Avis d’expert : semaines du 26 Décembre 2011 au 8 Janvier 2012

Avis d’expert : semaines du 26 Décembre 2011 au 8 Janvier 2012

À la suite de la divulgation d’un code d’exploitation ciblant la faille de sécurité affectant le serveur Telnetd, le CERT-XMCO recommande d’utiliser uniquement le protocole SSH pour l’administration à distance. L’exploitation de la faille permet en effet de prendre le contrôle d’un système à distance.

Dans le même temps, des chercheurs ont publié un code d’exploitation au sein du framework Metasploit permettant de prendre le contrôle d’un système lors de l’ouverture, avec Adobe Reader, d’un fichier PDF malveillant exploitant la faille référencée CVE-2011-2462. Le CERT-XMCO recommande l’application des correctifs APSB11-30 et APSB12-01 récemment publiés par Adobe.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le serveur Telnetd proposé par le projet FreeBSD, Kerberos, Oracle Glassfish Server et enfin le noyau Linux.

Il est important de noter que la faille découverte au sein de Telnet affecte probablement la grande majorité des implémentations, puisque des traces de la faille auraient été découvertes dans du code vieux de plus de 20 ans… Le CERT-XMCO recommande de ne plus utiliser Telnet, et de le remplacer par SSH.

Correctifs :

Plusieurs correctifs ont aussi été publiés. Ceux-ci concernent le framework .Net (MS11-100), ainsi que les logiciels suivants : HP Database Archiving, Google Chrome, OpenSSL, Apache Struts 2, WordPress, BugZilla, Oracle iPlanet Manager, Ruby, PHP, Tomcat, Dotclear ou encore F5 Enterprise Manager.

Exploits :

Plusieurs codes d’exploitation ont été publiés. Parmi les logiciels vulnérables ciblés, on peut noter le serveur Telnetd, Oracle Database Server ou encore Adobe Reader. L’exploitation de ces différentes failles de sécurité permet de prendre le contrôle complet d’un système.

Conférence / Recherche :

Kaspersky revient encore sur le sujet Duqu pour présenter les nouvelles découvertes de ses analystes. Entre autres, les deux cyber-armes de pointe auraient été développées à partir d’une plateforme de développement unique baptisée « Tilded », à cause du penchant pour les auteurs de nommer nombre de fichiers déposés sur les postes compromis en débutant par les deux caractères « ~D ». Mais cette plateforme serait toujours d’actualité, puisqu’au moins 3 autres codes d’exploitation non liés aux précédents auraient aussi été développés à partir de celle-ci.

Selon Microsoft, le nombre d’infections relevé décroit avec chaque nouvelle version de son système d’exploitation.

Dans le cadre de la conférence internationale du Chaos Computer Club qui se tenait entre les fêtes de fin d’année, le chercheur Karsten Nohl, dont la réputation dans le monde de la sécurité n’est plus à faire, a fait part d’une découverte importante : une faille pouvant être exploitée au sein des réseaux GSM (2G) pour forcer un utilisateur à appeler certains numéros surtaxés, ou encore pour intercepter leurs appels ou retracer leurs mouvements.

Un chercheur indien aurait découvert une faiblesse dans l’utilisation de clefs GPG/PGP. Celles-ci sont en effet identifiées par une valeur trop courte pouvant être aisément «bruteforcées». Résultat, il est possible de tromper un utilisateur en générant une clef possédant le même identifiant qu’une autre personne de confiance, afin d’usurper son identité auprès de la victime lorsque celle-ci téléchargera sa clef depuis un annuaire PGP sur Internet.

En publiant son bulletin KB2659883 relatif à ASP.Net, Microsoft a révélé l’existence d’une faille de sécurité liée à l’attaque « Hash collision » impactant de nombreuses implémentations telles que PHP, Ruby, Java, ou encore Python.

Stefan Viehbock, un chercheur néerlandais en sécurité informatique, a publié à la fin du mois de décembre une preuve de concept permettant de contourner la fonction des routeurs WiFi baptisée WPS (Wi-Fi Protected Setup). D’après le chercheur, il suffirait d’environ deux heures en moyenne pour accéder à un réseau WiFi protégé par WPA offrant la fonction WPS.

Cybercriminalité / Attaques :

Symantec a confirmé une rumeur selon laquelle des pirates auraient réussi à accéder au code source de certains de ses logiciels. Cependant, l’éditeur reste confiant pour la sécurité de ses clients. Entre autres, les logiciels affectés ne seraient actuellement plus supportés.

Le collectif Anonymous s’est attaqué la veille de Noël au cabinet américain Stratfor spécialisé dans le renseignement. D’après les Anonymous, les données personnelles et bancaires de plus de 90 000 clients auraient été volées. Comme souvent, les analyses à postériori des mots de passe démontrent le peu de sérieux des utilisateurs lors du choix de leur mot de passe. Malheureusement, nombre de clients du cabinet sont des clients au profil « sensible » tels que des ministères américains…

Entreprise :

Dans le cadre de son « Patch Tuesday » du mois de janvier, Microsoft a publié 7 bulletins de sécurité le mardi 10 janvier 2012.

Internationnal :

Le site d’un député à l’origine de la loi réprimant la négation des génocides a été pris pour cible par des pirates probablement turcs.

Selon le quotidien japonais « Yomiuri Shimbun », le Japon, au travers d’un programme s’étalant sur 3 ans, serait actuellement en train de développer un virus capable de traquer la source d’une attaque, et de la neutraliser.

Juridique :

En publiant au Journal Officiel du 1er janvier 2012 le décret n°2011-2122 du 30 décembre 2011, la France vient de légaliser la « censure » via le service de résolution de nom de domaine (DNS). Ce décret, dont l’objectif premier est lié à la mission de l’ARJEL (l’Autorité de régulation des jeux en ligne), est relatif aux modalités d’arrêt de l’accès à une activité d’offre de paris ou de jeux d’argent et de hasard en ligne non autorisés. Le texte institue donc le blocage des sites Internet à la discrétion d’une seule et même autorité, l’ARJEL. Cependant, comme cela a été rappelé par de nombreux professionnels d’Internet, il est relativement aisé pour un internaute d’utiliser un serveur de nom alternatif à celui de son FAI, tel que celui de Google ou d’OpenDNS, rendant ainsi le blocage ordonné par l’ARJEL complètement inefficace…

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO