Avis d’expert : semaine du 31 Octobre au 6 Novembre 2011

Avis d’expert : semaine du 31 Octobre au 6 Novembre 2011

Microsoft et plusieurs autres acteurs travaillant dans le domaine de la sécurité informatique ont lancé une alerte de sécurité à la suite de la découverte de la vulnérabilité exploitée par Duqu afin de prendre le contrôle du système. Cette faille est liée à la gestion des polices TrueType par le noyau de Windows. En incitant un utilisateur à ouvrir un fichier Word spécialement conçu, un pirate est en mesure de prendre le contrôle complet d’un système à distance. Le CERT-XMCO recommande la mise en place de la solution de contournement proposée par Microsoft dans l’attente de la publication du correctif.

Résumé des évènements majeurs

Vulnérabilités :

La faille de sécurité exploitée par le malware Duqu a été révélée par Microsoft. Celle-ci proviendrait de la gestion des polices TrueType par le noyau Windows. Aucun correctif n’est actuellement disponible, mais une solution de contournement a été proposée dans l’attente de celui-ci.

De nombreuses autres vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le proxy Squid, le serveur Apache, PHPMyAdmin, et enfin Oracle Hyperion Enterprise Performance Management et Hyperion Financial Management.

Correctifs :

Plusieurs correctifs ont été publiés. Ceux-ci concernent les serveurs d’envoi et de réception de courriel d’OpenVMS, Citrix XenDesktop, DotNetNuke, Solaris (Apache, Flash, The Gimp), AIX, les produits Cisco Small Business de la série SRP500, HP OpenView Network Node Manager, Wireshark, Novell Messenger et enfin le serveur Apache installé sur les produits Hitachi et Fujitsu.

Microsoft a annoncé la publication de 4 bulletins de sécurité dans le cadre de son « Patch Tuesday » du mois de novembre. Ces bulletins qui concernent uniquement Windows seront publiés le 8 novembre prochain. Un seul d’entre eux est jugé « Critique ». Deux autres sont jugés comme « Importants », et enfin, le dernier est jugé « Modéré ».

Exploit :

Plusieurs autres preuves de concept ont été divulguées cette semaine.

La première concerne Oracle Hyperion Enterprise Performance Management. Celle-ci permet de générer un fichier OCE spécialement conçu permettant de prendre le contrôle du système lors de son ouverture. La seconde concerne le module SetEnvIf du serveur Apache. Celle-ci permet d’élever ses privilèges en déposant un fichier .htaccess spécialement conçu, et en envoyant des requêtes HTTP particulières.

Conférence / Recherche :

Le laboratoire CrySys a annoncé avec Symantec avoir découvert la faille de sécurité exploitée par les auteurs de Duqu pour installer leur malware.

Avec l’ajout du support de l’Autorun, Zeus continue d’évoluer, sans innover. L’ajout de cette fonctionnalité pourrait démontrer que le malware est en fin de vie. En effet, Microsoft avait introduit en février un changement de comportement de son système d’exploitation Windows, afin de ne plus être sujet à ce type d’attaque. Les pirates semblent n’avoir plus aucune piste d’amélioration, mis à part l’autorun, qui avait été pourtant abandonné massivement par les auteurs de malware lorsque Microsoft avait introduit cette nouveauté…

Dancho Dantchev a publié une étude sur l’écosystème des cyber-pirates spécialisés dans le vol et la vente de données de cartes bancaires.

Cybercriminalité / Attaques :

Un groupe de pirates baptisé « Akincilar » a revendiqué le piratage du site Internet de Charlie Hebdo. Ce groupe semble relativement actif ces derniers temps.

Internationnal :

Après avoir organisé plusieurs exercices similaires chacun de leur côté, l’Europe s’est entrainée au côté des États-Unis dans un exercice de réponse à incident baptisé « Cyber Atlantic 2011« . Celui-ci s’est déroulé durant une journée autour d’une table à Bruxelles. Il s’est articulé autour de deux scénarios de cyber-crises impactant les systèmes critiques des deux acteurs afin d’observer comment les États-Unis et l’Europe coopèrent dans la résolution de ce type de problème. Dans le premier scénario, des pirates ont mené une attaque ciblée de type APT (Advanced Persistent Threat) au cours de laquelle des données confidentielles appartenant aux agences en charge de la cyber-sécurité de chacun des pays membres de l’Europe ont pu être exfiltrées et publiées. La deuxième simulation s’est concentrée autour de perturbations des systèmes de contrôle et d’acquisition de données (SCADA) liées aux infrastructures de production d’électricité.

Selon le gouvernement, le Royaume-Uni de plus en plus ciblé par les cyber-pirates.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO