Avis d’expert : semaines du 12 Mars au 1 Avril 2012

Avis d’expert : semaines du 12 Mars au 1 Avril 2012

Deux mois après la publication de la dernière version de Java, deux codes permettant d’exploiter des failles de sécurité corrigées dans cette version viennent d’être publiés sur Internet. L’un des deux codes a été découvert au sein de BlackHole, l’un des packs d’exploitation les plus populaires et les plus répandus chez les pirates.

Dans le même temps, Microsoft a publié le correctif MS12-020 pour corriger une faille présente au sein du service RCP. L’exploitation de celle-ci permettrait de prendre le contrôle d’un système à distance. L’installation de ce correctif est donc prioritaire, même si aucun code d’exploitation d’exploitation fonctionnel n’a encore été publié.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques durant les dernières semaines. Parmi les logiciels concernés figurent HP Data Protector, EMC Networker, le noyau Linux mm: thp: fix pmd_bad() triggering in code paths holding mmap_sem read mode], eZ Publish, le navigateur SafariApple Safari on iOS 5.1 – Adressbar spoofing vulnerability], Adobe Photoshop, RealPlayer, l’interpréteur de PHP ou enfin Google Talk. L’exploitation de celles-ci permettait à un pirate de provoquer un déni de service, de contourner certaines restrictions de sécurité, voire de prendre le contrôle d’un système à distance.

Correctifs :

Dans le cadre de son « Patch Tuesday » du mois de Mars, Microsoft a publié plusieurs correctifs pour le service DNS (MS12-017), le pilote « win32k.sys » (MS12-018), le framework DirectWrite (MS12-019), le service RDP (MS12-020), Visual Studio (MS12-021) et enfin pour Expression Design (MS12-022). À la suite de la découverte sur Internet d’une preuve de concept pouvant être exploitée afin de provoquer un déni de service à distance, le CERT-XMCO recommande l’installation en priorité du correctif MS12-020.

Adobe a publié une nouvelle version de son Flash Player, ainsi que de son serveur d’application Coldfusion.

De son côté, Cisco a publié plusieurs correctifs relatifs au module Cisco Firewall Services, au contrôle ActiveX VPN Cisco ASA, aux produits Cisco ASA, aux fonctions NAT, SSH, MSDP, IKE, Smart Install, RSVP, à l’inspection des paquets, et enfin à l’IOS.

VMware a aussi publié différents correctifs pour ses produits, ainsi que pour VMware View et ESXi et ESX.

Enfin, de nombreux autres correctifs ont été publiés. Ceux-ci concernent HP-UX, HP Performance Manager, HP OpenView Network Node Manager (Tomcat et Apache), WBEM, HP Insight Control Software pour Linux ainsi que pour IC-Linux, le SDK Java d’IBM, AIX, IBM HTTP Server, IBM Tivoli Endpoint Manager, Citrix XenServer vSwitch Controller, Citrix XenServer Workload Balancing, Aruba Remote Access Point, Aruba Mobility Controller, Novell iManager, Novell ZENworks Configuration Management, Novell eDirectory, Joomla!, les produits Mozilla Firefox, Thunderbird et SeaMonkey, Safari, Google Chrome, Opera, TYPO3, WordPress, Barracuda Cloud Control Center, phpMyAdmin, Wireshark, OpenOffice, F5 FirePass, ARCserve Backup, Solaris, VLC Media Player, Asterisk, Nginx, McAfee Email and Web Security et Email Gateway, Redmine, EMC Documentum eRoom et enfin OpenLDAP.

Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine pour Java (CVE-2012-0507), ainsi que pour Internet Explorer (MS10-002). L’exploitation de celles-ci permet de prendre le contrôle d’un système à distance en incitant un internaute à visiter une page spécialement conçue.

Conférence / Recherche :

Les recherches autour du malware Duqu continuent. Après avoir demandé de l’aide aux internautes, Kaspersky aurait découvert de nombreuses informations sur les outils et techniques utilisées pour développer l’un des modules du malware dont l’étude était particulièrement complexe. Dans le même temps, une nouvelle variante du malware a été détectée, montrant que les pirates sont toujours à l’oeuvre.

Des chercheurs indiens ont publié le résultat de leur travail : une nouvelle façon de partager de manière sécuriser des données sensibles. Au lieu de se reposer sur des notions mathématiques complexes, cette méthode repose sur un principe proche de la stéganographie. En effet, le message chiffré est placé à la vue de tous au sein même d’un message en clair. Même si cela semble paradoxal, il est plus complexe pour un ordinateur de repérer un message en clair au sein d’un autre que de retrouver par le calcul la clé qui a servi à le chiffrer.

IBM a publié un rapport mettant en avant une amélioration globale du niveau de sécurité des applications Web. Celle-ci serait notamment due à une meilleure prise en compte des bonnes pratiques de sécurité au cours des différentes phases du cycle de développement des applications. Dans le même temps, l’étude indique une diminution du nombre de codes d’exploitation publiquement disponibles sur Internet et une baisse générale du nombre de pourriels, mais à une recrudescence des tentatives de phishing et d’usurpation d’identité, entre autres sur les réseaux sociaux, ainsi qu’une hausse des applications mobiles malveillantes.

Microsoft a annoncé l’ajout de plusieurs fonctions de sécurité au sein d’Internet Explorer 10 pour améliorer la sécurité et lutter contre les codes d’exploitation.

À la suite de la publication du correctif MS12-020 relatif à RDP par Microsoft, une preuve de concept permettant de provoquer un déni de service a été découverte sur Internet. Celle-ci correspondrait exactement au code mis à disposition par Microsoft à ses partenaires dans le cadre du MAPP. La mise à disposition de ce code d’exploitation pourrait faciliter le développement d’un code d’exploitation. Un prix a d’ailleurs été offert par des internautes pour le développement d’un tel code d’exploitation. Enfin, selon le chercheur Dan Kaminsky , il y aurait environ 5 millions de systèmes exposant le service RDP sur Internet.

Afin de lutter contre les botnets, l’OTA a travaillé en collaboration avec le FCC ainsi que les principaux FAI afin de proposer un code de conduite « Anti-Bot ». D’après le président de l’OTA, cette lutte nécessite d’impliquer l’ensemble des acteurs concernés dans la détection, la prévention et la correction de ces menaces.

Cybercriminalité / Attaques :

De nombreuses entreprises ne surveillent pas leur trafic DNS, laissant ainsi une porte grande ouverte aux pirates et aux malwares pour profiter de ce protocole et ainsi le détourner de sa fonctionnalité première. Aujourd’hui, certains chercheurs tirent la sonnette d’alarme. D’après certains chercheurs, de plus en plus de malwares cachent leurs communications au sein de paquets DNS. En effet, l’avantage de ce système est que même si une machine compromise ne peut pas accéder directement à l’extérieur, elle est très souvent en mesure d’envoyer des requêtes vers le serveur DNS interne, qui se chargera de les transmettre vers Internet. Dans ce genre de scénario, le serveur DNS interne à l’entreprise sert alors de « proxy » pour le malware.

Les cybercriminels estoniens auraient trouvé de nouveaux moyens pour blanchir l’argent sale dérobé. Pour cela, il aurait créé une société spécialisée dans l’octroi de crédits rapides pour les personnes ou les sociétés en manque de capitaux. En plus de dissimuler l’origine de leurs fonds, cette activité leur permettait de gagner de l’argent sur les taux d’intérêt consentis sur chaque prêt.

Avec l’aide de plus en plus prononcée du FBI, le forum Carder.su a disparu de la toile. Dans le même temps, le site VX Heavens, qui mettait à disposition depuis 12 ans des codes malveillants et qui fournissait des conseils dans l’écriture de logiciels malveillants, a été fermé par les autorités ukrainiennes.

Une opération conjointement menée par IB Group, le FSB et le Ministère des Affaires intérieures russe a conduit, au terme d’une enquête minutieuse, à mettre un terme aux agissements d’un groupe criminel, responsable du pillage de comptes bancaires à un niveau international, grâce à un programme malveillant connu sous le nom « Carberp« .

1,5 million de données bancaires manipulées par Global Payment aurait été compromis entre le 21 janvier et le 25 février 2012. Une partie des données contenues dans les pistes magnétiques aurait été interceptée, ce qui augmente les risques d’une utilisation de cartes bancaires contrefaites ou de la revente de ces données dans des blackmarkets.

La Fondation pour la surveillance d’Internet s’inquiète de l’évolution de la pédopornographie sur Internet. La traque des contenus pédopornographiques sur Internet ne cesse de se complexifier. Une nouvelle technique de camouflage basée sur les « Referrer » serait maintenant utilisée par les délinquants pour camoufler le contenu offensant.

Entreprise :

La municipalité de Nantes, désireuse de faciliter les échanges entre les entreprises, a décidé de créer sur son territoire sa propre monnaie virtuelle, le « Nanto« , en complémentarité de l’euro. L’objectif serait entre autres de mettre fin aux problèmes de trésorerie des entreprises. Mise en circulation prévue pour 2013. La Suède envisage un projet similaire.

Le Bitcoin passerait à l’assaut du marché africain, au travers d’une opération d’Intersango, l’un des leaders dans le commerce de cette monnaie virtuelle. Ce dernier a en effet exposé les bienfaits que la monnaie virtuelle pouvait apporter à l’Afrique, dont le développement est freiné par un système bancaire faible et corrompu. Ce moyen de paiement décentralisé, non soumis à une autorité de régulation, permettrait aux Africains de faciliter leurs échanges monétaires sans recourir à l’utilisation d’argent liquide. L’introduction du Bitcoin sur le continent serait facilitée par le fait que son emploi repose en grande partie sur la téléphonie mobile qui est elle en pleine expansion.

Western Union, le géant mondial des transferts d’argent entre particuliers diversifie ses activités en inaugurant sa nouvelle plateforme de paiement électronique « Pay ». Cette dernière est déjà disponible sur des centaines de sites marchands américains, en concurrence aux traditionnels moyens de paiements Visa, Mastercard et PayPal. La société pense recueillir un net succès grâce à une politique de sécurité forte : toute fourniture de coordonnée bancaire est proscrite.

Vie Privée :

La police du Queensland s’apprêterait à se mettre au « War Driving« . La division « Hi Tech Crime Investigation Unit » des forces de police devrait en effet commencer, sous peu, à parcourir la ville de Brisbane à la recherche de connexions WiFi non sécurisées, dans le but de prévenir leur propriétaire des risques encourus.

XMCO a récemment publié de nouveaux articles sur son blog :

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO