code d’exploitation permet de prendre le contrôle à distance d’un serveur Zend Server Java Bridge.
Enfin, le dernier exploit permet de prendre le contrôle à distance d’un serveur Lotus Domino iCalendar via l’envoi d’un email contenant une invitation iCalendar malformée.

Juridique :

Plusieurs experts en sécurité informatique ont déposé un dossier relatif à l’Affaire Wikileaks opposant le gouvernement américain au géant du micro-blogging Twitter devant la justice américaine. Selon eux, il existe un réel danger pour la vie privée de chacun lorsqu’un gouvernement oblige des sociétés à transmettre des informations personnelles. En effet, l’accumulation de données personnelles par Twitter permettrait de dresser le profil précis, le comportement d’un internaute, y compris ses déplacements. Ces experts mettent donc en avant l’importance de l’obtention d’un mandat avant toute demande de ce type…

Conférence / Recherche :

Avec le déclin annoncé de l’IPv4, et les futurs déploiements de l’IPv6, les chercheurs commencent à s’intéresser à ce nouveau domaine. Un nouveau type d’attaque, baptisée « SLAAC Attack » a ainsi été présentée. Le mécanisme d’auto-configuration normalisé permettrait de forcer, à distance, un système à définir un nouveau routeur afin de détourner l’ensemble des communications. Dans le même domaine, il serait possible de provoquer un déni de service en envoyant simplement un grand nombre de datagramme IP de type « Neighbor Discovery ».
D’après un rapport publié par IBM, le nombre de vulnérabilités et de codes d’exploitation dévoilés publiquement aurait connu une forte hausse en 2010 (+29 % par rapport à 2009 pour les vulnérabilités, contre +21 % pour les exploits).
À la suite de l’affaire Comodo, Google a annoncé la mise en place de nouvelle fonction de sécurité visant à protéger l’Internet. Chrome se verra doté d’une fonction permettant de bloquer les plug-ins n’étant pas à jour. Le navigateur proposera un lien vers la dernière version publiée. De plus, une fenêtre d’alerte demandera une confirmation de la part d’un utilisateur avant de procéder au téléchargement d’un exécutable lorsque celui-ci sera considéré comme suspicieux. Enfin, Google propose la mise en place d’une nouvelle fonction de sécurité au sein de la norme DNS. Baptisée DANE, cette évolution, fortement inspirée par DNSSEC et reposant sur celui-ci, permettra de spécifier au sein d’un enregistrement DNS l’autorité d’enregistrement habilité à « certifier » un site Internet.

Cybercriminalité / Attaques :

De nouvelles informations ont été publiées par RSA à la suite de l’attaque qu’a subie la société. D’après le communiqué de presse, la faille 0day ciblant le lecteur Flash récemment publié par Adobe serait le vecteur d’attaque principal. Pour rappel, celle-ci a récemment été corrigée par Adobe.
Un nouveau mode de fonctionnement a pu être observé dans le « petit » monde des packs d’exploitation avec l’arrivée de RoboPak Exploit Kit. Après le SaaS (Software As A Service), le PaaS (Plateform As A Service) et et enfin l’IaaS (Infrastructure As A Service), ce nouveau venu sur la scène pirate introduit un nouveau mode de fonctionnement baptisé EaaS (Exploits As A Service). Ce n’est plus le logiciel qui est vendu, mais le service associé. Il est donc désormais possible d’acheter un droit d’utilisation du logiciel à la journée, à la semaine, voir au mois pour des tarifs peu élevés et fortement dégressifs.
Cette semaine, la société Epsilon a reconnu officiellement avoir été victime d’un vol de données. Plusieurs millions d’adresses email ainsi que les noms des utilisateurs associés auraient ainsi été dérobés. Ces différentes informations pourraient être utilisées sous peu afin de lancer des campagnes de phishing de grande ampleur…
SpyEye et Zeus continuent d’évoluer. Le code source de Zeus a été publié sur Internet sous la forme d’une archive protégée par mot de passe. De nombreux hackers tentent actuellement de bruteforcer celui-ci pour obtenir le code source. Cette publication engendrera potentiellement l’apparition de nombreuse variante du malware. SpyEye de son côté reprend une fonction de Zeus. Cette version du malware ciblant les smartphones Symbian se voit ajouter une des nombreuses fonctionnalités de son concurrent Zeus permettant d’intercepter les mTANs (Mobile Transaction Authentification Number) envoyés par la banque par SMS. Grâce à cette information, les pirates sont en mesure de réaliser des transactions bancaires.
Une nouvelle campagne de spam pousse les internautes à installer la dernière version de certains logiciels Adobe. Pour cela, et comme pour toute attaque de phishing, les victimes doivent au préalable fournir des informations personnelles…

Entreprises :

Microsoft a annoncé la date de son prochain « Patch Tuesday« . Mardi 12 avril seront publiés 17 bulletins de sécurité corrigeant pas moins de 64 vulnérabilités. Neuf d’entre eux sont jugés critiques; contre huit importants. Parmi les logiciels impactés : Microsoft Windows, Microsoft Office, Internet Explorer, Visual Studio, .NET Framework et enfin GDI+.

XMCO :

XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment…

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO