Avis d’expert : semaine du 11 au 17 avril 2011

Avis d’expert : semaine du 11 au 17 avril 2011

Le CERT-XMCO recommande l’installation des correctifs Microsoft parus dans le cadre du Patch Tuesday du mois d’avril. En particulier les correctifs MS11-018, MS11-020, MS11-027 et enfin MS11-028. Ces différents correctifs corrigent plusieurs failles de sécurité critiques au sein d’Internet Explorer, du client et du serveur SMB, et enfin du framework .Net. Le CERT-XMCO recommande de plus l’installation du correctif APSB11-07 publié le 16 avril pour Flash Player. Des attaques exploitent actuellement la faille corrigée.

Résumé des évènements majeurs :

Vulnérabilités :

Une faille de sécurité de type 0day a été découverte au cours de la semaine dans les logiciels Adobe embarquant le plug-in Flash. L’éditeur a publié une alerte. En effet, cette faille de sécurité est actuellement exploitée par des pirates qui utilisent des pièces jointes au format .DOC embarquant une animation Flash malveillante. Une autre vulnérabilité impactant le système d’exploitation IOS de Cisco a aussi été publiée.

Correctifs :

Microsoft a publié 17 bulletins de sécurité dans le cadre de son Patch Tuesday du mois d’avril. Parmi les logiciels concernés figurent Internet Explorer (MS11-018 et MS11-027), le client SMB (MS11-019), le serveur SMB (MS11-020), Excel (MS11-021), PowerPoint (MS11-022), Office (MS11-023), Windows Fax Cover Page (MS11-024), Visual Studio (MS11-025), le gestionnaire de protocole MHTML (MS11-026), .Net (MS11-028), GDI+ (MS11-029), le résolveur DNS (MS11-030), les moteurs de script JScript et VBScript (MS11-031), la gestion des polices de type OpenType Font Format (MS11-032), Wordpad (MS11-033) et enfin la gestion des pilotes (MS11-034).

Adobe a publié un correctif critique pour son Flash Player (APSB11-07).

Enfin, de nombreux autres correctifs ont été publiés au cours de cette semaine. Parmi les logiciels mis à jour : VLC, Tomcat, SPIP, MediaWiki MediaWiki security release 1.16.3], BlackBerry Enterprise Server, Kerberos, Dotclear, Joomla, Safari, iPhone OS et enfin Google Chrome.

Exploits :

Une preuve de concept a été publiée cette semaine. Celle-ci permet d’exploiter une faille récemment corrigée par Cisco au sein de son Cisco Security Agent.

Juridique :

Un « hacker » français a été arrêté cette semaine après la diffusion de l’émission « Complément d’Enquête » sur France 2, dans laquelle il avait été interviewé. Le jeune pirate de 23 ans risque jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes, pour accès frauduleux à un système de données, vol et abus de confiance. Le pirate se vantait au cours de l’interview d’avoir pénétré le Système d’Information du groupe Thalès, ainsi qu’un autre site de l’armée française.

Le département de la justice américain et le FBI ont reçu l’autorisation d’un tribunal de procéder à une contre-attaque contre le botnet CoreFlood. Le malware est utilisé afin de récupérer certaines informations sensibles, telles que des mots de passe. Plusieurs actions ont eu lieu par la suite : saisie de 5 serveurs C&C ainsi que de 29 noms de domaines utilisés par le botnet, envois de commandes spéciales aux ordinateurs infectés…

Conférence / Recherche :

Google a publié deux fonctions de hachage baptisées CityHash64 et CityHash128. Attention, ces fonctions n’ont aucune propriété cryptographique. Celles-ci sont en effet destinées à produire des empreintes uniques (de chaines de caractères entre autres). Leur principale caractéristique est d’être optimisée pour fonctionner sur des processeurs récents, pour indexer par exemple les données dans des bases de données. Il est donc très important de ne pas se tromper dans leur usage, qui pourrait être désastreux en matière de sécurité…

Cybercriminalité / Attaques :

Selon plusieurs chercheurs travaillant pour FireEye, le célèbre ver KoobFace aurait abandonné la plateforme Facebook. Celle-ci était utilisée en temps que vecteur de propagation afin d’infecter un maximum de postes. D’après les chercheurs, la mise en place de mesures de protection par Facebook pourrait être la raison de cet abandon du réseau social. Cependant, il est aussi possible que les auteurs du malware cherchent à se faire oublier et à sortir du feu des projecteurs…

La police anglaise a procédé à l’arrestation de 3 personnes dans le cadre d’une enquête internationale sur le vol de données bancaires. Il semblerait que les trois hommes aient tiré parti de SpyEye, voire modifié le malware afin d’ajouter des fonctionnalités.

La police française a procédé à l’arrestation d’une dizaine de personnes dans le cadre d’une affaire de cyber-espionnage au sein du groupe français d’armement Safran. Après l’affaire « Renault », puis celle de Bercy, c’est au tour de la filiale TurboMeca d’avoir été victime de vols d’informations sensibles. Pour le moment, très peu d’informations sont disponibles, et une fois de plus, la Chine serait pointée du doigt. Comme dans le cadre des nombreuses affaires de cyber-espionnage, il est très difficile d’établir le rôle exact de certains acteurs, et en particulier de la Chine.

Entreprises :

Une nouvelle fois, le géant de la blogosphère WordPress a été victime d’une attaque. Très peu d’informations sont disponibles, mais des données sensibles appartenant à la start-up Automattic, éditrice de la solution pourraient avoir été dérobées.

Oracle a annoncé la publication cette semaine de plusieurs correctifs comblant 73 failles de sécurité au sein de l’ensemble de ses produits.

Enfin, Microsoft a profité du Patch Tuesday afin d’ajouter une nouvelle fonction de sécurité à Office 2003 et 2007. Initialement proposée au sein d’Office 2010, Microsoft avait annoncé son portage vers les anciennes versions de la suite. Dans le même temps, l’éditeur de Richmond a découvert que le correctif MS11-022 provoquait de légers dysfonctionnements au sein de PowerPoint. Après son installation, il peut être difficile d’ouvrir certaines présentations. L’éditeur est en train de travailler sur ce dysfonctionnement.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO