Avis d’expert : semaine du 28 mars au 3 avril 2011

Avis d’expert : semaine du 28 mars au 3 avril 2011

Le CERT-XMCO recommande l’installation des correctifs Cisco et VMware. L’exploitation des failles de sécurité permettait de contourner certaines restrictions de sécurité dans les logiciels Cisco, et d’élever localement ses privilèges via les logiciels VMware.

* Résumé des évènements majeurs :
Vulnérabilités :
Plusieurs vulnérabilités ont été découvertes au sein des logiciels IBM Tivolli Directory Server et HP Discovery & Dependency Mapping Inventory.

Correctifs :
Plusieurs vulnérabilités ont été corrigées cette semaine au sein des logiciels SPIP, VMware, Cisco ACS, Cisco Nac Applicance, IBM WebSphere Application Server, et enfin Pure-FTPd. L’exploitation de ces différentes failles permettait de provoquer des dommages d’importance variable.

Le micro-logiciel du téléphone Nokia E75 a été mis à jour. Cette nouvelle version corrige une faille pouvant être exploitée afin de contourner le verrouillage clavier du téléphone.

Exploits :
Plusieurs codes d’exploitation ont été publiés au sein du framework d’exploitation Metasploit.
Une première preuve de concept permet de prendre le contrôle d’un système lors de l’ouverture d’un fichier AMV avec le lecteur multimédia VLC.
Un second code d’exploitation permet de tirer parti de la faille 0day découverte au sein du Flash Player.
Enfin, de nombreux codes d’exploitation ciblant les produits HP ont été publiés.

Cybercriminalité / Attaques :
Le site MySQL.com aurait subi une attaque cette semaine. Celle-ci reposerait sur l’existence d’une faille de type injection de code SQL en aveugle sur le site. De nombreuses informations auraient ainsi été extraites de la base de données, parmi lesquelles se trouvaient des couples d’identifiant et de condensats de mots de passe. Le code source des différents logiciels édités n’aurait pas été affecté par cette attaque.

Dans le même temps, une attaque plus ou moins similaire, surnommée « lizamoon« , a permis d’insérer dans près de 380 000 pages Internet un code source malveillant. L’affichage des pages ainsi modifiées permettait aux pirates de rediriger les internautes vers un site proposant l’installation de logiciels malveillants sous la forme de faux antivirus.

Une nouvelle version du malware GPCode a été découverte. Pour rappel, ce malware a pour rôle de chiffrer certains fichiers appartenant à un utilisateur, afin d’obliger celui-ci à payer une « rançon » s’il désire les récupérer. Cette nouvelle version introduit un nouveau mode de paiement via les cartes prépayées « Ukash ».

Après la Commision Européenne, c’est au tour du Parlement de subir des attaques. Il semblerait que ces deux attaques aient été perpétrées de manière coordonnée. En réponse à cette attaque, le parlement a coupé l’accès aux différents webmails. http://hackingexpose.blogspot.com/2011/04/eu-parliament-suspends-webmail-after_01.html

Le code source de Zeus a été publié sur Internet sous la forme d’une archive RAR protégée par mot de passe. De nombreux internautes sont en train d’essayer de bruteforcer celui-ci afin d’obtenir le code source du malware.

L’autorité de certification Comodo continue de faire parler d’elle. La société a reconnu la compromission cette semaine de deux autres de ces filiales. Alors que neuf certificats frauduleux ont pu être émis par ce biais, la société est en train de revoir en profondeur sa politique de sécurité et les procédures associées. Par ailleurs, le pirate qui se fait appeler « ComodoHacker » a publié à plusieurs reprises des preuves de son « exploit », telles que la clef privée associée au faux certificat ciblant Mozilla.

Après les institutions françaises puis européennes, plusieurs ministères australiens ont été pris pour cible par les pirates. Peu d’informations sont actuellement disponibles sur cette attaque, dont l’origine remonterait cependant au mois de février dernier…

Entreprises :
Samsung a été accusé cette semaine de livrer intentionnellement des ordinateurs portables avec un système d’exploitation vérolé. Lors de recherches menées sur son temps personnel, un chercheur a découvert l’existence d’un keylogger installé par défaut sur le système. Il semblerait que cette accusation soit infondée, et que celle-ci repose sur un faux positif de la part de l’antivirus VIPRE de GFI.

Enfin, certains systèmes critiques appartenant à la Nasa pourraient facilement être compromis depuis Internet. Un audit avait été mené en mai 2010 mais plusieurs vulnérabilités seraient toujours exploitables. Des informations critiques relatives au programme spatial pourraient être obtenues par ce biais.

XMCO :
XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment…
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO