* Avis d'expert : Le CERT-XMCO recommande l'installation des correctifs Cisco et VMware. L'exploitation des failles de sécurité permettait de contourner certaines restrictions de sécurité dans les logiciels Cisco, et d'élever localement ses privilèges via les logiciels VMware. * Résumé des évènements majeurs : - Vulnérabilités : Plusieurs vulnérabilités ont été découvertes au sein des logiciels IBM Tivolli Directory Server et HP Discovery & Dependency Mapping Inventory. - Correctifs : Plusieurs vulnérabilités ont été corrigées cette semaine au sein des logiciels SPIP, VMware, Cisco ACS, Cisco Nac Applicance, IBM WebSphere Application Server, et enfin Pure-FTPd. L'exploitation de ces différentes failles permettait de provoquer des dommages d'importance variable. Le micro-logiciel du téléphone Nokia E75 a été mis à jour. Cette nouvelle version corrige une faille pouvant être exploitée afin de contourner le verrouillage clavier du téléphone. - Exploits : Plusieurs codes d'exploitation ont été publiés au sein du framework d'exploitation Metasploit. Une première preuve de concept permet de prendre le contrôle d'un système lors de l'ouverture d'un fichier AMV avec le lecteur multimédia VLC. Un second code d'exploitation permet de tirer parti de la faille 0day découverte au sein du Flash Player. Enfin, de nombreux codes d'exploitation ciblant les produits HP ont été publiés. - Cybercriminalité / Attaques : Le site MySQL.com aurait subi une attaque cette semaine. Celle-ci reposerait sur l'existence d'une faille de type injection de code SQL en aveugle sur le site. De nombreuses informations auraient ainsi été extraites de la base de données, parmi lesquelles se trouvaient des couples d'identifiant et de condensats de mots de passe. Le code source des différents logiciels édités n'aurait pas été affecté par cette attaque. Dans le même temps, une attaque plus ou moins similaire, surnommée "lizamoon", a permis d'insérer dans près de 380 000 pages Internet un code source malveillant. L'affichage des pages ainsi modifiées permettait aux pirates de rediriger les internautes vers un site proposant l'installation de logiciels malveillants sous la forme de faux antivirus. Une nouvelle version du malware GPCode a été découverte. Pour rappel, ce malware a pour rôle de chiffrer certains fichiers appartenant à un utilisateur, afin d'obliger celui-ci à payer une "rançon" s'il désire les récupérer. Cette nouvelle version introduit un nouveau mode de paiement via les cartes prépayées "Ukash". Après la Commision Européenne, c'est au tour du Parlement de subir des attaques. Il semblerait que ces deux attaques aient été perpétrées de manière coordonnée. En réponse à cette attaque, le parlement a coupé l'accès aux différents webmails. http://hackingexpose.blogspot.com/2011/04/eu-parliament-suspends-webmail-after_01.html Le code source de Zeus a été publié sur Internet sous la forme d'une archive RAR protégée par mot de passe. De nombreux internautes sont en train d'essayer de bruteforcer celui-ci afin d'obtenir le code source du malware. L'autorité de certification Comodo continue de faire parler d'elle. La société a reconnu la compromission cette semaine de deux autres de ces filiales. Alors que neuf certificats frauduleux ont pu être émis par ce biais, la société est en train de revoir en profondeur sa politique de sécurité et les procédures associées. Par ailleurs, le pirate qui se fait appeler "ComodoHacker" a publié à plusieurs reprises des preuves de son "exploit", telles que la clef privée associée au faux certificat ciblant Mozilla. Après les institutions françaises puis européennes, plusieurs ministères australiens ont été pris pour cible par les pirates. Peu d'informations sont actuellement disponibles sur cette attaque, dont l'origine remonterait cependant au mois de février dernier... - Entreprises : Samsung a été accusé cette semaine de livrer intentionnellement des ordinateurs portables avec un système d'exploitation vérolé. Lors de recherches menées sur son temps personnel, un chercheur a découvert l'existence d'un keylogger installé par défaut sur le système. Il semblerait que cette accusation soit infondée, et que celle-ci repose sur un faux positif de la part de l'antivirus VIPRE de GFI. Enfin, certains systèmes critiques appartenant à la Nasa pourraient facilement être compromis depuis Internet. Un audit avait été mené en mai 2010 mais plusieurs vulnérabilités seraient toujours exploitables. Des informations critiques relatives au programme spatial pourraient être obtenues par ce biais. - XMCO : XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment... http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Suite à la publication d'un code exploitant une vulnérabilité au sein du Flash Player (APSA11-01), le CERT-XMCO recommande l'installation des correctifs disponibles pour Flash Player (APSB11-05), Adobe Reader et Adobe Acrobat (APSB11-06). * Résumé des évènements majeurs : - Vulnérabilités : Une faille de sécurité a été découverte au sein des concentrateurs VPN Cisco. Ceux-ci réagissent différemment en fonction de la validité du groupe spécifié au sein des messages IKE. Cette erreur permettrait à un attaquant de mener une attaque de force brute afin de récupérer le nom du groupe. Plusieurs autres vulnérabilités ont été découvertes au sein du serveur TFTP d'Avaya IP Office Manager, de RealPlayer, d'IBM Lotus Domino, d'HP Virtual SAN et de l'iOS d'Apple. L'exploitation de ces failles de sécurité permettrait à un attaquant de provoquer un déni de service voire de compromettre un système. - Correctifs : De multiples vulnérabilités ont été corrigées au sein de Mac OS X. L'exploitation de celles-ci permettait à un attaquant de mener des attaques de type "Cross-Site Scripting", de voler des informations, d'élever ses privilèges, de provoquer un déni de service, voire de compromettre un système. Une vulnérabilité critique a été corrigée au sein des logiciels Adobe (Flash, Reader et Acrobat). L'exploitation de celle-ci permettait à un attaquant distant de prendre le contrôle d'un système via l'ouverture d'un fichier spécialement formé. Cette vulnérabilité a été rapidement exploitée par des pirates. Enfin, plusieurs vulnérabilités ont été corrigées au sein des logiciels Solaris [1] [2], Novell Netware, Symantec LiveUpdate Administrator, CATIA, VLC, Google Chrome et de plusieurs applications Citrix. - Exploits : Un code d'exploitation permettant à un attaquant de prendre le contrôle d'un système via une vulnérabilité dans Novell Netware a été publié. Celui-ci prend la forme d'un script Python et permet d'envoyer une commande FTP malicieuse dans le but de provoquer un débordement de tampon. Un second exploit ciblant le serveur TFTP d'Avaya IP Office Manager a été publié. En envoyant une requête spécialement conçue à la machine cible, le pirate est en mesure de provoquer un déni de service. - Juridique : Aux Pays-Bas, le piratage d'un routeur pour accéder à un réseau Wi-Fi n'est pas une infraction pénale. En effet, un étudiant a été jugé pour avoir posté une menace de mort sur un forum après avoir piraté un routeur Wi-Fi pour masquer son identité. Cette affaire a abouti à une nouvelle jurisprudence. En s'appuyant sur des éléments de la loi datant du début des années 90, le juge a estimé que le routeur piraté par l'étudiant ne remplissait pas les trois critères caractérisant un ordinateur selon la justice néerlandaise. Le jeune accusé n'a donc pas été poursuivi pour "acte de piratage". - Conférence / Recherche : Des dizaines de codes d'exploitation et de preuves de concept ciblant des failles sur les systèmes SCADA (Supervisory Control And Data Acquisition) ont été publiées cette semaine. Il semblerait qu'une société russe, se présentant comme spécialisée dans la sécurité des systèmes d'informations, ait lancé un kit d'exploitation regroupant les vulnérabilités dévoilées publiquement. - Cybercriminalité / Attaques : Pour la seconde fois en peu de temps, une application malveillante disponible pour les smartphones reposant sur Androïd et exploitant une vulnérabilité connue a été découverte. Celle-ci était en mesure d'élever ses privilèges afin d'installer une porte dérobée sur le système et d'accéder au compte administrateur. Google a supprimé l'application de l'Androïd Market et a enclenché un processus de suppression automatique de l'application sur tous les téléphones infectés. Neuf certificats frauduleux visant les sites internet de plusieurs grandes sociétés telles que Google, Yahoo, ou encore Skype ont été délivrés la semaine dernière par une autorité de certification racine appelée Comodo. Les attaquants ont eu accès à un compte utilisateur de la RA (Registration Authority) par des moyens non déterminés. Ces certificats pourraient être utilisés dans des attaques de type "Man-in-the-Middle" sur une connexion protégée par le protocole SSL. Les principaux éditeurs de navigateurs Web ont été avertis et ont mis à jour leur liste de révocation. La Commission Européenne a été victime d'une attaque informatique de grande ampleur deux jours avant le sommet de Bruxelles. Les dirigeants devaient s'intéresser au sort de la Libye, aux opérations militaires menées actuellement, ainsi qu'à la sûreté du nucléaire en Europe depuis les incidents survenus au Japon. Un porte-parole de la Commission a déclaré que seuls quelques services ont été affectés. Il semblerait que les pirates aient envoyé des courriels contenant un fichier malveillant en pièce jointe pour pénétrer à l'intérieur du système d'informations. - Entreprises : Research In Motion (RIM) vient de mettre à disposition de ses clients privés européens l'application BlackBerry Protect. Celle-ci permet aux utilisateurs de protéger leur smartphone de la même manière que les entreprises peuvent le faire avec le BlackBerry Enterprise Server. Cette application permet au propriétaire du téléphone de sauvegarder ses contacts, son calendrier, ses tâches, ses notes, ses signets et ses SMS. Ces données sauvegardées peuvent ensuite être restaurées sur le smartphone d'origine ou sur un nouvel appareil BlackBerry. D'autres services, également disponibles, permettent de localiser son smartphone si celui-ci a été égaré, d'effacer toutes les données et de verrouiller le téléphone à distance. - XMCO : XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment... http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Suite à la publication d'un code exploitant la vulnérabilité "Java codebase trust", le CERT-XMCO recommande une fois de plus l'installation du correctif publié par Oracle dans le bulletin JavaCpuFeb2011 le mois dernier. Par ailleurs, une vulnérabilité 0day critique affectant Adobe Reader a été publiée. Adobe a réagi en publiant un correctif le lundi 21 mars. Le CERT-XMCO recommande d'installer ce correctif. * Résumé des évènements majeurs : - Vulnérabilités : Adobe a annoncé mardi dernier, la découverte d'une vulnérabilité 0day critique dans Adobe Flash et Reader. Cette vulnérabilité peut être exploitée pour prendre le contrôle à distance d'un système implémentant un de ces deux logiciels. Des attaques exploitant celle-ci ont déjà été identifiées sur Internet : un fichier Excel (.XLS) malveillant dans lequel serait contenue une animation Flash, spécialement conçue, serait envoyé par email à de nombreux internautes. Seul Flash Player serait actuellement pris pour cible par les pirates. Adobe a annoncé qu'un correctif sera publié durant la semaine du 21 mars. Le CERT-XMCO recommande de se préparer au déploiement de se correctif et de redoubler de vigilance lors de la réception de pièce jointe. Une vulnérabilité a été découverte au sein du navigateur Internet utilisé sur les smartphones BlackBerry. L'exploitation de celle-ci permet à un attaquant de prendre le contrôle d'un smartphone reposant sur la version 6.0 du logiciel BlackBerry Device Software. La faille de sécurité serait liée à la gestion des styles CSS au sein de Webkit. Une vulnérabilité a été découverte sur la machine virtuelle Java installée avec Novell Access Manager. La faille de sécurité provient d'un problème de conversion entre deux types de données permettant à un attaquant de provoquer un déni de service. - Correctifs : De multiples vulnérabilités on été corrigées au sein de SAP Crytal Reports 2008, SAP NetWeaver, SAP GUI, VMware vCenter, HP Client Automation Enterprise, IBM Lotus Quickr, Asterisk, Kerberos, RSA Access Manager Server, et enfin Flash Player sur Solaris. - Exploits : Une preuve de concept exploitant l'une des vulnérabilités affectant les versions inférieures à Java 6 Update 24 a été publiée. Cette dernière, intégrée au sein du framework d'exploitation Metasploit pourrait donc prochainement être utilisée par des pirates afin de prendre le contrôle d'un système. Un code d'exploitation permettant d'élever ses privilèges au sein du Runtime .Net sur un système Windows a été publié. Celle-ci permet de modifier le fichier, et force le système à exécuter des commandes arbitraires. Un compte local est néanmoins nécessaire pour pouvoir exploiter cette vulnérabilité. De nombreux autres exploits ont été publiés cette semaine. Ces codes d'exploitation ciblent des vulnérabilités de Foxit Reader, HP OpenView Performance Insight Server, Adobe ColdFusion, et enfin RealPlayer. - Entreprises : La nouvelle version de la célèbre tablette tactile d'Apple, sortie le 11 mars dernier, a tenu 3 jours après sa sortie avant d'être jailbreakée. Le hacker Comex a réussi à contourner les diverses protections de la version 4.3 du système d'exploitation iOS. Il semblerait que la vulnérabilité exploitée soit située en espace utilisateur ("User Land"). - Cybercriminalité / Attaques : Le botnet Rustock, responsable d'une importante quantité de spams, semblerait avoir arrêté son émission le 16 mars 2011 à 15h. Ce dernier représentait parfois à lui seul la moitié du spam enregistré par certains chercheurs. Le célèbre fournisseur de solutions de sécurité, RSA, a récemment été victime d'une attaque particulièrement sophistiquée. D'après les premiers éléments découverts, des informations sensibles relatives système d'authentification forte RSA SecurID auraient ainsi été volées. Parmi les informations que les pirates auraient pu récupérés, figurent les graines utilisées par RSA SecurID pour la génération des 6 chiffres aléatoires par le token RSA, ou encore le code source de la solution RSA SecurID. Les attaquants pourraient prédire les chiffres générés par les tokens, réduisant ainsi le niveau de sécurité de l'authentification de l'entreprise victime, ou avoir toutes les cartes en main afin de trouver des vulnérabilités exploitables. - XMCO : XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment... http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation du correctif MS11-015 qui corrige deux failles de sécurité au sein du framework Windows Media. L'ouverture d'un fichier spécialement conçu permettrait de prendre le contrôle d'un système à distance. * Résumé des évènements majeurs : - Vulnérabilités : Une faille de sécurité a été découverte au sein d'Internet Explorer. L'exploitation permettait de tromper un utilisateur en menant une attaque de "spoofing" afin de manipuler l'adresse de la page visitée. - Correctifs : Microsoft a publié trois correctifs dans le cadre de son "Patch Tuesday" du mois de mars. Ceux-ci sont relatifs au framework Windows Media (MS11-015), à Groove (MS11-016), ainsi qu'au Client Bureau à distance (MS11-017). L'exploitation des 4 quatre failles de sécurité permettrait de prendre le contrôle d'un système à distance via l'ouverture d'un fichier spécialement conçu. Le CERT-XMCO recommande l'installation du correctif MS11-015. De nombreux autres correctifs ont été publiés cette semaine pour VMware ESX(i), Postfix, Tomcat, Safari, Java pour Mac OS X, l'iOS d'Apple, et enfin Joomla!. Google Chrome a aussi été mis à jour. La version 10.0.648.127 corrige de nombreuses failles. Celle-ci apporte une nouvelle fonction de sécurité : la mise en place du bac à sable du lecteur Flash intégré au logiciel qui devrait complexifier l'exploitation de vulnérabilités. - Exploits : Un code d'exploitation permettant d'élever ses privilèges sur un système Windows a été publié. La définition de droits d'accès trop peu restrictifs à l'exécutable correspondant au service ".Net Runtime Optimization Service" permettait de modifier le fichier, et ainsi qu'à forcer le système à exécuter des commandes arbitraires. Un compte local est, néanmoins, nécessaire pour pouvoir exploiter cette vulnérabilité. Un second exploit a été publié. Celui-ci cible le contrôle ActiveX utilisé au sein de la solution Novell iPrint Client. L'exploitation de cette faille permet à un pirate de prendre le contrôle d'un système à distance en incitant simplement un internaute à visiter un site spécialement conçu. - Cybercriminalité / Attaques : L'ANSSI a révélé cette semaine que le système d'information de Bercy, le Ministère de l'Économie et des Finances, a été attaqué. Les pirates auraient réussi à prendre le contrôle de 150 systèmes en envoyant des courriels piégés à l'aide de Chevaux de Troie. L'attaque durait depuis le mois de décembre. L'ANSSI était à pied d'oeuvre depuis janvier pour colmater les brèches et identifier les commanditaires de ce piratage. En fin de semaine, des documents comportant de nombreuses informations sensibles sur le SI du Ministère des Affaires Étrangères et Européennes a été publié par le Ministère en question. Les documents publiés décrivent en détail le Système d'Informations du Ministère. Ceux-ci ont été publiés dans le cadre d'une consultation publique relative à la définition, au pilotage et au renforcement de la sécurité des SI du Ministère. Un développeur a publié "K0de Sploit Pack", un pack d'exploitation dérivé du célèbre Eleonore en Open Source. Celui-ci proposerait des améliorations lui permettant d'être plus efficace dans la compromission des systèmes d'exploitation au travers d'un navigateur vulnérable. Le pirate aurait demandé l'aide des internautes afin de poursuivre les améliorations apportées à K0de Sploit Pack. Un nouveau Banker vient de faire son apparition. Tatanga possède plusieurs fonctionnalités évoluées qui feront peut-être de lui un concurrent aux célèbres Zeus et SpyEye. Par ailleurs, Zeus continue d'évoluer alors que l'arrêt du développement avait été annoncé récemment. Après avoir été adapté pour Symbian et Windows Mobile, le malware fait désormais son apparition sur BlackBerry. - Conférence / Recherche : Le fameux chercheur Jon Oberheide a publié les résultats d'une étude sur une faille de type "Cross-Site Scripting" (XSS) au sein de l'Androïd Market. Si celui-ci n'avait pas informé Google de son existence, le chercheur aurait été capable de prendre le contrôle d'un smartphone à distance en incitant simplement un internaute à cliquer sur un lien le dirigeant vers le site en question. Par ailleurs, le concours en question se déroulait en fin de semaine. Pwn2Own aura vu Internet Explorer 8 sur Windows 7 tombé dès le premier jour. Le vainqueur a exploité pour cela, pas moins de 3 failles de sécurité différentes ! Safari sur Mac OS n'aura pas résisté plus longtemps, contrairement à Firefox et Google Chrome. - Entreprises : Après l'épisode "DroidDream" de la semaine précédente au cours duquel Google avait dû supprimer un grand nombre d'applications malveillantes de son Androïd Market, le géant de la recherche a souhaité prendre d'autres mesures réparatrices. Google a ainsi utilisé son "kill switch" pour supprimer à distance et sans confirmation les applications malveillantes des smartphones de ses clients. L'éditeur a, ensuite, poussé vers les appareils concernés une mise à jour permettant de les débarrasser du malware résiduel. Kaspersky a réagi en dénonçant les techniques utilisées par Google pour réaliser cela : en effet, la mise à jour se comporte de la même façon qu'un malware. Une faille de sécurité est exploitée afin d'obtenir les privilèges SYSTEM, permettant de supprimer le malware, puis de s'auto-supprimer. Au final, le mal est partiellement réparé puisque la faille est toujours exploitable. Un autre malware a d'ailleurs fait son apparition en fin de semaine. Celui-ci se faisait passer pour la mise à jour de Google, et était présent sur des sites alternatifs à l'Androïd Market officiel. - XMCO : XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment... http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Résumé des évènements majeurs : - Vulnérabilités : Une vulnérabilité a été découverte au sein de l'utilitaire "crontab" sur FreeBSD. L'exploitation de cette faille de sécurité permet d'obtenir des informations potentiellement sensibles. - Correctifs : Plusieurs failles de sécurité ont été corrigées cette semaine au sein des logiciels suivants : Citrix Secure gateway, Samba, Google Chrome, Firefox et Thunderbird, VSFTPD et iTunes. - Exploits : Un code d'exploitation ciblant la faille corrigée au sein de Windows par le correctif MS11-011 a été publié cette semaine. Celui-ci permet d'élever localement ses privilèges. Un autre code d'exploitation ciblant le serveur FTP VSFTPD permet de provoquer un déni de service à distance. Enfin, un dernier code d'exploitation a été publié au sein du framework d'exploitation Metasploit cible la solution Citrix Access Gateway et permet de prendre le contrôle d'un système distant. - Cybercriminalité / Attaques : Le site institutionnel de la bourse de Londres a été utilisé pour propager des malwares. Plus précisément, des bannières publicitaires malveillantes étaient servies par un publicitaire peu scrupuleux en charge de monétiser les visites effectuées sur le site en question... L'unité "Dedicated Cheque and Plastic Crime Unit", composée d'agents de la Metropolitan Police, de la City of London Police ainsi que d'experts en cartes à puce, a constaté une augmentation du phénomène de "skimming" sur les automates de vente de tickets dans les stations de trains de Londres. Les usagers du métro et du train de Londres sont donc poussés à être très vigilants lors des achats de titres de transport... 21 applications ont été supprimées de l'Androïd Market après qu'un malware surnommé "DroidDream" ait été découvert dans les paquets. Le cheval de Troie était relativement abouti et permettait aussi bien de dérober des informations personnelles que d'installer d'autres malwares. - Conférence / Recherche : ThunderBolt, une nouvelle technologie qui vient de faire son apparition sur les derniers Mac montre bien l'absence d'intérêt des constructeurs pour la sécurité... En effet, bien que tout récent, ce protocole repose sur d'anciennes fondations techniques (comme la DMA) qui sont reconnues depuis longtemps comme dangereuses. Plan B, une nouvelle application, est disponible pour Androïd. Celle-ci est installable à distance et permet, après une perte ou un vol, de verrouiller un smartphone à distance, voire de le retrouver. - Entreprises : Tout comme de nombreuses autres sociétés internationales, la banque d'investissement Morgan Stanley aurait été victime de l'opération Aurora au début de l'année 2010. Cette information a été découverte dans les données dérobées à la société HBGarry. Microsoft a annoncé la date de son prochain "Patch Tuesday". Mardi 8 mars seront publiés 3 bulletins : un des bulletins relatif à une vulnérabilité présente au sein de Windows est jugé "critique" par l'éditeur. Les deux autres sont liés à Windows ainsi qu'à Office et sont jugés "important". - XMCO : Enfin, XMCO a publié le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, ... http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation des correctifs Cisco ASA et FWSM publiés cette semaine. * Résumé des évènements majeurs : - Vulnérabilités : Une vulnérabilité au sein de la fonction "grapheme_extract()" du moteur PHP a été découverte. Son exploitation permettrait de provoquer un déni de service. Une autre faille de sécurité a été découverte au sein de la solution Citrix Licensing. Celle-ci permettrait aussi de provoquer un déni de service, voire de contourner certaines restrictions de sécurité. - Correctifs : De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels vulnérables mis à jour : l'antivirus ClamAV, Asterisk, le serveur DNS Bind, Cisco ASA, FWSM et Telepresence, le composant Microsoft Malware Protection Engine utilisé par les différentes solutions antivirales de l'éditeur, le lecteur de fichier PDF Foxit Reader, Novell Netware et enfin le contrôle ActiveX fourni avec CA Internet Security Suite. - Exploits : Un exploit ciblant le célèbre navigateur Internet Firefox de la Fondation Mozilla a été publié au sein du framework d'exploitation Metasploit. La faille utilisée a été corrigée au mois d'octobre 2010 lors de la publication du bulletin MFSA2010-73 et de la version 3.6.12 du logiciel. Son exploitation permettait à un pirate de prendre le contrôle d'un système vulnérable en incitant simplement un internaute à visiter une page spécialement conçue. De nombreux autres codes d'exploitation ont été publiés cette semaine pour Lotus Domino, pour Novell ZENworks, iPrint Server et Netware. Ceux-ci permettent de provoquer des dénis de service à distance, mais pourraient être modifiés pour prendre le contrôle d'un système vulnérable. - Cybercriminalité / Attaques : La dernière variante du malware "Spy.Felxispy" aurait infecté plus de 150 000 smartphones en Chine, tous reposants sur le système d'exploitation Symbian. Ce malware aurait la capacité d'écouter les conversations d'un utilisateur en activant discrètement la fonction de "Conference Call" lorsqu'un appel serait intercepté. Le malware serait aussi en mesure d'activer le micro à distance, et de voler les messages reçus et émis depuis le téléphone infecté afin d'espionner une victime. Un autre virus a été découvert cette semaine. Comme de nombreux autres malwares, "OddJob" est destiné à détourner la session d'un utilisateur visitant son compte bancaire en ligne. Sa particularité est qu'il intercepterait les requêtes de déconnexion d'un utilisateur, afin de maintenir ainsi la session active, autorisant ainsi les cybercriminels à vider le compte bancaire de la victime alors que celle-ci pense être déconnectée. - Conférence / Recherche : Selon une étude intitulée "The Cost of Cyber Crime" publiée conjointement par le gouvernement britannique et l'industrie, le cybercrime coûterait chaque année 27 milliards de livres au Royaume-Uni (2 % du PIB !) [20]. Selon certains chercheurs, les chiffres avancés ne refléteraient pas la réalité. Néanmoins, l'effort fait pour mesurer les coûts du cybercrime et l'encouragement fait aux victimes à rapporter le préjudice subit sont des points très positifs à ne pas négliger. - Entreprises : Microsoft a publié la version finale du Service Pack 1 des systèmes d'exploitation Windows 7 et Windows Server 2008 R2. L'installation de ce SP apporterait des correctifs pour plus de 780 bogues ainsi que plusieurs améliorations de sécurité. Plusieurs versions sont disponibles en fonction du moyen d'installation et du type de plateforme matérielle utilisée. - Internationnal : Après la France, c'est au tour des Pays-Bas de publier sa stratégie en matière de cybersécurité. Tout comme dans le cas français, la cybersécurité est présentée comme un enjeu majeur pour l'avenir de la société et pour le développement économique du pays. L'objectif recherché par le NCSC (National Cyber Security Centre) et par le CERT national Govcert.nl est la création de forts liens de coopération entre les différents acteurs composant le paysage de la société néerlandaise jouant un rôle dans le domaine de la sécurité. L'Asie, sous la responsabilité de l'APCERT (Asia Pacific Computer Emergency Response Team), vient de réaliser un test grandeur nature de sa capacité à répondre à une cyber-attaque massive ciblant, entre autres, ses systèmes critiques. Comme pour les États-Unis avec la simulation CyberStorm 3, puis l'Europe avec CYBER EUROPE 2010, l'objectif était de tester les liens de communication existants entre les 20 équipes réparties dans les 15 pays participants, ainsi que les procédures de réaction mises en place. L'affaire Wikileaks continue de suivre son cours. Vendredi, la justice anglaise a autorisé l'extradition de Julian Assange vers la Suède où il serait appelé à comparaître dans un procès pour des viols que le prévenu réfute. Assange dispose désormais d'une semaine pour faire appel de cette décision, ce que ses avocats prévoient faire. Le fondateur de Wikileaks pourrait risquer une nouvelle extradition vers les États-Unis où il risquerait la prison à vie, voire la peine de mort. - XMCO : Enfin, XMCO a publié cette semaine le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, ... http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation de l'Update 24 de Java 6. Cette mise à jour a été publiée par Oracle dans le cadre de son cycle de sécurité. Comme le précise le bulletin de sécurité JavaCpuFeb2011; celle-ci corrige plusieurs failles de sécurité critiques au sein de la suite Java. * Résumé des évènements majeurs : - Vulnérabilités : Plusieurs failles de sécurité ont été découvertes cette semaine au sein d'OpenLDAP, du moteur PHP et de l'outil Oracle Database Export. Une autre vulnérabilité a été découverte au sein du composant Active Directory de Windows. Son exploitation permettrait de provoquer un déni de service, voire d'élever localement ses privilèges. Enfin, Charlie Miller a annoncé avoir découvert la faille de sécurité qu'il utilisera pour remporter le prix associé à l'exploitation de Safari lors du concours Pwn2Own. En conséquence, le chercheur a seulement réalisé cette annonce et n'a fourni aucune information sur cette faille. - Correctifs : Oracle a publié son bulletin JavaCpuFeb2011 proposant une mise à jour de sa JVM. De nombreuses failles de sécurité ont été corrigées. Leur exploitation permettait à un pirate d'aller jusqu'à prendre le contrôle d'un système distant. De nombreux autres correctifs ont été publiés cette semaine. Parmi les logiciels concernés se trouvent les produits VMware, PhpMyAdmin, TYPO3, Internet GateKeeper de F-Secure, Cisco Security Agent, Novell ZenWorks Configuration Management et enfin ClamAV. - Exploits : Plusieurs exploits ont été publiés au cours de cette semaine. Parmi les logiciels ciblés, Oracle Database Export, IBM Lotus Domino, Novell ZenWorks Configuration Management et iPrint Server. De plus, un module a été ajouté au framework d'exploitation Metasploit permettant d'exploiter la faille de sécurité découverte au sein de la fonction "BowserWriteErrorLogEntry()" du pilote Windows NT SMB Minirdr ("mrxsmb.sys") [18]. L'exploitation de cette faille permet à un pirate de provoquer un déni de service d'un serveur Active Directory via l'envoi d'une requête SMB "Browser Election" spécialement conçue. - Cybercriminalité / Attaques : Un général israélien se serait attribué les crédits de la planification et de la mise en place de l'attaque "Stuxnet" dans une vidéo présentée lors d'une soirée en l'honneur de son départ en retraite. Cette vidéo a ensuite été publiée sur Internet par le journal Haaretz. McAfee a publié une étude présentant une attaque baptisée "Night Dragon". Celle-ci viserait particulièrement les géants du secteur de l'industrie énergétique et reposerait sur différentes attaques classiques telles que du phishing, de l'ingénierie sociale ou encore l'exploitation de vulnérabilités Windows. - Conférence / Recherche : La société Damballa, spécialisée dans l'étude des botnets, a publié cette semaine le top 10 de ces réseaux constitués de machines zombies [21]. La forte hausse du nombre de systèmes compromis serait principalement liée au nombre croissant de pack d'exploitation et de toolkits disponibles. Ces outils coutent de 100 à 1.000 dollars et permettent aux personnes n'ayant aucune compétence en programmation d'assembler ses propres exploits et malwares grâce à quelques clics de souris. D'après une étude réalisée par le gouvernement britannique, le cybercrime coûterait chaque année 27 milliards de livres au Royaume-Uni [22]. - Entreprises : Le Service Pack 1 de Windows 7 et de Windows Server 2008 a été publié en version Beta. Seule une version internationale d'environ 2Go serait disponible... Microsoft a aussi publié sur Windows Update une mise à jour permettant de désactiver l'Autorun sur sous Windows XP et Vista. L'éditeur avait déjà publié un outil permettant de faire cela, mais celui-ci nécessitait une intervention de l'utilisateur. Grâce à cette mise à jour, l'ensemble des utilisateurs de Windows devrait maintenant être protégé contre les virus exploitant ce type de fonctionnalité. Google a mis à jour son service d'authentification afin de proposer à l'ensemble des internautes la possibilité de s'authentifier avec un mécanisme d'authentification forte. Celui-ci repose sur l'envoi d'un SMS vers un numéro de portable associé à un compte Google, contenant un mot de passe à usage unique. - Internationnal : L'ANSSI a publié cette semaine un document présentant ses 4 objectifs et ses 7 axes d'effort sur lesquels repose la stratégie adoptée dans le cadre de la mise en place des mesures préconisées par le Livre blanc sur la défense et la sécurité nationale paru en 2008. Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Microsoft et Adobe ont publié 16 bulletins dans le cadre de leur cycle de sécurité. Le CERT-XMCO recommande l'installation en priorité des correctifs correspondant aux bulletins MS11-003, MS11-006, MS11-007, APSB11-02 et APSB11-03. * Résumé des évènements majeurs : - Vulnérabilités : De nombreuses failles de sécurité ont été publiées par ZDI après que différents éditeurs n'aient pas réagi avant la date limite de prise en compte. Plusieurs failles liées à Office (ZDI-11-040, ZDI-11-042, ZDI-11-043, ZDI-11-044), à Novell eDirectory (ZDI-11-060) et à CA Gateway Security (ZDI-11-059) ont ainsi été révélées publiquement. - Correctifs : Dans le cadre de son Patch Tuesday, Microsoft a publié 12 correctifs pour les différentes versions de Windows, Internet Explorer, Visio, l'Active Directory et le serveur FTP de IIS. Le CERT-XMCO recommande l'installation des correctifs MS11-003, MS11-006 et MS11-007 respectivement relatifs à Internet Explorer et à Windows. Des exploits existaient pour plusieurs de ces vulnérabilités. Adobe a de son côté publié 4 bulletins APSB11-01 (Shockwave), APSB11-02 (Flash), APSB11-03 (Adobe Reader et Acrobat) et enfin APSB11-04 (Coldfusion). Le CERT-XMCO recommande l'installation des correctifs disponibles pour Flash et Reader. De nombreux autres correctifs ont été publiés cette semaine pour les logiciels suivants : VMware ESX(i) , Cisco Nexus, CheckPoint Endpoint Security et Integrity Server, Tomcat, OpenSSH, OpenSSL, Kerberos, WordPress, Django, ProFTPd, Google Chrome, Real Player et enfin PHPMyAdmin. - Exploits : Un code d'exploitation permettant de contourner les restrictions de sécurité mise en place au sein de la machine virtuelle Java a été publié. En incitant un utilisateur à exécuter un applet non signé, un pirate est en mesure de manipuler certains fichiers, pouvant ainsi mener à la compromission d'un système. - Cybercriminalité / Attaques : D'après les résultats préliminaires d'une enquête en cours, le système d'information du NASDAQ aurait été piraté. Peu d'informations sur ce sujet sont actuellement disponibles. Selon une étude de l'institut Eurostat, un tiers des ordinateurs européen aurait été ciblé par des malwares au cours de l'année 2010. - Conférence / Recherche : Un chercheur aurait empoché plus de 13 000 dollars en rapportant 22 failles découvertes sur le portail "google.com" à Google. Un chercheur a présenté une technique permettant à un pirate de récupérer simplement et rapidement la majorité des mots de passe stockés dans un iPhone. Le chercheur utiliserait pour cela les API Apple pour accéder au trousseau dont le contenu n'est pas protégé... - XMCO : L'ActuSécu est maintenant disponible en anglais ! http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Microsoft et Adobe ont annoncé la parution le 8 février de plusieurs correctifs pour Windows, Internet Explorer, Office, IIS, Adobe Reader et enfin Acrobat. * Résumé des évènements majeurs : - Vulnérabilités : Une faille de sécurité a été découverte au sein de IIS 6. En créant un dossier portant l'extension ".ASP", et en y plaçant un fichier contenant du code ASP mais dont l'extension ne correspond pas à ce type de fichier (ie ".JPG", ".GIF", ...), un pirate peut compromettre un serveur en forçant le serveur à exécuter le code ASP contenu dans le fichier. - Correctifs : De multiples failles de sécurité ont été corrigées dans VLC, DB2, Exim, Cisco WebEx et Cisco Tandberg, PostgreSQL, Symantec IM Manager, et enfin Google Chrome. - Exploits : Deux codes d'exploitation ciblant VLC et Tomcat ont été publiés. Le premier permet d'exploiter la faille "MKV", récemment corrigée, afin de prendre le contrôle d'un système ; alors que le second permet de provoquer un déni de service d'un serveur Tomcat via l'envoi d'une requête spécialement conçue. - Cybercriminalité / Attaques : Un nouveau type de skimmer a été découvert dans la nature. Pour s'adapter à la vigilance accrue des utilisateurs de carte bancaire lorsqu'ils s'approchent d'un automate, les pirates ont modifié leur façon de procéder. Au lieu de placer leurs outils directement sur les distributeurs automatiques de billets, les pirates piègent les lecteurs de carte bancaire présents à l'entrée des sas, et y placent une caméra derrière le DAB. La bourse de Londres et un établissement américain homologue ont amorcé des enquêtes à la suite des attaques (peut-être terroriste) qui auraient conduit à la chute du cours des actions de plusieurs entreprises l'été dernier. Un pirate anglais est actuellement jugé pour avoir dérobé 400 milliards de jetons (virtuels) de poker sur le site de jeux en ligne Zynga. Selon l'éditeur, cela représenterait l'équivalent de 12 millions de dollars... En les revendant, dans leur totalité, au marché noir, le pirate n' aurait touché que 300 000 dollars... Le botnet Waledac semble plus que jamais être de retour sur le devant de la scène pirate. Des chercheurs ont découvert que le botnet utilisait une liste de 500 000 comptes email dérobés afin de contourner les protections reposant sur des listes noires d'adresses IP... La société AV-Test a enregistré la semaine dernière le 50 millionième exemplaire de malware dans sa base de données [18]. Le chiffre annoncé par AV-Test peut être trompeur, car il correspond au nombre d'échantillons uniques. Ce chiffre impressionnant reflète, néanmoins, l'activité importante dans le domaine du développement de malwares. Le code source d'une version bêta de l'antivirus Kaspersky Internet Security 8.0 a été divulgué [19]. L'auteur de la fuite, un ex-employé de l'éditeur, est actuellement en prison. La société était au courant de la distribution du code source sur les forums privés depuis le mois de novembre 2010. - Conférence / Recherche : Les règles de l'édition 2011 du concours Pwn2Own ont été rendues publiques. Comme l'an passé, les navigateurs et les smartphones seront soumis aux attaques des chercheurs qui pourront gagner de nombreux prix, pour un montant total de plus de 120 000 dollars... Dans le cadre de la dernière édition de la ShmooCon, un chercheur a présenté un nouveau concept de botnet contrôlé entièrement par SMS. Des chercheurs ont découvert une faille de sécurité au sein du système de gestion de mot de passe d'Amazon. Le site utilisait probablement la fonction "crypt()" puisqu'il souffrait des mêmes faiblesses. Les mots de passe de plus de 8 caractères étaient tronqués. De plus, le système était insensible à la casse... - Entreprises : Microsoft a annoncé la date de son prochain "Patch Tuesday". Le 8 février prochain sont attendus 12 bulletins de sécurité corrigeant 22 vulnérabilités. Par ses 3 bulletins jugés "critique" et les 9 bulletins "important", Microsoft a, entre autres, prévu de corriger les dernières failles 0day (import de CSS et prévisualisation) ainsi que la faille touchant le serveur FTP de IIS. Dans la foulée, Adobe a emboité le pas de Microsoft et a annoncé la parution, le même jour, de son bulletin APSB11-03 qui proposait des mises à jour critiques pour Reader et Acrobat. - XMCO : L'ActuSécu est maintenant disponible en anglais ! http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation de la dernière version d'Opéra (11.01) à la suite de la correction d'une faille de sécurité critique qui pouvait être exploitée afin de prendre le contrôle d'un système distant. Le CERT-XMCO recommande aussi la mise en place de la solution de contournement proposée par Microsoft relative à la gestion du protocole MHTML. L'exploitation de cette faille de sécurité permet de mener une attaque similaire à une attaque de "Cross-Site Scripting" (XSS). * Résumé des évènements majeurs : - Vulnérabilités : Microsoft a publié, à la fin de la semaine, son bulletin de sécurité KB2501696. Ce dernier concerne la gestion du protocole MHTML. L'exploitation de cette faille de sécurité permettrait à un pirate de dérober certaines données sensibles en incitant, simplement, un internaute à visiter un site spécialement conçu. D'après l'éditeur, des informations permettant l'exploitation de cette vulnérabilité ont déjà été publiées. Cependant, la faille ne serait pas encore exploitée. - Correctifs : Plusieurs logiciels Symantec, ainsi que SAP Cristal Reports, Cisco Content Services Gateway, Opéra, OpenOffice, RealPlayer ou encore le serveur DHCP de l'ISC ont été mis à jour cette semaine. Les failles de sécurité pouvaient être exploitées pour provoquer des dommages pouvant aller jusqu'à la compromission d'un système vulnérable. - Exploits : Plusieurs codes d'exploitation ont été publiés. Un code ciblant SAP Crystal Report Server 2008 permet d'accéder à certaines informations sensibles en menant une attaque de "Directory Traversal". D'autres codes permettant d'exploiter des failles présentes dans Oracle Document Capture ont été publiés. Afin d'utiliser cette vulnérabilité, un pirate doit inciter un internaute à visiter un site spécialement conçu. - Cybercriminalité / Attaques : Les serveurs hébergeant les différents sites et services de SourceForge et de Fedora ont été piratés cette semaine. Dans un cas comme dans l'autre, les personnes en charge de la gestion de ces incidents ont été très transparentes. Elles ont précisément décrit les actions réalisées, les risques existants et les informations en leur possession. À première vue, il semblerait que les pirates n'aient pas eu le temps d'accomplir de méfaits. Dans les deux cas, la surveillance d'indicateurs adaptés aurait permis de détecter rapidement l'attaque et de prendre ainsi les mesures nécessaires. Un site "underground" de vente d'identifiants permettant d'accéder aux panels d'administration de sites gouvernementaux, militaires et de l'éducation a été découvert. Le pirate proposerait, par exemple, l'accès total en tant qu'administrateur au site des forces armées d'Albanie pour 499 dollars. Une ancienne version de Darkness aurait été mise gratuitement à disposition sur Internet. Grâce à celle-ci, les pirates seraient capables de mettre sur pied de petits botnets très efficaces reposant simplement sur une trentaine de machines zombie. Récemment, Darkness était responsable de l'attaque de 1,5 site en moyenne par jour, et même jusqu'à 3 sites par jour lors du dernier trimestre de l'année 2010... - Conférence / Recherche : D'après TrendMicro, la fusion de Zeus et de SpyEye serait en cours. La version 1.3.05 de SpyEye semble apporter bon nombre de nouvelles fonctionnalités empruntées à son ex-concurrent Zeus. - Entreprises : Le rachat de McAfee par Intel pour un montant de 7,68 milliards de dollars a été validé (sous conditions) cette semaine par la Commission Européenne. - International : La récente explosion qui a frappé l'aéroport de Moscou aurait été déclenchée de façon involontaire par un opérateur de téléphonie mobile en envoyant d'un SMS de bonne année. En effet, un téléphone portable était utilisé par le kamikaze en tant que détonateur. Celui-ci devait déclencher l'explosion de l'engin à la suite de la réception d'un SMS. - XMCO : L'ActuSécu est maintenant disponible en anglais ! http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Oracle a publié des mises à jour pour de nombreux logiciels vulnérables dans le cadre de son cycle de publication de correctif de sécurité. Le CERT-XMCO recommande leur installation. Certaines failles permettent de prendre le contrôle d'un système à distance sans authentification préalable. * Résumé des évènements majeurs : - Correctifs : Dans le cadre de son cycle de sécurité, Oracle a publié son bulletin "cpujan2011" ainsi que les nombreux correctifs associés. Pas moins de 28 logiciels sont vulnérables. Le CERT-XMCO recommande l'installation des correctifs. Une nouvelle faille de sécurité critique a été publiée au sein du CMS SPIP. Il est conseillé d'installer la version mise à jour. D'autres correctifs pour CISCO IOS, CISCO ASA et Citrix Provisioning Service ont aussi été publiés. - Exploits : Plusieurs exploits ont été publiés cette semaine. Un exploit permettant d'élever localement ses privilèges à partir de la faille de sécurité corrigée dans le bulletin MS10-073 a été publié. Contrairement à la première preuve de concept publiée la semaine dernière, ce code permet simplement d'obtenir les privilèges "SYSTEM" sur un système Windows. Androïd est également concerné par un exploit qui permet de dérober des fichiers arbitraires stockés sur un smartphone. Enfin, le dernier code d'exploitation permet de prendre le contrôle d'un système Windows sur lequel est installé Novell iPrint. En incitant un internaute à visiter une page spécialement conçue tirant parti d'une faille présente au sein du contrôle ActiveX, un attaquant est en mesure de compromettre la machine de sa victime. - Cybercriminalité / Attaques : Quelque temps après l'affaire Gawker, plus de 10 millions de mots de passe ont été volés au site web Trapster. Des mesures auraient été prises afin de prévenir d'autres attaques. Une faille de sécurité a été découverte au sein de Koobface, un malware multiplateforme. L'exploitation de cette vulnérabilité permettrait à des groupes rivaux de compromettre un système infecté par Koobface afin de prendre, à leur tour, le contrôle de la machine. Un ver circulant sur le réseau social Twitter a été observé cette semaine. Ce dernier était utilisé pour diriger les internautes vers un site malveillant afin de les forcer à télécharger puis à installer un faux antivirus. - Conférence / Recherche : Le top 10 des attaques web découvertes par les chercheurs a été publié. Ce classement départage plus de 69 techniques initialement en lice pour ce top 10. - Entreprises : L'ENISA, le CSIRT européen a publié un guide intitulé "Security and Resilience in Governmental Clouds" sur les différents avantages et inconvénients de l'utilisation du "Cloud" à destination des organismes publics. Une autre étude intitulée "Data Breach Notifications in Europe" examine la manière dont les opérateurs de télécommunication gèrent actuellement les fuites de données. - International : Stuxnet a continué à faire parler de lui cette semaine. Un article publié par le New York Times a présenté de façon officielle une théorie relative aux origines du malware. D'après les journalistes, les États Unis, aidés par Israël, auraient développé le malware. Ils l'auraient ensuite testé au sein du centre de recherche israélien Dimona. L'article retrace l'origine de ce programme au dernier mois de la présidence de Bush, mais ne se base sur aucun fait nouveau. Des journalistes concurrents du Forbes ont publié deux jours après un article qui se moquait du travail accompli, et qui mettait en avant une autre théorie déjà proposée au mois de décembre selon laquelle la Finlande et la Chine seraient derrière Stuxnet. Dans les faits, rien n'accuse officiellement qui que ce soit, mais la chronologie présentée par les journalistes du NY Times reste pour le moins étonnante. De plus, les journalistes ont le mérite d'avancer des noms sur les acteurs de cette histoire. - XMCO : L'ActuSécu est maintenant disponible en anglais ! http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation des "fix it" publiés par Microsoft. Ces outils permettent de mettre en place automatiquement des solutions de contournement aux failles de sécurité présentes dans Internet Explorer (import CSS : fix it n°50591) et Windows (prévisualisation : fix it n°50590). Aucun correctif n'est actuellement disponible. Le CERT-XMCO recommande aussi l'installation des correctifs de sécurité MS11-001 et MS11-002 publiés par Microsoft dans le cadre de son "Patch Tuesday" du mois de janvier. * Résumé des évènements majeurs : - Vulnérabilités : Plusieurs vulnérabilités critiques ont été corrigées au sein du navigateur Google Chrome. Microsoft n'a toujours pas publié de correctifs pour les failles de sécurité liées aux imports CSS (Internet Explorer) ainsi qu'à la fonction de prévisualisation de Windows. Néanmoins, l'éditeur a publié des "fix it" (import CSS : fix it n°50591 ainsi que la prévisualisation : fix it n°50590) qui permettent de mettre en place automatiquement une solution de contournement temporaire. - Correctifs : Le concours "Pirate-moi" du mois de janvier aura permis de découvrir une faille de sécurité au sein du CMS SPIP en moins de cinq heures. Celle-ci a rapidement été corrigée. Microsoft a publié les correctifs MS11-001 et MS11-002 dans le cadre de son "Patch Tuesday" du mois de janvier. - Exploits : Plusieurs codes d'exploitations ciblant les produits Microsoft ont été publiés cette semaine. Le premier cible une faille de sécurité liée à la gestion du format SVG au sein d'Internet Explorer qui avait été corrigée par Microsoft dans son bulletin MS10-081. Son exploitation permet à un pirate de prendre le contrôle d'un système distant en incitant un internaute à visiter une page spécialement conçue. Le second cible le système d'exploitation Windows et permet à un utilisateur local d'élever ses privilèges. Cette faille est actuellement exploitée par Stuxnet. Elle a été corrigée par Microsoft dans le bulletin MS10-073. Enfin, une récente mise à jour du code du serveur ProFTPD a permis aux chercheurs qui travaillent sur le projet Metasploit de développer un code d'exploitation tirant parti d'une ancienne faille de sécurité découverte en 2006. Cette faille a été corrigée par les développeurs dans les versions 1.3.1 ainsi que dans les versions ultérieures. - Cybercriminalité / Attaques : Les données personnelles de près de 4 millions de clients australiens de Vodafone ont été dérobées par des pirates. Parmi les informations volées figureraient les noms, les adresses, les numéros de permis de conduire, et les numéros de carte de crédit des clients de l'opérateur. La faille de sécurité serait "humaine". Un des revendeurs aurait partagé ses identifiants, permettant ainsi aux pirates d'accéder à ces informations sensibles. - Conférence / Recherche : Des chercheurs ont réussi à contourner l'une des protections introduites par Microsoft pour protéger le noyau de son système d'exploitation. Les "GS Cookie" empêchent les pirates de compromettre un système via une corruption de mémoire en introduisant un marqueur, aussi appelé "canari". Si ce dernier est modifié, le programme s'arrête et empêche le pirate d'exécuter un code malveillant. Néanmoins, les deux chercheurs ont réussi à découvrir plusieurs techniques qui permettent de prédire la valeur de ce cookie, et qui, par conséquent, réduisent l'efficacité de cette mesure de protection. Grâce à cette découverte, des failles de sécurité trouvées au niveau du noyau, et qui étaient jusqu'alors considérées comme des dénis de service par Microsoft, deviennent exploitables afin de prendre le contrôle complet d'un système vulnérable. Une clef WPA a été cassée en moins de 20 minutes par un chercheur à l'aide du "Cloud". D'après lui, l'algorithme pourrait être amélioré pour effectuer le même travail en 6 min. De plus, cette attaque ne lui aura couté que quelques dollars (5,6) ... - Entreprises : Après l'Inde et les Émirats Arabes Unis, c'est au tour de l'Indonésie de menacer RIM et son système BlackBerry. L'impossibilité d'accéder au contenu des messages échangés est, une nouvelle fois, à l'origine de ces menaces. - International : La saga WikiLeaks continue son chemin. Cette semaine, c'est au tour de Twitter de se faire remarquer en refusant de fournir des informations personnelles, appartenant entre autres à Julian Assange, au gouvernement américain sans en avoir informé ses utilisateurs. Pour cela, la société a contesté avec succès la demande du juge devant une cour de justice avant de l'exécuter. Twitter a donc pu respecter sa politique de confidentialité vis-à-vis de ses utilisateurs. - XMCO : L'ActuSécu est maintenant disponible en anglais ! http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande de ne pas utiliser le mode d'affichage "miniature" de l'explorateur Windows. Un code d'exploitation a été publié cette semaine pour Windows 2000 et XP. Celui-ci permet de prendre le contrôle d'un système distant en incitant un utilisateur à ouvrir un dossier et à sélectionner ce mode d'affichage. La faille est liée à l'affichage de la miniature correspondant à un document. Aucun correctif n'est actuellement disponible. * Résumé des évènements majeurs : - Vulnérabilités : Microsoft a demandé au chercheur Michal Zalewski de ne pas publier son outil baptisé "cross_fuzz". Ce fuzzer, développé par l'employé de Google sur son temps libre au cours des deux dernières années, permet de découvrir de nombreuses failles de sécurité au sein des navigateurs web. Il semblerait que Microsoft, qui possédait le code de l'outil en question, n'ait pas pris le temps de le tester. Après deux ans d'échanges, lorsque le chercheur a prévenu en décembre l'éditeur qu'il souhaitait le rendre public au début de l'année 2011, Microsoft s'est soudainement rendu compte de la criticité de certaines failles. Zalewski a, entre temps, obtenu la certitude que des pirates connaissaient l'existence d'une faille particulièrement critique découverte à l'aide de son outil. Comme le chercheur pense que les cybercriminels possèdent un code d'exploitation, il a préféré rendre son outil public afin de forcer Microsoft à réagir rapidement sans attendre deux années supplémentaires... - Correctifs : Une mise à jour du lecteur de fichiers multimédia VLC a été publiée cette semaine. La faille de sécurité corrigée était liée au traitement des fichiers Real Media. VMware a publié, de son côté, un correctif pour son serveur ESX. Plusieurs failles de sécurité impactant le système (Glibc, Sudo, et openLDAP) ont été corrigées. Deux vulnérabilités au sein de la console d'administration de SAP ont été corrigées. Apple a mis à jour son système d'exploitation Mac OS X afin de corriger une faille présente au sein du composant PackageKit. Enfin, plusieurs failles de type "XSS" ont été corrigées au sein de Novell Identity Manager. Le CERT-XMCO recommande l'installation de l'ensemble de ces mises à jour. - Exploits : Un code d'exploitation ciblant le système d'exploitation Windows de Microsoft a été publié. Il permet de compromettre un système via l'affichage des vignettes de prévisualisation correspondant aux fichiers contenus dans les dossiers. L'exploitation de cette faille de sécurité requiert qu'un utilisateur ait sélectionné le mode d'affichage "prévisualisation". - Cybercriminalité / Attaques : Le botnet Zeus fait de nouveau parler de lui. Une campagne d'envoi massif de pourriels prenant la forme de carte de voeux aurait été utilisée afin de compromettre le système des employés d'agences gouvernementales américaines. Des documents à usage interne auraient ainsi été exfiltrés par des pirates et seraient accessibles à tous sur un serveur tiers. - Conférence / Recherche : Le spécialiste Billy Rios a publié des détails sur une solution permettant à un pirate de s'échapper du bac à sable (sandbox) utilisé par Flash Player. Cette solution permettrait à un pirate de récupérer des informations personnelles stockées sur le système d'une victime et de les transmettre à un serveur distant en abusant le système de gestion des URLs. Dans le cadre de la récente conférence du Chaos Communication Congress (27C3), un chercheur a présenté une utilisation abusive du protocole DHT utilisé par Bittorrent pour se passer de "tracker". Il serait ainsi possible de forcer des internautes à réaliser une attaque de DDoS sur une cible choisie par un pirate. - Entreprises : Microsoft a annoncé la date de son prochain "Patch Tuesday". Le 11 janvier prochain, l'éditeur publiera deux bulletins corrigeant 3 vulnérabilités. Le premier affecte seulement Windows Vista et est considéré comme "Important". Le second affecte l'ensemble des versions de Windows et est jugé "critique". Les vulnérabilités récemment découvertes affectant Internet Explorer (import CSS), ainsi que le moteur de rendu des graphiques (prévisualisation d'images) ne seront pas corrigées ce mois-ci. L'éditeur de solution de sécurité Sourcefire a annoncé le rachat d'Immunent, spécialiste de la sécurité dans le Cloud, pendant que Dell cherche à acquérir la société SecureWorks. - International : Les autorités américaines et allemandes ont réalisé des perquisitions chez plusieurs fournisseurs d'accès à Internet dans le but de remonter aux "hacktivists" ayant participé aux attaques de déni de service distribué (DDoS) contre des sites tels que Visa.com, Paypal.com ou encore Mastercard le mois dernier. - XMCO : L'ActuSécu est maintenant disponible en anglais ! http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html

* Avis d'expert : Le CERT-XMCO recommande l'installation du correctif MS10-087 lié à Microsoft Word. Un code d'exploitation a été publié cette semaine. De plus, cette faille de sécurité est actuellement exploitée par des malwares. * Résumé des évènements majeurs : - Exploits : Un code d'exploitation permettant de prendre le contrôle d'un système à l'ouverture d'un fichier RTF spécialement conçu avec Microsoft Word a été publié. Le CERT-XMCO recommande à tous les internautes concernés l'installation du correctif MS10-087 publié par Microsoft au mois d'octobre. Pour rappel, cette faille de sécurité est actuellement exploitée par les pirates. - Cybercriminalité / Attaques : Plusieurs sites liés à la sécurité ont été piratés. Parmi les victimes exposées dans la seconde édition du webzine "Owned and Exposed" se trouvaient le site du projet Ettercap, d'Exploit-DB et de Backtrack, d'inj3ct0r, du forum underground Carders.cc et enfin Free-Hack. Un nouveau cheval de Troie baptisé Geinimi ciblant Androïd a été découvert sur des "markets" chinois alternatifs. Ce dernier serait le malware le plus évolué sur Android découvert à ce jour. Il est capable de récolter de nombreuses informations contenues dans le carnet d'adresses, mais aussi les coordonnées de l'appareil, ses numéros IMEI/IMSI, ainsi que la liste des applications installées. De plus, ce malware serait capable de recevoir des instructions de la part d'un serveur distant, et donc de constituer un véritable botnet. Le CERT-XMCO recommande donc à tous les utilisateurs d'Androïd d'être vigilants. En effet, chaque application indique clairement les ressources auxquelles elle sera amenée à accéder lors de son installation. - Conférence / Recherche : Un chercheur a publié les résultats d'une étude des fonctions de sécurité associées aux cookies utilisées par les 1000 sites les plus visités actuellement. Très peu de ces sites utilisent les paramètres HttpOnly et Secure des cookies de session. - Entreprises : La fondation Mozilla a prévenu les internautes de la découverte par un chercheur en sécurité de la présence d'un fichier de sauvegarde contenant une partie non négligeable d'une des bases de données associées au site Mozilla Addons. Cette découverte fait suite à l'extension du programme de récompense pour la découverte de failles de sécurité. La fondation a effacé les vieux condensats MD5 des mots de passe afin de désactiver les comptes, puis a averti les utilisateurs concernés afin qu'ils réinitialisent leur mot de passe. Mozilla avait procédé, il y a plus d'un an, à une évolution de sa politique de sécurité afin de ne plus utiliser cet algorithme de hachage faible. Les nouveaux utilisateurs ou ceux ayant récemment changé leur mot de passe ne sont donc pas concernés. Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Résumé des évènements majeurs : - Vulnérabilités : Quelques jours après la publication de plusieurs codes d'exploitation, Microsoft vient seulement de publier son bulletin KB2488013 relatif à la faille de sécurité présente au sein d'Internet Explorer lié aux imports de style CSS (0-day). L'éditeur confirme la gravité de cette faille. De plus, un chercheur a publié un article présentant comment exploiter la faille 0day au travers d'un navigateur alternatif. Lorsqu'Interne Explorer est défini comme navigateur par défaut, la simple ouverture d'un fichier PDF avec Adobe Reader depuis un autre navigateur permettait de forcer l'ouverture d'Internet Explorer et par conséquent d'exploiter la vulnérabilité. - Correctifs : Oracle a publié l'Update 23 de Java 1.6. Aucune faille de sécurité n'a néanmoins été corrigée dans cette nouvelle version de la JVM. Adobe a publié son bulletin de sécurité référencé APSB10-30 relatif à une vulnérabilité présente au sein de Photoshop CS5. Le CERT-XMCO recommande l'installation de ce correctif. - Exploits : Plusieurs exploits ciblant les produits Microsoft ont été publiés cette semaine. Un code d'exploitation permettant de compromettre un système Windows en incitant un utilisateur à visiter une page internet malveillante a été publié. La vulnérabilité provient de l'ActiveX "Microsoft WMI Object Viewer" qui peut être utilisé afin de corrompre la mémoire du système. Une autre preuve de concept permettant de provoquer un déni de service sur un serveur IIS 7.5 a été publiée. D'après Microsoft, cette faille n'impacte que le service FTP du serveur, qui n'est pas installé ni activé par défaut. La possibilité de prise de contrôle à distance n'a pas été démontrée pour le moment. Un code d'exploitation permettant de prendre le contrôle d'un serveur ProFTPd a été publié. Celui-ci exploite une faille de sécurité présente au sein du module SQL. La faille avait été présentée dans la dernière édition de Phrack. - Entreprises : Google a introduit une nouvelle fonction de sécurité au sein de son moteur de recherche. Les sites détectés comme potentiellement malveillants ou compromis sont maintenant clairement indiqués comme tels. Microsoft a annoncé qu'il portera la fonction de sécurité "Office File Validation" introduite au sein d'Office 2010 vers les anciennes versions 2003 et 2007 de la suite. Cette fonction permet de valider la structure binaire des fichiers avant de les ouvrir afin de limiter le risque d'exploitation. - International : La saga Wikileaks continue. En début de semaine, Bank Of America a annoncé suivre l'exemple de plusieurs autres sociétés américaines en bloquant les transferts d'argent à destination de Wikileaks. En fin de semaine, L'ONU s'est efforcée de rappeler à ces nombreux états membres que l'accès aux informations détenues par les gouvernements, et autres autorités publiques faisait partie intégrante des droits de l'Homme... Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation des correctifs publiés par Microsoft dans le cadre de son "Patch Tuesday" du mois de décembre. Le CERT-XMCO préconise, tout particulièrement, l'installation des correctifs MS10-091 (Exécution de code à distance via la gestion des polices de caractères OTF), MS10-090 (Exécution de code à distance via Internet Explorer) et MS10-092 (Élévation de privilèges au sein du planificateur de tâches). En effet, ces deux derniers bulletins corrigent des vulnérabilités exploitées sur internet et pour lesquelles des codes d'exploitation sont publiquement disponibles. * Résumé des évènements majeurs : - Correctifs : Microsoft a publié 17 bulletins corrigeant 40 vulnérabilités dans le cadre de son "Patch Tuesday" du mois de décembre. - Exploits : Un code d'exploitation tirant parti de la vulnérabilité 0day qui affecte Internet Explorer a été publié. Cette vulnérabilité résulte d'une erreur au sein de la gestion des imports de styles CSS. - Cybercriminalité / Attaques : Trend Micro vient d'identifier un virus qui exploite une vulnérabilité corrigée récemment par Microsoft dans son bulletin MS10-087. Un fichier RTF malveillant serait actuellement envoyé par courriel. Il tenterait d'exploiter un débordement de tas au sein de la suite Office. La vulnérabilité exploitée permettrait au pirate de prendre le contrôle d'un système vulnérable dès l'ouverture du fichier en question. Après que sa clause de non-divulgation ait pris fin, Gregory Perry a décidé de rendre publique une information sensible. D'après lui, une ou plusieurs portes dérobées auraient été introduites au sein de la pile IPSec du système d'exploitation OpenBSD. Cette rumeur a engendré de nombreuses réactions de la part des personnes mises en cause. Un audit du code serait en cours afin de détecter une potentielle porte dérobée. Il est très difficile de savoir ce qu'il en est actuellement, étant donné l'importance et la complexité du code en question et la sensibilité du sujet. La base de données de plusieurs sites tels que Gawker.com, Gizmodo.com, ou encore LifeHacker.com appartenant à "Gawker Media" et contenant 1,3 million d'emails et de mots de passe, a été piratée. Un groupe de pirates appelé "Gnosis" a revendiqué l'attaque. Celui-ci a diffusé publiquement ces informations. Les plateformes de distribution de publicité de Google (DoubleClick) et de Microsoft (rad.msn.com) auraient été utilisées pour distribuer des malwares sur d'autres sites, sous la forme de bannières publicitaires. Les cybercriminels seraient parvenus à tromper les responsables des plateformes de publicité en utilisant ADShufffle.com, un domaine qui ressemble fortement à ADShuffle.com, avec lequel travaillent régulièrement Google et Microsoft. - Conférence / Recherche : Le NIST a récemment publié la liste des 5 algorithmes sélectionnés pour faire partie du tour final de sélection du prochain standard SHA-3. Parmi les 5 finalistes se trouvent trois propositions européennes : BLAKE (suisse), Grøstl (collaboration austro-danoise), et enfin Keccak (belge). La seule proposition américaine est Skein. Enfin, JH arrive tout droit de Singapour. Reste encore de nombreuses heures de travail pour tous les chercheurs impliqués dans ce long processus de sélection, afin de découvrir le maximum de failles dans les propositions faites avant l'échéance du concours en mars 2012. - Entreprises : Après Google, c'est au tour de Mozilla d'étendre son programme de récompense attribué aux chercheurs de failles de sécurité pour les autoriser à traquer les failles de sécurité qui se trouvent sur les différents sites de la fondation. L'application iCERT-XMCO pour iPad est disponible sur l'AppStore d'Apple : http://itunes.apple.com/fr/app/icert-xmco Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation des dernières versions des logiciels VMware ESX Server, Firefox, Thunderbird, et Exim. La vulnérabilité relative à Exim est actuellement exploitée sur Internet. * Résumé des évènements majeurs : - Vulnérabilités : Une nouvelle vulnérabilité au sein d'Internet Explorer 6, 7 et 8 a été découverte. Celle-ci est liée à la gestion des "import" en CSS et peut être utilisée afin de compromettre un système. Cependant, seule une preuve de concept permettant de provoquer un déni de service est actuellement disponible. - Correctifs : Mozilla et VMware ont publié de nouvelles versions de leurs logiciels Firefox, Thunderbird et VMware ESX Server. - Exploits : Un code d'exploitation ciblant une vulnérabilité du serveur mail Exim découverte il y a plus de 2 ans a été publié. La faille permet de compromettre un serveur en envoyant un mail spécialement conçu. - Cybercriminalité / Attaques : Le magazine Forbes a récemment découvert que certains sites internet espionnaient leurs visiteurs. Plus précisément, environ 50 sites utiliseraient des scripts JavaScript afin de savoir si un internaute a déjà visité d'autres sites "concurrents". Les forces de l'ordre russes ont arrêté quatre cybercriminels impliqués dans la compromission de l'ensemble des distributeurs automatiques de billets d'une petite ville de 200 000 habitants. - Conférence / Recherche : Un chercheur a annoncé avoir réussi à mettre en place l'ASLR au sein de l'iOS sur les iPhones "jailbreakés". De son côté, Apple ne souhaite toujours pas implémenter cette protection pour son OS mobile. (Mac OS "Leopard" et "Snow Leopard" n'intègrent que partiellement cette protection) - Entreprises : Microsoft a annoncé la date de publication de son "Patch Tuesday" du mois de décembre. Le 14 décembre prochain, 17 bulletins corrigeront 40 vulnérabilités, parmi lesquelles la dernière faille 0day exploitée par Stuxnet (élévation de privilèges via le planificateur de tâche), ainsi que celle présente au sein d'Internet Explorer (attribut "clip"). Des codes d'exploitations sont disponibles sur Internet pour ces deux failles. Microsoft a annoncé l'arrivée d'une nouvelle fonctionnalité dédiée à la protection de la vie privée des utilisateurs au sein de la prochaine version d'Internet Explorer (9). "Tracking Protection" fonctionne sur le même principe que l'extension Ad-Bloc de Firefox. Il s'agit d'un mécanisme permettant de bloquer certains contenus à partir de liste noire disponible sur Internet. Une société a étudié le fonctionnement du racourciseur d'URL proposé par McAfee. D'après leurs expériences, McAfee proposerait un service qui vérifie uniquement si un site héberge des fichiers malveillants. Or, de plus en plus d'attaques concernent le vol d'informations personnelles (phishing) et ce type de vérification n'est pas effectuée alors que cela est déjà mis en place par certains sites comme Facebook... - International : Wikileaks a fait la une de nombreuses sources d'informations de cette semaine. Après avoir publié quelques-uns des 250 000 "câbles" diplomatiques obtenus, le site a subi de nombreuses attaques de déni de service. Son fondateur, Julian Assange a été arrêté au Royaume-Uni dans le cadre d'une affaire de viol en Suède. Il est actuellement incarcéré à Londres en attendant un jugement d'ici plusieurs semaines. Des "hacktivistes" s'en sont alors pris à différentes sociétés tels que PayPal, Mastercard, ou encore Visa pour avoir mis en place des mesures répressives sans attendre de jugement. Selon de nombreuses rumeurs, les États-Unis seraient responsables de toutes ces péripéties et chercheraient à faire extrader Assange vers les USA pour pouvoir l'y juger. La France, ainsi que bon nombre d'états occidentaux ont voulu faire pression pour museler le site. De nombreux internautes ont réagi en fournissant des redirections DNS vers les adresses IP des serveurs, ainsi qu'en mettant en place des miroirs de Wikileaks. D'un autre côté, plusieurs voix se sont élevées contre Wikileaks. Parmi celles-ci, plusieurs proches d'Assange accusent Wikileaks de chercher à tirer des profits de ces révélations. Un jeune néerlandais a enfin été arrêté pour avoir participé aux attaques de déni de service contre plusieurs sociétés. Le site serait depuis hébergé en Russie par un hébergeur "bulletproof" capable de résister à des attaques informatiques, voire juridiques. La NASA a révélé que 10 ordinateurs utilisés dans le cadre de son programme spatial ont été vendus au public. Les disques durs n'ont pas été formatés alors même qu'ils contenaient des informations sensibles. - XMCO : Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmco.fr/stage-fr.html L'application iCERT-XMCO pour iPad est disponible sur l'AppStore d'Apple : http://itunes.apple.com/fr/app/icert-xmco Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : À la suite de la compromission le week-end dernier des serveurs du projet ProFTPd, une porte dérobée a été ajoutée dans le code de la version 1.3.3c. Le CERT-XMCO recommande à tous utilisateurs utilisant une version téléchargée entre le 28 novembre et le 2 décembre de réinstaller une version saine. * Résumé des évènements majeurs : - Correctifs : VMware a publié plusieurs correctifs pour l'ensemble de ses logiciels. Les vulnérabilités permettaient d'obtenir des privilèges élevés sur un système ou de provoquer un déni de service. - Exploits : Deux exploits pour Apache Axis2 (notamment installé avec SAP BusinessObjects Enterprise XI 3.2) ont été diffusés. Ces derniers permettent d'utiliser des comptes par défaut afin de s'authentifier sur le serveur et ajouter puis exécuter une archive JAR permettant de prendre le contrôle du système ciblé. Metasploit a enrichi sa collection d'exploits en ajoutant l'exploitation d'une porte dérobée ajoutée au sein de ProFTPd. - Cybercriminalité / Attaques : Quelques mois après la première version du célèbre "ransomware" GpCode, des pirates ont renforcé le mécanisme de chiffrement utilisé pour chiffrer les documents des victimes. Aucune solution n'a encore été publiée afin de contrer ce virus et de pouvoir récupérer les données. Une attaque plutôt surprenante a été menée le dimanche 28 novembre sur les serveurs de ProFTPd. Des pirates auraient exploité une faille 0day sur le logiciel ProFTPd afin de prendre le contrôle des serveurs du projet puis remplacer les sources de la version 1.3.3c par une version modifiée. Le code ajouté par les pirates permettrait d'accéder à un système sur lequel est installé ProFTPd avec l'utilisateur "root". La simple commande FTP "HELP ACIDBITCHEZ" permettait à un pirate de prendre le contrôle du serveur. Toutes les versions téléchargées entre le 28 novembre et le 2 décembre seraient concernées. Des versions saines ont de nouveau été mises en place sur le serveur, mais la vulnérabilité 0day n'est toujours pas corrigée à l'heure actuelle. - International : Après avoir diffusé plus de 250000 documents confidentiels, le site WikiLeaks a subi de nombreuses attaques de déni de service. - XMCO : Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmco.fr/stage-fr.html L'application iCERT-XMCO pour iPad est disponible sur l'AppStore d'Apple : http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6 Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO alerte ses lecteurs de la publication de plusieurs codes d'exploitation ciblant les systèmes Windows (élévations de privilèges exploitant des vulnérabilités du noyau [1] et du planificateur de tâche [2], déni de service d'un serveur IIS [3] et vulnérabilités Java [4]). XMCO recommande donc l'installation des mises à jour proposée respectivement par Microsoft et Oracle dans les bulletins de sécurité MS10-065 [5] et JavaCpuOct2010 [6] (Java 6 Update 22). Concernant les deux élévations de privilèges, aucun correctif n'est actuellement proposé par Microsoft. Le CERT-XMCO recommande de restreindre l'accès au planificateur de tâches aux utilisateurs de confiance, ainsi que de placer la clef de registre "HKCU\EUDC\[Language]\SystemDefaultEUDCFont" en lecture seule. * Résumé des évènements majeurs : - Vulnérabilités : Un chercheur a découvert plusieurs failles de sécurité présentes au sein d'Androïd [7] pouvant être exploitées pour accéder à certaines informations sensibles. Aucun correctif n'est actuellement disponible. Google prévoit de corriger ces failles dans la prochaine version "GingerBread" de son système d'exploitation pour smartphone. - Correctifs : Apple a publié la version 4.2 du système d'exploitation iOS [8]. L'exploitation des nombreuses failles de sécurité permettait à un pirate d'accéder à des informations sensibles, voire de compromettre un système mobile. - Cybercriminalité / Attaques : Plusieurs codes d'exploitation ont été publiés cette semaine. Le premier concerne la vulnérabilité 0day actuellement exploitée par Stuxnet. Celle-ci est liée au planificateur de tâches de Windows [9] et permet à un attaquant local d'élever ses privilèges. La faille affecte les dernières versions du système d'exploitation : Windows Vista, Windows 7 et enfin Windows 2008. Le code d'exploitation étant disponible au sein d'un célèbre framework d'exploitation, le CERT-XMCO recommande la restriction de l'accès au planificateur de tâche afin de n'autoriser que les utilisateurs de confiance à y accéder. Un second code d'exploitation ciblant Windows [10] a été publié dans la même semaine. Ce code permet une fois de plus d'élever localement ses privilèges sur les systèmes d'exploitation récents de Microsoft. D'après certaines sources, il pourrait être possible d'exploiter celle-ci sur Windows XP. La faille permet donc de contourner l'UAC implémenté par Microsoft. Celle-ci est liée à la façon dont la fonction "NtGdiEnableEUDC" traite les données retournées par la fonction "RtlQueryRegistryValues" lors de la lecture de la clef de registre "HKCU\EUDC\[Language]\SystemDefaultEUDCFont". Le CERT XMCO recommande de mettre en place une solution de contournement afin de limiter le risque d'exploitation de cette faille de sécurité. Il est nécessaire pour cela de définir les droits d'accès à cette clef de registre en lecture seule. Un autre code d'exploitation permettant de provoquer un déni de service sur un serveur web Microsoft IIS [11] a été publié. La vulnérabilité référencée CVE-2010-1899 [11] est liée au traitement des requêtes HEAD sur les pages ASP. Le CERT-XMCO recommande l'installation du correctif de sécurité MS10-065 [12]publié au cours du mois de septembre. Enfin, une dernière preuve de concept permettant de compromettre un système utilisant le plug-in Java [13] a été publiée. La vulnérabilité référencée CVE-2010-3563 [14] est liée à la gestion des politiques de sécurité par l'exécutable "javaws" (Java Web Start) lorsque celui-ci est appelé au sein de la classe "BasicServiceImpl". Le CERT-XMCO recommande l'installation de l'Update 22 de Java 6 [15] qui a été publié par Oracle dans son bulletin de sécurité "JavaCpuOct2010" [17]. - Cybercriminalité / Attaques : Un pirate a détourné le compte Twitter [18] d'un officiel Indonésien pour annoncer l'arrivée d'un faux tsunami. La victime a fait de son mieux pour reprendre rapidement le contrôle de son compte afin d'éviter tout débordement de foule. Il semblerait que la victime utilisait un mot de passe faible. Comme Adobe l'avait annoncé [19], des pirates mènent actuellement de nombreuses campagnes d'envoi de pourriel [20] afin d'inciter les utilisateurs à installer des malwares à leur insu. Le thème utilisé est la sortie de la dernière version X (10) des outils de l'éditeur. Dans le même temps, des chercheurs ont détecté l'exploitation sur Internet [21] de la faille de sécurité référencée CVE-2010-4091 [22] récemment corrigée par Adobe lors de la publication du bulletin APSB10-28 [23] (Adobe Reader). Le CERT-XMCO recommande donc l'installation de la version 9.4.1 ou encore de la version X (10) de ce logiciel. Contrairement à ce qui avait été annoncé, le développement de Zeus [24] se poursuit. Le malware devrait bientôt bénéficier d'un système de plug-ins provenant de son concurrent direct SpyEye. Dans le même temps, le développement de SpyEye semble être arrêté. Néanmoins, le botnet continue de grossir et de prendre de l'importance... - Conférence / Recherche : Le SANS [25] a publié une mise à jour de ses prévisions pour 2011 et 2012 concernant les évolutions à venir dans le petit monde de la sécurité. La sécurité ne devrait plus être perçue de la même façon par les clients. Cette industrie qui était auparavant une sorte de niche va prendre de la hauteur et devenir de plus en plus reconnue. Les attaques ciblées récentes du type Stuxnet ou encore Aurora devraient être de plus en plus fréquentes. L'ingénierie sociale, ainsi que les médias sociaux, devrait être exploitée dans des attaques de plus en plus complexes. En réponse à cela, la sensibilisation devrait donc être un nouvel axe de lutte contre la prolifération des malwares. La conformité, et les standards tels que PCI-DSS devraient prendre de plus en plus d'importance, et murir au fil du temps. Enfin, le cloud-computing devrait continuer à prendre de l'importance, mais ses utilisateurs prendront dans le même temps conscience des nombreux problèmes associés (audit, flexibilité...). Après la présentation dans le cadre d'une conférence organisée par l'OWASP d'un nouveau type d'attaque en déni de service reposant sur la méthode HTTP POST, deux outils viennent d'être publiés. Pour réaliser cette attaque, RUDY [26] (pour R-U-Dead-Yet) et OWASP HTTP Post Tool [27] s'inspirent de SlowLoris et reposent sur un envoi très lent du corps de la requête POST au serveur. D'après leurs auteurs, il est encore plus difficile de se protéger efficacement contre ce type d'attaques que contre SlowLoris. Le chercheur néerlandais Berend-Jan Wever aussi connu en tant que "SkyLined" a publié un article [27] dans lequel il annonce avoir réussi à contourner l'une des protections apportées par l'outil Enhanced Mitigation Experience Toolkit (EMET) de Microsoft. Pour rappel, EMET permet de gérer et d'ajouter des fonctions de sécurité utilisées au sein du système d'exploitation Windows et des applications reposant sur celui-ci. D'après lui, "Export address table Address Filter" (EAF) est censé protéger un système contre l'utilisation des fonctions systèmes sensibles par des codes non "valides" (comprendre "shellcode"). Cette sécurité repose donc sur la validation du code faisant appel aux fonctions exportées par les librairies partagées "ntdll.dll" et "kernel32.dll". Cette dernière empêche ainsi un pirate ayant réussi à corrompre la mémoire d'un système d'utiliser les fonctions sensibles lui permettant de compromettre un système. D'après le chercheur qui travaille pour Google, cette protection est facilement contournable, et cela, même si l'algorithme de fonctionnement d'EAF venait à être retouché... En conséquence, même si celle-ci venait à être adoptée en masse, les pirates n'auraient qu'à modifier légèrement leurs codes d'exploitation afin de la contourner... - Entreprises : La société Secunia spécialisée en sécurité a été victime d'un piratage. Plus précisément, le serveur DNS permettant de résoudre le nom de domaine de la société a été piraté afin de diriger les internautes vers un serveur web contrôlé par le pirate. Cette attaque menée contre un grand nom de la sécurité montre une fois de plus le rôle critique de l'architecture DNS sur laquelle repose une part importante de l'internet. Google a réagi rapidement à la publication par un chercheur d'une preuve de concept permettant d'exploiter une vulnérabilité présente au sein de l'une des nombreuses API Google. Celle-ci permettait de forcer un internaute visitant un site malveillant en étant connecté à son compte Gmail à envoyer un courriel. Google a mis hors-ligne le blogue hébergé sur la plateforme Blogspot afin de protéger les internautes, et a dans le même temps corrigé la vulnérabilité présente dans son API. - International : Récemment plusieurs chercheurs reconnus sur la scène internationale comme Moxie Marlinspike ont été arrêtés et auditionnés par les douanes américaines alors qu'il rentrait d'un voyage à l'étranger. Dernièrement, les forces de l'ordre ont essayé pénétré le portable du chercheur, ainsi que ces téléphones portables. Le chercheur a refusé de fournir les mots de passe leur permettant d'accéder au contenu de son ordinateur et a été libéré au bout de quelques heures. Néanmoins, celui-ci craint que le matériel ait été piraté à son insu... L'Union Européenne, les États-Unis et l'OTAN viennent d'adopter plusieurs mesures relatives à la sécurité dans le cyberespace. La Commission européenne a annoncé en début de semaine ses propositions relatives au développement de trois systèmes destinés à élever le niveau de sécurité dans le cyberespace : Un centre européen du cybercrime sera établi d'ici 2013. Celui-ci coordonnera les actions entre les différents états membres, les institutions de l'Union européenne et les partenaires internationaux. Un système de partage d'information et d'alerte devrait également être mis en place d'ici 2013. Ce dernier facilitera la communication entre les différentes équipes de réponse à incidents et les autorités compétentes. Enfin, la Commission souhaiterait la création d'un réseau de CERT d'ici 2012, avec un CERT dans chaque pays de l'Union. L'objectif de la mise en place de ce nouveau réseau serait de gérer le flot d'informations dans le but de prévenir les cyberattaques. Dans le même temps, le président des États-Unis, le président de la Commission européenne et le président du Conseil de l'Europe ont annoncé la mise en place d'un groupe de travail sur la cybersécurité. Ce groupe se concentrera sur l'aspect commercial et les menaces potentielles concernant le consommateur lambda. L'Union Européenne et les États-Unis devraient également établir un compromis sur la protection des données personnelles. Ce compromis devrait faciliter la conclusion d'autres accords sur les transferts de données, par exemple concernant les enregistrements de noms de passagers. Enfin, l'OTAN a, de son côté, adopté son "concept stratégique" lors du sommet à Lisbonne. Ce document contient des plans pour le développement de nouvelles mesures pour combattre les cyberattaques sur les réseaux militaires. Ce nouveau concept stratégique remplace un document de 10 ans d'âge et cherche donc à s'adapter à l'ère d'Internet. - Justice : Un pirate écossais vient d'être condamné à 18 mois de prison et 5 000 livres d'amende pour avoir compromis plusieurs milliers de machines. Matthew Anderson, âgé de 33 ans et père de 5 enfants, utilisait son botnet pour envoyer des pourriels, voler des données personnelles ou encore, espionner ses victimes par le biais de leur webcam. L'homme n'en était pas à son premier acte malveillant sur internet. En effet, il avait déjà été impliqué dans des attaques de dénis de service à l'encontre du "British National Party" et du "Countryside Alliance". - XMCO : L'application iCERT-XMCO pour iPad est maintenant disponible : http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6 Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmco.fr/stage-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation du correctif APSB10-28 qui corrige de multiples vulnérabilités au sein d'Adobe Reader. Avec la précédente publication du bulletin APSB10-26 qui concernait le lecteur Flash, Adobe clôt ainsi l'alerte APSA10-05. * Résumé des évènements majeurs : - Vulnérabilités : Un chercheur a découvert une faille de sécurité au sein de la plate-forme Androïd. Cette faille est liée à la gestion de l'installation des applications depuis l'Androïd Market. Lorsqu'un utilisateur installe une application, celle-ci pourrait d'elle-même procéder automatiquement à l'installation d'autres applications. Le chercheur en a fait la démonstration en déposant une preuve de concept sous le nom "Angry Birds Bonus Levels" sur l'Androïd Market. Malgré appellation, "Angry Birds Bonus Levels" n'est en rien une extension du jeu populaire "Angry Birds". L'installation de cette application entrainait celle de trois autres applications (à des fins de démonstration) aux noms de "Fake Contact Stealer", "Fake Location Tracker" et "Fake Toll Fraud". Google a rapidement réagi en supprimant ces 4 applications de son Androïd Market. - Correctifs : Apple a publié cette semaine un correctif pour son navigateur Internet Safari. De multiples failles de sécurité ont été corrigées. En incitant un internaute à visiter une page spécialement conçue, un pirate était en mesure d'accéder à certaines informations sensibles et de compromettre le système de sa victime. OpenSSL a corrigé une faille de sécurité au sein de sa librairie. La faille de sécurité était relative au traitement des extensions TLS. Elle pouvait être exploitée par un pirate pour provoquer un déni de service, voire de compromettre un serveur utilisant les fonctionnalités offertes par la librairie. Apache n'est pas affecté par ce bogue. Dans le même temps, la fondation Apache a corrigé une faille de sécurité au sein du module "mod_fcgid" qui pouvait être exploité afin de provoquer un déni de service. VMware a publié un correctif pour ses solutions de virtualisation ESX(i) Server. Les failles de sécurité provenaient du noyau Linux et du serveur Kerberos utilisé par la solution logicielle "Likewise". Enfin, Adobe a publié le correctif APSB10-28 pour Adobe Reader qui, avec l'APSB10-26 à destination de Flash, vient clôturer l'alerte APSA10-05. Cette alerte était liée à l'exploitation dans la nature d'une vulnérabilité référencée CVE-2010-3654 présente au sein du Flash Player. Les logiciels de la suite Acrobat, qui embarquaient le Flash Player au sein de la librairie partagée "authplay.dll", étaient également vulnérables. La version 9.4.1 d'Adobe Reader corrige enfin la faille de sécurité référencée CVE-2010-4091. Celle-ci était liée à la fonction "Doc.printSeps" du plug-in "EScript.api". Tout d'abord, Adobe avait annoncé que son exploitation ne permettait de provoquer qu'un déni de service, mais ensuite un chercheur a publié un code d'exploitation prouvant qu'il était possible de compromettre un système par ce biais. - Cybercriminalité / Attaques : Stuxnet est réapparu sur le devant de la scène. Symantec a complété son rapport pour y ajouter une étude du code embarqué dans le malware ciblant le PLC ("Programmable Logic Controller"). D'après cette étude, Stuxnet serait, entre autres, conçu pour modifier la vitesse de rotation de certains moteurs utilisés dans le cadre de la procédure d'enrichissement de l'uranium. Cette modification provoquerait, à terme, une usure prématurée de ce type d'équipement. Par ailleurs, le matériel ciblé a été identifié précisément (contrôleurs Siemens S7-315 et S7-417). De son côté, Trend Micro propose un outil qui permet de détecter les postes compromis par Stuxnet sur un réseau local. Enfin, le chercheur Ralph Langner propose de nombreux autres détails dans ses billets. Adobe a annoncé la sortie imminente de la version X (10) de ses outils. Préférant prévenir plutôt que guérir, l'éditeur a pris les devants en annonçant qu'il existait un risque non négligeable que des pirates utilisent cet "évènement" dans le cadre d'attaques de phishing à l'encontre des internautes. En effet, la réputation internationale de l'éditeur, de son logiciel et de son identité visuelle ainsi que l'attente impatiente des internautes pour cette nouvelle version annoncée depuis longtemps font de cette sortie un terrain de jeux très propice pour les pirates. Après BredoLab, c'est au tour du botnet KoobFace d'être mis en difficultés par les professionnels de la sécurité. En effet, le week-end dernier, un chercheur canadien a alerté un FAI anglais pour qu'il coupe l'accès à trois serveurs de commande et de contrôle (C&C). Koobface, qui se diffuse principalement via les réseaux sociaux, a fait l'objet d'un rapport complet sur son fonctionnement. Nart Villeneuve a rédigé ce rapport après avoir réussi à infiltrer un des serveurs de C&C des pirates. D'après le chercheur, ces informations seront utiles pour les forces de l'ordre lorsque celles-ci se pencheront sur ce botnet. En effet, ce dernier utilise de nombreuses techniques pour gêner les professionnels de la sécurité dans leur travail. Néanmoins, la disparition de 3 serveurs C&C ne signifie pas la fin de ce botnet. Comme l'opération Bredolab l'avait montré, il suffit d'un seul serveur de C&C restant pour que le botnet reparte. - Conférence / Recherche : L'ENISA a publié récemment les premières conclusions (partielles) de la simulation "Cyber Europe 2010". D'après les retours faits par les participants à l'agence, l'échange des leçons apprises par chacun d'entre eux est attendu avec impatience. La participation du secteur privé à cet exercice est attendue pour la prochaine édition. Enfin, les différents avancements des États membres dans la mise en place de procédure de réaction à ce type de menace mettent clairement en évidence le manque cruel d'un plan de réaction européenne uniforme. Par ailleurs, l'ENISA a su montrer son rôle de leader dans l'organisation ce type d'exercice et sera donc attendue de pieds fermes pour le prochain exercice. - Entreprises : Adobe a publié cette semaine la version X (10) de sa suite logicielle Acrobat. Cette version majeure de Reader et d'Acrobat est l'occasion pour Adobe de mettre en place une nouvelle architecture et d'ajouter d'un bac à sable ("sandbox") qui vise à protéger, au mieux, les utilisateurs et les clients des nombreuses attaques menées par les pirates. Quatre billets postés par Adobe présentent en détail ces nouvelles caractéristiques. À noter, ce "bac à sable" n'est actuellement disponible que pour les plates-formes Windows. Une semaine après avoir annoncé l'extension de son programme de récompense, Google annonce que 20 000 dollars de récompense sont déjà en cours d'attribution. D'après le comité d'attribution des récompenses, celles-ci seraient plutôt généreuses pour cette première phase de lancement. En effet, plusieurs vulnérabilités mineures n'auraient pas dû être éligibles en temps normal. Cependant, Google reconnaît qu'un certain nombre de rapports sont d'excellentes qualités. - International : Dans un rapport publié cette semaine par une commission américaine dépendant du Congrès, les États-Unis accusent la Chine d'être les commanditaires d'un détournement massif des communications sur Internet [26]. Le 8 avril dernier, de 3:00pm UTC à 3:18pm UTC, deux opérateurs chinois ont détourné près de 15 % du trafic Internet mondial en annonçant des "routes" BGP erronées. Ce n'est pas la première fois qu'un tel détournement du trafic à lieu, mais l'importance du trafic détourné, ainsi que les cibles laissent un fort doute. En effet, ce détournement ciblait principalement les communications à destination, ou en provenance, des domaines ".gov" et ".mil" des États-Unis et de certains de leurs Alliés comme le Royaume-Uni, le Japon ou encore l'Australie. De nombreuses organisations publiques comme le Sénat, les différentes armées (Air, Terre, Marine), le secrétariat à la Défense, la NASA, ainsi que de nombreuses autres agences gouvernementales ont aussi été impactées. Enfin, le secteur privé n'a pas été épargné par ce détournement. Des sociétés comme Dell, IBM, Microsoft ou encore Yahoo pourraient avoir été touchées. Il est impossible de savoir ce qu'il est advenu des données qui ont transité par la Chine. - XMCO : L'application iCERT-XMCO pour iPad est maintenant disponible : http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6 Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmco.fr/stage-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation des correctifs Microsoft jugés comme étant "importants" par l'éditeur : MS10-088 (PowerPoint), MS10-089 (Forefront Unified Access Gateway) et plus particulièrement du MS10-087 qui affecte Microsoft Office et qui est jugé "critique". * Résumé des évènements majeurs : - Correctifs : Dans le cadre de son "Patch Tuesday" du mois de novembre, Microsoft a publié les bulletins de sécurité MS10-087 (MS Office), MS10-088 (PowerPoint) et MS10-089 (Forefront Unified Access Gateway). Ces bulletins sont jugés comme étant critiques pour Office, et important pour les deux autres. Adobe a publié cette semaine son bulletin de sécurité APSB10-27 proposant un correctif pour Flash Media Server. Apple a, de son côté, publié des correctifs pour QuickTime et Mac OS X. En incitant un utilisateur à ouvrir un document multimédia spécialement conçu avec QuickTime, un pirate était en mesure de compromettre un système à distance. Concernant Mac OS, de très nombreux composants logiciels du système d'exploitation ont été mis à jour. L'exploitation des vulnérabilités permettait à un pirate de compromettre un système. - Exploits : Plusieurs exploits ont été rendus publics cette semaine. Le premier permet d'exploiter une vulnérabilité référencée CVE-2010-3867 découverte la semaine dernière au sein de ProFTPd dans la gestion des commandes Telnet IAC. La deuxième preuve de concept permet d'exploiter la vulnérabilité référencée CVE-2010-3962 présentée la semaine dernière au sein d'Internet Explorer. La faille de sécurité était liée à la gestion de l'attribut "clip" par la librairie partagée "mshtml.dll". L'exploitation de cette erreur permet à un pirate de corrompre la mémoire d'un système distant, afin d'en prendre le contrôle après avoir incité un utilisateur à visiter une page Internet spécialement conçue. Microsoft n'a toujours pas publié de correctif, mais propose une solution de contournement. Enfin, une preuve de concept exploitant une vulnérabilité (CVE-2010-4091) présente au sein d'Adobe Reader et permettant de corrompre la mémoire du processus a été publiée. Celle-ci contredit les propos d'Adobe qui annonçait que l'exploitation de cette vulnérabilité permettait uniquement de provoquer un déni de service. Cette vulnérabilité est liée à l'utilisation de la fonction "Doc.printSeps" du plug-in "EScript.api". Une solution de contournement et un correctif ont néanmoins été proposés. - Cybercriminalité / Attaques : Des pirates ont exploité pour la seconde fois en peu de temps l'identité de l'organisation du Prix Nobel pour inciter des utilisateurs à ouvrir un document malveillant. Après avoir compromis le site internet de l'organisation, les pirates ont, cette fois, envoyé un grand nombre de pourriels contenant une invitation à la cérémonie de remise du prix qui se tenait le 11 novembre dernier. Ce courriel, prétendument envoyé par "Alex Gladstein", le vice-président à la Statégie de l'"Oslo Freedom Forum", contenait en pièce jointe un PDF malveillant intitulé "invitation.pdf". Ce document spécialement conçu permettait d'exploiter la vulnérabilité référencée CVE-2010-2883, récemment corrigée par Adobe dans son bulletin de sécurité APSB10-21. Dans le même temps, des criminels ont utilisé la dernière faille de sécurité 0day ciblant Internet Explorer après avoir piraté le site de la branche d'Amnesty International basée à Hong Kong. L'objectif était de compromettre les systèmes des internautes visitant le site avec le navigateur de Microsoft. Un code d'exploitation de cette même faille a parallèlement été ajouté au kit d'exploitation "Eleonor". Cette mise à jour de l'outil destiné aux pirates a donc eu lieu moins de 2 jours après que le code d'exploitation ait été dans la nature, et environ une semaine après que la faille ait été rendue publique... Enfin, une campagne de distribution de pourriels a été lancée visant plus spécifiquement des spécialistes de la sécurité informatique [23]. Un lien les dirigeait vers un faux centre de commande et de contrôle d'un botnet reposant sur Zeus. L'objectif des pirates était de diriger ces chercheurs vers un pot de miel ("honeypot") afin de récupérer diverses informations telles que leurs adresses IP. Ces informations pourraient avoir une valeur ajoutée très importante pour les pirates dans un futur plus ou moins proche. En effet, en relevant les adresses IP de leurs victimes, les pirates pourraient configurer leurs systèmes malveillants afin d'empêcher les spécialistes de s'y connecter. - Conférence / Recherche : BlackSheep, une nouvelle extension pour Firefox permet de contrer les pirates utilisant Firesheep ou tout autre programme permettant de réaliser une attaque de vol de session en écoutant le trafic réseau ("HTTP Session Hijacking"/"sidejacking") sur un réseau local. De faux cookies de session sont ainsi envoyés afin de piéger les pirates. Le monde de la sécurité est actuellement en pleine mutation. Après Google et Mozilla, c'est au tour de Baracuda Networks de lancer son programme de récompense lors de la découverte de failles de sécurité. - Entreprises : Microsoft a été fortement critiquée cette semaine par ses concurrents pour avoir débuté une campagne de promotion de son antivirus "Security Essentials". En effet, le géant de Redmond a utilisé son service Windows Update afin de pousser ses clients américains dépourvus d'antivirus à installer le produit estampillé Microsoft. Il semblerait donc que la forte réprimande européenne liée au manque de concurrence dans le domaine des navigateurs ait porté ces fruits... - XMCO : L'application iCERT-XMCO pour iPad est maintenant disponible : http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6 Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmco.fr/stage-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation des correctifs disponibles pour Adobe Flash Player, proposés dans son bulletin APSB10-26. Cette publication fait suite au bulletin d'alerte APSA10-05 dans lequel Adobe alertait ses clients de la découverte d'une vulnérabilité 0day au sein de Flash Player. L'éditeur devrait publier d'autres mises à jour corrigeant la même vulnérabilité le 9 novembre (pour Flash Player sur Androïd) ainsi que dans la semaine du 15 novembre (Adobe Reader et d'Acrobat). Pour ces deux derniers logiciels, le CERT-XMCO recommande la suppression de la librairie partagée "authplay.dll" en tant que solution de contournement provisoire. * Résumé des évènements majeurs : - Vulnérabilités : Adobe a révélé cette semaine l'existence d'un 0-day permettant d'exécuter du code via un fichier PDF sous Adobe Reader. La faille référencée CVE-2010-4091 provient de la fonction JavaScript "printSeps()". Un correctif devrait être publié le 15 novembre. Un code d'exploitation a été diffusé sur internet. Peu de temps auparavant, alors que le correctif APSB10-25 venait tout juste d'être publié, une autre vulnérabilité difficilement exploitable pour un pirate avait été révélée au sein de Shockwave Player. L'exploitation de celle-ci permet à un attaquant distant de prendre le contrôle d'un système vulnérable. Il était néanmoins nécessaire pour cela d'inciter un utilisateur à ouvrir la fenêtre de préférences ainsi qu'à ouvrir une page Internet spécialement conçue pour pouvoir exploiter cette faille à distance... Une faille de sécurité critique au sein d'Internet Explorer (6, 7 et 8) a été découverte. En incitant un utilisateur à visiter une page Internet spécialement conçue, un pirate est en mesure de compromettre un système vulnérable. La faille de sécurité provient de la gestion de l'attribut "clip" par la librairie partagée "mshtml.dll". Microsoft a réagi en publiant le bulletin de sécurité référencée KB2458511. Un code d'exploitation fonctionnel est déjà disponible sur Internet. - Correctifs : Adobe a publié cette semaine son bulletin de sécurité APSB10-26 corrigeant plusieurs failles de sécurité au sein de son lecteur Flash, dont la vulnérabilité référencée CVE-2010-3654 présentée dans le bulletin d'alerte APSA10-05. Dans le même temps, des correctifs pour Flash sur Androïd ainsi que pour Reader et Acrobat ont été annoncés pour le 9 novembre et pour la semaine du 15. Une faille de sécurité critique a été corrigée au sein de ProFTPd. Celle-ci permettait de prendre le contrôle d'un serveur à distance. Un code d'exploitation est disponible sur Internet. Une autre faille de sécurité a été corrigée au sein du serveur DHCP de l'ISC. Son exploitation permettait à un pirate de provoquer un déni de service. - Exploits : Un code d'exploitation de la vulnérabilité référencée CVE-2010-3654 affectant Flash Player (voir APSA10-05) a été publié sur Internet. - Cybercriminalité / Attaques : Un nouveau mode de distribution de malware a fait son apparition sur Internet. Un pirate a eu l'idée de donner son malware spécialisé dans le vol d'informations à ces "clients". Ceux-ci, qui sont en général spécialisés dans la dissémination, se chargent de la mise en place de campagne visant à propager et à installer le cheval de Troie sur un grand nombre de machines. Une fois installé ; les deux pirates reçoivent une copie des informations dérobée. Ainsi chacun travaille pour la réussite de l'opération complète : le développeur créé un malware "techniquement" efficace, pendant que ses "clients" se chargement de garantir son installation sur les postes des victimes. - Conférence / Recherche : Une étude ciblant la qualité du code source d'Androïd a été publiée par la société Coverity. La qualité du code serait particulièrement bonne de manière générale, avec deux fois moins de bogues qu'habituellement dans le domaine industriel (0,47 défaut pour 1000 lignes de code au lieu de 1 défaut pour 1000 lignes de code). Cependant, les portions du noyau spécifiques à Androïd, lequel est largement dérivé de Linux, ont une plus grande densité de défaut que le reste du kernel (0,78 défaut pour 1000 lignes de code). - Entreprises : Google a annoncé cette semaine l'extension de son programme de récompense. Celui-ci permettait jusqu'à présent aux chercheurs ayant découvert une faille de sécurité au sein de Google Chrome de se voir offrir une somme d'argent allant jusqu'à 3133,7 dollars en fonction de la criticité de la découverte. Avec cette extension, les chercheurs sont donc maintenant invités à rechercher des failles de sécurité présente au sein des applications web. Seuls certains domaines ainsi que leurs sous domaines sont concernés, par exemple google.com ou encore youtube.com. Le géant de la recherche a néanmoins cadré très précisément les limites auxquels les chercheurs doivent se tenir. Pas question par exemple d'attaquer les infrastructures des opérateurs tiers hébergeant ses services... Google et Facebook ont réagi à de récentes critiques dans le domaine de la protection de la vie privée de leurs utilisateurs. Google a ainsi retiré de son "Androïd Market" une application malveillante appelée "Secret SMS Replicator" pouvant être utilisée par un pirate afin d'obtenir une copie des messages texte envoyés à un utilisateur. De son côté, Facebook a réagi à une récente étude dans laquelle un chercheur avait montré que bon nombre d'application transmettait, voir revendait des informations personnelles. La version 2.0 du standard PCI-DSS a officiellement vu le jour. Au programme, pas de grandes nouveautés, mais plutôt de nombreuses clarifications. Celle-ci deviendra applicable à partir du 1er janvier 2011. Parmi les changements, cette mise à jour a été l'occasion d'un alignement des cycles de publication avec les standards PA-DSS et PTS. Les experts auraient aimé voir certains sujets tels que la "tokenization" traités. Espérons que la prochaine version prévue normalement pour 2014 inclura les nombreux retours d'expérience des professionnels sur ce sujet... - International : La seconde partie de la simulation "Cyber Europe 2010" s'est tenue cette semaine. Organisée par l'ENISA, cette première édition de l'exercice de protection des infrastructures critique a permis à l'ensemble des acteurs européens (plus de 150 personnes) impliqués d'établir des relations de confiance, de prendre conscience des différences existantes, de tester les canaux de communication, de mettre en avant l'interdépendance et enfin d'aider les états membres à valider les procédures existantes et à en mettre en place de nouvelle, lorsque nécessaires. - Prévention : Sophos a publié une version gratuite de son antivirus "Sophos Anti-Virus Home Edition for Mac" à destination des systèmes Mac OS. - XMCO : Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmco.fr/stage-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande de mettre en place une solution temporaire de protection contre l'exploitation de la faille de sécurité affectant le lecteur Flash embarqué au sein du logiciel Adobe Reader (CVE-2010-3654, APSA10-05). Pour cela, le CERT-XMCO recommande de supprimer la libraire "authplay.dll" en attendant la publication d'un correctif par Adobe. * Résumé des évènements majeurs : - Vulnérabilités : Une vulnérabilité critique au sein de Firefox a été découverte par un adolescent de 12 qui s'est donc vu récompensé par la "nouvelle" prime de 3000 $ offerte par Mozilla. Peu de temps après, un 0day a été découvert sur le site du prix Nobel. Celui-ci permettait d'exploiter une faille de sécurité inconnue jusqu'alors au sein de la fonction JavaScript "document.write()". Mozilla a réagi très rapidement en publiant un correctif en 2 jours. Adobe a publié cette semaine le bulletin d'alerte APSA10-05 à la suite de l'exploitation sur Internet d'une faille de sécurité au sein du lecteur Flash. Des documents PDF embarquant une animation Flash malveillante ont été envoyés aux internautes dans le cadre d'une campagne d'envoi massif de pourriels. La suppression de la librairie partagée "authplay.dll" présente dans le répertoire d'installation d'Adobe Reader permet de protéger les utilisateurs de ce logiciel contre l'exploitation de cette faille via le format de fichier PDF. Néanmoins, aucune solution autre que la désinstallation n'est actuellement disponible pour protéger les utilisateurs de Flash Player... Une faille de sécurité au sein de l'iOS a été découverte. Un pirate serait en mesure de contourner le verrouillage d'un iPhone afin d'accéder à l'ensemble du carnet d'adresses d'un utilisateur, voire de réaliser des appels téléphoniques. Après avoir découvert la faille de "DLL hijacking", Across Security vient de faire resurgir une autre faille similaire, liée à la gestion de l'expansion par Windows des variables (telles que "%APPDATA%") contenues dans le "PATH". L'exploitation de cette faille de sécurité en parallèle du chargement automatique des librairies partagées depuis le dossier courant permet alors à un pirate de prendre le contrôle d'un système distant. - Correctifs : Adobe a publié cette semaine le bulletin APSB10-25 proposant un correctif à la faille de sécurité référencée CVE-2010-3653 affectant Shockwave qui avait été présentée dans le bulletin d'alerte APSA10-04. De nombreuses autres failles de sécurité ont été corrigées par la même occasion. Même si celles-ci ne sont pas actuellement exploitées sur Internet, un code d'exploitation est disponible. Le CERT-XMCO recommande donc l'installation de la version 11.5.9.615 de Shockwave. - Exploits : Un code d'exploitation a été publié sur Internet. Celui-ci permet d'exploiter la vulnérabilité référencée CVE-2010-3552 récemment corrigée par Oracle dans la dernière version de Java (6 Update 22) lors de la publication de son bulletin "javacpuoct2010". La faille de sécurité provient d'un manque de validation du paramètre "docbase", et permet à un pirate de prendre le contrôle à distance d'un système vulnérable en incitant simplement un utilisateur à visiter une page internet malveillante. - Cybercriminalité / Attaques : Zeus continue de faire parler de lui. Ses nouvelles fonctionnalités ont été l'occasion de publier de nouveaux articles. Une rumeur stipulerait par ailleurs l'arrêt de son développement par Slavik, son développeur, et la prise de sa succession par Harderman, le développeur du concurrent SpyEye. La médiatisation trop importante de Zeus ces derniers temps est probablement la cause de la fusion de ces deux outils malveillants. Le retrait de Slavik de la scène pirate lui permettrait ainsi de se faire plus discret, et de faire retomber toute l'attention qui était portée sur lui. Dans le même temps, cette évolution permet à Harderman de revoir à la hausse les prix de son outil... Les pirates composant la Cyber-Armée Iranienne auraient amorcé un changement de stratégie en mettant sur pied un botnet d'environ 400 000 machines. Ce botnet serait pour le moment loué à d'autres pirates pour mener à bien leurs cyberattaques, mais il pourrait être à terme utilisé par ce groupuscule pour réaliser d'autres types de méfaits ; par exemple en représailles à l'infection par Stuxnet de l'Iran... Le botnet Bredolad a été démantelé par les autorités néerlandaises. Pour cela, une méthode juridiquement exotique a été utilisée. En effet, les spécialistes néerlandais ont piraté à leur tour les zombies composant le botnet afin d'avertir les utilisateurs de la compromission, et de leur demander de "nettoyer" leur machine. Une telle méthode est légalement interdite dans bon nombre de pays dans lesquels se trouvaient les systèmes infectés... D'après l'étude "Mapping the Mal Web" de McAfee, les domaines .com et .vn serait les plus "dangereux". Ceux-ci hébergeraient le plus de pages Internet malveillantes... Une autre étude menée par la société Damballa stipule que les pays occidentaux hébergeraient la majorité des serveurs de commande et de contrôle (C&C). Les résultats de cette étude ont été sévèrement critiqués [19] par bon nombre de spécialistes des botnets, pour qui le travail de Damballa n'a pas été fait de façon correcte... Koobface fait encore parler de lui. Une nouvelle variante appelée "boonana" a fait son apparition sur Internet. Celle-ci permet maintenant de compromettre aussi bien les postes des utilisateurs de réseaux sociaux sous Windows, que sous Mac OS ou encore sous Unix... Un nouveau type d'attaque contre le système bancaire a été découvert. Le principe des "Flash attacks" est de réaliser un nombre très important de petits débits passants sous la limite des systèmes de détection de fraude en un court laps de temps. Pour cela, les pirates dérobent les informations contenues dans la bande magnétique d'une carte bancaire à l'aide d'un "skimmer" présent sur un automate (DAB). Un grand nombre de copies de cette carte est ensuite réalisé à partir de ces informations. Les pirates n'ont ensuite plus qu'à s'organiser pour définir une date et une heure précise auxquelles les milliers de copies seront utilisées au travers du monde pour retirer de l'argent depuis un compte unique. Ce type d'attaque ne fonctionne bien évidemment que dans les pays faisant encore confiance à la piste magnétique, mais il est important de rappeler que l'ensemble de cartes bancaires est encore équipé d'une telle piste. Les Français peuvent donc potentiellement être pris pour cible d'une telle attaque... - Conférence / Recherche : Dans le cadre de la douzième édition de la conférence internationale Toorcon qui se tenait à San Diego aux États-Unis, le chercheur Éric Butler a publié une extension Firefox dénommée FireSheep permettant de montrer les dangers pour les utilisateurs d'une mauvaise gestion par les sites internet de l'identification et de l'authentification. En effet, lorsque le protocole de chiffrement SSL/TLS est uniquement utilisé pour l'authentification, un pirate est alors en mesure de réaliser des attaques lui permettant de dérober le cookie de session dans les échanges HTTP réalisés entre un client et un serveur afin d'usurper l'identité d'un internaute sur un site. FireSheep permet par exemple de dérober les cookies de session en écoutant les communications effectuées sur un réseau (WiFi) peu sécurisé, et de les utiliser extrêmement simplement en cliquant directement sur l'icône associée au site vulnérable. Attention à ne pas se méprendre, cette attaque n'est en rien liée à Mozilla. La plateforme est ici simplement utilisée pour sa flexibilité. Par ailleurs, les internautes sont encouragés à naviguer sur les versions SSL/TLS des sites qu'ils visitent. Les chercheurs de l'université de Cambridge ont publié cette semaine le code source ainsi que les plans de la maquette utilisée pour démontrer la faille de sécurité présente au sein du protocole EMV. Pour rappel, ces chercheurs avaient démontré il y a plusieurs mois qu'il était possible de réaliser des payements avec des cartes bancaires dérobées sans avoir besoin d'en connaitre le code PIN... - Entreprises : Apple a annoncé cette semaine vouloir supprimer certains logiciels historiquement vulnérables afin de renforcer la sécurité de son système d'exploitation. Le lecteur Flash d'Adobe, tout comme Java pourrait donc faire les frais de cette nouvelle directive d'Apple... Il resterait bien entendu la possibilité aux utilisateurs de Mac OS d'installer ces logiciels tiers manuellement. - Prévention : Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) a clôturé son initiative de sensibilisation à la sécurité informatique. Son Mois de la Sensibilisation à la Cyber-Sécurité ("Cyber Security Awareness Month", aka "CSAM") a été l'occasion de recommander la mise en place de 31 bonnes pratiques concernant l'informatique au sein du cercle familial, scolaire et professionnel. - XMCO : Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmco.fr/stage-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Une vulnérabilité affectant Adobe Shockwave Player et la preuve de concept associée ont été publiées en fin de semaine dernière. Le CERT-XMCO recommande de rester vigilant, car des attaques massives pourraient avoir lieu dans les prochains jours. * Résumé des évènements majeurs : - Vulnérabilités : Une preuve de concept exploitant une faille de sécurité présente au sein d'Internet Explorer (7 et 8) a été publiée. Le chercheur l'ayant découvert aurait déjà alerté Microsoft il y a environ deux ans, sans aucune réaction officielle de l'éditeur. L'exploitation de cette faille permettrait à un pirate d'obtenir certaines informations sensibles via la simple visite d'une page Internet malveillante. Une faille de sécurité a été découverte au sein du plug-in multimédia VLC pour Mozilla. En incitant un internaute à visiter un site web spécialement conçu, un pirate était en mesure de compromettre un système. Le chercheur Tavis Ormandy (Google) a découvert une vulnérabilité au sein de la librairie partagée Glibc. En n'implémentant pas correctement une règle de sécurité définie par les concepteurs du format de fichiers exécutable ELF, les développeurs de la librairie ont introduit une faille de sécurité exploitable localement par un utilisateur malveillant afin d'élever ses privilèges. La faille de sécurité est plus précisément liée à l'expansion de la variable "$ORIGIN" lors de la manipulation des fichiers exécutables "setuid" ou "setgid". À la suite de la mise à disposition sur Internet d'une preuve de concept permettant d'exploiter une faille de sécurité présente au sein du plug-in Shockwave Player, Adobe a publié un bulletin d'alerte APSA10-04. Aucune information sur la date prévisionnelle de sortie du correctif n'a été donnée par Adobe. Cette faille n'est pas encore massivement exploitée sur Internet. - Correctifs : Adobe a publié cette semaine deux correctifs référencés APSB10-23 et APSB10-24. "RoboHelp" et "RoboHelp Server" seraient vulnérables à des attaques de type "Cross-Site Scripting" (XSS) (CVE-2010-2885 et CVE-2010-2886). La vulnérabilité présente au sein de InDesign permettrait de charger automatiquement une librairie malveillante afin de compromettre un système à distance via l'ouverture d'un fichier. La fondation Mozilla a publié cette semaine des correctifs pour ses logiciels phares : Firefox et Thunderbird. La visite d'une page Internet spécialement conçue permettait à un pirate de provoquer de multiples dommages. Toujours dans le domaine des navigateurs web, Google a aussi publié une mise à jour de Chrome. - Cybercriminalité / Attaques : Après Microsoft la semaine précédente, c'est au tour de systèmes appartenant à l'éditeur d'antivirus Kaspersky et au fabricant de PC chinois Lenovo d'être compromis. Les pirates utilisaient les serveurs compromis afin d'infecter les visiteurs. Un faux antivirus était ainsi proposé aux internautes visitant le site de téléchargement des produits Kaspersky... - Justice : Facebook a déposé trois plaintes devant la cour fédérale de San Jose en Californie contre plusieurs personnes (physiques et morales) ayant abusé de son image pour monter des arnaques contre des internautes. Celles-ci visent deux hommes : Steven Richter et Jason Swan, ainsi qu'une entreprise canadienne spécialisée dans le marketing viral : MaxBounty. Ce n'est pas la première fois que Facebook poursuit des pirates devant les tribunaux, mais c'est une première concernant les sociétés "d'affiliation" telles que MaxBounty. D'après la société, MaxBounty serait responsable de plusieurs campagnes d'envoi de pourriels... - Conférence / Recherche : D'après les observations de Microsoft, Java pourrait bientôt remplacer le format PDF en tant que vecteur d'attaque favori des pirates. En effet, l'interopérabilité de Java, et l'ajout de nouvelles fonctionnalités de sécurité au sein des logiciels Adobe feront probablement pencher la balance du côté de Java. Par ailleurs, de plus en plus de packs d'exploitation embarquent les exploits ciblant les vulnérabilités présentes au sein de Java. - Entreprises : Adobe a annoncé la prochaine sortie des versions "X" de ses logiciels phares Adobe Reader, mais aussi Acrobat Suite, Acrobat Pro et Acrobat Standard. Cette nouvelle version majeure apportera entre autres de nouvelles fonctionnalités telles que la mise en place d'un bac à sable permettant de limiter le risque d'exploitation d'une faille de sécurité par un pirate. - Internationnal : Après avoir commencé à travailler sur un nouveau système d'exploitation visant à garantir la sécurité et l'indépendance de l'Inde, le pays réfléchit actuellement à la mise en place d'une solution permettant de se "déconnecter" d'Internet. Cet "interrupteur" permettait ainsi aux autorités indiennes de gagner du temps afin de mettre en place des protections lors de potentielles cyberattaques (cf. Estonie et la Géorgie en 2007 et 2008). L'Allemagne aurait de nouveau fait appel à un pirate afin d'obtenir des informations confidentielles détenues par la banque suisse Julius Bär. Un CD contenant environ 200 noms de clients de la banque suspectée de fraude fiscale aurait été acheté pour 1,5 million d'euros par un Land allemand (Rhénanie du Nord/Westphalie). Le pirate aurait agi, non pas pour son intérêt personnel, mais pour une "juste cause" puisqu'il aurait reversé cette somme à une oeuvre de bienfaisance. Celle-ci aurait refusé cet argent "douteux"... Dans sa "National Security Strategy", le Royaume-Uni aurait décidé d'allouer environ 567 millions d'euros afin de faire face aux cybermenaces. Le document métrait en place le contexte pour la "Strategic Defence Review" de demain. La cyberguerre est désormais officiellement considérée comme l'une des menaces les plus sérieuses pour le Royaume-Uni, et est classée au même niveau que le terrorisme, les pandémies ou encore les crises militaires internationales. Le document met en avant les Jeux olympiques de 2012 comme étant un évènement à haut risque en terme de cyberattaques. Des pirates chinois auraient mené des attaques contre de nombreux officiels sud coréens afin de leur dérober de nombreux documents confidentiels tout au long de 2010. Apparemment, les hackers ciblaient les fonctionnaires chargés des relations avec la Corée du Nord. - Prévention : Google, le géant de la recherche sur Internet, a publié une checklist "sécurité" composée de 18 recommandations réparties en 5 grandes catégories : l'ordinateur, le navigateur Internet, le compte Google, les réglages de Gmail et enfin d'autres rappels. Celle-ci est principalement destinée aux utilisateurs de son service de messagerie Gmail. Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité ("Cyber Security Awareness Month", aka "CSAM"). Déjà 25 bonnes pratiques concernant l'informatique au sein du cercle familial, scolaire et professionnel ont été formulées. Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco - XMCO : Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmcopartners.com/stage-fr.html

* Avis d'expert : Le CERT-XMCO recommande l'installation des correctifs de sécurité Microsoft (de MS10-071 à MS10-086) et Oracle corrigeant un grand nombre de vulnérabilités au sein de Windows, d'Office, de SharePoint et des nombreux produits Oracle. * Résumé des évènements majeurs : - Vulnérabilités : Une vulnérabilité au sein de la fonction PHP "filter_var()" a été découverte. Lorsque le filtre "FILTER_VALIDATE_EMAIL" était sélectionné, la validation d'une chaine excessivement longue permettait à un pirate de provoquer un déni de service. Une vulnérabilité au sein de SAP a été découverte. Le module Axis2 utiliserait l'identifiant et le mot de passe fourni par défaut. Un pirate pourrait exploiter cette vulnérabilité afin de compromettre un système vulnérable. - Correctifs : Microsoft a publié ses 16 bulletins de sécurité dans le cadre de son "Patch Tuesday" du mois d'octobre. 49 vulnérabilités ont été corrigées au sein des produits Microsoft. Le CERT-XMCO recommande l'installation des correctifs MS10-071 (Internet Explorer), MS10-075 (Windows Media Player), MS10-76 (gestionnaire Windows de police de caractères EOT) et MS10-077 (.NET) dont l'exploitation des vulnérabilités corrigées permettrait de compromettre un système. Par ailleurs, Microsoft a également corrigé une des vulnérabilités d'élévation de privilèges exploitée récemment par le virus Stuxnet (MS10-073). Oracle a publié ses deux bulletins de sécurité du mois d'octobre : cpuoct2010 et javacpuoct2010. Oracle juge ces correctifs critiques. Parmi les logiciels vulnérables : Oracle Database, Oracle Fusion Middleware, Oracle Application Server, Oracle BI Publisher, Oracle Identity Management, Oracle E-Business Suite, Oracle Agile PLM, Oracle Transportation Management, PeopleSoft Enterprise, PeopleSoft Enterprise PeopleTools, Oracle Siebel Core, Primavera P6 Enterprise Project Portfolio management, Oracle Sun Product Suite (Solaris, OpenOffice, ...), Oracle VM. D'autres vulnérabilités au sein de Solaris ont aussi été corrigées (Tomcat, LibTiff). - Cybercriminalité / Attaques : L'ENISA, le CSIRT européen, a annoncé récemment la réalisation avant la fin de l'année 2010 d'une simulation appelée "CYBER EUROPE 2010". Cet exercice européen de protection des infrastructures critiques ("Critical Information Infrastructure Protection", aka "CIIP") se décompose en deux phases. La première se tenait fin septembre et était destinée à la présentation et à la préparation de la seconde phase qui se tiendra au mois de novembre. Alors que Stuxnet fait des ravages, il est important de voir l'Europe moteur dans le domaine de la protection des infrastructures critiques. - Conférence / Recherche : 36 heures après avoir été rendu accessible, le système de vote en ligne de Washington DC a été cassé par des chercheurs. La faille de sécurité se trouvait dans le traitement des noms de fichiers correspondants aux bulletins des votants. En insérant des commandes, les pirates pouvaient alors contrôler le serveur à distance, découvrir les votes effectués... Les autorités ont mis plusieurs jours à réagir, avant de supprimer la fonctionnalité de vote en ligne. Les citoyens ont par la suite dû renvoyer par courrier postal les bulletins imprimés... - Entreprises : Après avoir reçu un avis favorable de la part des Émirats Arabes Unis, c'est au tour de l'Inde de rassurer RIM. D'après plusieurs sources proches du dossier, mais non officielles, RIM aurait réussi à convaincre ses interlocuteurs indiens sur la mise en place d'une solution d'interception légale. Celle-ci consisterait à forcer les entreprises indiennes utilisant le système à mettre en place des solutions techniques permettant aux agences indiennes d'obtenir les infos nécessaires, sans que RIM ait besoin d'abaisser la sécurité de son système. Google a étendu son service d'alerte visant à informer les détenteurs d'un site internet lorsque leur site est utilisé dans le cadre d'une attaque. Dès maintenant, Google alertera les ayant droits lorsqu'un site de phishing sera découvert. - Internationnal : Le gouvernement indien fait part de ses ambitions dans le domaine de la sécurité informatique. Il a récemment mis à pied d'oeuvre une équipe d'une cinquantaine de chercheurs ayant pour objectif de développer un nouvel OS sécurisé. Celui-ci serait sous le contrôle du gouvernement indien pour en garantir sa "sécurité". La sécurité par l'obscurité n'a jamais été pérenne, la volonté du gouvernement indien risque donc de se voir confrontée à la réalité d'ici quelques années... - Prévention : Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité ("Cyber Security Awareness Month", aka CSAM). Déjà dix-sept bonnes pratiques concernant l'informatique au sein du cercle familial, à l'école et au travail ont été formulées. - XMCO : Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmcopartners.com/stage-fr.html Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO attire votre attention sur la sortie du bulletin de sécurité APSB10-21 corrigeant un grand nombre de vulnérabilités au sein d'Adobe Reader et d'Acrobat. Par ailleurs, Microsoft et Oracle publieront dans la semaine à venir un grand nombre de correctifs : 16 bulletins corrigeant 49 vulnérabilités pour Microsoft ainsi qu'un bulletin concernant 81 vulnérabilités pour Oracle. * Résumé des évènements majeurs : - Vulnérabilités : RIM, le fabricant de la solution BlackBerry, a été évoqué à plusieurs reprises au cours de la semaine. Une vulnérabilité a été découverte au sein du système d'exploitation de la plateforme mobile de Research In Motion (RIM) : BlackBerry. Un pirate est ainsi en mesure d'accéder à des informations sensibles en incitant un utilisateur à ouvrir une page Internet spécialement conçue utilisant le mécanisme HTML des "IFRAMES". Une autre faille de sécurité liée à l'utilisation du logiciel "BlackBerry Desktop Software" a été découverte par la société Elcomsoft. La mauvaise utilisation de la fonction de dérivation de clef "PBKDF2" associée à l'algorithme de chiffrement AES permettrait à un pirate de mener une attaque par force brute pour découvrir la valeur de la clef privée de 256 bits utilisée pour chiffrer les sauvegardes du système... Un pirate pourrait donc accéder en relativement peu de temps à l'ensemble des données sauvegardées par un utilisateur. - Correctifs : Microsoft a annoncé la date de publication de ses correctifs. Le 12 octobre, le "Patch Tuesday" comprendra donc 16 bulletins corrigeant 49 vulnérabilités présentes au sein de Windows, SharePoint, Microsoft Web Applications ainsi que dans la suite bureautique Office. Microsoft juge celles-ci comme étant "critiques" pour quatre d'entre elles, "importantes" pour dix d'entre elles, et enfin "modérées" pour les deux restantes. Par ailleurs, l'édition d'octobre du "Patch Tuesday" sera aussi l'occasion pour Microsoft de corriger les deux vulnérabilités "0day" exploitées par le malware Stuxnet pour élever ses privilèges. Le même jour, Oracle publiera de son côté son bulletin de sécurité trimestriel "cpuoct2010" corrigeant 81 vulnérabilités au sein de l'ensemble des logiciels Oracle et Sun. Adobe a publié cette semaine son correctif hors cycle APSB10-21. Celui-ci corrige 23 vulnérabilités dont les failles de sécurité "0day" référencées CVE-2010-2883 et CVE-2010-2884 présentées par Adobe dans les alertes APSA10-02 et APSA10-03. Dans le même temps, les professionnels de la sécurité, réunis pour la conférence annuelle "Virus Bulletin" qui se tenait à Vancouver au Canada, ont symboliquement voté pour l'abolition du format PDF... Si aucune vulnérabilité ou aucun code d'exploitation ne sont publiés avant la fin du prochain cycle de sécurité d'Adobe, les prochains bulletins accompagnés de leur correctif sont attendus pour le 8 février 2011. Enfin, MySQL, PostgreSQL et Typo3 ont publié des correctifs pour leurs logiciels respectifs. - Cybercriminalité / Attaques : Stuxnet continue de faire parler de lui. Cette semaine, l'Iran a annoncé avoir arrêté les "espions" responsables de la prolifération du malware dans le pays. Dans le même temps, le régime islamique a reporté au début de l'année 2011 le lancement de la centrale nucléaire de Bushehr. De légères fuites au coeur de la centrale forceraient les Iraniens à retarder la mise en production de la centrale, qui devait avoir lieu initialement au début du mois de novembre... De nombreuses arrestations ont eu lieu cette semaine un peu partout dans le monde : en Angleterre, aux États-Unis et en Ukraine. Les pirates étaient soupçonnés de faire partie d'organisations liées au cybercrime tirant parti du malware ZeuS pour détourner de l'argent. Plusieurs articles relatifs au cybercrime ont été publiés. Parmi ceux-ci, une étude rappelant l'organisation complexe des criminels, ainsi que la vision de Microsoft pour s'en protéger à l'échelle mondiale. - Justice : En Angleterre, un jeune homme de 19 ans vient d'être condamné à quatre mois de prison pour avoir refusé de divulguer un mot de passe. Celui-ci avait été arrêté en mai 2009 dans une affaire de pédophilie, mais la Police n'a pu accéder au contenu chiffré du portable... - Conférence / Recherche : À la suite de l'étude menée sur l'utilisation des données personnelles par les applications Androïd, c'est au tour des applications pour l'iOS d'Apple d'être montrées du doigt. Seuls 14 % des 57 applications provenant en partie des catégories "Most popular" et "Top Free" de l'AppStore n'utiliseraient pas de données personnelles. Inversement, près de 68 % des applications échangeraient au moins l'UDID ("Unique Device Identifier") avec des serveurs privés. - Entreprises : T-Mobile et HTC ont annoncé la commercialisation d'un nouveau smartphone basé sur Androïd, dont la particularité sera d'être équipé d'un rootkit matériel permettant à l'opérateur et au fabricant d'empêcher toute modification du système. C'est sûrement la première fois qu'un éditeur propose d'un côté aux utilisateurs un système ouvert, et au fabricant un système verrouillé... Le fournisseur d'accès à Internet américain Comcast a annoncé le déploiement à l'échelle nationale d'un programme pilote initié à Denver l'année dernière. L'objectif de ce programme est d'alerter de façon automatisée les abonnés du FAI lorsque certains signes caractéristiques de la compromission d'un système ont été observés. Pour le moment, deux solutions techniques existent : l'envoi d'un courriel à l'internaute, ainsi que l'affichage d'une bannière en haut de chaque page Internet visitée avec un navigateur web. Dans le même temps, le FAI donne des conseils à ses clients afin de les aider à sécuriser leur ordinateur. - Internationnal : Les Émirats Arabes Unis ont retiré la demande de suspension des services proposés par RIM dans le cadre de son offre BlackBerry, précédemment formulée auprès des opérateurs locaux. La solution proposée par RIM devrait donc satisfaire les exigences des émirats en terme de sécurité nationale. - Prévention : Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité ("Cyber Security Awareness Month", aka "CSAM"). Déjà dix bonnes pratiques concernant l'informatique au sein du cercle familial ont été formulées. Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Cette semaine, le CERT-XMCO porte de nouveau votre attention sur le malware Stuxnet qui continue d'infecter un grand nombre d'entreprises. Pour rappel, le virus a été développé pour infecter, voire saboter, les systèmes supervisés par des centres de contrôle SCADA équipés des systèmes Siemens S7-400 PLC et SIMATIC WinCC. L'exploitation de quatre vulnérabilités 0day Windows, dont deux ont été corrigées par Microsoft, ainsi que de nombreux autres détails techniques prouvent que ce malware a été développé par des professionnels. * Résumé des évènements majeurs : - Virus : Plusieurs études approfondies du malware Stuxnet ont été publiées par Symantec et Esset. Le fonctionnement de ce malware y est analysé de manière très précise. - Vulnérabilités : Une étude publiée par un éditeur de solution antivirale montre que l'autorun serait la faille de sécurité du moment. En effet, la majorité des infections relevées sur les postes de travail serait due à des virus exploitant ce mécanisme... - Exploits : Dans le cadre du projet MOAUB (Month Of Abyssec Undisclosed Bugs), Abyssec a continué à publier cette semaine ses dernières preuves de concept. Parmi les logiciels ciblés : Internet Explorer (MOAUB #27), Excel (MOAUB #29 / MS10-038) et enfin le processeur de script Unicode de Windows (MOAUB #30 / MS10-063). Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité. - Correctifs : Microsoft a publié cette semaine le bulletin MS10-070 corrigeant la faille de sécurité découverte au sein de l'implémentation ASP.Net de l'algorithme de chiffrement AES. L'exploitation de la vulnérabilité permettait à un pirate d'accéder à des informations sensibles, voire de contourner certaines restrictions de sécurité. Néanmoins, Microsoft a introduit dans ce correctif une option de configuration permettant aux utilisateurs de conserver le comportement vulnérable du framework ASP.Net... Red Hat a annoncé la fin du support de la version 3 de sa solution RHEL. L'éditeur recommande de migrer vers RHEL 5. Adobe a annoncé cette semaine la publication le 5 octobre d'un correctif (APSB10-021) correspondant à l'alerte APSA10-02 publiée il y a quelques semaines. Pour rappel, l'exploitation de la faille de sécurité référencée CVE-2010-2883 avait été observée sur internet... - Cybercriminalité / Attaques : ZeuS a fait parler de lui cette semaine. Zitm (Zeus In The Mobile), une version mobile du malware aurait fait son apparition sur Internet. Celle-ci serait spécialisée dans le vol de "mTAN" (Mobile Transaction Authentication Number) utilisé par les banques dans le cadre d'une authentification forte permettant d'accéder à leurs services en ligne. Par ailleurs, alors qu'un chercheur de Google avait découvert une faille de sécurité dans l'application en ligne utilisée par les serveurs C&C du botnet Zeus, un correctif a été publié dans les trois jours suivants. Les cybercriminels semblent donc être beaucoup plus réactifs que les éditeurs de solutions logicielles... Enfin, des arrestations ont eu lieu au Royaume-Uni. Celles-ci ciblaient plusieurs personnes en charge d'un botnet anglais permettant aux cyberpirates de voler et de blanchir de l'argent. Pas moins de 10 millions de dollars issus d'environ 600 comptes bancaires différents auraient ainsi été dérobés dans les trois derniers mois par les malfrats... Un Vénézuélien a été condamné à 10 ans de prison aux États-Unis pour avoir piraté des réseaux VoIP. Le criminel a ainsi vendu 10 millions de minutes de communication sur Internet en utilisant des serveurs VoIP piratés appartenant à de grands opérateurs tels qu'AT&T. En France, un réseau de trafic de codes de "désimlockage" des téléphones portables a été démantelé. Celui-ci opérait depuis une dizaine d'années. Des personnes travaillant directement chez les opérateurs revendaient simplement les codes auxquels ils avaient accès à d'autres complices pour 3 euros. Ces codes étaient ensuite revendus jusqu'à 30 euros à des particuliers par le biais de boutiques peu scrupuleuses. Un des criminels est soupçonné d'avoir gagné jusqu'à 25 000 euros par mois avec cette combine... - Conférence / Recherche : Des chercheurs ont publié une étude sur l'utilisation des données personnelles par les applications Androïd. Les résultats sont plutôt alarmants puisque deux applications sur trois auraient un comportement suspect. Les chercheurs regrettent néanmoins de ne pas être en mesure de réaliser une telle étude sur les autres plateformes mobiles (iPhone et BlackBerry) qui ne sont pas "ouvertes" comme l'est Androïd. Un éditeur de solution antivirale a publié une étude présentant de nouveaux botnets. Les serveurs utilisés par le réseau social Twitter semblent être de plus en plus fréquemment utilisés comme serveur de C&C... Alors que la clef maitre utilisée pour protéger l'écosystème Blu-Ray avait été publiée sur Internet la semaine précédente, des chercheurs ont publié cette semaine une implémentation de l'algorithme de chiffrement HDCP. - Entreprises : Le DSI du gouvernement américain a pour la première fois évoqué le sujet IPv6 en demandant aux agences gouvernementales et fédérales de rendre dans les deux ans à venir l'intégralité de leurs services accessible au public en IPv6. La migration vers le nouveau protocole bénéficiera de deux années supplémentaires pour les réseaux internes de ces agences. - Internationnal : Dans un autre domaine, les USA réalisaient cette semaine une simulation (CyberStorm 3) permettant de valider les bonnes pratiques utilisées par l'ensemble des intervenants nationaux dans le cadre d'une cyberattaque. Douze intervenants internationaux parmi lesquels figurait la France aidaient les USA dans la réalisation de ce test grandeur nature. Enfin, l'Administration Obama a émis un souhait relatif aux nouveaux moyens de communication dans le cybermonde. Celle-ci envisagerait de proposer un texte de loi imposant aux entreprises de mettre en place une porte dérobée dans leurs solutions afin que le gouvernement américain soit en mesure d'accéder à l'ensemble des échanges réalisés de manière discrète. De nombreuses solutions seraient impactées par une telle loi, à commencer par l'offre BlackBerry du Canadien RIM... Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Cette semaine, le CERT-XMCO porte votre attention sur le malware Stuxnet qui fait beaucoup parler de lui ces derniers temps. Le virus pourrait avoir été développé pour infecter, voire saboter un complexe nucléaire iranien. L'utilisation de quatre vulnérabilités 0day ciblant les systèmes d'exploitation Windows, ainsi que de nombreux autres détails techniques prouvent que ce malware aurait été développé par des professionnels dans un but précis (comme pour l'attaque Aurora). * Résumé des évènements majeurs : - Vulnérabilités : À la suite de la révélation de la faille de sécurité au sein de l'implémentation de l'algorithme de chiffrement AES dans le framework ASP.Net, Microsoft a publié le bulletin KB2416728 présentant entre autres une solution de contournement. - Exploits : Un code permettant d'exploiter la faille de sécurité corrigée MS10-061 dans le cadre du dernier "Patch Tuesday" a été rendu disponible sur Internet. Celui-ci permet d'ajouter une tache planifiée via une faille présente au sein du service spooleur d'impression de Windows afin de prendre le contrôle d'un système vulnérable. Dans le cadre du projet MOAUB (Month Of Abyssec Undisclosed Mugs), Abyssec a continué de publier plusieurs preuves de concept. Parmi les logiciels ciblés : QuickTime (MOAUB #18), Novell iPrint (MOAUB #19), Java (MOAUB #20, Excel (MOAUB #21 / MS10-038), Shockwave (MOAUB #22), Adobe Reader et Flash Player (MOAUB #23, APSB10-14 et APSB10-15), Excel (MOAUB #24 / MS10-038), le codec MPEG Layer-3 de Windows (MOAUB #24 / MS10-052), Firefox (MOAUB #25 / MFSA 2010-39) et enfin le codec Cinepak de Microsoft (MOAUB #26 / MS10-055). Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité. - Correctifs : Cisco a publié 6 bulletins [A][B][C][D][E][F] cette semaine, corrigeant plusieurs failles de l'IOS liées à l'utilisation des protocoles SIP, H.323, H.225.0, IGMPv3... Apple a publié un correctif pour le 0day "_Marshaled_pUnk" qui affectait l'ActiveX "QTPlugin.ocx" fourni avec QuickTime. Adobe a publié le bulletin de sécurité APSB10-22 proposant un correctif pour son logiciel Flash Player pour la faille présentée dans l'alerte APSA10-03. Cette faille de sécurité serait exploitée sur internet. Le CERT-XMCO recommande l'installation de ce correctif dans les plus brefs délais. - Cybercriminalité / Attaques : Une vulnérabilité de type "Cross-Site Scripting" (XSS) a été exploitée par un ver pour se répandre de façon très rapide au sein du réseau social Twitter. Celle-ci avait déjà été corrigée, mais est réapparue de façon inexpliquée lors d'une mise à jour du site. Stuxnet, un malware connu pour exploiter quatre 0days au sein de Windows serait suspecté d'avoir été développé pour infecter et détruire un système de contrôle utilisé dans le complexe nucléaire Iranien Bushehr. Plusieurs attaques de déni de service distribué ont eu lieu cette semaine contre les associations en charge de la défense des intérêts des majors (RIAA, MPAA,BPI...). Ces attaques de DDoS font suite à des actions similaires entreprises par la société indienne Aiplex contre plusieurs sites de téléchargement. Aiplex aurait ainsi été engagé par une trentaine de maisons de disque pour prendre en charge le repérage, l'avertissement et la mise en place de la sanction envers les pirates et leurs sites de "partage"... Baptisé "Infostealer.Nimkey" par Symantec, un malware spécialisé dans le vol de clés privées vise les certificats numériques au format PKCS#12. - Conférence / Recherche : Dans le cadre de la première conférence internationale organisée par et pour Interpol, l'un des hauts responsables de l'organisation a révélé que son identité avait été usurpée sur le réseau social Facebook afin de mener des attaques d'ingénierie sociale pour obtenir des informations relatives à une opération internationale. D'après Interpol, le vol d'identité serait devenu l'une des menaces les plus sérieuses à l'heure actuelle. Alors même que la carte d'identité électronique allemande (eID) est sur le point d'être rendue disponible aux citoyens allemands, le Chaos Computer Club (CCC) a présenté à la télévision cette semaine l'exploitation de faille de sécurité permettant de contrôler une eID. Néanmoins, le BSI, qui a bien noté ces remarques, pense que le système est suffisamment sécurisé tel qu'il est actuellement. Par ailleurs, et toujours selon la BSI, cette solution serait, dans tous les cas, nettement plus sécurisée que l'ancienne qui était basée sur un couple identifiant/mot de passe... - Internationnal : Dans le même temps, plusieurs acteurs allemands de l'Internet ont mis en place un organisme permettant de lutter contre la prolifération des botnets. Différentes solutions sont évoquées : la mise en place d'une assistance téléphonique, la mise à disposition d'outils permettant de nettoyer son système, ainsi que la surveillance de certains flux réseau des internautes typiquement caractéristiques des zombies. En France, l'initiative SignalSpam a vu sa plateforme mise à jour. L'initiative qui a pour but de lutter contre les spammeurs propose maintenant deux petits programmes simplifiant la signalisation des pourriels depuis Outlook et Thunderbird. - Entreprises : Google est en train de migrer vers une authentification dite "forte". Les internautes voulant accéder à leur compte Google Apps se verront demander une information supplémentaire lors de leur authentification. Google enverra un SMS contenant un mot de passe temporaire nécessaire pour se connecter au service. Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité sur le compte Twitter du CERT-XMCO : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'installation des correctifs Microsoft publiés dans le cadre du "Patch Tuesday" du mois de septembre. Parmi les correctifs jugés importants, XMCO, tout comme Microsoft, recommande tout particulièrement l'installation du MS10-061 (spouleur d'impressions), qui est activement exploité par l'un des virus du moment "STUXNET", ainsi que l'installation du MS10-062 (codec MPEG-4). * Résumé des évènements majeurs : - Vulnérabilités : Quelques jours seulement après la publication de l'alerte APSA10-02 à la suite de la découverte au sein d'Adobe Reader d'une vulnérabilité de type 0day (CVE-2010-2883) activement exploitée, Adobe a publié cette semaine son alerte APSA10-03 relative à Flash (CVE-2010-2884) et le correctif associé (ASPB10-022). - Exploits : Un code exploitant une faille de sécurité présente au sein de la version 64 Bits du noyau Linux a été publié. La preuve de concept, qui contient une porte dérobée permet d'élever localement ses privilèges. La faille est plus précisément liée à la gestion des binaires 32 bits par un noyau 64 bits. Une solution de contournement est disponible. Dans le cadre du projet MOAUB (Month Of Abyssec Undisclosed Mugs), Abyssec a continué à publier cette semaine ses preuves de concept. Parmi les logiciels ciblés : Real Player (MOUAB #13), Novell iPrint (MOAUB #14), IPSwitch iMail Server (MOAUB #15), Excel (MOAUB #16 / MS10-038), et Firefox (MOAUB #17 / MFSA2010-37). Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité. - Correctifs : Une mise à jour de Samba a été publiée à la suite de la découverte d'une faille de sécurité, référencée CVE-2010-3069, au sein du serveur. L'exploitation de celle-ci permettait à un pirate de provoquer un déni de service, voire de compromettre un système. Dans le cadre de son "Patch Tuesday" du mois de septembre, Microsoft a publié pas moins de 9 bulletins de sécurité concernant Windows et la suite Office. Les failles de sécurité sont jugées de critique (MS10-061 : spouleur d'impressions, MS10-062 : codec MPEG-4, MS10-063 : processeur de scripts Unicode et MS10-064 : Outlook) à important (MS10-065 : IIS, MS10-066 : RPC, MS10-067 : WordPad, MS10-068 : LSASS et MS10-069 : CSRSS). - Cybercriminalité / Attaques : Le malware Stuxnet fait beaucoup parler de lui actuellement. Ce dernier exploiterait pas moins de 4 vulnérabilités critiques de type 0day dont les vulnérabilités MS10-046 (LNK) et MS10-061 (Spooleur d'impression). Le botnet IMDDOS ainsi que son portail commercial ont fait leur apparition sur internet. Le site propose aux internautes d'acheter un service "original". Il s'agit de la location d'un botnet afin de mener des attaques en déni de service distribué "sur demande". Pour le moment uniquement en chinois, le site propose plusieurs services gratuits ou payants, et même des abonnements mensuels ou annuels... - Cybercriminalité / Attaques : Dans le cadre de la conférence internationale "Ekoparty", des chercheurs ont présenté une attaque sur l'implémentation de l'algorithme AES au sein du framework ASP.Net. L'attaque en question, appelée "Padding Oracle", permet de prédire relativement simplement la valeur de la clef privée utilisée par un serveur dans le cadre d'un échange avec un client, et d'accéder ainsi à certaines informations sensibles, voire de contourner certaines restrictions de sécurité. - Internationnal : Un des comptes Twitter du gouvernement français a été piraté. Le message du pirate a été supprimé, et un message d'explication l'a remplacé. - Entreprises : Après Microsoft, Adobe ainsi que d'autres grands noms de la sécurité informatique, c'est au tour de SAP d'annoncer la mise en place de son propre cycle de publication de correctifs. Celui-ci sera, tout comme celui d'Adobe, calqué sur le "Patch Tuesday" de Microsoft. - XMCO : XMCO a reçu cette semaine son accréditation lui permettant de délivrer la certification PCI DSS à ses clients. Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité sur le compte Twitter du CERT-XMCO : http://twitter.com/certxmco

* Avis d'expert : Une vulnérabilité 0day au sein d'Adobe Reader est activement exploitée sur Internet (bulletin de sécurité Adobe APSA10-02). Aucun correctif pour Adobe Acrobat ou Reader n'est actuellement disponible. Les éditeurs antivirus ont publié des signatures pour ces fichiers. Le CERT-XMCO recommande aux RSSI de s'assurer que leur passerelle antivirus scanne bien les fichiers PDF et que les signatures sont à jour (Symantec signature 20101.1.1.7 "Bloodhound.PDF!gen1" ; McAfee signature 5.400.0.1158 "Exploit-PDF.ps.gen" ; TrendMicro signature 9.120.0.1004 "TROJ_PIDIEF.WM"). * Résumé des évènements majeurs : - Vulnérabilités : À la suite de la découverte d'un PDF malveillant contenant un code d'exploitation, Adobe ainsi que plusieurs chercheurs ont émis une alerte de sécurité. En effet, cette faille permet de compromettre un système à distance via l'ouverture d'un PDF contenant une police de caractères spécialement conçue afin de corrompre le champ "uniqueName" d'une table "SING". L'ouverture d'un tel document permet à un pirate de prendre le contrôle à distance d'un système. De plus, les recherches effectuées ont montré que l'attaque était complexe. Le document PDF contient plusieurs pages incluant un code d'exploitation propre à chaque version du logiciel. Par ailleurs, le fichier exécutable installé est signé numériquement avec la clef privée correspondant à un certificat appartenant à la banque américaine "Vantage Credit Union". Un code d'exploitation permettant d'exploiter une faille de sécurité présente dans les versions antérieures à l'Update 19 de Java 6 a été rendu public. La faille concerne la désérialisation d'un objet "RMIConnectionImpl" dans un contexte privilégié, afin de permettre à un attaquant de prendre le contrôle d'un système. La vulnérabilité nécessite qu'un pirate incite un internaute à visiter une page internet malveillante contenant un Applet Java spécialement conçu. Le CERT-XMCO recommande de mettre à jour la machine virtuelle Java. Un chercheur a publié une preuve de concept relative à une vulnérabilité présente au sein d'Internet Explorer. Celle-ci permettra à un pirate d'accéder et de manipuler à distance des informations sensibles via l'utilisation de la directive CSS "@import". La faille serait connue de Microsoft depuis 2008... Plusieurs autres codes d'exploitation ont été rendus disponibles dans le cadre du mois des vulnérabilités Abysssec. Parmi les logiciels vulnérables ciblés, Movie Maker (MOAUB #04 / MS10-016), le codec MPEG-Layer 3 de Windows (MOAUB #05 / MS10-026), HP OpenView (MOAUB #06), Novell Netware FTP (MOAUB #07), MS Visio (MOAUB #08 / MS10-028), Firefox (MOAUB #09 / MFSA2010-30), MS Office Excel (MOAUB #10 / MS10-038), MS Office Word (MOAUB #11 / MS10-056) et enfin Adobe Reader (MOAUB #12 / APSB10-15). Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité. - Correctifs : Microsoft a annoncé que son prochain "Patch Tuesday" aura lieu le 14 septembre. Au programme, 9 bulletins de sécurité (4 critiques et 5 importants) concernant Windows et Office. - Cybercriminalité / Attaques : Des pirates ont mené une attaque assez ingénieuse en imitant les pages d'avertissement des navigateurs web afin de pousser les internautes à télécharger et à installer leurs malwares... Un nouveau cheval de Troie ciblant la plateforme Androïd a été découvert. Celui-ci utilise les techniques SEO (Search Engine Optimization) afin d'apparaître dans les premiers résultats des moteurs de recherche. Un ver se propageant via d'anciennes techniques a fait son apparition. Transmis par courriel/pourriel, il scanne le carnet d'adresses du système de la victime afin d'envoyer de nouveaux mails. Il se recopie aussi sur des partages distants, ainsi que sur des supports de stockages externes... Alors que plusieurs serveurs C&C du botnet "Cutwail/Pushdo" avaient été fermés par les professionnels de la sécurité, 5000 pourriels provenant des zombies du botnet auraient été envoyés. Les pirates sont donc probablement déjà en train de le remettre sur pieds. - Internationnal : Une clef USB contenant plus de 2000 documents appartenant à un officier anglais a été retrouvée dans la rue. Les 4 Go de données non chiffrés contenant des informations sensibles concernant le terrorisme, la gestion de crise, ou encore une liste de noms et des grades des officiers anglais pourraient se retrouver entre de mauvaises mains... - Entreprises : NSS Labs, une société spécialisée dans la sécurité vient d'annoncer vouloir lancer un nouveau site de vente en ligne de code d'exploitation. Les chercheurs pourront ainsi mettre en vente leurs exploits, qui seront testés par NSS avant d'être mis à disposition des entreprises et autres acheteurs dont les identités seront préalablement validées. Seuls des codes permettant d'exploiter des failles de sécurité dont les correctifs ont été publiés seront mis en vente. Enfin, XMCO a publié la semaine dernière le numéro 26 de l'ACTU-SECU. Au sommaire : 0day, ASPROX, exploitations massives, phishing, attaques ciblées : le retour en force des hackers ... Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Résumé des évènements majeurs : - Vulnérabilités : Une faille de sécurité a été découverte au sein de l'ActiveX "QTPlugin.ocx" fourni avec QuickTime. Un pirate peut compromettre un système vulnérable en incitant simplement un utilisateur à visiter une page internet spécialement conçue. Cette page devra contenir un paramètre appelé "_Marshaled_pUnk". Le CERT-XMCO recommande la plus grande prudence, étant donné qu'un exploit est disponible sur internet. L'exploitation de la vulnérabilité permet de contourner les protections DEP et ASLR de Windows, via le chargement d'une librairie relative à Windows Live Messenger par Internet Explorer qui ne tire pas parti de ces protections. Un an après une présentation qui avait eu lieu dans le cadre de la conférence HAR 2009, un chercheur a publié un code permettant de retrouver le mot de passe des comptes administrateurs prédéfinis sur un routeur ou un switch à partir de son adresse MAC. Depuis un an, aucun des constructeurs n'avait réagi. Parmi les fabricants incriminés, on retrouve 3Com, Dell, SMC, Foundry ou encore EdgeCore. - Logiciels : Novell a publié un bulletin de sécurité relatif à l'utilisation d'OpenSSH sur Netware. Ce bulletin précisait l'existence d'une faille de sécurité permettant de provoquer un déni de service à distance. Malheureusement, la faille de sécurité serait plus critique que prévu, et le chercheur qui avait découvert l'existence de cette vulnérabilité la fait savoir en publiant une démonstration, ainsi qu'une preuve de concept. - Correctifs : Après avoir proposé un outil et une solution de contournement pour la faille relative au chargement de librairie, Microsoft a proposé cette semaine un "Fix It". Cet outil permet, en quelques clics, de mettre en place les recommandations effectuées antérieurement, et pour lesquelles il était nécessaire d'installer un premier outil, puis de manipuler la base de registre. Cette simplification de la procédure permet à tous les utilisateurs de se protéger simplement contre une exploitation distante de la vulnérabilité. - Cybercriminalité / Attaques : Pour la seconde fois au cours du mois d'août, les pirates s'en sont pris à un fournisseur de service DNS. DtDNS, tout comme DnsMadeEasy, a subi des attaques en deni de service distribué. DnsMadeEasy a rapporté qu'un débit entrant de plus de 50Gbits/s avait saturé plusieurs liens entrants de 10 Gbits/s chacun... - Recherche / Conférence : De son côté, l'université américaine de Duke, sponsorisée par le RIPE, a voulu tester "dans la nature" une implémentation sécurisée du protocole BGP basé sur l'utilisation d'un attribut dit "transitif". Lors de l'émission des premières annonces BGP par le RIPE NCC, ce champ optionnel a provoqué une réaction en chaine causée par un bug au sein de certains routeurs cisco utilisant l'IOS. Lors de la réception des annonces, les tables de routages ont été corrompues, et les routeurs ont envoyé des annonces invalides, provoquant ainsi de légères perturbations sur le réseau mondial. - Internationnal : Dans l'affaire opposant Research In Motion (RIM) au gouvernement indien, une nouvelle étape a été franchie. RIM a déposé un dossier de proposition au gouvernement indien qui est en train de l'étudier. Les Indiens ont donc donné un répit de 60 jours à RIM, en demandant aux opérateurs de retarder la coupure des services de messagerie sécurisés utilisés par les smartphones canadiens. - Entreprises : Une étude réalisée par Trend Micro montre que les vols d'informations sensibles en entreprises sont pour la majorité des cas réalisés par des employés via des moyens basiques : clefs USB, mails... Il est donc le plus souvent difficile de s'en protéger sans que cela ne passe par une sensibilisation des employés aux risques personnels et professionnels encourus, aux recommandations... De nombreuses opérations de rachat ont eu lieu : après McAfee, Intel s'est offert la branche mobile de son concurrent Infineon. Le match entre Dell et HP s'est soldé par une victoire d'HP qui rachète le spécialiste du stockage 3Par, Google s'offre Angstro et SocialDeck, IBM procède au rachat de Storewise, CA à celui de Arcot et Citrix à celui de VMLogix. Dans le même temps, AMD a annoncé vouloir supprimer la marque ATI et Cisco s'intéresserait à Skype. Par ses nombreux rachats, les entreprises montrent un intérêt particulier pour les domaines du stockage, du "cloud computing" et des réseaux sociaux. Enfin, XMCO a publié cette semaine le numéro 26 de l'ACTU-SECU. Au sommaire : 0day, ASPROX, exploitations massives, phishing, attaques ciblées : le retour en force des hackers ... Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande de mettre en place les solutions de contournement proposées par Microsoft afin de se protéger contre l'exploitation distante de la faille permettant la compromission d'un système via le chargement par Windows de librairies malveillantes lors de l'ouverture d'un fichier. * Résumé des évènements majeurs : - Vulnérabilités : La faille liée au chargement de librairies malveillantes lors de l'ouverture d'un fichier a fait beaucoup parler d'elle. Cette vulnérabilité, qui avait fait sa première apparition publique la semaine dernière dans un bulletin de sécurité pour iTunes, a rapidement pris de l'ampleur. La faille de sécurité en question est liée au chargement automatique par Windows de librairies (DLL) dans le répertoire de travail local (CWD) lors du lancement d'une application. Un pirate déposant dans un dossier quelconque (local ou distant) un fichier associé à une application vulnérable, ainsi qu'une librairie spécialement conçue peut compromettre le système d'un utilisateur simplement. Pour cela, le pirate doit inciter la victime potentielle à ouvrir le fichier (par exemple un fichier audio, vidéo, un document Office...) afin que l'application vulnérable soit lancée, et qu'elle charge automatiquement la librairie du pirate se trouvant dans le même répertoire. L'ouverture de celle-ci permettra alors au pirate de compromettre le système de l'utilisateur, et d'obtenir les mêmes privilèges que ceux de la victime. Tous les jours, de nouvelles preuves de concept sont disponibles pour les applications les plus courantes. Microsoft propose une solution de contournement, mais a annoncé que l'ensemble des éditeurs devrait mettre à jours leurs logiciels vulnérables, puisque le comportement de Windows est standard, et commun à de nombreux autres systèmes d'exploitation. Des chercheurs sont d'ailleurs parvenus à exploiter ce type de faille de sécurité sur des distributions Linux telles que Debian, Ubuntu ou encore Fedora. - Logiciels / Correctifs : Une étude réalisée par l'équipe X-Force d'IBM présente des résultats inquiétants. Sur l'ensemble des vulnérabilités qui ont été rapportées aux éditeurs et recensées par IBM sur la première moitié de l'année 2010, pas moins d'une sur deux attend toujours la publication d'un correctif par son éditeur. Malgré les efforts de certains d'entre eux dans le domaine de la transparence et de la réactivité, il reste toujours de mauvais élèves chez les éditeurs... Adobe est particulièrement bien noté sur cette période, puisque seulement 3 % des vulnérabilités qui lui ont été rapportées ne sont pas encore corrigées. De leurs côtés, Google est de plus en plus surveillé par les chercheurs et prend ainsi la place d'HP dans le top 10 du nombre de failles par vendeurs. Apple, suivi par Microsoft, est en tête de ce même classement. - Cybercriminalité / Attaques : Deux ans après le drame du vol JK5022 à Madrid et selon le journal "El Pais", un rapport interne de la compagnie aérienne Spanair a révélé qu'un virus aurait infecté un système de monitoring TOWS (TakeOff Warning System) pendant la période du crash. D'après certains spécialistes, il est possible que celui-ci soit au moins en partie responsable du crash de l'avion MD-82 de la compagnie espagnole qui avait couté la vie de 154 personnes. Le Pentagone, relayé par de nombreux journalistes, a révélé cette semaine l'existence d'une attaque datant de 2008 menées contre le système d'informations militaire utilisé par les Amèricains. En pleine guerre en Irak et en Afghanistan, un support de stockage externe USB a été utilisé pour introduire un cheval de Troie. Celui-ci s'est propagé au sein de nombreuses zones du SI, y compris confidentielles, et aurait pu exfiltrer des données sensibles vers des ennemis. L'opération "Buckshot Yankee" a par la suite donné lieu à la mise en place d'une stratégie de sécurité drastique, interdisant par exemple l'utilisation des ports USB au sein du SI. Cette attaque a été présentée comme étant la plus importante en date ciblant les ordinateurs des militaires américains. Le botnet YoyoDDoS, qui avait fait son apparition sur internet au mois de mars dernier, s'est fait remarquer. Pas moins de 180 attaques menées à l'encontre de sites marchands ou de sites de jeux en ligne ont été répertoriées. Plusieurs techniques sont utilisées par les pirates pour saturer les serveurs (flood HTTP, UDP, TCP, ICMP). Mis à part quelques serveurs américains, coréens et allemands, la majorité des cibles est chinoise (plus de 126 sur 180). À peine deux mois après sont lancement, le système antipiratage de l'Androïd est déjà contourné. Un développeur d'application a démontré qu'en décompilant "simplement" une application protégée, en modifiant une partie spécifique du code, puis en la recompilant, il est possible de cracker des applications "protégées"... - Entreprises / Juridique : Après la présentation réalisée par le chercheur Barnaby Jack il y a quelques semaines lors de la dernière conférence BlackHat qui se tenait à Las Vegas aux États-Unis, plusieurs fabricants de distributeurs automatiques de billets (Hantle et Triton) ont annoncé avoir corrigé les failles de sécurité découvertes par le chercheur. Ceci est une bonne nouvelle, puisque d'après le chercheur, il était possible d'exploiter ce type de faille sur la quasi-totalité des modèles de distributeurs pour retirer de l'argent. Visa a publié cette semaine, avec l'aide du SANS, un document présentant 10 "best practices" disponibles pour les entreprises travaillant dans le domaine des applications de paiement en ligne. Celles-ci, qui sont déjà concernées par le standard PA-DSS (Payment Application Data Security Standard), voient donc apparaitre 10 nouveaux "coups de pouce" utilisés dans le cadre de ce type de développement nécessitant un certain niveau de sécurité. Enfin, Dell et HP se disputent l'acquisition de la société 3Par, spécialisée dans le stockage et la gestion des données. La première offre de Dell valorisait à 18 dollars l'action 3Par, qui après plusieurs contre-offres est maintenant évaluée à 30 dollars par HP. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Le CERT-XMCO recommande l'application du correctif cumulatif Adobe APSB-10-17 qui corrige la faille "/Launch" (CVE-2010-1240) des lecteurs PDF Adode Reader et Adobe Acrobat. * Résumé des évènements majeurs : - Vulnérabilités : Cette semaine, plusieurs failles de sécurité importantes ont été rendues publiques. Les systèmes d'exploitation de Microsoft sont vulnérables à une attaque appelée "DLL hijacking". À la suite de la correction par Apple, la semaine dernière, d'une faille de sécurité présente dans iTunes et annoncée dans un bulletin de sécurité de la société AcrosSecurity , HD Moore a publié certaines informations permettant d'étendre la portée de cette faille à de très nombreuses autres applications utilisées sur Windows. Des informations supplémentaires devraient être disponibles en début de semaine. En incitant un utilisateur à ouvrir un fichier spécialement conçu hébergé sur un partage distant (WebDAV, SMB, ...), un pirate est en mesure de forcer un programme tiers à charger certaines librairies malveillantes présentes sur le partage, permettant ainsi la compromission distante du système. De son côté, Tavis Ormandy a publié des informations ainsi qu'une preuve de concept relative à une vulnérabilité au sein de la fonction "win32k!GreStretchBltInternal()" de la librairie GDI (Graphics Device Interface) de Windows permettant de provoquer un déni de service, voire de compromettre un système. Par ailleurs, une élévation de privilèges sur FreeBSD était exploitable localement. La faille de sécurité était liée à une mauvaise gestion du drapeau de lecture-seule par la fonction "mbufs()". Deux preuves de concept sont disponibles sur Internet. Enfin, la faille de sécurité affectant Coldfusion corrigée la semaine dernière par Adobe dans le bulletin APSB10-18 se trouve être plus importante que ce qui n'avait été annoncé par l'éditeur. Une preuve de concept a ainsi fait son apparition sur Internet. Celle-ci permet à un pirate d'obtenir des informations sensibles comme des mots de passe via l'envoi d'une requête HTTP spécialement conçue. Grâce à ce mot de passe, l'attaquant peut ensuite prendre le contrôle du serveur en y déposant un script CFM malicieux via l'interface d'administration qui lui permettrait d'exécuter des commandes sur le système sous-jacent. - Logiciels / Correctifs : Adobe a publié le correctif APSB10-17 pour Reader et Acrobat. Celui-ci corrige la faille "/Launch" référencée CVE-2010-1240 pour laquelle le correctif APSB10-15 (inefficace) avait déjà été publié. D'autres vulnérabilités ont été corrigées : le lecteur Flash embarqué dans ces logiciels a également été mis à jour, près d'une semaine après que le bulletin APSB10-16 ait été publié, alors même que Google avait publié dans la journée une nouvelle version de son navigateur Google Chrome intégrant la mise à jour de Flash. - Cybercriminalité / Attaques : L'un des plus imposants forums au monde, 4Chan, s'est vu utiliser comme vecteur de propagation de malware. Le site, qui ne nécessitait aucune authentification pour écrire un message, a vu apparaitre une grande quantité de posts contenant des images au format PNG. Des messages accompagnaient ces images, afin de pousser les utilisateurs à exécuter le malware sur leur système. Les équipes responsables du forum ont réagi en supprimant les messages incriminés, et en indiquant aux utilisateurs la démarche à suivre pour ne pas devenir à son tour une victime. Un autre malware a fait son apparition. Celui-ci copie l'interface de Windows Update afin d'inciter les utilisateurs à installer un cheval de Troie sur leur PC, permettant ainsi aux pirates d'installer de nombreux autres programmes malveillants. Les smartphones utilisant Androïd sont une fois de plus la cible d'un programme malveillant. En effet, des chercheurs ont découvert que le logiciel "Tap Snake" transmettait les coordonnées GPS de ses utilisateurs afin de rendre possible leur suivi. L'application a été par la suite supprimée de l'App Store de Google. Un nouveau botnet a fait son apparition. "dd_ssh" exploite une faille présente dans les vieilles versions de PhpMyAdmin afin de compromettre des serveurs, puis de les utiliser pour mener des attaques de force brute sur des serveurs SSH. - Entreprises / Juridique : Deux annonces ont secoué le petit monde des géants de l'informatique. Le fondeur Intel a annoncé le rachat de l'éditeur de solution antivirale McAfee pour plus de 7 milliards de dollars. De son côté, HP a acquis Fortify. Des consolidations qui vont probablement faire évoluer le paysage de la sécurité dans le monde de l'entreprise. Oracle a de son côté déposé une plainte devant les tribunaux contre Google accusant le géant de la recherche d'avoir enfreint un certain nombre de brevets liés à Java dans le cadre du projet Dalvik, une réimplémentation de la machine virtuelle Java pour Androïd. Enfin, le PCI Council a présenté un document de travail au sein duquel des premières informations sur la version 2 du PCI DSS sont fournies. Cette nouvelle version du standard n'apporte pas de réelle modification par rapport à la version actuelle. Le PCI DSS, qui sera plus aligné avec le PA-DSS, mettra l'accent sur l'établissement du périmètre ainsi que sur la gestion des logs et validera dans certaines conditions, l'utilisation d'une approche basée sur les risques. Néanmoins, ce document ne parle pas du tout de "Tokenization" ni de chiffrement. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Semaine chargée pour les professionnels de la sécurité avec la sortie conjointe de 14 bulletins Microsoft dans le cadre de son "Patch Tuesday", ainsi que de 3 bulletins Adobe. Les logiciels Microsoft ciblés sont Windows (toutes versions), Internet Explorer, SilverLight et enfin Office. De son côté, Adobe a publié des bulletins concernant le lecteur Flash, le Flash Media Server et enfin le serveur d'applications Coldfusion. La criticité de tous ces bulletins varie entre "critique" et "important". Le CERT-XMCO recommande dans un cas général de débuter par les bulletins MS10-053 (notamment pour Internet Explorer 6), MS10-052 (codec MPEG Layer-3), MS10-055 (codec Cinepack), MS10-056 (Office Word), MS10-060 (SilverLight) et enfin le APSB10-16 (Flash). * Résumé des évènements majeurs : - Vulnérabilités / Correctifs : Microsoft, ainsi qu'Adobe ont tous les deux publié de nombreux correctifs au cours de la semaine. Le nombre (36 bulletins MS et 3 Adobe) et la criticité relative des vulnérabilités corrigées étant trop importants, nous vous recommandons de vous référer à ces pages (MS, Adobe) pour plus d'informations. Quelques heures après qu'Adobe ait corrigé son Flash Player, Google a réagi en proposant une nouvelle version de Chrome embarquant le dernier correctif. De son côté, Adobe n'a toujours pas publié de nouvelle version pour ses nombreux logiciels intégrant le plug-in... Quelques jours après que des pirates aient mis en ligne un site permettant de "jailbreaker" très simplement son iPhone, Apple a réagi en proposant une version corrigée de son iOS 4. Néanmoins, pas de correctif pour les autres versions du système d'exploitation de la marque à la pomme... - Logiciels : Firefox 4 sera doté d'un système de mises à jour automatiques. Pour garantir un niveau de sécurité élevé, Mozilla a décidé de suivre une politique de mise à jour semblable à celle de Google vis-à-vis de Chrome. Pour les mises à jour mineures (comprendre de sécurité), FF4 téléchargera et installera seul le correctif, sans rien demander à l'utilisateur. Néanmoins, une confirmation sera demandée à l'internaute lors de l'installation d'une mise à jour majeure (changement de fonctionnalités). Fonctionnalité intéressante pour les particuliers, mais pour les entreprises... ? - Cybercriminalité / Attaques : D'après Verizon et les services secrets américains, près d'une attaque informatique sur deux bénéficierait d'une complicité interne. Toujours d'après le même rapport, seulement 4 % des attaques nécessiteraient la mise en place de solution technique coûteuse... Vladislav Anatolievich Horohorin, soupçonné d'être "BadB", a été arrêté à l'aéroport de Nice alors qu'il s'apprêtait à prendre un vol pour Moscou. L'homme serait le pirate fondateur de l'ex-communauté "CarderPlanet", et serait toujours actif dans la vente de données bancaires volées. Il attend actuellement son extradition vers les États-Unis, où il risquerait une peine de 12 ans de prison et 500 000 $ d'amende. Dans le même temps, Sergei Tsurikov, un jeune estonien de 26 ans, a lui déjà été extradé vers les USA où il sera jugé pour plusieurs chefs d'inculpation, dont la fraude informatique et l'usurpation d'identité aggravée. L'homme est en effet accusé d'avoir participé au vol de 9 M$, ainsi qu'à celui des données personnelles de plus de 1,5 million de personnes dans le cadre du piratage de RBS WorldPay en 2008. Il risque de plusieurs années de prison, et jusqu'à 3,5 millions de dollars d'amende. - Recherche / Conférence : Dans le cadre de la conférence USENIX, un chercheur a présenté son travail sur un nouveau type d'attaque par canaux auxiliaires. En écoutant "simplement" le son émis par une vielle imprimante matricielle, il est possible de découvrir le contenu du texte imprimé. D'après lui, il est techniquement envisageable de mener le même type d'attaque sur des imprimantes à jet d'encre, même si lui n'a pas réussi. - Internationnal : Après avoir été bloqués pour une courte durée en Arabie Saoudite, les systèmes de communication de BlackBerry ont été réactivés. Il semblerait que RIM est accepté d'installer des serveurs directement dans le pays afin de les placer sous juridiction locale. L'Inde, qui était aussi en pourparler avec BlackBerry, a fait savoir qu'elle était aussi prête à procéder au blocage des communications entre les smartphones canadiens. L'Allemagne, a aussi émis une recommandation négative envers RIM, en recommandant à ses ministres et aux personnels des ministères de ne pas utiliser de smartphones tels que le BlackBerry ou encore l'iPhone pour des raisons de sécurité. Le BSI (Bureau Fédéral pour la Sécurité de l'Information équivalent à l'ANSSI française) conseille d'utiliser le SiMKo 2 conçu par T-Systems. Ce smartphone est exclusivement vendu aux agences gouvernementales et a été approuvé par le BSI pour gérer des données confidentielles. L'Allemagne rejoint donc la France qui avait émis une telle recommandation en 2007. De son côté, le Royaume-Uni vient de faire savoir qu'une mise à jour généralisée d'Internet Explorer était inutile, et trop couteuse en temps et en argent. IE6 semblerait amplement suffisant pour l'usage dont il est actuellement fait d'un navigateur internet par un fonctionnaire anglais. D'après les services informatiques anglais, l'utilisation d'un pare-feu et d'un antivirus (à jour tout de même) suffirait amplement à protéger les fonctionnaires anglais. Pourtant, même Microsoft, qui travaille actuellement sur la version 9 du navigateur, reconnait qu'utiliser IE6 est dangereux. - Entreprises : Dans un procès opposant l'ARJEL à sept fournisseurs d'accès à internet, le tribunal de grande instance de Paris a condamné les FAI à bloquer par tous les moyens l'accès à certains sites de jeux non homologués par l'Autorité de Régulation des Jeux en Ligne. Ce jugement pourrait ouvrir la voie à de nombreux débordement. Les coûts de blocage sont actuellement supportés uniquement par les FAI. La mise en place de solution de filtrage telle que la DPI, évoquée au cours du procès, pourrait venir alourdir cette facture... Après avoir été racheté par eBay, puis partiellement cédé à un groupe d'entrepreneurs, Skype a annoncé sa prochaine introduction en bourse. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Plusieurs grands comptes ont remonté au CERT-XMCO avoir subi des attaques de virus exploitant la faille LNK ; le CERT-XMCO recommande une nouvelle fois l'application du correctif désormais disponible (MS10-046) ou l'utilisation des solutions des éditeurs d'antivirus (Sophos, G-Data) pour les postes en Windows XP SP2 pour qui aucun correctif n'est officiellement possible. * Résumé des évènements majeurs : - Vulnérabilités : Des chercheurs ont rendu public un site permettant simplement à tout un chacun de jailbreaker son iPhone. Le simple fait de se rendre sur la page permet de lancer le processus. Pour cela, deux nouvelles failles de sécurité ont été exploitées. La première est liée au lecteur de document PDF (CVE-2010-2972) et permet de corrompre le système. La seconde permet quant à elle d'élever ses privilèges localement (CVE-2010-2973). Après la longue polémique qui a débuté à la suite de la divulgation par Tavis Ormandy de la faille de sécurité du centre d'aide et de support de Windows, ZDI, l'un des plus gros grossistes en vulnérabilités a annoncé un changement de politique. La société impose dès à présent aux éditeurs de corriger dans un délai de 6 mois une faille de sécurité qui leur a été divulguée. En effet, certaines failles de sécurité sont en attente de la parution d'un correctif depuis plus de 1170 jours. - Correctifs / Logiciels : Microsoft et Adobe ont annoncé la prochaine publication des correctifs du mois d'aout. Dans le cadre de son "patch tuesday" du 10 aout, Microsoft proposera ainsi 14 correctifs (8 jugés critiques, et 6 jugés importants) permettant de résoudre pas moins de 36 failles de sécurité présentes au sein de Windows et d'Office. De son côté, le correctif annoncé pour le 16 aout par Adobe sera publié hors cycle. Celui-ci devrait remédier à la faille de sécurité critique référencée CVE-2010-2862 présentée par Didier Stevens lors de la dernière BlackHat. Ce correctif ne faisant pas partie du cycle de publication de l'éditeur, il ne remplacera donc pas celui actuellement prévu pour le 12 octobre prochain. Microsoft a aussi publié le correctif MS10-046 hors cycle permettant de résoudre la vulnérabilité critique liée aux fichiers de raccourci LNK et PIF. Pour rappel, cette faille impacte toutes les versions de Windows. Le CERT-XMCO recommande donc d'installer ce correctif disponible pour les systèmes encore supportés. Nous vous rappelons que le support de certains systèmes a récemment pris fin (Windows 2000 SP4 et Windows XP SP2) : le CERT-XMCO recommande la mise en place des solutions de contournement (Microsoft, Sophos ou encore G-Data) en attendant la migration vers un système toujours supporté (au minimum Windows XP SP3). - Cybercriminalité / Attaques : Scotland Yard, ainsi que leurs collègues irlandais ont procédé à l'interpellation de six multimillionnaires suspectés de s'être enrichis grâce à l'envoi de pourriels. Ces messages indésirables leur auraient servi à dérober des numéros de carte de crédit ou encore des informations relatives à des comptes bancaires. Les cybercriminels ont trouvé une nouvelle façon de compromettre les systèmes des utilisateurs. Ils proposent ainsi en téléchargement depuis quelques jours des "cracks" ainsi que des "keygen" permettant de contourner les sécurités de Firefox... alors même que ce navigateur est gratuitement disponible, et nullement soumis à une quelconque tarification. Les internautes feront-ils preuve de bon sens, ou tomberont-ils dans le piège... Il faudra encore attendre un petit peu les retours des éditeurs d'antivirus pour le savoir. - Recherche / Conférence : Dans le cadre de la dernière DefCon, une compétition démontrant les dangers de l'ingénierie sociale a eu lieu. Les participants ont ainsi pu démontrer leur habilité à tromper la vigilance de certains employés de grandes sociétés telles que BP, Shell, Apple, Google, Microsoft, Cisco Systems, Proctor & Gamble, Pepsi, Coca-Cola ou encore Ford afin d'obtenir des informations plus ou moins confidentielles par téléphone. Toujours dans le cadre de la DefCon, ainsi que dans celui de la BlackHat, des chercheurs ont présenté leur travail sur le cassage des sécurités du GSM [15]. Karsten Nohl a ainsi présenté son outil "Kraken" permettant de casser le chiffrement A5/1 via l'utilisation de table arc-en-ciel. Chris Paget a quant à lui fait la démonstration d'une interception de communication via la mise en place d'une fausse station de base pour moins de 1500 $. - Entreprises : L'Arabie Saoudite a imposé la coupure des services de messagerie proposés par RIM. En effet, la sécurité des communications des BlackBerry serait un obstacle au maintien de la sécurité intérieur du royaume. Les Émirats Arabes Unis prévoient eux aussi une telle mesure qui devrait être effective dans le courant du mois d'octobre. Après l'acquisition la semaine passée par Juniper de la société SMobile Système, c'est au tour de l'éditeur de solution antivirale McAfee d'annoncer cette semaine une acquisition dans le domaine de la téléphonie mobile. L'acquisition de tenCube, qui fournit le service WaveSecure permettant aux utilisateurs de contrôler leur smartphone à distance, serait ainsi prévue pour la fin du mois d'aout. Le montant de ce rachat n'a pas été communiqué. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Plusieurs de nos clients nous ont fait part de tentatives d'exploitation par des malwares de la famille "W32.Changeup" de la faille de sécurité liée aux raccourcis de type LNK sous Windows. Le CERT-XMCO réitère donc sa préconisation et recommande aux entreprises comme aux particuliers de rester vigilants sur l'exploitation éventuelle de cette vulnérabilité. Pour rappel, cette faille de sécurité de type 0-day est particulièrement importante, puisqu'il suffit que l'utilisateur explore un dossier local (clef USB, etc.), ou distant (partage réseau, WebDAV, etc.) contenant un fichier de raccourci malveillant, pour que sa machine soit compromise. Par ailleurs, des codes d'exploitation sont disponibles publiquement sur internet. Microsoft propose le correctif MS10-046 disponible pour les systèmes actuellement supportés, ainsi que deux solutions de contournements. Cependant, la mise en place de ces solutions de contournement provoque des effets de bords (désactivation de l'affichage des icônes des raccourcis) rendant difficile l'utilisation de Windows. Certains éditeurs de solution antivirale ont aussi proposé leur solution de protection. Pour le CERT-XMCO, aucune solution viable sur le long terme n'est actuellement disponible pour les systèmes non supportés (Windows 2000 SP4 et Windows XP SP2 entre autres). Le CERT-XMCO recommande donc a tous les utilisateurs de Windows XP SP2 de passer à Windows XP SP3 toujours supporté et pour lequel un correctif est disponible. * Résumé des évènements majeurs : - Vulnérabilités : La faille de sécurité liée au fichier de raccourci LNK, présente au sein des systèmes d'exploitation Microsoft a continué de faire parler d'elle. Des malwares exploitant cette faille ont été observés dans la nature. En attendant un correctif officiel de la part de Microsoft, et en plus d'offrir la détection de ces fichiers malveillants, certains éditeurs de solutions antivirales tels que Sophos ou G-Data ont proposé des outils permettant de protéger un système vulnérable contre une exploitation de cette vulnérabilité. Les éditeurs des navigateurs web Firefox, Chrome, Safari ont respectivement mis à jour leurs logiciels, afin de combler plusieurs failles de sécurité permettant d'aller jusqu'à compromettre le système d'un internaute. - Logiciels : Deux applications, respectivement disponibles pour iPhone et pour Androïd sur les AppStore d'Apple et de Google, ont été identifiées comme suspectes. En effet, l'application financière "Citi Mobile App" disponible pour iPhone a été mise à jour à la suite de la découverte de la divulgation (en clair) par l'application de certaines informations bancaires (numéro de compte, codes d'accès, etc.) lors d'une synchronisation avec iTunes. De son côté, "Jackeey Wallpaper" a été montrée du doigt comme étant à l'origine de l'envoi de très nombreuses informations personnelles sur des serveurs en Chine, alors même que cela n'est en aucun cas nécessaire pour le bon fonctionnement de l'application (gestion des fonds d'écran). - Cybercriminalité / Attaques : Dans le cadre de la dernière édition de la conférence BlackHat, le chercheur Barnaby Jack a enfin pu présenter son travail de recherche sur les distributeurs automatiques de billets. Celle-ci a été l'occasion pour lui de divulguer certains détails sur les vulnérabilités découvertes, ainsi que de réaliser une démonstration. Il a ainsi montré qu'il était possible de récupérer de l'argent via une attaque réussie. Toujours dans le cadre de la BlackHat (ainsi que dans celui de la DEFCON), un chercheur de la société AirTight a présenté son travail sur le WPA2. En menant une attaque surnommée "WPA Hole 196", celui-ci serait en mesure de contourner le mécanisme de chiffrement après s'être authentifié sur le réseau. L'exploitation de cette faille de sécurité permettrait à un utilisateur légitime de récupérer, voire de modifier (??) les données échangées par d'autres personnes. Par ailleurs, le créateur du botnet Mariposa, un jeune homme de 23 ans connu sous le pseudonyme "Iserdo", a été arrêté en Slovénie avec deux autres suspects. Pour rappel, ce botnet comptait jusqu'à 13 millions de zombies. Le FBI, la Guardia Civil, ainsi que la police slovène continuent d'enquêter sur cette affaire. Enfin, un chercheur voulant mettre en exergue l'importance de la gestion par les utilisateurs de leurs données personnelles sur Facebook a rendu publique une liste contenant le nom associé à l'identifiant unique et à l'URL de prés d'un compte Facebook sur cinq. - Entreprises : Adobe et Microsoft ont annoncé un partenariat. Afin de ne pas avoir à réinventer la roue, Adobe entre dès à présent dans le programme "MAPP" (Microsoft Active Protection Program) de Microsoft. Ce programme permettra à de nombreux professionnels de la sécurité d'obtenir avant leur publication, des informations sur les mises à jour des logiciels Adobe. Juniper a annoncé procéder au rachat de la société SMobile Systems, spécialisée dans le développement de logiciels de sécurité pour smartphones et tablets, pour un montant de 70 millions de dollars. Cette acquisition permettra à l'éditeur d'élargir le spectre de sa solution JunOS Pulse à destination des smartphones, tablets, netbooks et autres ordinateurs portable ; en ajoutant la protection des appareils fonctionnant sous Androïd, Apple iOS, Symbian, BlackBerry et Windows Mobile des virus, spyware et autres menaces, ainsi qu'en fournissant un moyen de contrôle parental. Enfin, après que Mozilla et Google aient annoncé l'augmentation des primes décernée aux chercheurs pour la découverte de faille de sécurité dans leurs logiciels, certains géants tels que Microsoft ont fait savoir qu'une telle politique ne correspondait pas avec leur façon de récompenser les chercheurs. Ainsi, Apple, Adobe, Oracle ou encore Microsoft refusent de rémunérer les chercheurs "à la vulnérabilité". Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Résumé des évènements majeurs : - Vulnérabilités : Microsoft a mis à jour son avis de sécurité concernant la vulnérabilité non corrigée liée aux raccourcis. Microsoft considère désormais que celle-ci est exploitable à partir de sites web, et même par le biais de documents pouvant contenir des raccourcis, tels que des documents de la suite Microsoft Office. Mozilla a mis à jour plusieurs de ses produits (Firefox 3.6.7 et 3.5.11, Seamonkey 2.0.6 et Thunderbird 3.0.6 et 3.1.1), corrigeant par la même occasion de nombreuses vulnérabilités. Une vulnérabilité a été identifiée dans Safari et permet à un attaquant de voler des informations sensibles contenues dans le carnet d'adresses, par la simple visite d'un site web malveillant/compromis. Néanmoins, celle-ci est facilement contournable en désactivant le remplissage automatique des formulaires (activé par défaut). HP a également corrigé une vulnérabilité importante dans OpenView Node Manager et qui permettait à un attaquant de prendre le contrôle d'une machine à distance. - Logiciels : Afin d'encourager les chercheurs à faire le bon choix, Mozilla a décidé d'augmenter la récompense attribuée lors de la découverte de vulnérabilité. Cette somme passe désormais de 500 $ à 3000 $ maximum. Google a emboîté le pas à Mozilla, et augmente également la prime maximale. Celle-ci passe de 1337 $ à 3133,7 $. Google ne manque pas de conserver au passage son jeu de mots sur "leet". Adobe a annoncé que la prochaine version de son lecteur PDF Adobe Reader inclura une fonctionnalité avancée et appelée "Protected Mode". Cette dernière sera en fait similaire aux sandbox intégrées au navigateur web Google Chrome ou encore à la suite bureautique Office 2010 et permettra donc de prévenir les actions dangereuses sur le système. - Cybercriminalité/attaques : La dernière étude de Sophos montre que les États-Unis restent numéro un des pays relayeurs de spam, la France quant à elle est 6ème du classement. Au niveau continental, c'est dorénavant l'Europe qui domine devant l'Asie. Pour rester dans le domaine des pourriels, une campagne cible actuellement les clients du site Amazon et vise à compromettre le système des victimes. Des cartes mères de serveurs Dell contenaient un malware connu sous le nom de code "W32.Spybot". D'après Dell, le problème serait actuellement réglé. Enfin, le centre de recherche de l'éditeur antivirus AVG vient de rendre publique une étude concernant le pack d'exploitation "Eleonore". Cette étude publie des résultats impressionnants : 10 % des victimes visitant les pages infectées par ce pack d'exploitation se ferait compromettre. Ce ne sont pas moins de 165 domaines compromis qui avec leurs 12 millions de visiteurs auraient infecté 1,2 million d'ordinateurs. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Après la publication d'une vulnérabilité critique au sein de Windows Shell, le CERT-XMCO recommande aux entreprises et aux particuliers de rester vigilants sur l'exploitation éventuelle de cette vulnérabilité. Cette vulnérabilité 0-day est particulièrement importante, car il suffit que l'utilisateur explore un dossier local (clef usb, etc...), ou distant (partage réseau, WebDAV, etc...) et contenant le fichier de raccourci malveillant pour que sa machine soit compromise. De plus des codes d'exploitation sont disponibles publiquement sur internet. Microsoft a proposer deux solutions de contournements. Cependant, la mise en place de ces solutions provoque des effets de bords (désactivation de l'affichage des icônes des raccourcis). Pour le CERT-XMCO, aucune solution viable n'est envisageable avant la publication du correctif prévu en août. * Résumé des évènements majeurs : - Vulnérabilité : Cette semaine a été marquée par la publication mensuelle des bulletins Microsoft. 4 bulletins ont été émis, dont 2 corrigeant des vulnérabilités divulguées publiquement relatives au centre d'aide et de support (MS10-042) et au pilote d'affichage canonique (MS10-043). Toutes les vulnérabilités permettaient de compromettre une machine. Outre ce "Patch Tuesday" classique, une vulnérabilité 0-day a été dévoilée et est liée au traitement des fichiers de raccourci (fichier LNK ou PIF). Celle-ci est particulièrement importante, car elle affecte l'ensemble des systèmes d'exploitation Windows et ne nécessite que la navigation dans un dossier (local ou distant) contenant le fichier malveillant pour que la machine soit compromise. En outre, des preuves de concept et des codes d'exploitation sont déjà disponibles sur internet. En attendant la publication d'un correctif, Microsoft offre deux méthodes de contournement, une permettant de bloquer toute exploitation de la faille (désactivation des icônes de raccourcis), et une autre permettant de bloquer les exploitations à distance (désactivation du "WebClient"). Microsoft conseille également de bloquer le téléchargement des fichiers LNK et PIF depuis Internet en configurant de manière appropriée la passerelle internet. Cette semaine a également été la semaine de la publication trimestrielle des bulletins Oracle (CPUJUL2010). Ce ne sont pas moins de 59 vulnérabilités qui ont été corrigées dans l'ensemble des produits Oracle et anciens produits Sun. - Logiciels : La fin du support de Windows XP SP2 et Windows 2000 est désormais officielle. Microsoft ne publiera ainsi plus de correctif de sécurité pour ces versions de Windows, incluant également les logiciels publiés sur ces plateformes tels qu'Internet Explorer, Media Player ou encore Outlook Express. Il est fortement recommandé de migrer les stations de travail encore sous Windows XP SP2 vers Windows XP SP3 qui sera lui supporté jusqu'en 2014. Mozilla lutte contre les add-ons non sécurisés, en supprimant et en bloquant le plug-in "Mozilla Sniffer" qui contenait un code capable de voler les identifiants de connexion soumis par l'utilisateur. Plus de 1800 personnes avaient installé ce plug-in. - Cybercriminalité/Attaques : La vulnérabilité liée aux fichiers LNK est déjà exploitée par des virus. Le premier du genre se nomme "Stuxnet" et a cible des entreprises utilisant des systèmes SCADA. Microsoft a recensé près de 25 000 tentatives d'exploitation de la faille liée au centre d'aide et de support de Windows, faille qui est désormais comblée (MS10-042). Le malware Zeus/Zbot est toujours actif et a été mis à jour par ces concepteurs. Cette nouvelle variante est désormais plus sélective dans les banques visées, en ne se concentrant que sur 4 pays (Etats-Unis, Royaume-Uni, Espagne et Allemagne), et se dote de fonctionnalités rendant son analyse plus difficile pour les chercheurs en sécurité. De plus, Zeus tente maintenant d'exploiter les programmes de sécurité "Verified by Visa" et "MasterCard SecureCode" pour obtenir encore plus d'informations personnelles de ses victimes.

* Résumé des évènements majeurs : - Vulnérabilité : Cette semaine a été marquée par la divulgation de deux vulnérabilités 0-day affectant des produits Microsoft. La première vulnérabilité provient plus précisément de la fonction "NtUserCheckAccessForIntegrityLevel()" , et permettrait à un attaquant local d'élever ses privilèges sur Windows Vista et Windows Server 2008. La seconde vulnérabilité provient de la fonction "UpdateFrameTitleForDocument()", et permettrait de compromettre un système Windows 2000 SP4 et Windows XP SP2/SP3. Pour le moment, seul le produit PowerZip a été identifié comme vecteur d'attaque possible. - Recherche : Suite aux représailles contre Tavis Ormandy, un groupe de chercheurs en sécurité anonyme a décidé de former le "Microsoft-Spurned Researcher Collective" reprenant les initiales "MSRC" du "Microsoft Security Response Center". Ce groupe de chercheurs, dont les identités ne sont pas connues, dévoilera les vulnérabilités en suivant le "full disclosure". Le "Microsoft-Spurned Researcher Collective" est ainsi à l'origine de la divulgation de la première vulnérabilité 0-day présentée ci-dessus. Une équipe, menée par Sean O'Neil, serait parvenue à découvrir l'algorithme de chiffrement personnalisé utilisé par Skype pour protéger les communications de ses utilisateurs. - Cybercriminalité/Attaques : Des pirates ont exploité une vulnérabilité de XSS permanent au sein de Youtube et touchant la partie des commentaires. Les attaques n'étaient heureusement pas des plus dangereuses, affichage de pop-up et redirection vers des sites pour adultes. De plus, Google n'a pas tardé à réagir en corrigeant la faille deux heures seulement après avoir été informé de cette vulnérabilité. De nombreux comptes iTunes ont été piratés. Le but des pirates était de s'enrichir en achetant leurs propres applications par le biais des comptes compromis. Le site thepiratebay.org a également été attaqué. Le pirate a ainsi pu récupérer près de 4 millions de logins et mots de passe via une faille d'injection SQL. Enfin, un nouveau malware a fait son apparition sur Symbian S60. Ce dernier se matérialiserait sous la forme d'une application baptisée "ZvirOK" et enverrait des SMS vers des numéros surtaxés.

* Résumé des évènements majeurs : - Vulnérabilité : Cette semaine, le bulletin de sécurité APSB10-15 a été publié par Adobe. Les nouvelles versions 9.3.3 et 8.2.3 (Acrobat Reader et Adobe Reader) corrigent de nombreuses failles de sécurité, dont la vulnérabilité liée à l'utilisation de Flash dans les fichiers PDF référencée CVE-2010-1297, et qui avait fait l'objet de l'alerte APSA10-01 publiée au début du mois de juin ; ainsi que la faille "/Launch" référencée CVE-2010-1240. Malheureusement, la faille liée à la commande "/Launch" n'a pas été intégralement corrigée, puisque des chercheurs ont découvert des méthodes de contournement. L'utilisation de simples guillemets autour de la commande à exécuter (cmd.exe par exemple) rend le correctif inefficace. Le CERT-XMCO recommande donc de mettre en place la solution de contournement proposée il y a quelques mois par Adobe. De son côté, Microsoft a alerté ses clients sur l'exploitation massive au cours des deux dernières semaines de la faille de sécurité référencée KB2219475/CVE-2010-1885 présente au sein du centre d'aide et de support. Malgré l'absence de correctif, le CERT-XMCO rappelle à tous les clients de Microsoft qu'il existe une solution de contournement à mettre en place temporairement jusqu'à la publication d'un correctif. - Entreprise/juridique : Un banquier brésilien inculpé dans plusieurs affaires pourrait être prochainement relaxé. Celui-ci aurait chiffré le contenu de son ordinateur avec le logiciel TrueCrypt. L'absence de texte de loi obligeant les citoyens brésiliens à fournir leur mot de passe a forcé les experts brésiliens, puis ceux du FBI à travailler sur le disque dur pendant près de 12 mois en vain. Le Cert-IST a publié cette semaine les supports de présentation qui ont eu lieu dans le cadre de son Forum annuel. Le thème de celui-ci était "Incidents de sécurité : Responsabilités et moyens d'actions de l'entreprise". - Logiciels : Google a publié cette semaine les premières versions de son navigateur incorporant un lecteur PDF. Après avoir annoncé l'intégration d'un plug-in Flash, et avoir opté pour le blocage des plug-ins vulnérables, Google veut faire de son navigateur une référence en matière de sécurité pour les internautes. Néanmoins, tout n'est pas rose dans l'univers Google. Après avoir découvert l'existence de moyens techniques permettant au moteur de recherche de supprimer certaines applications utilisées sur Androïd, un chercheur à mener une étude sur deux types de messages pouvant être envoyés afin d'installer ou de supprimer une application sur ce type de smartphones. Cette étude démontre l'existence de faille de sécurité dans l'implémentation de ces fonctions, pouvant être exploitée par des pirates afin de compromettre le système d'un smartphone. Dans le pire des cas, un pirate pourrait donc utiliser pour désinstaller une application de tout un parc de mobile équipé d'Androïd, voir transformer ce parc en un nouveau botnet en y installant un malware... - Cybercriminalité/Attaques : Enfin, côté cybercriminalité, deux botnets ont fait parler d'eux cette semaine. Kraken est revenu sur le devant de la scène plus d'un an après son démantèlement. Asprox, quant à lui, se voit de plus en plus perfectionné, avec des fonctions avancées de détections et d'exploitation de faille de type "injection SQL". Comme souvent, ces réseaux de machines zombies servent principalement à envoyer de très nombreux pourriels.

* Avis d'expert & Résumé des évènements majeurs : Cette semaine a été particulièrement calme. Peu de vulnérabilités importantes ont été corrigées. VMware a publié une mise à jour pour ESX 3.5. Firefox et Opera ont également mis à disposition une nouvelle version de leur navigateur. L'arrivée de l'IOS 4 et du nouvel iPhone ont éclipsé la mise à jour de l'anti-malware intégré sur Mac OSX. Enfin, une étude publiée par SMobile Systems a montré que plus de 20 % des applications distribuées sur l'Android Market permettrait à des personnes tierces d'accéder à des informations personnelles. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Cette semaine a été marquée par l'annonce d'une faille de sécurité critique au sein du centre d'aide et de support de Windows et de l'exploit associé. Par ailleurs, les attaques exploitant la faille du lecteur Flash, corrigé récemment, s'intensifient. Le CERT-XMCO recommande d'appliquer rapidement les solutions proposées par Microsoft afin de parer contre les attaques en cours et de mettre à jour le lecteur Flash. * Résumé des évènements majeurs : - Vulnérabilité : Cette semaine, SAP et Apple ont publié des bulletins de sécurité. En utilisant certaines commandes spéciales envoyées au serveur Telnet, un pirate pouvait contourner certaines restrictions de sécurité au sein de la distribution Java embarquée avec les logiciels SAP Enterprise Portal, SAP NetWeaver ou encore SAP Web Application Server. De son côté, Apple a publié des correctifs pour Mac OS X ainsi que pour iTunes. On notera par ailleurs que la version mise à jour par Apple du lecteur Flash reste vulnérable. De son côté, un chercheur travaillant pour Google a publié des détails ainsi qu'un code d'exploitation relatif à une vulnérabilité critique référencée CVE-2010-1885, présente au sein du centre d'aide et de support de Windows XP et Windows Serveur 2003. Cette annonce a soulevé beaucoup de polémique ; entre autres à cause du délai de 5 jours (seulement) laissé à Microsoft pour réagir entre l'annonce privée et l'annonce publique. De nombreux éditeurs et journalistes se sont (probablement injustement) indignés du non-respect du principe de "responsible-disclosure". La faille de sécurité est liée à un manque de validation de certaines entrées par le gestionnaire de protocole "hcp", et permet de compromettre un système Windows. Le code d'exploitation fourni à titre de démonstration a rapidement été repris au sein de framework d'exploitation. Les pirates ont de leur côté lancé des attaques massives de cette faille sur Internet. Le CERT-XMCO recommande donc à tous les utilisateurs la plus grande prudence lors de la visite de site internet peu sûr, ainsi que l'application de la solution de contournement proposée par Microsoft. Par ailleurs, la vulnérabilité référencée CVE-2010-1297, récemment corrigée par Adobe au sein du Flash Player (voir APSB10-14) est en cours d'exploitation par les pirates. L'exploitation de cette faille permet à un pirate de compromettre un système via la simple visite d'une page malveillante par un internaute. Enfin, une campagne massive de distribution de pourriels tente d'inciter les utilisateurs de Skype à visiter une page Internet malveillante. Celle-ci exploite une faille de sécurité au sein du plug-in "EasyBits Extras Manager" utilisé par Skype. La faille est utilisée afin d'installer des malwares sur le système des utilisateurs crédules. Le CERT-XMCO recommande donc à tous les internautes la plus grande prudence lors de l'ouverture d'emails contenant des liens vers des sites internet. - Cybercriminalité/attaques : Les campagnes de distribution de pourriels s'intensifient ces derniers jours. Les pirates utilisent Skype, Facebook, Twitter et les sujets d'actualité (Coupe du Monde) afin de diriger les internautes vers des sites hébergeant des kits d'exploitation de vulnérabilités. Une porte dérobée a été découverte au sein du serveur IRC Open Source UnrealIRCd. Celle-ci aurait été insérée par des pirates au sein de l'archive "Unreal3.2.8.1.tar.gz". En envoyant des chaines de caractères préfixées de "AB;", les pirates étaient en mesure d'exécuter des commandes sur le système, sans authentification préalable. Les autres versions n'auraient pas été ciblées. - Entreprise/juridique : AT&T a subi les foudres des journalistes. Des données sensibles telles que des adresses de courriel, ou encore des numéros permettant de retrouver facilement l'identifiant unique IMSI de chaque client ont pu être obtenus depuis le site ayant servi à vendre les derniers iPads ainsi que les iPhone 4. Ces deux erreurs se sont produites coup sur coup, au cours des deux dernières semaines. Orange, qui proposait un service de sécurisation censé empêcher le téléchargement illégal P2P, a été contraint de le retirer de la vente. Des pirates ont en effet été capables de mener une étude approfondie du logiciel utilisé par les clients, ainsi que de l'infrastructure en place. Un serveur central contenant des nombreuses informations personnelles a pu être compromis. Par ailleurs, les nombreuses failles de sécurité existantes au sein du logiciel ont obligé l'opérateur à retirer son service de la vente. En effet, il aurait été simple pour un pirate ayant compromis l'infrastructure du système de le transformer en un botnet...XMCO diffuse gratuitement certains de ses bulletins de veille Sécurité. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Cette semaine, le CERT-XMCO retient 4 évènements majeurs : - Adobe a corrigé 32 vulnérabilités au sein de Flash Player dont la vulnérabilité critique "0-day" référencée CVE-2010-1297 ; - Tavis Ormandy, chercheur chez Google, a découvert une vulnérabilité critique au sein de Windows (gestion des URL "hcp://") et publié un code d'exploitation fonctionnel ; - La publication de 10 correctifs Microsoft (Excel, Office, Noyau Windows, SharePoint, .NET, IIS, Internet Explorer...); - Le SSTIC 2010 a tenu ses promesses avec des présentations toujours aussi intéressantes. Le CERT-XMCO recommande vivement de mettre à jour Flash Player afin de parer les exploitations massives menées depuis quelques jours par des groupes de pirates. * Résumé des évènements majeurs : - Vulnérabilité : Plusieurs correctifs critiques ont été publiés cette semaine. Suite à l'exploitation d'une vulnérabilité critique découverte au sein d'Adobe Reader, Acrobat et Flash Player, Adobe a publié le bulletin APSB10-14. Le lecteur Flash Player a été mis à jour, mais la vulnérabilité référencée CVE-2010-1297 reste exploitable au sein des visionneuses PDF qui devraient également être mises à jour à la fin du mois de juin. Le CERT-XMCO recommande de rester vigilant lors de l'ouverture de fichiers PDF provenant de sources douteuses et incite les entreprises ainsi que les particuliers à mettre à jour rapidement Flash Player vers la version 10.1.53.64. Le "Black tuesday" du mois de juin a permis de corriger un grand nombre de vulnérabilités au sein des logiciels Microsoft avec la sortie de 10 correctifs. Le CERT-XMCO conseille d'installer les correctifs MS10-034 (kill-bits), MS10-035 (Internet Explorer) et MS10-033 (Windows Media) qui corrigent des vulnérabilités exploitables principalement sur des postes de travail. - Conférences : La conférence annuelle du SSTIC s'est déroulée du 9 au 11 juin dans la bonne humeur. Comme chaque année les conférences concernaient la sécurité de domaines variés (santé, cyberdéfense, hardware, GSM...) et étaient très intéressantes. Un compte rendu de ces conférences sera présent dans le prochain numéro de l'ActuSécu. - Cybercriminalité/attaques : Une attaque massive a été menée en fin de semaine à l'encontre des serveurs web IIS/ASP. Plus de 100 000 sites différents ont ainsi été compromis via une attaque d'injection SQL. Les pirates ont ainsi inséré une iframe pointant vers le site "http://ww.robint.us/u.js". La faille Java "Launch()" corrigée en avril revient sur le devant de la scène. De nombreux applets malicieux exploitant la vulnérabilité référencée CVE-2010-0886 ont été identifiés sur plusieurs sites malveillants. Les attaques de phishing/spam se sont amplifiées cette semaine. Twitter a été la première cible. Des millions d'emails d'alerte sur des attaques de force brute ont été envoyés à de nombreux utilisateurs de ce site de microblogging afin d'inciter à installer un logiciel de sécurité qui s'avère être un cheval de Troie. Les spammeurs continuent d'inonder nos boîtes aux lettres d'emails contenant des liens vers des sites d'achat de médicaments. - Entreprise/juridique : Après la sortie de l'iPad, A&T a colmaté une brèche ayant permis la fuite de plus de 114 000 adresses emails d'utilisateurs du produit d'Apple. Vous pouvez suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Cette semaine, Adobe a publié un bulletin d'alerte (0-day) pour son lecteur Flash et la suite Acrobat. Cette faille est actuellement exploitée sur Internet. Par ailleurs, une preuve de concept illustrant l'exploitation d'une faille Java liée au parseur MIDI a été publiée alors même que celle-ci a été récemment corrigée dans l'un des derniers bulletins de sécurité (JDK/JRE 6 Update 19) d'Oracle. D'autre part, le CERT-XMCO retient 3 évènements majeurs : - La publication des correctifs Microsoft prévue le 9 juin ; - La mise en accusation de plusieurs cybercriminels aux États-Unis ; - Enfin, la mise à disposition gratuitement de l'application iCERT-XMCO durant le mois de juin. * Résumé des évènements majeurs : - Vulnérabilité : Cette semaine, Microsoft a annoncé la publication de 10 bulletins de sécurité dans le cadre de son "Patch Tuesday" du mois de juin. Six d'entre eux (dont deux "critiques") concernent Windows, deux autres bulletins jugés "importants" concernent Office, et un autre affectant simultanément Windows et Office est également jugé "important". Enfin, un dernier bulletin "critique" concerne Internet Explorer. Dans le lot, deux vulnérabilités publiques (XSS dans Sharepoint, et fuite d'information via Internet Explorer) seront corrigées. De son côté, Adobe a publié en fin de semaine une alerte (APSA10-01) pour ses logiciels Flash Player, Adobe Reader et Adobe Acrobat. L'exploitation d'une faille de sécurité au sein du lecteur Flash permet à des pirates de compromettre un système. D'après Adobe, cette faille serait massivement exploitée par les cybercriminels. D'après la société VUPEN, la faille de sécurité (0-day) aurait été découverte il y a 6 mois par l'un de ses chercheurs qui aurait immédiatement alerté l'éditeur américain. Un délai de correction surement trop long pour un logiciel aussi critique... Néanmoins, aucun exploit n'a été rendu public pour le moment. Un chercheur a publié une preuve de concept permettant d'exploiter une des failles présentées dans le bulletin de sécurité d'Oracle du mois de mars (Update 19 de Java JRE/JDK 6). La faille en question affecte le parseur MIDI. L'exploit se présente sous la forme d'un applet Java et est donc exploitable sur tous les navigateurs dotés du plug-in Java, et ce, indépendamment du système d'exploitation. Le CERT-XMCO recommande donc à tous les utilisateurs d'installer la dernière version de Java (JRE/JDK 6 Upade 20) si cela n'a pas déjà été fait. - Cybercriminalité/attaques : Les premiers rootkits pour Androïd ont été diffusés. L'envoi d'un simple SMS ou un appel téléphonique permettrait à un pirate d'obtenir discrètement un accès à distance à un smartphone. D'autre part, après HTC, c'est au tour de Samsung de livrer des cartes mémoire avec un malware embarqué. La société s'est excusée, et a précisé que seul le marché allemand aurait été touché... - Entreprise/juridique : Avec l'objectif d'augmenter son niveau de sécurité, Google a annoncé migrer son environnement de travail Microsoft vers un environnement Apple/Unix. Depuis janvier, les nouvelles recrues du géant de la recherche se verraient offrir le choix entre un poste Apple équipé de Mac OS X, et un PC équipé d'un système GNU/Linux. Microsoft a vivement réagi à cette annonce en donnant sa vision de l'attaque "Aurora" et des sécurités actuellement intégrées à son environnement de travail. Dans le même temps, Microsoft a annoncé avoir aidé le département de la justice américain ainsi que le FBI à réunir des preuves permettant de mettre en place un mandat d'accusation contre trois cybercriminels pour avoir participé à une attaque massive. Parmi ces trois personnes, deux sont de nationalité américaine. La troisième est suédoise. Le QG serait lui situé en Ukraine. Cet exemple montre bien le niveau auquel il faut travailler pour s'attaquer aux cybercriminels : multiples nationalités, multiples lieux de résidence, multiples juridictions, multiples lieux d'action et de modes opératoires... Travailler au seul niveau national pour lutter contre la cybercriminalité est simplement impossible. Enfin, XMCO souhaite rappeler que son application de veille pour iPhone iCERT-XMCO est disponible gratuitement sur l'App Store d'Apple pendant le mois de juin. Cette application vous permettra de suivre de manière régulière la publication de nouvelles vulnérabilités logicielles, les alertes, les attaques ainsi que plus largement l'actualité de la sécurité informatique. N'hésitez pas à nous faire parvenir vos commentaires et vos suggestions pour les prochaines mises à jour ! Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter : http://twitter.com/certxmco

* Avis d'expert : Cette semaine, Oracle, VMware et Adobe ont publié de nouveaux correctifs. D'autre part, le CERT-XMCO retient 3 évènements majeurs : - La découverte d'une nouvelle méthode permettant de faire de "l'hameçonnage" (phishing) grâce aux onglets des navigateurs (Firefox, Safari, IE...) ; - Le vol de millions d'identifiants (jeux en ligne et skyblogs) ; - L'annonce par Microsoft de la mise en place de deux nouveaux programmes visant à aider les États à protéger leurs Systèmes d'Informations. * Résumé des évènements majeurs : - Vulnérabilité : Cette semaine, Oracle, VMware et Adobe ont tous les trois publié des bulletins de sécurité. Les exécutables "tar et "cpio" sont mis à jour au sein de Solaris afin de corriger une faille de sécurité importante permettant de prendre le contrôle d'un système. VMware ESX(i) a également été mis à jours après la découverte de multiples failles de sécurité. Enfin, une nouvelle version d'Adobe Photoshop CS4 a été publiée par Adobe à la suite de la découverte de faille de sécurité critique dans la gestion de certains types de fichiers. Nous attirons votre attention sur le fait que des preuves de concept permettant de compromettre un système ont été rendues publiques. Par ailleurs, un chercheur aurait découvert une faille de sécurité au sein de l'iPhone 3GS. Une connexion USB établie entre un iPhone et un système d'exploitation Ubuntu 10.04 permettrait de contourner le code de verrouillage et ainsi d'accéder en lecture/écriture à certains dossiers. Un développeur de la société Mozilla a présenté une nouvelle technique permettant de mener des campagnes de phishing. Cette attaque repose sur une mauvaise gestion des évènements JavaScript lors du changement d'onglets au sein des navigateurs (Firefox, Safari, IE8, ...). En contrôlant un site web, un pirate peut facilement piéger un utilisateur peu attentif et ainsi mener une attaque de phishing. Parallèlement, un autre chercheur a rendu publique une preuve de concept permettant à un pirate d'obtenir des informations personnelles via l'exploitation d'une faille dans le moteur javascript de Firefox. - Cybercriminalité/Attaques : Skyrock a annoncé la perte de plus de 32 millions de mots de passe. Un pirate aurait exploité une faille de sécurité afin de mettre la main sur une base de données contenant les identifiants des blogs "SkyBlog". Dans le même registre, une autre base de plus de 17 Go d'identifiants de jeux en ligne a été découverte par Symantec. L'utilisation conjointe du malware "Infostealer.Gampass" et "Trojan.Loginck" aurait permis de dérober 44 millions de comptes pouvant être revendus jusqu'à 10 euros sur les marchés "underground". - Entreprise/juridique : Un responsable de Microsoft annonçait le lancement, dès cet été, de deux nouveaux programmes visant à aider les états à protéger leurs systèmes d'informations. DISP (Defensive Information Sharing Program) permettra aux organismes étatiques d'accéder à des informations relatives aux vulnérabilités traitées par Microsoft avant la publication des correctifs. Quant au CIPP (Critical Infrastructure Partner Program), il permettra aux états d'obtenir des conseils personnalisés dans le domaine de la sécurisation des infrastructures critiques. Après Symantec et Oracle, c'est au tour de McAfee d'annoncer le rachat vers la fin du mois de juin de Trust Digital. Cette société, spécialisée dans la gestion d'un parc de smartphone, permettra à l'éditeur de solutions antivirales d'étendre la couverture offerte par ePolicy Orchestrator.

* Avis d'expert : Cette semaine, le CERT-XMCO retient 3 évènements majeurs : - La publication d'un bulletin Microsoft à la suite de la découverte d'une vulnérabilité critique au sein de Windows 7 et de Windows 2008 ; - Le verdict rendu par un tribunal allemand au regard de la sécurisation des points d'accès WiFi personnel ; - Et, la fermeture de deux hébergeurs russe et américain reconnus pour leur laxisme dans la lutte contre les cybercriminels. * Résumé des évènements majeurs : Près d'une semaine après le dernier "patch tuesday", Microsoft vient de publier un nouveau bulletin (KB2028859). Une vulnérabilité pour le moment non spécifiée a été découverte au sein du pilote "Canonical Display" et permet de compromettre, à distance, un système Windows 7 (64 bits) et Windows 2008 R2 (64 bits et Itaninum). Microsoft affirme que cette vulnérabilité est difficilement exploitable, mais recommande néanmoins la désactivation de "Aero". Le secteur de la sécurité des systèmes d'information est en cours de réorganisation. Après le rachat par Symantec, il y a quelques semaines, de PGP Corporation et de GuardianEdge ; c'est au tour d'une partie de l'activité de Verisign de tomber dans le giron de l'éditeur américain de solutions antivirales. De son côté, Oracle a annoncé le rachat au cours du mois de juin de Secerno, une société spécialisée dans la sécurité des bases de données. Côté cybercriminalité, le forum allemand "carders.cc", dédié aux pirates, a été attaqué. Les auteurs ont publié l'ensemble des failles de sécurité qu'ils ont pu observer et exploiter. Par ailleurs, deux hébergeurs plus que conciliants avec l'activité des cybercriminels ont été déconnectés d'Internet. En effet, le Russe PROXIEZ-NET et l'Américain 3FN.net ont été reconnus par de nombreux professionnels comme étant liés à des activités malveillantes (hébergement de serveur de contrôle de botnet, de serveur utilisé pour réaliser des attaques, de contenu malveillant, relais de distribution de pourriels...). Leur déconnexion, aussi insignifiante qu'elle soit au niveau global, reste un signe encourageant de la part des autorités. Dans le même temps, la Cour Fédérale allemande rend les utilisateurs finaux responsables de la sécurisation des points d'accès WiFi. Cette nouvelle jurisprudence impose aux particuliers de "sécuriser" leurs points d'accès par l'utilisation d'une clef de chiffrement lors de l'installation (WEP, WPA...). Les points d'accès ouverts sont désormais interdits sous peine d'amende. Avec l'évolution des techniques d'attaque et l'utilisation de protocole obsolète (WEP), il est évident qu'une telle protection n'est pas suffisante sur le long terme... Enfin, après l'apparition, la semaine précédente d'un nouveau type de botnet basé sur l'utilisation de serveur web, un kit de création de botnet clef en main a été découvert. Celui-ci utilise le service gratuit Twitter pour contrôler les ordinateurs compromis. Un pirate peut donc faire effectuer à ses zombies de nombreuses commandes en utilisant un simple téléphone équipé d'un client Twitter...

* Avis d'expert : Cette semaine, une nouvelle vulnérabilité critique (0-day) affectant Safari a été publiée. Le code d'exploitation étant disponible sur Internet, le CERT-XMCO recommande aux utilisateurs de Safari de ne pas visiter de sites provenant de sources douteuses, voire d'utiliser un navigateur alternatif dans l'attente d'un correctif. Deux autres évènements majeurs ont également retenu notre attention: - La publication par Microsoft et Adobe des bulletins de sécurité du mois de mai ; - Et la publication des résultats alarmistes du concours PWN2KILL sur l'état des lieux des antivirus. * Résumé des évènements majeurs : Dans le cadre du "patch tuesday" du mois de mai, Microsoft a corrigé deux vulnérabilités critiques affectant les clients de messagerie Outlook Express/Windows Mail (MS10-030) et l'interpréteur VBScript pour Applications (VBA) (MS10-031) principalement utilisés au sein de la suite Office. L'exploitation de la première faille de sécurité nécessite qu'un pirate incite un utilisateur à utiliser un serveur de messagerie malicieux (i.e. modification de la configuration). Quant à la seconde, celle-ci requiert qu'un utilisateur ouvre un fichier contenant une macro spécialement conçue. Dans les deux cas, l'exploitation de la vulnérabilité est jugée complexe par Microsoft. Le CERT-XMCO recommande néanmoins l'application des correctifs. De son côté, Adobe a publié deux bulletins de sécurité corrigeant de nombreuses failles de sécurité au sein de du serveur Coldfusion (APSB10-11) et du lecteur Shockwave (APSB10-12). Le projet "Month of PHP Bugs" poursuit sa lancée en révélant chaque jour de nouvelles vulnérabilités au sein de l'interpréteur PHP et des applications codées dans le même langage. Près d'une vingtaine de vulnérabilités plus ou moins critiques ont déjà été présentées. Dans le cadre de la conférence iAWACS 2010, le concours PWN2KILL a été l'occasion de tester la protection offerte par quinze antivirus. Sur sept virus "home made", un seul a été détecté par l'ensemble des solutions de protection. Les six autres ont tous réussi à infecter au moins 12 systèmes Windows 7 protégés par un antivirus différent. Ces résultats démontrent, une nouvelle fois, les limites des antivirus actuels. Les éditeurs de solutions devraient faire évoluer leurs logiciels pour ne pas rester cantonnés à des méthodes de détections relativement bien connues des pirates, et facilement contournables. En effet, les sept équipes étaient principalement constituées d'élèves de l'ESIEA, école qui organisait la conférence et le concours. De leur côté, les chercheurs de la société Matousec ont publié une analyse sur l'utilisation par les antivirus de "hooks" sur le système d'exploitation pour mettre en place leur solution de protection. D'après ces chercheurs, les implémentations seraient relativement vulnérables à une attaque durant laquelle l'échantillon de code scanné serait remplacé par un échantillon malveillant juste après la vérification. Le fruit de ces recherches semble faire polémique dans le monde de la sécurité. En effet, il semblerait que cette technique appelée TOCTOU (Time Of Check to Time Of Use) avait été publiée en 2003 dans les listes de diffusion de sécurité. L'accès à Internet en Allemagne et en Autriche a été fortement perturbé au cours de la semaine dernière. Durant environ une heure, une panne de quatre serveurs DNS responsables des domaines ".DE" et ".AT" a gêné la résolution des noms de ces domaines. De nombreux sites et services ont été affectés. Ce genre d'événement montre bien la faiblesse du système DNS actuel sur lequel repose Internet. Enfin, un nouveau type de botnet constitué uniquement de serveurs a été découvert. Contrairement à de simples ordinateurs personnels, les serveurs disposent généralement d'une bande passante importante ce qui réduit le nombre de zombies pour mener une attaque de DDoS.

* Avis d'expert : Cette semaine, aucune nouvelle vulnérabilité critique n'a été publiée. Le CERT-XMCO retient cependant 3 évènements majeurs : - La publication annoncée par Microsoft de deux bulletins de sécurité pour le 11 mai. - La mise à jour du lecteur de PDF Foxit pour corriger la vulnérabilité PDF "/Launch" fortement exploitée au cours des dernières semaines. - La publication de méthodes d'exploitation de la vulnérabilité permettant de contourner l'authentification JBoss. Il est fort possible que celle-ci soit prochainement exploitée pour contourner les interfaces d'administration JMX-console et WEB-console exposée sur internet. Le CERT-XMCO recommande donc aux administrateurs de vérifier la configuration de leurs serveurs JBoss afin d'imposer l'authentification pour les différents verbes HTTP (dont HEAD). * Résumé des évènements majeurs : Dans le cadre du "patch tuesday" du mois d'avril, Microsoft a corrigé trois vulnérabilités importantes sans avoir averti ses clients. D'après les recherches effectuées par CORE Security, les correctifs MS10-024 et MS10-028 cacheraient des modifications réalisées sur Visio et le service SMTP de Windows. Microsoft a aussi annoncé la correction d'une faille de sécurité au sein de Windows et d'une autre au sein de l'interpréteur Visual Basic dans le cadre du "patch tuesday" du 11 mai. Ces vulnérabilités sont jugées critiques. Par ailleurs, Microsoft annonce qu'il ne proposera pas (tout de suite) de correctif pour la vulnérabilité de "Cross Site Scripting" révélée récemment dans SharePoint. Seule une solution de contournement a été publiée. Enfin, le CERT-XMCO rappelle que Microsoft arrêtera le support de Windows 2000 et de Windows XP SP2 à partir du 13 juillet prochain. Côté postes de travail, l'éditeur du lecteur de PDF Foxit a publié la version 3.3 de Foxit Reader. Cette version offre un nouveau composant appelé "Secure Trust Manager". Celui-ci permet de gérer finement les actions autorisées. Par défaut, le support de la commande "/Launch" est désactivé pour protéger les utilisateurs contre une exploitation de la faille découverte par le chercheur Didier Stevens. Deux ans après la première édition, le mois des bogues PHP est de retour sur le site php-security.org. Chaque jour, différentes failles de sécurité et des preuves de concept sont présentées, celles-ci affectent l'interpréteur PHP mais également des applications reposant sur l'interpréteur. Des conseils sont également proposés pour aider les développeurs à développer de manière sécurisée Le navigateur Opera a été mis à jour en version 10.53 après la révélation de l'existence d'une faille de sécurité critique d'après l'éditeur. Enfin, il y a quelques semaines, une faille de sécurité liée à la configuration de JBoss (jmx et web consoles) avait été corrigée par Red Hat. Cette dernière et toujours présente dans la configuration par défaut du serveur JBoss. En utilisant certains types de requêtes HTTP comme HEAD, il était possible de contourner le processus d'authentification utilisé par les applications. Des outils exploitant cette vulnérabilité ont été mis à jour et pourraient être massivement utilisés sur Internet. Le CERT-XMCO recommande de vérifier rapidement la configuration de son serveur (web.xml).

* Avis d'expert : Cette semaine, aucune nouvelle vulnérabilité critique n'a été publiée. Le CERT-XMCO retient cependant trois évènements principaux. Microsoft a publié une seconde version du correctif MS10-025 qui corrige une vulnérabilité de Windows Media Unicast Service sur Windows 2000 SP4. Parallèlement, une vulnérabilité de "Cross-Site Scripting" a été identifiée au sein de SharePoint. Enfin, une campagne de distribution de pourriels de grande envergure distribue un PDF malicieux tirant parti de la faille "/Launch". Le CERT-XMCO recommande aux utilisateurs de rester vigilants et de ne pas ouvrir les pièces jointes en provenance de sources douteuses. * Résumé des évènements majeurs : Microsoft a mis à jour le correctif MS10-025 pour les systèmes Windows 2000 SP4 uniquement. En effet, lors de sa première publication, le correctif n'était pas efficace. Microsoft avait donc décidé de le retirer afin de le mettre à jour. Même si le composant vulnérable n'est pas installé par défaut, nous attirons votre attention sur le fait qu'un code d'exploitation a été rendu public. Il est donc nécessaire d'installer le correctif si le service Windows Media Unicast est utilisé. Après un an et demi d'accalmie, un nouveau malware semblable à ceux de la famille Storm vient d'être identifié sur Internet. Cette nouvelle mouture serait moins virulente. Cependant, nous vous rappelons qu'en son temps, le botnet "Storm Worm" était responsable de près de 20% de l'émission des pourriels et était constitué de plus d'un million de machines infectées. De son côté, le botnet Zeus continue d'évoluer. Les dernières versions du malware exploitent la récente vulnérabilité "/Launch" du lecteur PDF d'Adobe et de Foxit. De plus, de nouvelles fonctionnalités ont été mises en oeuvre pour complexifier la détection du malware telles que la génération de noms de fichiers aléatoires et l'infection de nouveaux processus système. Parallèlement, une campagne de distribution massive de spam exploite également la faille "/Launch". Un mail provenant d'une adresse du type "operator@MON_ENTREPRISE.com" ou encore "alert@MON_ENTREPRISE.com" est envoyé afin de prévenir les victimes d'un changement de configuration des paramètres de messagerie (POP et SMTP). L'ouverture de la pièce jointe "doc.pdf" incluse au sein de cet email et la validation de la boite de dialogue affichée permet de compromettre un système Windows. Enfin, un pirate russe aurait mis la main sur plus de 1,5 million de comptes Facebook et aurait procédé à leur vente au détail sur Internet.

* Avis d'expert : Cette semaine, l'actualité de la sécurité informatique a été calme : pas de nouveaux "0-day" ou d'attaques massives. La menace la plus importante du moment demeure l'exploitation d'une faille de sécurité d'un plugin JAVA pour Internet Explorer par l'intermédiaire de sites web compromis ou hébergés par des pirates. Pour se protéger de ces attaques, le CERT-XMCO recommande la mise à jour des machines virtuelles JAVA à la version 6 Update 20 ou la désactivaton par GPO de l'ActiveX "Java Deployment Toolkit". * Résumé des évènements majeurs : Quelques jours après la découverte d'une vulnérabilité critique et la publication d'un correctif par Oracle (Java 6 Update 20), la vulnérabilité du plug-in Java a été largement exploitée cette semaine. Des sites tels que "songlyrics.com" auraient été compromis par des pirates (russes ?). La mise à jour d'Oracle prenant surtout en compte Internet Explorer, la fondation Mozilla a vivement réagi en bloquant les versions vulnérables du plug-in "Java Deployement Toolkit" dans son navigateur. Par ailleurs, l'attaque surnommée "Aurora" fait encore parler d'elle. Le New York Times a ainsi publié de nouvelles informations à son sujet. Les pirates à l'origine de l'attaque auraient ciblé le SSO de Google baptisé Gaïa. Ces derniers auraient dérobé une partie de son code (si ce n'est la totalité) et auraient pu potentiellement insérer des portes dérobées. Google, ainsi que nombre d'experts sécurité prennent ce risque au sérieux, puisque les pirates pourraient potentiellement accéder aux informations privées de millions d'utilisateurs. Néanmoins, aucune information n'a été reconnue publiquement par Google qui aurait par ailleurs élevé le niveau de sécurité de certaines parties de son infrastructure. Après avoir mis à jour sa base de signature vers la version "DAT 5958", les antivirus McAfee utilisés sur les systèmes Windows XP SP3 ont confondu l'exécutable système "scvhost.exe" avec le virus référencé "W32/Wecorl.a", le plaçant ainsi par mesure préventive en quarantaine. L'absence de cet exécutable indispensable au fonctionnement de Windows a provoqué de nombreux problèmes aussi bien dans le monde de l'entreprise que chez les particuliers. Tout comme les récentes éruptions volcaniques, les termes "DAT", "5958", ou encore "McAfee" ont été utilisés par les pirates dans le cadre de campagne de pollution des moteurs de recherche qui dirigeaient ainsi les utilisateurs vers des sites hébergeant des malwares. Les smartphones sont à la mode, et les pirates le savent. Un malware se faisant passer pour un outil de "jailbreak" d'iPhone a ainsi été découvert. D'autre part, des vulnérabilités critiques ont été découvertes au sein de Palm WebOS. Le simple envoi de SMS permettait de modifier la configuration du téléphone (ouverture d'un site internet, lancement d'un téléchargement, installation d'un certificat racine, désactivation de l'interface sans fil...). Enfin, Microsoft retire le correctif MS10-025 qui ne corrigeait pas la vulnérabilité présente au sein de Windows Media Services. Une nouvelle version du correctif devrait être publiée cette semaine.

Oracle a publié la mise à jour trimestrielle "cpuapr2010" et la version 6u20 de Java SE à la suite de la découverte d'une vulnérabilité majeure au sein de Java Web Start. En effet, une faille de sécurité critique de JAVA est actuellement exploitée sur Internet. L'exploitation de la faille nécessite la visite par une victime d'une page web malicieuse. Oracle a réagi en publiant l'Update 20 (JRE/JDK) de Java SE 6 et en bloquant l'ActiveX "Java Deployment Toolkit" vulnérable au sein d'Internet Explorer. La faille reste toujours exploitable sur les navigateurs alternatifs si les plug-ins Java ne sont pas désactivés. Dans le cadre de son "Patch Tuesday", Microsoft a publié 11 correctifs résolvant 25 failles de sécurité. L'application de ces correctifs est bien sûr de rigueur, en particulier pour le correctif MS10-022 relatif à une attaque via Internet Explorer et VBscript. De son côté, Apple a publié un correctif pour la faille de sécurité critique liée à l'utilisation de police caractère spécialement conçue. Cette faille avait été utilisée par Charlie Miller pour remporter un prix lors du concours Pwn2Own qui a eu lieu au début du mois de mars. Des pirates se sont attaqués à de nombreux blogs utilisant le moteur WordPress. L'attaque se base sur le fait que le fichier "wp-config.php" est en lecture pour tout le monde dans un contexte d'hébergement mutualisé, ainsi qu'il contient le mot de passe de la base de données en clair. Enfin, la faille PDF relative à la commande "/Launch", corrigée la semaine dernière par Adobe dans son lecteur, est activement exploitée afin d'augmenter le nombre de machines zombies du botnet ZeuS.

Cette semaine, un débat entre experts laissait penser que Firefox pouvait contenir des certificats racines "piratés". Ce débat était finalement inutile puisqu'il s'agissait en fait d'un certificat RSA qui n'était simplement plus utilisé. Des pirates se sont payés (en toute légitimité commerciale), les services de publicité des moteurs de recherche de Microsoft (Bing) et Yahoo! pour proposer aux utilisateurs des liens vers sites malveillants lorsque ceux-ci effectuaient des recherches sur le mot clé "advertising". Est-ce que les moteurs de recherche doivent s'assurer de l'intention des annonceurs ? Suite à la vulnérabilité permettant le lancement de programme depuis un fichier PDF (CVE-2009-4764 et CVE-2010-1240), Adobe a proposé une solution de contournement : désactiver la fonctionnalité incriminée "Allow opening of non-PDF file attachments with external applications" dans la catégorie "Trust Manager" des préférences. Tandis que 11 correctifs de sécurité Windows sont prévus pour ce mardi, Microsoft annonce que XP SP2 et Windows 2000 ne seront plus supportés à partir du 13 juillet. Enfin, le CERT XMCO publie iCERT-XMCO : une application iPhone permettant de suivre l'actualité de la sécurité (failles, alerte, info), ainsi que l'ActuSécu nº 25.

Suite aux attaques massives liées à une vulnérabilité "0-days" d'Internet Explorer (CVE-2010-0806), Microsoft publie un correctif "hors cycle" (MS10-018) affectant toutes les versions de son navigateur. Plusieurs vulnérabilités critiques sont corrigées dans la machine virtuelle JAVA (JRE et JDK). La société américaine ECMC (spécialisée dans le crédit pour étudiant) annonce avoir perdu un support amovible contenant les données personnelles de plus de 3 millions de ses clients. Côté cybercriminalité, le hacker Gonzalez reçoit une peine de 20 ans de prison pour des actes de piratage de données de la société TJX.

Cette semaine, plusieurs vulnérabilités importantes ont été publiées. Cisco a mis à jour son système IOS afin de se prémunir contre l'exploitation de 7 nouvelles vulnérabilités et a modifié son calendrier afin de publier les correctifs IOS le dernier mercredi de mars et septembre. eZPublish a également mis à jour son CMS, vulnérable aux attaques d'injection SQL en aveugle. Comme chaque année, le concours "Pwn2Own" a permis aux chercheurs de briller en exploitant des vulnérabilités "0-day" sur les principaux navigateurs du marché, mais également sur l'iPhone au centre de toutes les attentions. Les cybercriminels ont diffusé une nouvelle version de Zbot qui vise les clients de banques et d'institutions financières européennes (Italie, Royaume-Uni, Allemagne et France) mais également un nouveau ver pour les plateformes Symbian/OS. Baptisée "MerogoSMS", cette application malicieuse utilise des SMS pour se propager et contacter des numéros surtaxés. Enfin, le sénat vient de voter une nouvelle loi relative à la protection de la vie privée. Toutes les entreprises manipulant des données personnelles devront désormais désigner un correspondant "informatique et libertés" et communiquer avec la CNIL en cas d'intrusion informatique.

Suite à l'annonce d'une vulnérabilité "0-day" affectant Internet Explorer, Microsoft a publié un correctif temporaire. Pendant le même temps, une preuve de concept exploitant une vulnérabilité liée à la gestion des fichiers d'aide au format ".CHM" a été publiée. Virtual PC et Virtual Server sont également affectés par une vulnérabilité permettant d'interagir avec la mémoire des systèmes d'exploitation "invités". Ce problème reconnu par Microsoft ne sera pas corrigé. Enfin, une autre preuve de concept a été publiée, simplifiant l'exploitation de la faille liée au support du format "TIFF". Cette vulnérabilité référencée CVE-2010-0188 a néanmoins été corrigée récemment par Adobe avec le bulletin APSB10-07.

Microsoft n'a publié que deux correctifs dans le cadre du "patch tuesday", pour Excel et Movie Maker alors qu'une vulnérabilité "0-day" affectant Internet Explorer et un code d'exploitation ont été diffusés sur la toile. Cette vulnérabilité, activement exploitée, a tout de même été reconnue par Microsoft (bulletin KB981374). Parallèlement, une attaque de grande ampleur a été menée par un groupe de pirates par l'intermédiaire de fichiers PDF exploitant la vulnérabilité CVE-2010-0188 corrigée depuis peu par Adobe (APSB10-07). Enfin, deux produits grand public (HTC Magic vendu par Vodafone, ainsi qu'un chargeur de piles USB Energizer) ont été commercialisés en incluant les malwares Mariposa, Conficker ou Lineage. Ces derniers étaient automatiquement exécutés lors de l'installation des logiciels en question.

Après la fermeture de nombreux noms de domaine associés au botnet "Waledac" par Microsoft, les autorités américaines et espagnoles se sont attaquées aux dirigeants de "Mariposa", un réseau de zombies estimé à plus de 13 millions de machines. Le géant de Redmond a publié la mise à jour du correctif MS10-015 dont la distribution avait été suspendue à la suite d'apparitions d'écran bleu. D'autre part, Microsoft prévoit de sortir deux correctifs pour Windows et Office dans le "patch tuesday" du 9 mars. Toujours chez Microsoft, plusieurs "0-day" ont été diffusés cette semaine. Une première vulnérabilité reconnue par l'éditeur touche Internet Explorer. Cette dernière permet à un pirate de prendre le contrôle d'un système distant par le biais d'une page Web chargeant automatiquement un fichier d'aide ".HLP". Enfin, une vulnérabilité de type XSS affectant Sharepoint 2007 ainsi qu'une preuve de concept pour Windows Media Player ont été rendues publiques.

Firefox serait sous le coup d'une vulnérabilité "0-day" non publiquement divulguée. CANVAS a mis à disposition de ses clients uniquement le code permettant l'exploitation de la faille, qui n'a donc pas été portée à la connaissance des développeurs du navigateur. Il est possible que Mozilla ne puisse pas fournir rapidement de correctif sans information supplémentaire de la part des chercheurs. Côté cybercriminalité, plusieurs serveurs web étatiques de la Colombie ont été compromis puis utilisés pour héberger discrètement des scripts participant à une attaque web à grande échelle. Après l'apparition du botnet "Kneber" au cours de la semaine précédente, le botnet "Chuck Norris" arrive tout droit d'Italie afin de compromettre les modems ADSL et les routeurs faiblement sécurisés (mots de passe standards ou faibles). Chuck Norris est capable de réaliser des DDoS et de participer à des campagnes de phishing.

Adobe se trouve contraint de corriger une faille de sécurité qu'il avait précédemment niée dans son "Downloader". Côté cybercriminalité, un nouveau botnet appelé "Kneber" ayant beaucoup de similitudes avec le botnet "Zeus" est apparu. Les auteurs du rootkit "TDL3" causant les écrans bleu suite à l'installation du correctif MS10-015 corrigent leur malware avec beaucoup de réactivité. Une campagne de spam "bienveillante" et de grande envergure propose, au nom de Microsoft, de désinfecter les ordinateurs du ver "conficker", moyennant l'installation du cheval de Troie Win32:Bredolab-CC (Avast), Generic Dropper.lr (McAfee) ou encore Mal/EncPk-KW (Sophos). Enfin, Firefox, le célèbre navigateur Open-Source de la fondation Mozilla serait sous le coup d'un "0 day" développé par les chercheurs de la société Intevydis et disponible dans la solution propriétaire VulnDisco complémentaire du framework CANVAS d'Imunity.

Microsoft a publié 13 correctifs permettant de résoudre, entres autres, une faille permettant de devenir Administrateur local de son poste (KiTrap0D) et une autre faille faille assez proche de celle exploitée par Conficker. Côté cybercriminalité, alors que des pirates volaient des millions en crédits carbone, les autorités chinoises ont fermé un des plus gros sites de hackers du pays. Enfin, le chercheur Ross Anderson a démontré qu'il était possible d'utiliser une carte de crédit à puce sans connaitre son code PIN du fait d'une faille du protocole EMV et d'un manque de contrôle des banques.

Cette semaine a été marquée par la présentation de deux vulnérabilités "0-day" (Internet Explorer et Oracle 11g) lors de la BlackHat 2010 à Washington. Côté cybercriminalité, quelques heures après la présentation de l'iPad lors de la Keynote d'Apple, les pirates ont tenté de polluer les résultats de plusieurs moteurs de recherches en proposant le téléchargement d'un faux antivirus. Enfin, Conficker sévit encore en infectant la Police de Manchester et d'autres grands comptes.

Semaine assez calme.
La société Intevydis continue de faire parler d'elle en dévoilant des "0-day" sur de nombreux programmes (PostgreSQL, Oracle WebLogic, IBM Lotus Domino...).

Semaine peu chargée en vulnérabilités, mais semaine noire pour Microsoft.
Un "0-day" (Aurora) affecte la plupart des versions d'Internet Explorer (utilisé pour pirater Google et 33 autres entreprises). Un autre vulnérabilité "0-day" (KiTrap0D) affecte toutes les versions de Windows.

Microsoft ne publie qu'un correctif de vulnérabilité tandis qu'Oracle en publie une dizaine assez critique.
Adobe publie également une mise à jour qui corrige plusieurs vulnérabilités critiques, activement exploitées sur Internet.
Enfin, l'IETF, travaille activement sur le problème de renégociation SSL.

Les campagnes de phising s'intensifient au profit du botnet Zeus.
Oracle corrige 38 vulnérabilités (21 produits) quand Microsoft n'en adresse que 34 (13 bulletins)...
Windows 7 sort avec l'espoir de faire oublier l'échec de Vista.
Des financiers viennent en aide aux chercheurs pour développer des outils de hacking encore plus performants.