Avis d’expert : semaine du 7 au 13 Novembre 2011

Avis d’expert : semaine du 7 au 13 Novembre 2011

A la suite du « Patch Tuesday » du mois de novembre, le CERT-XMCO recommande l’installation du correctif Microsoft MS11-083, jugé comme critique par Microsoft. Par ailleurs, des outils permettant de détecter des traces de Duqu ont été publiés sur Internet.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le contrôle ActiveX d’Oracle Hyperion Strategic Finance Client, HP Data Protector Operations, Android, et enfin l’application Mail de Mac OS X. L’exploitation de ces différentes failles de sécurité permettait à un pirate de provoquer un déni de service, voire de prendre le contrôle d’un système à distance.

Correctifs :

Dans le cadre de son « Patch Tuesday » du mois de novembre, Microsoft a publié plusieurs correctifs pour son système d’exploitation Windows : MS11-083 (pile TCP/IP), MS11-084 (Windows), MS11-085 (Windows Mail et Espace de Collaboration) et enfin MS11-086 (Active Directory). Le CERT-XMCO recommande particulièrement l’installation du correctif MS11-083, dont l’exploitation à distance permettrait de provoquer un déni de service, voire de prendre le contrôle d’un système en envoyant des datagramme UDP vers un port fermé.

Dans le même temps, Adobe a publié un correctif pour son plug-in Shockware Player (APSB11-27). L’exploitation de ces failles permettrait à un pirate de prendre le contrôle d’un système à distance en incitant un internaute à ouvrir un document spécialement conçu.

De nombreux autres correctifs ont été publiés. Ceux-ci concernent Firefox et Thunderbird, PhpMyAdmin, Tomcat, Java sur Mac OS X, Tomcat sur Solaris, IBM Rational Manger, DB2 sur z/OS, et OpenSSL sur AIX, Cisco Telepresence, Cisco Unified Communication Manager, les produits Avaya, HP Integrated Lights-Out, Barracuda Message Archiver, Novell ZENworks, les produits Fujitsu, Barracuda Link Balancer, RSA Data Protection Manager et enfin EMC Documentum eRoom.

Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine.

La première permet de prendre le contrôle d’un système Windows à distance lors de l’ouverture d’un fichier Excel spécialement conçu.

La seconde permet de prendre le contrôle d’un système Windows à distance en incitant un internaute à visiter une page spécialement conçue tirant parti du contrôle ActiveX d’Oracle Hyperion Strategic Finance Client.

Enfin, la dernière permet d’élever ses privilèges sur Android.

Conférence / Recherche :

Selon une étude publiée par le cabinet PwC, le nombre d’incidents de sécurité exploserait en France. Cette nouvelle vient faire écho à une information équivalente révélée par le gouvernement du Royaume-Uni : la menace informatique est aujourd’hui devenue une menace économique. Quelques mesures simples et peu coûteuses à mettre en place permettraient de réduire significativement le risque. Les principaux risques sont liés aux nouvelles technologies, telles que les terminaux mobiles, la mobilité, ou les réseaux sociaux très difficiles à traiter. Enfin, le nombre d’entreprises françaises déclarant avoir subi au moins un incident de sécurité au cours de l’année écoulée aurait augmenté de 50%.

Après l’affaire Debian et OpenSSL, c’est au tour des développeurs de Ruby de découvrir une faille de sécurité au sein de la gestion des clefs de chiffrement RSA. En effet, les clefs de chiffrement RSA générées avec les versions antérieures de Ruby souffrent d’un problème cryptographique. Il est conseillé aux utilisateurs de Ruby utilisant une version antérieure à 1.9.3 d’installer la dernière mise à jour.

Cybercriminalité / Attaques :

Kaspersky a publié de nouvelles informations sur le malware Duqu. Selon l’éditeur de solution antivirale, l’Iran, et plus particulièrement son programme nucléaire, est clairement visé par cette attaque. L’Iran a d’ailleurs réagi à la découverte d’un malware baptisé Star. Les deux malwares pourraient être liés. Enfin, l’AIEA a annoncé, dans l’un de ses documents, avoir obtenu des informations de la part des services secrets de 10 pays différents suggérant que l’Iran était en train de construire une arme nucléaire. Ces informations pourraient avoir été obtenues à l’aide de Duqu.

SSL est toujours sous les feux de la rampe. Après la faillite de DigiNotar, et la radiation de l’autorité intermédiaire DigiCert Sdn. Bhd. par Microsoft, KPN, une autorité de certification néerlandaise, a annoncé avoir suspendu temporairement l’émission de certificats SSL, après avoir découvert des traces de compromission de l’un de ses serveurs. Après avoir réalisé un audit de ses processus et de ces systèmes, l’autorité a repris son travail.

Plusieurs millions d’internautes brésiliens auraient été victimes d’une attaque massive visant les serveurs DNS de leurs FAI. Un jeune homme de 27 ans, employé par un FAI de moyenne importance, a été arrêté dans le cadre de cette affaire. Ce dernier est suspecté d’avoir modifié le cache des serveurs DNS du FAI afin de rediriger les utilisateurs vers des sites de phishing, et ceci sur une période de 10 mois. D’après certains experts, tout porte à croire que des actes de malveillance similaires pourraient survenir chez d’autres FAI.

Entreprise :

Virtualabs, un chercheur français a découvert que le RIPE, l’organisme européen en charge de la gestion des ressources réseau, publiait des informations d’authentification pouvant être utilisées par des pirates afin de détourner les comptes des détenteurs de ces ressources.

Internationnal :

Des perturbations importantes auraient été détectées sur Internet. Celles-ci seraient dues à l’apparition d’une route BGP qui aurait provoqué un redémarrage intempestif de nombreux équipements réseau Juniper de la gamme MX (versions 10.2, 10.3 et certaines 10.4 de JunOS).

Juridique :

La justice française a condamné Floyd Landis, le cycliste américain vainqueur déchu du Tour de France 2006 pour dopage, et EDF pour s’être offert les services d’un pirate, Alain Quiros, pour s’introduire respectivement dans des réseaux informatiques du Laboratoire National de Dépistage du Dopage et de Greenpeace.

Enfin, la France a publié la liste des autorités judiciaires autorisée par un juge d’instruction et après avis du procureur de la République à procéder à l’installation « des dispositifs techniques permettant la captation de données informatiques » en matière de criminalité et de délinquance organisées.

Retrouvez notre dernier numéro de l’ActuSécu #29 spécial Cybercriminalité à l’adresse suivante : http://www.xmco.fr/actusecu.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO