Avis d’expert : semaine du 12 au 18 Septembre 2011

Avis d’expert : semaine du 12 au 18 Septembre 2011

Le CERT-XMCO recommande l’installation des correctifs publiés par Microsoft et Adobe. Plusieurs failles ont été corrigées au sein de Windows, Office, SharePoint, et Adobe Reader.

Résumé des évènements majeurs

Vulnérabilités :

Plusieurs vulnérabilités ont été découvertes au sein des logiciels tels qu’IBM Tivoli, Fortimail Messaging Security ou encore Nortel Contact Recording Centralized Archive.

Correctifs :

Dans le cadre de son « Patch Tuesday« , Microsoft a publié 5 bulletins de sécurité : MS11-070 (service WINS de Windows), MS11-071 (Windows), MS11-072 (Excel), MS11-073 (Office) et enfin MS11-074 (SharePoint). Adobe a fait de même en publiant le bulletin de sécurité APSB11-024 (Adobe Reader et Acrobat).

De nombreux autres correctifs ont également été publiés pour les logiciels suivants : SAP Web Application Server, SAP NetWeaver SAP NetWeaver ipcpricing – information disclose ] et SAP Crystal Report SAP Crystal Report Server pubDBLogon – Linked ХSS vulnerability ], Cisco Unified Manager et CiscoWorks LAN Management, TYPO3, Django, IBM WebSphere Commerce Enterprise, BlueCoat Director, Google Chrome, Oracle Application Server et Oracle Fusion Middleware, Solaris, Linux, PhpMyAdmin, F5 BIG-IP, Apache HTTPd Server, HP Network Node Manager i et enfin Mac OS X.

Exploit :

Plusieurs codes d’exploitation ont été rendus publics. Ceux-ci permettent d’exploiter une injection de code SQL au sein de WordPress et Nortel Contact Recording Centralized Archive. Une preuve de concept pour Windows permettant de réaliser une élévation de privilèges (MS11-070) a aussi été publiée.

Conférence / Recherche :

Des chercheurs ont fait une découverte intéressante. En enregistrant des noms de domaines correspondants à la concaténation du sous-domaine et du domaine de certaines grandes sociétés, il est possible de récupérer de nombreuses informations sensibles. En plaçant des serveurs de courriels associés à 30 noms de domaines de ce type, les chercheurs ont reçu plus de 120 000 emails contenant plus de 20 gigabytes de données envoyés par erreur en seulement 6 mois. Cette nouvelle attaque, baptisée « Doppelganger Domains« , devrait donc être prise en compte par des entreprises.

Intel a dévoilé un nouveau type d’antivirus. Avec le savoir de McAfee, l’éditeur est en train de mettre en place un antivirus capable de s’interfacer entre le processeur et le système d’exploitation. Pour cela, il fonctionnera de la même façon qu’un hyperviseur et sera en mesure de tirer parti des mécanismes de virtualisation hardware implémentés dans les processeurs Intel. Ce nouveau type d’antivirus serait alors capable de protéger plus efficacement le système d’exploitation contre les virus et autres malwares.

Google a mis en place une nouvelle fonctionnalité permettant aux internautes de supprimer certains résultats retournés par une recherche. Celle-ci devrait donc permettre au géant de la recherche de détecter plus facilement les sites malveillants mis en place par les pirates qui abuse Google en menant des campagnes de « black SEO » (SearchEngine Optimization).

Cybercriminalité / Attaques :

Peu de temps après les attaques sur le serveur de noms NetNames, c’est au tour d’un serveur DNS guadeloupéen d’avoir été victime d’une attaque de «DNS hijacking». Pendant quelques heures, les visiteurs des sites en .GP tels que Google.gp, Microsoft.gp, Orange.gp, Facebook.gp ou bien encore Gmail.gp étaient redirigés vers le site d’un groupe de pirates appelé « Moroccain Security Cr3w ».

Après l’attaque de Kernel.org, ce sont maintenant les sites Linuxfoundation.org et Linux.com de la Fondation Linux qui sont pris pour cible par des pirates. Selon les responsables, ces attaques ne seraient pas liées. Cependant, très peu d’informations sont actuellement disponibles pour étayer le contraire.

Un faux document confidentiel du FBI dressant le profil (psychologique) des principaux membres des Anonymous a été découvert sur un serveur portugais.

Une nouvelle fois, la présence de publicités malveillantes a pu être observée sur les moteurs de recherche Bing et Yahoo!. Les programmes de publicités sponsorisées dirigeaient les internautes vers des sites malveillants qui les incitaient à installer des malwares.

Entreprise :

Dans la continuité de l’affaire DigiNotar, GlobalSign a annoncé avoir découvert des traces de la compromission d’un de leurs serveurs web par les pirates. Cependant, celui-ci étant isolé du SI de la société, aucune donnée sensible n’a pu être dérobée. L’autorité de certification s’est d’ailleurs remise à émettre des certificats SSL. Adobe a annoncé la suppression des certificats racines de Diginotart du trousseau de certificat de ses logiciels. Enfin, les Pays-Bas ont révoqué une accréditation donnée à la société pour l’autoriser à émettre des « certificats qualifiés ».

Microsoft a publié, en avance et par erreur, les 5 bulletins de sécurité composant le « Patch Tuesday ». Des chercheurs ont donc réagi en publiant toutes les informations en leur possession pour permettre aux utilisateurs de Windows de mettre en place des solutions de contournement.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO