Avis d’expert : semaine du 30 Avril au 6 Mai 2012

Avis d’expert : semaine du 30 Avril au 6 Mai 2012

Le CERT-XMCO recommande l’installation de la dernière version d’Adobe Flash Player. D’après l’éditeur, la faille de sécurité corrigée serait actuellement activement exploitée dans le cadre d’une campagne d’attaque ciblée contre les systèmes d’exploitation Windows. Pour cela, un courriel contenant un fichier malveillant serait envoyé aux internautes.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent PHP, Windows, Oracle Database et enfin un contrôle ActiveX McAfee. Ces différentes failles pouvaient être exploitées afin d’accéder à des données sensibles, de provoquer un déni de service, voire de prendre le contrôle d’un système à distance.

Correctifs :

Plusieurs correctifs ont été publiés. Ceux-ci concernent Adobe Flash Player (APSB12-09), OpenSSL sur FreeBSD, le mécanisme d’authentification LDAP sur IBM AIX, le composant CGI de PHP, différents produits VMware (VMSA-2012-0009), Drupal, HP Insight Management, HP System Health, HP SNMP Agents, Citrix Provisioning Services, HP Insight Manager (SIM), Samba, Google Chrome et enfin IBM HTTP Server sur OS/400.

Microsoft a annoncé la publication de 7 bulletins de sécurité le mardi 8 mai dans le cadre de son « Patch Tuesday » du mois. Parmi ces bulletins qui corrigeront au total 23 vulnérabilités, trois sont jugés « Critiques » par l’éditeur de Redmond. Ceux-ci concernent Windows, le Framework .NET, Office et enfin Silverlight. Quatre autres sont jugés comme « Importants » et concernent Microsoft Office et Windows.

Exploit :

Plusieurs codes d’exploitations ont été divulgués cette semaine pour VLC, un contrôle ActiveX McAfee et enfin PHP-CGI. L’exploitation de ces failles de sécurité permet de prendre le contrôle d’un système à distance.

Conférence / Recherche :

D’après la 12e édition du rapport « Security Intelligence Report » de Microsoft, le malware Conficker serait toujours une menace pour la majorité des systèmes Windows, et ce, particulièrement en entreprise.

Une simple astuce permet d’obtenir les adresses IP des utilisateurs de Skype. La société éditrice serait au courant de l’existence de cette faille de sécurité depuis au moins novembre 2010. Son exploitation permet à un utilisateur d’obtenir l’adresse IP d’un internaute à partir de son identifiant Skype.

Cybercriminalité / Attaques :

Des chercheurs de chez Lookout ont repéré des sites web légitimes, mais compromis, utilisés pour distribuer un nouveau malware ciblant les smartphones Android. L’installation du cheval de Troie, nommé « NotCompatible« , sera bloquée si le paramètre « Unknown sources », qui autorise l’installation d’application ne provenant pas de GooglePlay, n’est pas activé. Par ailleurs, le malware, comme toute autre application doit demander à l’utilisateur de confirmer son installation.

Le malware FlashBack continue de faire parler de lui. Selon une étude menée par Symantec, les pirates pourraient gagner plus de 10 000 dollars par jour grâce au malware installé sur les systèmes compromis. Pour cela, le malware intercepterait et redirigerait les clicks des internautes faits sur les bannières publicitaires Ad-Click du programme éponyme de Google.

RedKit, un nouveau kit d’exploitation fait son apparition sur la toile. Les créateurs de cette « boite à outils » en font la promotion en utilisant des bannières publicitaires. En cliquant sur l’une de ces bannières, le potentiel acheteur est redirigé vers un formulaire, hébergé sur un site web compromis, l’invitant à renseigner son nom de messagerie Jabber afin que les créateurs du kit puissent le recontacter. Il n’est donc pas possible de les contacter directement.

Un pirate aurait cherché à faire chanter la banque belge Elantis en la menaçant de rendre publiques les informations personnelles de 3 700 de ses clients. Le pirate aurait en effet contacté vendredi dernier la société par courriel afin de réclamer la somme de 150 000 dollars. Selon les informations rendues publiques par la banque, le pirate demandait à être payé avant la date du 4 mai, sous peine de publier les données parmi lesquelles figurent les noms de ses clients, leurs professions, leurs coordonnées, leurs numéros de carte d’identité, et enfin leurs revenus.

Entreprise :

Plus de 100 demandeurs de TLD seraient concernés par une fuite de données au sein de l’application en ligne utilisée par l’ICANN pour gérer les dossiers de demande de nouveau TLD.

Global Payments aurait pu être compromis bien avant que la faille ne soit révélée en février dernier. Selon une alerte envoyée par Visa à certains de ces clients, la compromission remonterait en effet au mois de juin 2011…

Selon plusieurs chercheurs, la politique d’Oracle mettrait ses clients en danger.

Juridique :

La Commission européenne a demandé officiellement à la France ainsi qu’à cinq autres pays européens (Belgique, Espagne, Chypre, Pologne et Portugal) de justifier leur retard quant à la transposition de la directive 2009/110/CE concernant le marché des monnaies électroniques. Les pays en question ont ainsi deux mois pour informer la Commission quant aux mesures qu’ils comptent prendre en la matière, auquel cas la Cour de justice européenne sera saisie et des sanctions pourront être prononcées en cas d’inaction. Cette directive vise principalement à faciliter l’entrée des entreprises sur le marché des monnaies électroniques et à développer la concurrence entre ces établissements en Europe.

XMCO a publié récemment le numéro 31 de l’ActuSécu, intitulé « R2D2, Cybercriminalité et pharmacies fictives ». Au sommaire : R2D2 – présentation et utilisation du Cheval de Troie allemand, Cybercriminalité – la vente de médicaments sur Internet, les résumés des conférences GSDays, Blackhat Amsterdam et JSSI, l’actualité du moment – analyses des vulnérabilités JAVA (CVE-2012-0500 et CVE-2012-0507), MS12-020, /proc/<pid>/mem (CVE-2012-0056), et comme toujours… les blogs, les logiciels et nos Twitter favoris !
http://www.xmco.fr/actusecu.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO