Avis d’expert : semaine du 11 au 17 juillet 2011

Avis d’expert : semaine du 11 au 17 juillet 2011

Le CERT-XMCO ne note aucun événement particulier à retenir cette semaine.

Résumé des évènements majeurs :

Vulnérabilités :

Plusieurs failles de sécurité ont été découvertes cette semaine au sein de logiciels tels que Lotus Notes ou encore Skype. Les chercheurs d’Across Security ont pour leur part publié une nouvelle avancée dans leur attaque liée au chargement arbitraire de fichiers. Après s’être intéressés aux chargements automatiques des fichiers exécutables (i.e EXE et DLL), ils ont découvert qu’il était possible de prendre le contrôle d’un système via le chargement automatique d’un fichier de configuration lié à Java. Pour exploiter cette faille, il suffit d’inciter un internaute à ouvrir une page Internet spécialement conçue depuis un partage distant, dans lequel sont aussi placés un fichier de configuration adéquate, un exécutable malveillant, et enfin le code d’un applet…

Correctifs :

Dans le cadre de son « Patch Tuesday » du mois de juillet, Microsoft a publié quatre bulletins de sécurité : MS11-053 (gestion du Bluetooth), MS11-054 (Windows), MS11-055 (Visio) et enfin MS11-056 (Windows).

De nombreux autres correctifs ont été publiés. Parmi les logiciels concernés : Trend Micro CASProcessor.exe can be used to execute a code remotely in Trend Micro Control Manager (TMCM) using a malformed BLOB] Control Manager CasLogDirectInsertHandler.cs can be used to execute a code remotely in Trend Micro Control Manager], WireShark, SquirrelMail, VLC (et ici), BlackBerry Enterprise Server, Citrix Access Gateway, ou encore les versions 5, 6 et 7 du serveur d’application Tomcat.

Oracle a annoncé la publication de son bulletin de sécurité « cpujuly2011 » le mardi 19 juillet. Celui-ci devrait proposer des correctifs pour 78 vulnérabilités affectant les différents produits de l’éditeur.

Enfin, une nouvelle version de WordPress a été publiée. Celle-ci n’apporte pas de correctif de sécurité.

Exploit :

Plusieurs codes d’exploitation ont été publiés cette semaine. Il était possible de prendre le contrôle à distance d’un système hébergeant une application PhpMyAdmin ou encore BlueCoat BCAAA. Une preuve de concept permettant d’accéder à des informations sensibles via une faille au sein du serveur TFTP installé sur les produits Avaya IP Office Manager a été publiée. Enfin, un code d’exploitation concernait les produits Symantec Backup Exec Products et permet d’élever ses privilèges.

Conférence / Recherche :

Des chercheurs ont découvert une nouvelle source de donnée pouvant être exploitée simplement dans le cadre d’une faille de type « Cross-Site Scripting » (XSS). La future norme HTML5 propose en effet de standardiser l’utilisation de base SQLite au sein des navigateurs afin de permettre aux applications web de stocker des informations de façon persistance du côté « client ». Ce type de base doit nécessairement être accessible via JavaScript. Résultat, une simple faille de type XSS permettra au pirate d’accéder à de nombreuses informations personnelles par ce biais, en contournant toutes les sécurités implémentées côté serveur…

Après « utilman.exe », un autre exécutable non signé présent sur Windows 7 a été découvert. En remplaçant l’exécutable « Sethc.exe« , un pirate est en mesure d’obtenir une invite de commande associée aux privilèges SYSTEM dès l’apparition de l’écran d’identification et sans connaitre l’identifiant ou le mot de passe d’un utilisateur en appuyant simplement 5 fois sur la touche ALT.

Cybercriminalité / Attaques :

Le RIPE a publié une analyse de la récente attaque en déni de service menée contre le serveur DNS racine « k-root ». L’augmentation de la charge a été causée par des requêtes de résolution d’un seul nom de domaine (site de jeu chinois). En s’intéressant plus spécifiquement aux AS (Autonomous System) à l’origine des requêtes, le RIPE a découvert que seulement 287 AS distincts, correspondant à 48 pays, étaient impliqués dans cette attaque. Cependant, la principale source était d’origine chinoise.

Selon les États-Unis, certains produits informatiques importés embarqueraient des logiciels espions. Une force spéciale d’investigation, créée conjointement par le DHS et le DoD devrait donc être nommée pour enquêter sur le sujet.

Plusieurs nouveaux malwares ont été découverts : HippoSMS ciblerait la plateforme Android, alors qu’Olyx ciblerait Mac OS X. Dans le même temps, un antivirus pour iPhone et iPad proposé par Intego a été accepté au sein de l’Apple Store.

Après avoir été découvert sur les autres systèmes d’exploitation pour smartphone, Zitmo, la version mobile de Zeus, a fait son apparition sur Android. Lockout a découvert plusieurs applications malveillantes reposantes sur des variantes de DroidDream sur l’Android Market…

Les Anonymous ne s’arrêtent pas. Ils ont ainsi publié une base de données contenant des informations relatives à près de 90 000 comptes utilisateurs.

Internationnal :

Les États-Unis ont publié leur stratégie en matière de cyberdéfense et ont confirmé certains actes de piratages récents contre le secteur privé de la défense américaine.

Entreprises :

L’Observatoire de la Sécurité des Cartes de Paiement a publié son rapport annuel pour l’année 2010. Par rapport à l’année 2009, la fraude liée aux cartes bancaires s’est accrue de 0,002 %, ce qui correspond globalement à un montant de 368,9 millions d’euros.

L’Afnic a publié les premiers résultats une semaine après l’ouverture du « .fr » aux termes jusqu’alors interdits et/ou réservés. Sur plus de 30 000 noms de domaine libérés, 5 128 demandes d’attribution ont été déposées. Cependant, celles-ci ne concernent que 1918 noms de domaines différents…

Microsoft a ajouté le support du SSL au sein de son connecteur Outlook Hotmail Connector afin de corriger une incohérence. En effet, Windows Live Hotmail était accessible en SSL depuis novembre 2010…

Facebook vient à peine d’ajouter le support de la vidéo au sein de son chat. Les pirates utilisent déjà cette technique pour leurrer les internautes et leur faire installer des malwares…

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO