XMCO PARTNERS RSS

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 4 au 10 avril

Thu, 14 Apr 2011 15:26:02 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Plusieurs failles de sécurité ont été découvertes cette semaine. Les produits Microsoft sont particulièrement exposés puisque des failles ont été identifiées au sein de Windows Vista [1], de la gestion de l'IPv6 par Windows [2], de Windows Media Player [3], et enfin au sein d'Internet Explorer [4]. L'exploitation de ces différentes failles permettrait de provoquer un déni de service pour les deux premières, voire de compromettre un système à distance pour les deux dernières.

Une dernière faille affectant VLC [5] a été découverte. Son exploitation permettrait de prendre le contrôle d'un système lors de l'ouverture d'un fichier s3m malformé.

- Correctifs :
De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels concernés, Zend Server [6], WebSphere Application Server [7], Joomla [8], HP Network Node Manager [9], DHCP Client [10], Solaris [11], WordPress [12], HTTPComponents d'Apache [13], Redmine [14] et enfin RoundCube [15].

- Exploits :
Plusieurs codes d'exploitation ont été publiés cette semaine.
Le premier exploit cible Windows Media Player [16] et permet de provoquer un déni de service lors de l'ouverture d'un fichier spécialement conçu.
Le second code d'exploitation permet de prendre le contrôle à distance d'un serveur Zend Server Java Bridge [17].
Enfin, le dernier exploit permet de prendre le contrôle à distance d'un serveur Lotus Domino iCalendar [18] via l'envoi d'un email contenant une invitation iCalendar malformée.

- Juridique :
Plusieurs experts en sécurité informatique ont déposé un dossier relatif à l'Affaire Wikileaks [19] opposant le gouvernement américain au géant du micro-blogging Twitter devant la justice américaine. Selon eux, il existe un réel danger pour la vie privée de chacun lorsqu'un gouvernement oblige des sociétés à transmettre des informations personnelles. En effet, l'accumulation de données personnelles par Twitter permettrait de dresser le profil précis, le comportement d'un internaute, y compris ses déplacements. Ces experts mettent donc en avant l'importance de l'obtention d'un mandat avant toute demande de ce type...

- Conférence / Recherche :
Avec le déclin annoncé de l'IPv4, et les futurs déploiements de l'IPv6, les chercheurs "commencent" à s'intéresser à ce nouveau domaine. Un nouveau type d'attaque, baptisée "SLAAC Attack" [20] a ainsi été présentée. Le mécanisme d'auto-configuration normalisé permettrait de forcer, à distance, un système à définir un nouveau routeur afin de détourner l'ensemble des communications. Dans le même domaine, il serait possible de provoquer un déni de service en envoyant simplement un grand nombre de datagramme IP de type "Neighbor Discovery".

D'après un rapport publié par IBM [21], le nombre de vulnérabilités et de codes d'exploitation dévoilés publiquement aurait connu une forte hausse en 2010 (+29 % par rapport à 2009 pour les vulnérabilités, contre +21 % pour les exploits).

À la suite de l'affaire Comodo, Google a annoncé la mise en place de nouvelle fonction de sécurité visant à protéger l'Internet. Chrome [22] se verra doté d'une fonction permettant de bloquer les plug-ins n'étant pas à jour. Le navigateur proposera un lien vers la dernière version publiée. De plus, une fenêtre d'alerte [23] demandera une confirmation de la part d'un utilisateur avant de procéder au téléchargement d'un exécutable lorsque celui-ci sera considéré comme suspicieux. Enfin, Google propose la mise en place d'une nouvelle fonction de sécurité au sein de la norme DNS. Baptisée DANE [24], cette évolution, fortement inspirée par DNSSEC et reposant sur celui-ci, permettra de spécifier au sein d'un enregistrement DNS l'autorité d'enregistrement habilité à "certifier" un site Internet.

- Cybercriminalité / Attaques :
De nouvelles informations ont été publiées par RSA [25] à la suite de l'attaque qu'a subie la société. D'après le communiqué de presse, la faille 0day ciblant le lecteur Flash récemment publié par Adobe serait le vecteur d'attaque principal. Pour rappel, celle-ci a récemment été corrigée par Adobe.

Un nouveau mode de fonctionnement a pu être observé dans le "petit" monde des packs d'exploitation avec l'arrivée de RoboPak Exploit Kit [26]. Après le SaaS (Software As A Service), le PaaS (Plateform As A Service) et et enfin l'IaaS (Infrastructure As A Service), ce nouveau venu sur la scène pirate introduit un nouveau mode de fonctionnement baptisé EaaS (Exploits As A Service). Ce n'est plus le logiciel qui est vendu, mais le service associé. Il est donc désormais possible d'acheter un droit d'utilisation du logiciel à la journée, à la semaine, voir au mois pour des tarifs peu élevés et fortement dégressifs.

Cette semaine, la société Epsilon [27] a reconnu officiellement avoir été victime d'un vol de données. Plusieurs millions d'adresses email ainsi que les noms des utilisateurs associés auraient ainsi été dérobés. Ces différentes informations pourraient être utilisées sous peu afin de lancer des campagnes de phishing de grande ampleur...

SpyEye et Zeus continuent d'évoluer. Le code source de Zeus [28] a été publié sur Internet sous la forme d'une archive protégée par mot de passe. De nombreux hackers tentent actuellement de bruteforcer celui-ci pour obtenir le code source. Cette publication engendrera potentiellement l'apparition de nombreuse variante du malware. SpyEye [29] de son côté reprend une fonction de Zeus. Cette version du malware ciblant les smartphones Symbian se voit ajouter une des nombreuses fonctionnalités de son concurrent Zeus permettant d'intercepter les mTANs (Mobile Transaction Authentification Number) envoyés par la banque par SMS. Grâce à cette information, les pirates sont en mesure de réaliser des transactions bancaires.

Une nouvelle campagne de spam pousse les internautes à installer la dernière version de certains logiciels Adobe [30]. Pour cela, et comme pour toute attaque de phishing, les victimes doivent au préalable fournir des informations personnelles...

- Entreprises :
Microsoft a annoncé la date de son prochain "Patch Tuesday" [31]. Mardi 12 avril seront publiés 17 bulletins de sécurité corrigeant pas moins de 64 vulnérabilités. Neuf d'entre eux sont jugés critiques; contre huit importants. Parmi les logiciels impactés : Microsoft Windows, Microsoft Office, Internet Explorer, Visual Studio, .NET Framework et enfin GDI+.

- XMCO :
XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0501
http://seclists.org/fulldisclosure/2011/Apr/38

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0515
http://samsclass.info/ipv6/proj/flood-router6a.htm

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0503
http://www.spinics.net/linux/lists/bugtraq/msg44386.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0537
http://www.hackersbay.in/2011/04/ie9-exploit-puts-windows-7-sp1-at-risk.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0533
https://www.sec-consult.com/files/20110407-0_libmodplug_stackoverflow.txt

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0505
http://www.zerodayinitiative.com/advisories/ZDI-11-113/

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0508
http://www-01.ibm.com/support/docview.wss?uid=swg27007951

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0516
http://developer.joomla.org/security/news/340-20110401-core-information-disclosure.html

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0517
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02776387

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0520
https://www.isc.org/software/dhcp/advisories/cve-2011-0997

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0523
http://www.kb.cert.org/vuls/id/648244

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0524
http://wordpress.org/news/2011/04/wordpress-3-1-1/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0528
http://www.apache.org/dist/httpcomponents/httpclient/RELEASE_NOTES-4.1.x.txt

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0535
http://www.redmine.org/news/53

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0536
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1492

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0502
http://www.spinics.net/linux/lists/bugtraq/msg44386.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0506
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12212/entry/modules/auxiliary/admin/zend/java_bridge.rb

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0512
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12236/raw/modules/exploits/windows/lotus/domino_icalendar_organizer.rb

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0504
http://www.net-security.org/secworld.php?id=10839

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0513
http://www.theregister.co.uk/2011/04/04/slaac_attack_microsoft_windows/

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0525
http://www.scmagazineus.com/number-of-reported-vulnerabilities-spiked-in-2010/article/199823/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0522
http://googleonlinesecurity.blogspot.com/2011/04/protecting-users-from-malicious.html

[23]
http://googleonlinesecurity.blogspot.com/2011/03/chrome-warns-users-of-out-of-date.html

[24]
http://googleonlinesecurity.blogspot.com/2011/04/improving-ssl-certificate-security.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0499
http://blogs.rsa.com/rivner/anatomy-of-an-attack/

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0509
http://www.kahusecurity.com/2011/robopak-exploit-kit

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0510
http://www.h-online.com/security/news/item/Millions-of-email-addresses-exposed-in-Epsilon-breach-1221307.html

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0521
http://www.net-security.org/malware_news.php?id=1681

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0518
http://www.h-online.com/security/news/item/Attacks-on-German-mTAN-banking-users-1222260.html

[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0519
http://www.net-security.org/secworld.php?id=10854

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0527
http://www.microsoft.com/technet/security/Bulletin/MS11-apr.mspx

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 21 au 27 mars

Thu, 14 Apr 2011 15:25:11 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Suite à la publication d'un code exploitant une vulnérabilité au sein du Flash Player (APSA11-01), le CERT-XMCO recommande l'installation des correctifs disponibles pour Flash Player (APSB11-05), Adobe Reader et Adobe Acrobat (APSB11-06).

* Résumé des évènements majeurs :
- Vulnérabilités :
Une faille de sécurité a été découverte au sein des concentrateurs VPN Cisco [1]. Ceux-ci réagissent différemment en fonction de la validité du groupe spécifié au sein des messages IKE. Cette erreur permettrait à un attaquant de mener une attaque de force brute afin de récupérer le nom du groupe.

Plusieurs autres vulnérabilités ont été découvertes au sein du serveur TFTP d'Avaya IP Office Manager [2], de RealPlayer, d'IBM Lotus Domino [3], d'HP Virtual SAN [4] et de l'iOS d'Apple [5]. L'exploitation de ces failles de sécurité permettrait à un attaquant de provoquer un déni de service voire de compromettre un système.

- Correctifs :
De multiples vulnérabilités ont été corrigées au sein de Mac OS X [6]. L'exploitation de celles-ci permettait à un attaquant de mener des attaques de type "Cross-Site Scripting", de voler des informations, d'élever ses privilèges, de provoquer un déni de service, voire de compromettre un système.

Une vulnérabilité critique a été corrigée au sein des logiciels Adobe (Flash, Reader et Acrobat) [7]. L'exploitation de celle-ci permettait à un attaquant distant de prendre le contrôle d'un système via l'ouverture d'un fichier spécialement formé. Cette vulnérabilité a été rapidement exploitée par des pirates.

Enfin, plusieurs vulnérabilités ont été corrigées au sein des logiciels Solaris [8] [9], Novell Netware [10], Symantec LiveUpdate Administrator [11], CATIA [12], VideoLan [13], Google Chrome [14] et de plusieurs applications Citrix [15].

- Exploits :
Un code d'exploitation permettant à un attaquant de prendre le contrôle d'un système via une vulnérabilité dans Novell Netware [16] a été publié. Celui-ci prend la forme d'un script Python et permet d'envoyer une commande FTP malicieuse dans le but de provoquer un débordement de tampon.

Un second exploit ciblant le serveur TFTP d'Avaya IP Office Managera [17] a été publié. En envoyant une requête spécialement conçue à la machine cible, le pirate est en mesure de provoquer un déni de service.

- Juridique :
Aux Pays-Bas, le piratage d'un routeur pour accéder à un réseau Wi-Fi n'est pas une infraction pénale [18]. En effet, un étudiant a été jugé pour avoir posté une menace de mort sur un forum après avoir piraté un routeur Wi-Fi pour masquer son identité. Cette affaire a abouti à une nouvelle jurisprudence. En s'appuyant sur des éléments de la loi datant du début des années 90, le juge a estimé que le routeur piraté par l'étudiant ne remplissait pas les trois critères caractérisant un ordinateur selon la justice néerlandaise. Le jeune accusé n'a donc pas été poursuivi pour "acte de piratage".

- Conférence / Recherche :
Des dizaines de codes d'exploitation et de preuves de concept ciblant des failles sur les systèmes SCADA (Supervisory Control And Data Acquisition) [19] ont été publiées cette semaine. Il semblerait qu'une société russe, se présentant comme spécialisée dans la sécurité des systèmes d'informations, ait lancé un kit d'exploitation regroupant les vulnérabilités dévoilées publiquement.

- Cybercriminalité / Attaques :
Pour la seconde fois en peu de temps, une application malveillante disponible pour les smartphones reposant sur Androïd et exploitant une vulnérabilité connue a été découverte [20]. Celle-ci était en mesure d'élever ses privilèges afin d'installer une porte dérobée sur le système et d'accéder au compte administrateur. Google a supprimé l'application de l'Androïd Market et a enclenché un processus de suppression automatique de l'application sur tous les téléphones infectés.

Neuf certificats frauduleux [21] visant les sites internet de plusieurs grandes sociétés telles que Google, Yahoo, ou encore Skype ont été délivrés la semaine dernière par une autorité de certification racine appelée Comodo. Les attaquants ont eu accès à un compte utilisateur de la RA (Registration Authority) par des moyens non déterminés. Ces certificats pourraient être utilisés dans des attaques de type "Man-in-the-Middle" sur une connexion protégée par le protocole SSL. Les principaux éditeurs de navigateurs Web ont été avertis et ont mis à jour leur liste de révocation.

La Commission Européenne a été victime d'une attaque informatique de grande ampleur deux jours avant le sommet de Bruxelles [22]. Les dirigeants devaient s'intéresser au sort de la Libye, aux opérations militaires menées actuellement, ainsi qu'à la sûreté du nucléaire en Europe depuis les incidents survenus au Japon. Un porte-parole de la Commission a déclaré que seuls quelques services ont été affectés. Il semblerait que les pirates aient envoyé des courriels contenant un fichier malveillant en pièce jointe pour pénétrer à l'intérieur du système d'informations.

- Vie privée :
Research In Motion (RIM) vient de mettre à disposition de ses clients privés européens l'application BlackBerry Protect [23]. Celle-ci permet aux utilisateurs de protéger leur smartphone de la même manière que les entreprises peuvent le faire avec le BlackBerry Enterprise Server. Cette application permet au propriétaire du téléphone de sauvegarder ses contacts, son calendrier, ses tâches, ses notes, ses signets et ses SMS. Ces données sauvegardées peuvent ensuite être restaurées sur le smartphone d'origine ou sur un nouvel appareil BlackBerry. D'autres services, également disponibles, permettent de localiser son smartphone si celui-ci a été égaré, d'effacer toutes les données et de verrouiller le téléphone à distance.

XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0441
http://www.cisco.com/en/US/products/products_security_response09186a0080b5992c.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0451
http://dl.packetstormsecurity.net/1103-exploits/avayaipom-dos.txt

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0438
http://www.zerodayinitiative.com/advisories/ZDI-11-110/

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0450
http://www.zerodayinitiative.com/advisories/ZDI-11-111/

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0442
http://www.zerodayinitiative.com/advisories/ZDI-11-109/

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0432
http://support.apple.com/kb/HT4581

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0431
http://www.adobe.com/support/security/bulletins/apsb11-06.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0428
http://blogs.sun.com/security/entry/cve_2010_3814_buffer_overflow

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0429
http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_libpng

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0426
http://www.zerodayinitiative.com/advisories/ZDI-11-106/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0436
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110321_00

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0444
http://www-01.ibm.com/support/docview.wss?uid=swg1HE02859

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0445
http://www.coresecurity.com/content/vlc-vulnerabilities-amv-nsv-files

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0449
http://googlechromereleases.blogspot.com/2011/03/stable-channel-update.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0456
http://support.citrix.com/article/CTX128366

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0427
http://www.zerodayinitiative.com/advisories/ZDI-11-106/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0452
http://dl.packetstormsecurity.net/1103-exploits/avayaipom-dos.txt

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0430
http://news.techworld.com/mobile-wireless/3266058/hacking-wireless-network-routers-no-longer-illegal-in-holland/?olo=rss

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0439
http://hackingexpose.blogspot.com/2011/03/attack-code-for-scada-vulnerabilities.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0440
http://www.net-security.org/malware_news.php?id=1672&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0443
http://www.microsoft.com/technet/security/advisory/2524375.mspx

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0446
http://www.euractiv.com/en/future-eu/cyber-attack-european-commission-reported-news-503461

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0437
http://www.h-online.com/security/news/item/BlackBerry-Protect-now-available-in-Europe-1211456.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 14 au 18 mars

Thu, 21 Mar 2011 15:24:05 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Suite à la publication d'un code exploitant la vulnérabilité "Java codebase trust", le CERT-XMCO recommande une fois de plus l'installation du correctif publié par Oracle dans le bulletin JavaCpuFeb2011 le mois dernier.
Par ailleurs, une vulnérabilité 0day critique affectant Adobe Reader a été publiée. Adobe a réagi en publiant un correctif le lundi 21 mars. Le CERT-XMCO recommande d'installer ce correctif.

* Résumé des évènements majeurs :
- Vulnérabilités :
Adobe a annoncé mardi dernier, la découverte d'une vulnérabilité 0day critique dans Adobe Flash et Reader [1]. Cette vulnérabilité peut être exploitée pour prendre le contrôle à distance d'un système implémentant un de ces deux logiciels. Des attaques exploitant celle-ci ont déjà été identifiées sur Internet : un fichier Excel (.XLS) malveillant dans lequel serait contenue une animation Flash, spécialement conçue, serait envoyé par email à de nombreux internautes. Seul Flash Player serait actuellement pris pour cible par les pirates. Adobe a annoncé qu'un correctif sera publié durant la semaine du 21 mars. Le CERT-XMCO recommande de se préparer au déploiement de se correctif et de redoubler de vigilance lors de la réception de pièce jointe.

Une vulnérabilité a été découverte au sein du navigateur Internet utilisé sur les smartphones BlackBerry [2]. L'exploitation de celle-ci permet à un attaquant de prendre le contrôle d'un smartphone reposant sur la version 6.0 du logiciel BlackBerry Device Software. La faille de sécurité serait liée à la gestion des styles CSS au sein de Webkit.

Une vulnérabilité a été découverte sur la machine virtuelle Java installée avec Novell Access Manager [3]. La faille de sécurité provient d'un problème de conversion entre deux types de données permettant à un attaquant de provoquer un déni de service.

- Correctifs :
De multiples vulnérabilités on été corrigées au sein de SAP Crytal Reports 2008 [4], SAP NetWeaver [5], SAP GUI [6], VMware vCenter [7], HP Client Automation Enterprise [8], IBM Lotus Quickr [9], Asterisk Open Source [10], Kerberos [11], RSA Access Manager Server [12], et enfin Flash Player sur Solaris [13].

- Exploits :
Une preuve de concept exploitant l'une des vulnérabilités affectant les versions inférieures à Java 6 Update 24 a été publiée [14]. Cette dernière, intégrée au sein du framework d'exploitation Metasploit pourrait donc prochainement être utilisée par des pirates afin de prendre le contrôle d'un système.

Un code d'exploitation permettant d'élever ses privilèges au sein du Runtime .Net sur un système Windows a été publié [19]. Celle-ci permet de modifier le fichier, et force le système à exécuter des commandes arbitraires. Un compte local est néanmoins nécessaire pour pouvoir exploiter cette vulnérabilité.

De nombreux autres exploits ont été publiés cette semaine. Ces codes d'exploitation ciblent des vulnérabilités de Foxit Reader [15], HP OpenView Performance Insight Server [16], Adobe ColdFusion [17], et enfin ActiveX RealPlayer [18].

-Actualité :
La nouvelle version de la célèbre tablette tactile d'Apple, sortie le 11 mars dernier, a tenu 3 jours après sa sortie avant d'être jailbreakée [20]. Le hacker Comex a réussi à contourner les diverses protections de la version 4.3 du système d'exploitation iOS. Il semblerait que la vulnérabilité exploitée soit située en espace utilisateur ("User Land").

- Cybercriminalité / Attaques :
Le botnet Rustock [21], responsable d'une importante quantité de spams, semblerait avoir arrêté son émission le 16 mars 2011 à 15h. Ce dernier représentait parfois à lui seul la moitié du spam enregistré par certains chercheurs.

Le célèbre fournisseur de solutions de sécurité, RSA [22], a récemment été victime d'une attaque particulièrement sophistiquée. D'après les premiers éléments découverts, des informations sensibles relatives système d'authentification forte RSA SecurID auraient ainsi été volées. Parmi les informations que les pirates auraient pu récupérés, figurent les graines utilisées par RSA SecurID pour la génération des 6 chiffres aléatoires par le token RSA, ou encore le code source de la solution RSA SecurID. Les attaquants pourraient prédire les chiffres générés par les tokens, réduisant ainsi le niveau de sécurité de l'authentification de l'entreprise victime, ou avoir toutes les cartes en main afin de trouver des vulnérabilités exploitables.

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0397
http://www.adobe.com/support/security/advisories/apsa11-01.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0402
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB26132

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0415
http://www.novell.com/support/viewContent.do?externalId=7008129

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0394
https://service.sap.com/sap/support/notes/1509610

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0395
http://dsecrg.com/pages/vul/show.php?id=309

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0393
https://service.sap.com/sap/support/notes/1511179

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0398
http://www.vmware.com/security/advisories/VMSA-2011-0005.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0399
https://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02750690

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0416
https://www-304.ibm.com/support/docview.wss?uid=swg27013341

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0409
http://downloads.asterisk.org/pub/security/AST-2011-003.html

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0403
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2011-003.txt

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0408
http://archives.neohapsis.com/archives/bugtraq/2011-03/att-0148/ESA-2011-009.txt

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0389
http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_adobe_flash2

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0406
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11982/entry/modules/exploits/windows/browser/java_codebase_trust.rb

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0390
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11952/entry/modules/exploits/windows/fileformat/foxit_reader_filewrite.rb

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0404
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11969/entry/modules/exploits/windows/http/hp_openview_insight_backdoor.rb

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0405
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11974/entry/modules/exploits/windows/http/coldfusion_traversal.rb

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0419
https://www.metasploit.com/redmine/projects/framework/repository/revisions/12009/entry/modules/exploits/windows/browser/realplayer_cdda_uri.rb

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0391
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11904/entry/modules/post/windows/escalate/net_runtime_modify.rb

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0396
http://ipad-apple.fr/jailbreak-ipad/jailbreak-ipad-2-cest-deja-fait/346

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0413
http://labs.m86security.com/2011/03/rustock-down/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0417
http://www.rsa.com/node.aspx?id=3872

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 7 au 13 mars

Thu, 14 Mar 2011 15:21:46 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation du correctif MS11-015 [1] qui corrige deux failles de sécurité au sein du framework Windows Media. L'ouverture d'un fichier spécialement conçu permettrait de prendre le contrôle d'un système à distance.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une faille de sécurité a été découverte au sein d'Internet Explorer [2]. Son exploitation permettait de tromper un utilisateur en menant une attaque de "spoofing" afin de manipuler l'adresse de la page visitée.

- Correctifs :
Microsoft a publié trois correctifs dans le cadre de son "Patch Tuesday" [3] du mois de mars. Ceux-ci sont relatifs au framework Windows Media (MS11-015) [1], à Groove (MS11-016) [4], ainsi qu'au Client Bureau à distance (MS11-017) [5]. L'exploitation des 4 quatre failles de sécurité permettrait de prendre le contrôle d'un système à distance via l'ouverture d'un fichier spécialement conçu. Le CERT-XMCO recommande l'installation du correctif MS11-015.

De nombreux autres correctifs ont été publiés cette semaine pour VMware ESX(i) [6], Postfix [7], Tomcat [8], Safari [9], Java pour Mac OS X [10], l'iOS d'Apple [11], et enfin Joomla! [12].

Google Chrome [13] a aussi été mis à jour. La version 10.0.648.127 corrige de nombreuses failles. Celle-ci apporte une nouvelle fonction de sécurité : la mise en place du bac à sable du lecteur Flash intégré au logiciel qui devrait complexifier l'exploitation de vulnérabilités.

- Exploits :
Un code d'exploitation permettant d'élever ses privilèges sur un système Windows a été publié [14]. La définition de droits d'accès trop peu restrictifs à l'exécutable correspondant au service ".Net Runtime Optimization Service" permettait de modifier le fichier, et ainsi qu'à forcer le système à exécuter des commandes arbitraires. Un compte local est, néanmoins, nécessaire pour pouvoir exploiter cette vulnérabilité.

Un second exploit a été publié. Celui-ci cible le contrôle ActiveX utilisé au sein de la solution Novell iPrint Client [15]. L'exploitation de cette faille permet à un pirate de prendre le contrôle d'un système à distance en incitant simplement un internaute à visiter un site spécialement conçu.

- Cybercriminalité / Attaques :
L'ANSSI a révélé cette semaine que le système d'information de Bercy, le ministère de l'Économie et des Finances, a été attaqué [16]. Les pirates auraient réussi à prendre le contrôle de 150 systèmes en envoyant des courriels piégés à l'aide de Chevaux de Troie. L'attaque durait depuis le mois de décembre. L'ANSSI était à pied d'oeuvre depuis janvier pour colmater les brèches et identifier les commanditaires de ce piratage.
En fin de semaine, des documents comportant de nombreuses informations sensibles sur le SI du Ministère des Affaires Étrangères et Européennes a été publié par le Ministère en question. Les documents publiés décrivent en détail le Système d'Informations du Ministère. Ceux-ci ont été publiés dans le cadre d'une consultation publique relative à la définition, au pilotage et au renforcement de la sécurité des SI du Ministère.

Un développeur a publié "K0de Sploit Pack" [17], un pack d'exploitation dérivé du célèbre Eleonore en "Open Source". Celui-ci proposerait des améliorations lui permettant d'être plus efficace dans la compromission des systèmes d'exploitation au travers d'un navigateur vulnérable. Le pirate aurait demandé l'aide des internautes afin de poursuivre les améliorations apportées à K0de Sploit Pack.

Un nouveau Banker vient de faire son apparition. Tatanga [18] possède plusieurs fonctionnalités évoluées qui feront peut-être de lui un concurrent aux célèbres Zeus et SpyEye.

Par ailleurs, Zeus [19] continue d'évoluer alors que l'arrêt du développement avait été annoncé récemment. Après avoir été adapté pour Symbian et Windows Mobile, le malware fait désormais son apparition sur BlackBerry.

- Conférence / Recherche :
Le fameux chercheur Jon Oberheide a publié les résultats d'une étude sur une faille de type "Cross-Site Scripting" (XSS) au sein de l'Androïd Market [20]. Si celui-ci n'avait pas informé Google de son existence, le chercheur aurait été capable de prendre le contrôle d'un smartphone à distance en incitant simplement un internaute à cliquer sur un lien le dirigeant vers le site en question.

Par ailleurs, le concours en question se déroulait en fin de semaine. Pwn2Own [21] aura vu Internet Explorer 8 sur Windows 7 tombé dès le premier jour. Le vainqueur a exploité pour cela, pas moins de 3 failles de sécurité différentes ! Safari sur Mac OS n'aura pas résisté plus longtemps, contrairement à Firefox et Google Chrome.

- Entreprises :
Après l'épisode "DroidDream" de la semaine précédente au cours duquel Google avait dû supprimer un grand nombre d'applications malveillantes de son Androïd Market, le géant de la recherche a souhaité prendre d'autres mesures réparatrices. Google [22] a ainsi utilisé son "kill switch" pour supprimer à distance et sans confirmation les applications malveillantes des smartphones de ses clients. L'éditeur a, ensuite, poussé vers les appareils concernés une mise à jour permettant de les débarrasser du malware résiduel. Kaspersky [23] a réagi en dénonçant les techniques utilisées par Google pour réaliser cela : en effet, la mise à jour se comporte de la même façon qu'un malware. Une faille de sécurité est exploitée afin d'obtenir les privilèges SYSTEM, permettant de supprimer le malware, puis de s'auto-supprimer. Au final, le mal est partiellement réparé puisque la faille est toujours exploitable. Un autre malware [24] a d'ailleurs fait son apparition en fin de semaine. Celui-ci se faisait passer pour la mise à jour de Google, et était présent sur des sites alternatifs à l'Androïd Market officiel.

Enfin, XMCO a récemment publié le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, etc.
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0364
http://www.microsoft.com/technet/security/bulletin/ms11-015.mspx

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0354
http://archives.neohapsis.com/archives/fulldisclosure/2011-03/0072.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0344
https://www.microsoft.com/technet/security/bulletin/ms11-mar.mspx

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0365
http://www.microsoft.com/technet/security/bulletin/ms11-016.mspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0366
http://www.microsoft.com/technet/security/bulletin/ms11-017.mspx

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0355
http://www.vmware.com/security/advisories/VMSA-2011-0004.html

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0359
http://www.postfix.org/CVE-2011-0411.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0371
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.10_%28released_8_Mar_2011%29

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0372
http://support.apple.com/kb/HT4566

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0374
http://support.apple.com/kb/HT4562

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0377
http://support.apple.com/kb/HT4564

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0378
http://www.joomla.org/announcements/release-news/5350-joomla-161-released.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0369
http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0361
http://www.exploit-db.com/exploits/16940/

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0348
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11886/entry/modules/exploits/windows/browser/novelliprint_getdriversettings_2.rb

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0350
http://www.parismatch.com/Actu-Match/Societe/Actu/Affaire-d-espionnage-a-Bercy-par-des-hackers-et-des-sites-chinois-258213/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0381
http://labs.m86security.com/tag/k0de/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0360
http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0363
https://threatpost.com/en_us/blogs/zeus-malware-not-dead-yet-new-features-being-added-030411

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0362
http://jon.oberheide.org/blog/2011/03/07/how-i-almost-won-pwn2own-via-xss/

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0373
http://www.zdnet.com/blog/security/pwn2own-2011-ie8-on-windows-7-hijacked-with-3-vulnerabilities/8367

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0349
http://googlemobile.blogspot.com/2011/03/update-on-android-market-security.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0375
http://www.h-online.com/open/news/item/Kaspersky-Google-s-handling-of-Android-malware-is-debatable-1204523.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0384
http://www.theregister.co.uk/2011/03/10/trojan_mimics_android_clean_up_tool/

[VEILLE] [SECURITE] Avis d'expert : semaine du 28 f�vrier au 6 mars

Mon, 07 Mar 2011 16:07:31 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Une vulnérabilité a été découverte au sein de l'utilitaire "crontab" sur FreeBSD [1]. L'exploitation de cette faille de sécurité permet d'obtenir des informations potentiellement sensibles.

- Correctifs :
Plusieurs failles de sécurité ont été corrigées cette semaine au sein des logiciels suivants : Citrix Secure gateway [2], Samba [3], Google Chrome [4], Firefox [5] et Thunderbird [6], VSFTPD [7] et iTunes [8].

- Exploits :
Un code d'exploitation ciblant la faille corrigée au sein de Windows par le correctif MS11-011 a été publié cette semaine. Celui-ci permet d'élever localement ses privilèges [9].

Un autre code d'exploitation ciblant le serveur FTP VSFTPD [10] permet de provoquer un déni de service à distance.

Enfin, un dernier code d'exploitation a été publié au sein du framework d'exploitation Metasploit cible la solution Citrix Access Gateway [11] et permet de prendre le contrôle d'un système distant.

- Cybercriminalité / Attaques :
Le site institutionnel de la bourse de Londres a été utilisé pour propager des malwares [12]. Plus précisément, des bannières publicitaires malveillantes étaient servies par un publicitaire peu scrupuleux en charge de monétiser les visites effectuées sur le site en question...

L'unité "Dedicated Cheque and Plastic Crime Unit", composée d'agents de la Metropolitan Police, de la City of London Police ainsi que d'experts en cartes à puce, a constaté une augmentation du phénomène de "skimming" sur les automates de vente de tickets dans les stations de trains de Londres [13]. Les usagers du métro et du train de Londres sont donc poussés à être très vigilants lors des achats de titres de transport...

21 applications ont été supprimées de l'Androïd Market après qu'un malware surnommé "DroidDream" ait été découvert dans les paquets [14]. Le cheval de Troie était relativement abouti et permettait aussi bien de dérober des informations personnelles que d'installer d'autres malwares.

- Conférence / Recherche :
ThunderBolt [15], une nouvelle technologie qui vient de faire son apparition sur les derniers Mac montre bien l'absence d'intérêt des constructeurs pour la sécurité... En effet, bien que tout récent, ce protocole repose sur d'anciennes fondations techniques (comme la DMA) qui sont reconnues depuis longtemps comme dangereuses.

Plan B [16], une nouvelle application, est disponible pour Androïd. Celle-ci est installable à distance et permet, après une perte ou un vol, de verrouiller un smartphone à distance, voire de le retrouver.

- Entreprises :
Tout comme de nombreuses autres sociétés internationales, la banque d'investissement Morgan Stanley [17] aurait été victime de l'opération Aurora au début de l'année 2010. Cette information a été découverte dans les données dérobées à la société HBGarry.

Microsoft a annoncé la date de son prochain "Patch Tuesday" [18]. Mardi 8 mars seront publiés 3 bulletins : un des bulletins relatif à une vulnérabilité présente au sein de Windows est jugé "critique" par l'éditeur. Les deux autres sont liés à Windows ainsi qu'à Office et sont jugés "important".

Enfin, XMCO a publié le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Nous vous rappelons aussi que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0315
http://seclists.org/fulldisclosure/2011/Feb/660

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0311
http://support.citrix.com/article/CTX128168

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0314
http://samba.org/samba/security/CVE-2011-0719.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0320
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_28.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0323
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.14

[6]
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.8

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0327
http://securityreason.com/achievement_securityalert/95

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0335
http://support.apple.com/kb/HT4554

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0318
http://www.exploit-db.com/exploits/16262/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0328
http://securityreason.com/achievement_securityalert/95

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0341
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11873/entry/modules/exploits/unix/webapp/citrix_access_gateway_exec.rb

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0313
http://www.securityweek.com/london-stock-exchange-web-site-serving-malware

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0321
http://www.theregister.co.uk/2011/03/01/card_skim_grows/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0334
http://blog.mylookout.com/2011/03/security-alert-malware-found-in-official-android-market-droiddream/

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0312
http://isc.sans.edu/diary.html?storyid=10456

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0336
http://www.h-online.com/security/news/item/Android-in-emergencies-refer-to-Plan-B-1201478.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0316
http://www.theregister.co.uk/2011/03/01/morgan_stanley_aurora_attacks/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0344
https://www.microsoft.com/technet/security/bulletin/ms11-mar.mspx

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 21 au 27 f�vrier

Wed, 02 Mar 2011 14:22:24 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs Cisco ASA [1] et FWSM [2] publiés cette semaine.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une vulnérabilité au sein de la fonction "grapheme_extract()" du moteur PHP a été découverte [3]. Son exploitation permettrait de provoquer un déni de service.
Une autre faille de sécurité a été découverte au sein de la solution Citrix Licensing [4]. Celle-ci permettrait aussi de provoquer un déni de service, voire de contourner certaines restrictions de sécurité.

- Correctifs :
De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels vulnérables mis à jour : l'antivirus ClamAV [5], Asterisk [6], le serveur DNS Bind [7], Cisco ASA [1], FWSM [2] et Telepresence [8], le composant Microsoft Malware Protection Engine [9] utilisé par les différentes solutions antivirales de l'éditeur, le lecteur de fichier PDF Foxit Reader [10], Novell Netware [11] et enfin le contrôle ActiveX fourni avec CA Internet Security Suite [12].

- Exploits :
Un exploit ciblant le célèbre navigateur Internet Firefox [13] de la Fondation Mozilla a été publié au sein du framework d'exploitation Metasploit. La faille utilisée a été corrigée au mois d'octobre 2010 lors de la publication du bulletin MFSA2010-73 et de la version 3.6.12 du logiciel. Son exploitation permettait à un pirate de prendre le contrôle d'un système vulnérable en incitant simplement un internaute à visiter une page spécialement conçue.

De nombreux autres codes d'exploitation ont été publiés cette semaine pour Lotus Domino [14], pour Novell ZENworks [15], iPrint Server [16] et Netware [17]. Ceux-ci permettent de provoquer des dénis de service à distance, mais pourraient être modifiés pour prendre le contrôle d'un système vulnérable.

- Cybercriminalité / Attaques :
La dernière variante du malware "Spy.Felxispy" aurait infecté plus de 150 000 smartphones en Chine, tous reposants sur le système d'exploitation Symbian [18]. Ce malware aurait la capacité d'écouter les conversations d'un utilisateur en activant discrètement la fonction de "Conference Call" lorsqu'un appel serait intercepté. Le malware serait aussi en mesure d'activer le micro à distance, et de voler les messages reçus et émis depuis le téléphone infecté afin d'espionner une victime.

Un autre virus a été découvert cette semaine. Comme de nombreux autres malwares, "OddJob" est destiné à détourner la session d'un utilisateur visitant son compte bancaire en ligne [19]. Sa particularité est qu'il intercepterait les requêtes de déconnexion d'un utilisateur, afin de maintenir ainsi la session active, autorisant ainsi les cybercriminels à vider le compte bancaire de la victime alors que celle-ci pense être déconnectée.

- Conférence / Recherche :
Selon une étude intitulée "The Cost of Cyber Crime" publiée conjointement par le gouvernement britannique et l'industrie, le cybercrime coûterait chaque année 27 milliards de livres au Royaume-Uni (2 % du PIB !) [20]. Selon certains chercheurs, les chiffres avancés ne refléteraient pas la réalité. Néanmoins, l'effort fait pour mesurer les coûts du cybercrime et l'encouragement fait aux victimes à rapporter le préjudice subit sont des points très positifs à ne pas négliger.

- Entreprises :
Microsoft a publié la version finale du Service Pack 1 des systèmes d'exploitation Windows 7 et Windows Server 2008 R2 [21]. L'installation de ce SP apporterait des correctifs pour plus de 780 bogues ainsi que plusieurs améliorations de sécurité. Plusieurs versions sont disponibles en fonction du moyen d'installation et du type de plateforme matérielle utilisée.

- Internationnal :
Après la France, c'est au tour des Pays-Bas de publier sa stratégie en matière de cybersécurité [22]. Tout comme dans le cas français, la cybersécurité est présentée comme un enjeu majeur pour l'avenir de la société et pour le développement économique du pays. L'objectif recherché par le NCSC (National Cyber Security Centre) et par le CERT national Govcert.nl est la création de forts liens de coopération entre les différents acteurs composant le paysage de la société néerlandaise jouant un rôle dans le domaine de la sécurité.

L'Asie, sous la responsabilité de l'APCERT (Asia Pacific Computer Emergency Response Team), vient de réaliser un test grandeur nature de sa capacité à répondre à une cyber-attaque massive ciblant, entre autres, ses systèmes critiques [23]. Comme pour les États-Unis avec la simulation CyberStorm 3, puis l'Europe avec CYBER EUROPE 2010, l'objectif était de tester les liens de communication existants entre les 20 équipes réparties dans les 15 pays participants, ainsi que les procédures de réaction mises en place.

L'affaire Wikileaks [24] continue de suivre son cours. Vendredi, la justice anglaise a autorisé l'extradition de Julian Assange vers la Suède où il serait appelé à comparaître dans un procès pour des viols que le prévenu réfute. Assange dispose désormais d'une semaine pour faire appel de cette décision, ce que ses avocats prévoient faire. Le fondateur de Wikileaks pourrait risquer une nouvelle extradition vers les États-Unis où il risquerait la prison à vie, voire la peine de mort.

Enfin, XMCO a publié cette semaine le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, ...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0285
http://www.cisco.com/warp/public/707/cisco-sa-20110223-asa.shtml

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0288
http://www.cisco.com/warp/public/707/cisco-sa-20110223-fwsm.shtml

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0279
http://securityreason.com/securityalert/8087

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0286
http://support.citrix.com/article/CTX128167

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0274
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2486

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0275
http://downloads.asterisk.org/pub/security/AST-2011-002.html

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0277
https://www.isc.org/software/bind/advisories/cve-2011-0414

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0294
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-cts.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-ctsman.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-ctms.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-ctrs.shtml

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0290
http://www.microsoft.com/technet/security/advisory/2491888.mspx

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0306
http://secunia.com/secunia_research/2011-14/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0291
http://download.novell.com/Download?buildid=1z3z-OsVCiE~

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0293
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={53A608DF-BFDB-4AB3-A98F-E4BB6BC7A2F4}

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0276
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11773/entry/modules/exploits/windows/browser/mozilla_interleaved_write.rb

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0267
http://www.securityfocus.com/bid/46231

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0268
http://packetstormsecurity.org/files/view/98587

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0269
http://www.exploit-db.com/exploits/16192/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0296
http://www.exploit-db.com/exploits/16234/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0284
http://www.net-security.org/malware_news.php?id=1640

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0289
http://www.scmagazineus.com/trojan-steals-session-ids-bypasses-logout-requests/article/196816/

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0270
http://www.h-online.com/security/news/item/Report-cybercrime-costs-UK-economy-Lb27-billion-per-year-1192970.html

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0281
http://nakedsecurity.sophos.com/2011/02/23/windows-7windows-2008-r2-service-pack-1-officially-launched/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0282
http://www.govcert.nl/english/service-provision/knowledge-and-publications/factsheets/national-cyber-security-strategy-launched.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0280
http://www.apcert.org/documents/pdf/Drill2011_PressRelease.pdf

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0305
http://www.theregister.co.uk/2011/02/24/julian_assange_wikileaks_extradition_hearing/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[XMCO] [ACTUSECU] ACTUSECU #27 : Stuxnet : analyse, mythes et r�alit�s

Mon, 28 Feb 2011 12:34:43 GMT+1

Information	Valeur
Titre	ACTUSECU #27 : Stuxnet : analyse, mythes et réalités
Date	28 Fevrier 2011
Description	Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement à l'adresse suivante : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html Au sommaire du numéro 27 "Stuxnet : analyse, mythes et réalités" : - Stuxnet : dossier complet en deux parties sur LE malware de l'année 2010. - La vulnérabilité Keyboard Layout : analyse d'une des vulnérabilités d'élévation de privilèges utilisée par Stuxnet (MS10-073). - L'actualité du moment : Top 10 des techniques de hacking, 0day IE, GS Days, ProFTPD... - Les blogs, logiciels et extensions : IMA, VMware Compliance Checker, Twitter et le blog de m_101. Bonne lecture !!!
Id XMCO Partners	CXA-2011-0308
Lien extranet XMCO Partners	https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0308

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmco.fr - Jan/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 7 au 13 f�vrier

Tue, 15 Feb 2011 17:45:26 GMT+1

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 31 janvier au 6 f�vrier

Fri, 11 Feb 2011 14:15:13 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Microsoft [1] et Adobe [2] ont annoncé la parution le 8 février de plusieurs correctifs pour Windows, Internet Explorer, Office, IIS, Adobe Reader et enfin Acrobat.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une faille de sécurité a été découverte au sein de IIS 6 [3]. En créant un dossier portant l'extension ".ASP", et en y plaçant un fichier contenant du code ASP mais dont l'extension ne correspond pas à ce type de fichier (ie ".JPG", ".GIF", ...), un pirate peut compromettre un serveur en forçant le serveur à exécuter le code ASP contenu dans le fichier.

- Correctifs :
De multiples failles de sécurité ont été corrigées dans VLC [4], DB2 [5], Exim [6], Cisco WebEx [7] et Cisco Tandberg [8], PostgreSQL [9], Symantec IM Manager [10], et enfin Google Chrome [11].

- Exploits :
Deux codes d'exploitation ciblant VLC [12] et Tomcat [13] ont été publiés. Le premier permet d'exploiter la faille "MKV", récemment corrigée, afin de prendre le contrôle d'un système ; alors que le second permet de provoquer un déni de service d'un serveur Tomcat via l'envoi d'une requête spécialement conçue.

- Cybercriminalité / Attaques :
Un nouveau type de skimmer a été découvert dans la nature [14]. Pour s'adapter à la vigilance accrue des utilisateurs de carte bancaire lorsqu'ils s'approchent d'un automate, les pirates ont modifié leur façon de procéder. Au lieu de placer leurs outils directement sur les distributeurs automatiques de billets, les pirates piègent les lecteurs de carte bancaire présents à l'entrée des sas, et y placent une caméra derrière le DAB.

La bourse de Londres et un établissement américain homologue ont amorcé des enquêtes à la suite des attaques (peut-être terroriste) qui auraient conduit à la chute du cours des actions de plusieurs entreprises l'été dernier [15].

Un pirate anglais est actuellement jugé pour avoir dérobé 400 milliards de jetons (virtuels) de poker sur le site de jeux en ligne Zynga [16]. Selon l'éditeur, cela représenterait l'équivalent de 12 millions de dollars... En les revendant, dans leur totalité, au marché noir, le pirate n' aurait touché que 300 000 dollars...

Le botnet Waledac semble plus que jamais être de retour sur le devant de la scène pirate [17]. Des chercheurs ont découvert que le botnet utilisait une liste de 500 000 comptes email dérobés afin de contourner les protections reposant sur des listes noires d'adresses IP...

La société AV-Test a enregistré la semaine dernière le 50 millionième exemplaire de malware dans sa base de données [18]. Le chiffre annoncé par AV-Test peut être trompeur, car il correspond au nombre d'échantillons uniques. Ce chiffre impressionnant reflète, néanmoins, l'activité importante dans le domaine du développement de malwares.

Le code source d'une version bêta de l'antivirus Kaspersky Internet Security 8.0 a été divulgué [19]. L'auteur de la fuite, un ex-employé de l'éditeur, est actuellement en prison. La société était au courant de la distribution du code source sur les forums privés depuis le mois de novembre 2010.

- Conférence / Recherche :
Les règles de l'édition 2011 du concours Pwn2Own [20] ont été rendues publiques. Comme l'an passé, les navigateurs et les smartphones seront soumis aux attaques des chercheurs qui pourront gagner de nombreux prix, pour un montant total de plus de 120 000 dollars...

Dans le cadre de la dernière édition de la ShmooCon, un chercheur a présenté un nouveau concept de botnet contrôlé entièrement par SMS [21].

Des chercheurs ont découvert une faille de sécurité au sein du système de gestion de mot de passe d'Amazon [22]. Le site utilisait probablement la fonction "crypt()" puisqu'il souffrait des mêmes faiblesses. Les mots de passe de plus de 8 caractères étaient tronqués. De plus, le système était insensible à la casse...

- Entreprises :
Microsoft [1] a annoncé la date de son prochain "Patch Tuesday". Le 8 février prochain sont attendus 12 bulletins de sécurité corrigeant 22 vulnérabilités. Par ses 3 bulletins jugés "critique" et les 9 bulletins "important", Microsoft a, entre autres, prévu de corriger les dernières failles 0day (import de CSS et prévisualisation) ainsi que la faille touchant le serveur FTP de IIS.

Dans la foulée, Adobe [2] a emboité le pas de Microsoft et a annoncé la parution, le même jour, de son bulletin APSB11-03 qui proposait des mises à jour critiques pour Reader et Acrobat.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0159
http://blogs.technet.com/b/msrc/archive/2011/02/03/advance-notification-service-for-the-february-2011-security-bulletin-release.aspx

[2]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0161
http://blogs.adobe.com/psirt/2011/02/prenotification-quarterly-security-updates-for-adobe-reader-and-acrobat-2.html

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0137
http://securitylab.ir/blog/dl/Microsoft-IIS6-parsing-directory-Vulnerability.pdf

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0134
http://www.videolan.org/security/sa1102.html

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0139
http://www.ibm.com/support/docview.wss?uid=swg21426108

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0140
http://lists.exim.org/lurker/message/20110126.034702.4d69c278.en.html

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0143
http://www.coresecurity.com/content/webex-atp-and-wrf-overflow-vulnerabilities

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0155
http://www.cisco.com/warp/public/707/cisco-sa-20110202-tandberg.shtml

[9]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0144
http://www.postgresql.org/about/news.1289

[10]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0145
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110131_00

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0163
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update.html

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0147
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11692/entry/modules/exploits/windows/browser/vlc_webm.rb

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0148
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11634/entry/modules/auxiliary/dos/http/apache_tomcat_transfer_encoding.rb

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0153
http://krebsonsecurity.com/2011/01/atm-skimmers-that-never-touch-the-atm/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0142
http://www.theregister.co.uk/2011/01/31/london_stock_exchange_attack/

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0154
http://www.allfacebook.com/hacker-steals-12-million-in-zynga-poker-chips-2011-02

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0151
https://threatpost.com/en_us/blogs/research-reveals-huge-cache-ftp-email-credentials-stolen-waledac-020211

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0138
http://www.h-online.com/security/news/item/50-million-viruses-and-rising-1178664.html

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0133
http://news.softpedia.com/news/Former-Kaspersky-Employee-Responsible-for-Leaked-Source-Code-181367.shtml

[20]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0152
http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0141
http://www.zdnet.com/blog/security/researcher-demos-sms-based-smartphone-botnet/8031

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0135
http://www.wired.com/threatlevel/2011/01/amazon-password-problem/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 24 au 30 janvier

Wed, 02 Feb 2011 11:45:50 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation de la dernière version d'Opéra (11.01) [1] à la suite de la correction d'une faille de sécurité critique qui pouvait être exploitée afin de prendre le contrôle d'un système distant.
Le CERT-XMCO recommande aussi la mise en place de la solution de contournement proposée par Microsoft relative à la gestion du protocole MHTML [2]. L'exploitation de cette faille de sécurité permet de mener une attaque similaire à une attaque de "Cross-Site Scripting" (XSS).

* Résumé des évènements majeurs :
- Vulnérabilités :
Microsoft a publié, à la fin de la semaine, son bulletin de sécurité KB2501696 [2]. Ce dernier concerne la gestion du protocole MHTML. L'exploitation de cette faille de sécurité permettrait à un pirate de dérober certaines données sensibles en incitant, simplement, un internaute à visiter un site spécialement conçu. D'après l'éditeur, des informations permettant l'exploitation de cette vulnérabilité ont déjà été publiées. Cependant, la faille ne serait pas encore exploitée.

- Correctifs :
Plusieurs logiciels Symantec [3], ainsi que SAP Cristal Reports [4], Cisco Content Services Gateway [5], Opéra [1], OpenOffice [6], RealPlayer [7] ou encore le serveur DHCP de l'ISC [8] ont été mis à jour cette semaine. Les failles de sécurité pouvaient être exploitées pour provoquer des dommages pouvant aller jusqu'à la compromission d'un système vulnérable.

- Exploits :
Plusieurs codes d'exploitation ont été publiés.
Un code ciblant SAP Crystal Report Server 2008 [9] permet d'accéder à certaines informations sensibles en menant une attaque de "Directory Traversal".
D'autres codes permettant d'exploiter des failles présentes dans Oracle [10] Document [11] Capture [12] ont été publiés. Afin d’utiliser cette vulnérabilité, un pirate doit inciter un internaute à visiter un site spécialement conçu.

- Cybercriminalité / Attaques :
Les serveurs hébergeant les différents sites et services de SourceForge [13] et de Fedora [14] ont été piratés cette semaine. Dans un cas comme dans l'autre, les personnes en charge de la gestion de ces incidents ont été très transparentes. Elles ont précisément décrit les actions réalisées, les risques existants et les informations en leur possession. A première vue, il semblerait que les pirates n'aient pas eu le temps d'accomplir de méfaits. Dans les deux cas, la surveillance d'indicateurs adaptés aurait permis de détecter rapidement l'attaque et de prendre ainsi les mesures nécessaires.

Un site "underground" de vente d'identifiants permettant d'accéder aux panels d'administration de sites gouvernementaux, militaires et de l'éducation a été découvert [15]. Le pirate proposerait, par exemple, l'accès total en tant qu'administrateur au site des forces armées d'Albanie pour 499 dollars.

Une ancienne version de Darkness [16] aurait été mise gratuitement à disposition sur Internet. Grâce à celle-ci, les pirates seraient capables de mettre sur pied de petits botnets très efficaces reposant simplement sur une trentaine de machines zombie. Récemment, Darkness était responsable de l'attaque de 1,5 site en moyenne par jour, et même jusqu'à 3 sites par jour lors du dernier trimestre de l'année 2010...

- Conférence / Recherche :
D'après TrendMicro, la fusion de Zeus et de SpyEye [17] serait en cours. La version 1.3.05 de SpyEye semble apporter bon nombre de nouvelles fonctionnalités empruntées à son ex-concurrent Zeus.

- Entreprises :
Le rachat de McAfee par Intel [18] pour un montant de 7,68 milliards de dollars a été validé (sous conditions) cette semaine par la Commission Européenne.

- International :
La récente explosion qui a frappé l'aéroport de Moscou aurait été déclenchée de façon involontaire par un opérateur de téléphonie mobile en envoyant d'un SMS de bonne année [19]. En effet, un téléphone portable était utilisé par le kamikaze en tant que détonateur. Celui-ci devait déclencher l'explosion de l'engin à la suite de la réception d'un SMS.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0115
http://www.opera.com/support/kb/view/982/
http://www.opera.com/support/kb/view/983/
http://www.opera.com/support/kb/view/984/
http://www.opera.com/support/kb/view/985/
http://www.opera.com/support/kb/view/986/

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0131
http://www.microsoft.com/technet/security/advisory/2501696.mspx
http://support.microsoft.com/kb/2501696

http://blogs.technet.com/b/srd/archive/2011/01/28/more-information-about-the-mhtml-script-injection-vulnerability.aspx
http://blogs.technet.com/b/msrc/archive/2011/01/28/microsoft-releases-security-advisory-2501696.aspx

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0018
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0096

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0112
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0145
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110126_00
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110126_01
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110131_00

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0099
https://service.sap.com/sap/support/notes/1458310
https://service.sap.com/sap/support/notes/1458309
https://service.sap.com/sap/support/notes/1476930

http://dsecrg.com/pages/vul/show.php?id=301
http://dsecrg.com/pages/vul/show.php?id=302
http://dsecrg.com/pages/vul/show.php?id=303

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0110
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6791d.shtml

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0121
http://packetstormsecurity.org/files/view/97907/VSR-2011-01-26.txt

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0128
http://service.real.com/realplayer/security/01272011_player/en/

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0111
http://www.isc.org/software/dhcp/advisories/cve-2011-0413

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0118
http://www.exploit-db.com/exploits/16054/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0119
http://www.exploit-db.com/exploits/16053/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0120
http://www.exploit-db.com/exploits/16056/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0122
http://www.exploit-db.com/exploits/16055/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0132
http://sourceforge.net/blog/sourceforge-attack-full-report/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0098
http://lists.fedoraproject.org/pipermail/announce/2011-January/002911.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0097
http://blog.imperva.com/2011/01/major-websites-govmiledu-are-hacked-and-up-for-sale.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0103
http://www.darkreading.com/insider-threat/167801100/security/attacks-breaches/229100144/active-darkness-ddos-botnet-s-tool-now-available-for-free.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0106
http://blog.trendmicro.com/spyeyezeus-toolkit-v1-3-05-beta/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0117
http://www.theregister.co.uk/2011/01/27/intel_takeover_approved/

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0114
http://www.leaderpost.com/news/Text+message+blows+suicide+bomber+accident/4172966/story.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 17 au 23 janvier

Wed, 26 Jan 2011 13:38:56 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Oracle a publié des mises à jour pour de nombreux logiciels vulnérables dans le cadre de son cycle de publication de correctif de sécurité [1]. Le CERT-XMCO recommande leur installation. Certaines failles permettent de prendre le contrôle d'un système à distance sans authentification préalable.

* Résumé des évènements majeurs :
- Correctifs :
Dans le cadre de son cycle de sécurité, Oracle a publié son bulletin "cpujan2011" [1] ainsi que les nombreux correctifs associés. Pas moins de 28 logiciels sont vulnérables. Le CERT-XMCO recommande l'installation des correctifs.

Une nouvelle faille de sécurité critique a été publiée au sein du CMS SPIP [2]. Il est conseillé d'installer la version mise à jour.

D'autres correctifs pour CISCO IOS [3], CISCO ASA [4] et Citrix Provisioning Service [5] ont aussi été publiés.

- Exploits :
Plusieurs exploits ont été publiés cette semaine.
Un exploit [6] permettant d'élever localement ses privilèges à partir de la faille de sécurité corrigée dans le bulletin MS10-073 [7] a été publié. Contrairement à la première preuve de concept [8] publiée la semaine dernière, ce code permet simplement d'obtenir les privilèges "SYSTEM" sur un système Windows.

Androïd [9] est également concerné par un exploit qui permet de dérober des fichiers arbitraires stockés sur un smartphone.

Enfin, le dernier code d'exploitation permet de prendre le contrôle d'un système Windows sur lequel est installé Novell iPrint [10]. En incitant un internaute à visiter une page spécialement conçue tirant parti d'une faille présente au sein du contrôle ActiveX, un attaquant est en mesure de compromettre la machine de sa victime.

- Cybercriminalité / Attaques :
Quelque temps après l'affaire Gawker, plus de 10 millions de mots de passe ont été volés au site web Trapster [11]. Des mesures auraient été prises afin de prévenir d'autres attaques.

Une faille de sécurité a été découverte au sein de Koobface [12], un malware multiplateforme. L'exploitation de cette vulnérabilité permettrait à des groupes rivaux de compromettre un système infecté par Koobface afin de prendre, à leur tour, le contrôle de la machine.

Un ver circulant sur le réseau social Twitter a été observé cette semaine [13]. Ce dernier était utilisé pour diriger les internautes vers un site malveillant afin de les forcer à télécharger puis à installer un faux antivirus.

- Conférence / Recherche :
Le top 10 des attaques web découvertes par les chercheurs a été publié [14]. Ce classement départage plus de 69 techniques initialement en lice pour ce top 10.

- Entreprises :
L'ENISA, le CSIRT européen a publié un guide intitulé "Security and Resilience in Governmental Clouds" [15] sur les différents avantages et inconvénients de l'utilisation du "Cloud" à destination des organismes publics. Une autre étude intitulée "Data Breach Notifications in Europe" [16] examine la manière dont les opérateurs de télécommunication gèrent actuellement les fuites de données.

- International :
Stuxnet [17] a continué à faire parler de lui cette semaine. Un article publié par le New York Times a présenté de façon officielle une théorie relative aux origines du malware. D'après les journalistes, les États Unis, aidés par Israël, auraient développé le malware. Ils l'auraient ensuite testé au sein du centre de recherche israélien Dimona. L'article retrace l'origine de ce programme au dernier mois de la présidence de Bush, mais ne se base sur aucun fait nouveau. Des journalistes concurrents du Forbes ont publié deux jours après un article [18] qui se moquait du travail accompli, et qui mettait en avant une autre théorie [19] déjà proposée au mois de décembre selon laquelle la Finlande et la Chine seraient derrière Stuxnet. Dans les faits, rien n'accuse officiellement qui que ce soit, mais la chronologie présentée par les journalistes du NY Times reste pour le moins étonnante. De plus, les journalistes ont le mérite d'avancer des noms sur les acteurs de cette histoire.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0073
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0067
http://www.spip-contrib.net/SPIP-2-1-8-corrige-une-importante-faille-de-securite

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0065
http://www.cisco.com/en/US/docs/ios/15_0/15_0x/15_01_XA/rn800xa.pdf

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0063
http://www.cisco.com/en/US/docs/security/asa/asa82/release/notes/asarn82.html
http://www.cisco.com/en/US/docs/security/asa/asa83/release/notes/asarn83.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0075
http://support.citrix.com/article/CTX127149

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0069
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11597

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1367
http://www.microsoft.com/technet/security/bulletin/MS10-073.mspx

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0048
http://reversemode.com/index.php?option=com_content&task=view&id=71&Itemid=1

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0081
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11601/entry/modules/auxiliary/gather/android_htmlfileprovider.rb

[10]
http://www.exploit-db.com/exploits/16014/
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0082

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0091
http://www.theregister.co.uk/2011/01/21/trapster_website_hack/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0085
http://www.theregister.co.uk/2011/01/19/mac_linux_bot_vulnerabilities/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0087
http://isc.sans.edu/diary.html?storyid=10297

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0068
http://jeremiahgrossman.blogspot.com/2011/01/top-ten-web-hacking-techniques-of-2010.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0072
http://www.enisa.europa.eu/media/press-releases/governmental-cloud-in-the-eu-new-agency-report

[16]
http://www.enisa.europa.eu/media/press-releases/new-report-data-breach-notifications-in-europe

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0062
http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?pagewanted=all

[18]
http://blogs.forbes.com/jeffreycarr/2011/01/17/the-new-york-times-fails-to-deliver-stuxnets-creators/?boxes=Homepagechannels

[19]
http://blogs.forbes.com/firewall/2010/12/14/stuxnets-finnish-chinese-connection/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 3 au 9 janvier

Wed, 12 Jan 2011 15:49:24 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande de ne pas utiliser le mode d'affichage "miniature" de l'explorateur Windows. Un code d'exploitation a été publié cette semaine pour Windows 2000 et XP [1]. Celui-ci permet de prendre le contrôle d'un système distant en incitant un utilisateur à ouvrir un dossier et à sélectionner ce mode d'affichage. La faille est liée à l'affichage de la miniature correspondant à un document. Aucun correctif n'est actuellement disponible.

* Résumé des évènements majeurs :
- Vulnérabilités :
Microsoft a demandé au chercheur Michal Zalewski de ne pas publier son outil baptisé "cross_fuzz" [2]. Ce fuzzer, développé par l'employé de Google sur son temps libre au cours des deux dernières années, permet de découvrir de nombreuses failles de sécurité au sein des navigateurs web. Il semblerait que Microsoft, qui possédait le code de l’outil en question, n'ait pas pris le temps de le tester. Après deux ans d'échanges, lorsque le chercheur a prévenu en décembre l'éditeur qu'il souhaitait le rendre public au début de l'année 2011, Microsoft s'est soudainement rendu compte de la criticité de certaines failles. Zalewski a, entre temps, obtenu la certitude que des pirates connaissaient l'existence d'une faille particulièrement critique découverte à l'aide de son outil. Comme le chercheur pense que les cybercriminels possèdent un code d'exploitation, il a préféré rendre son outil public afin de forcer Microsoft à réagir rapidement sans attendre deux années supplémentaires...

— Correctifs :
Une mise à jour du lecteur de fichiers multimédia VLC a été publiée cette semaine [3]. La faille de sécurité corrigée était liée au traitement des fichiers Real Media.
VMware a publié, de son côté, un correctif pour son serveur ESX [4]. Plusieurs failles de sécurité impactant le système (Glibc, Sudo, et openLDAP) ont été corrigées.
Deux vulnérabilités au sein de la console d'administration de SAP [5] ont été corrigées.
Apple a mis à jour son système d'exploitation Mac OS X [6] afin de corriger une faille présente au sein du composant PackageKit.
Enfin, plusieurs failles de type "XSS" ont été corrigées au sein de Novell Identity Manager [7].
Le CERT-XMCO recommande l'installation de l'ensemble de ces mises à jour.

- Exploits :
Un code d'exploitation ciblant le système d'exploitation Windows de Microsoft a été publié [1]. Il permet de compromettre un système via l'affichage des vignettes de prévisualisation correspondant aux fichiers contenus dans les dossiers. L'exploitation de cette faille de sécurité requiert qu'un utilisateur ait sélectionné le mode d'affichage "prévisualisation".

— Cybercriminalité / Attaques :
Le botnet Zeus [8] fait de nouveau parler de lui. Une campagne d'envoi massif de pourriels prenant la forme de carte de voeux aurait été utilisée afin de compromettre le système des employés d'agences gouvernementales américaines. Des documents à usage interne auraient ainsi été exfiltrés par des pirates et seraient accessibles à tous sur un serveur tiers.

— Conférence / Recherche :
Le spécialiste Billy Rios a publié des détails sur une solution permettant à un pirate de s'échapper du bac à sable (sandbox) utilisé par Flash Player [9]. Cette solution permettrait à un pirate de récupérer des informations personnelles stockées sur le système d'une victime et de les transmettre à un serveur distant en abusant le système de gestion des URLs.

Dans le cadre de la récente conférence du Chaos Communication Congress (27C3), un chercheur a présenté une utilisation abusive du protocole DHT utilisé par Bittorrent pour se passer de "tracker" [10]. Il serait ainsi possible de forcer des internautes à réaliser une attaque de DDoS sur une cible choisie par un pirate.

— Entreprises :
Microsoft a annoncé la date de son prochain "Patch Tuesday" [11]. Le 11 janvier prochain, l'éditeur publiera deux bulletins corrigeant 3 vulnérabilités. Le premier affecte seulement Windows Vista et est considéré comme "Important". Le second affecte l'ensemble des versions de Windows et est jugé "critique". Les vulnérabilités récemment découvertes affectant Internet Explorer (import CSS), ainsi que le moteur de rendu des graphiques (prévisualisation d'images) ne seront pas corrigées ce mois-ci.

L'éditeur de solution de sécurité Sourcefire a annoncé le rachat d'Immunent [12], spécialiste de la sécurité dans le Cloud, pendant que Dell cherche à acquérir la société SecureWorks [13].

- International :
Les autorités américaines et allemandes ont réalisé des perquisitions chez plusieurs fournisseurs d'accès à Internet dans le but de remonter aux "hacktivists" ayant participé aux attaques de déni de service distribué (DDoS) contre des sites tels que Visa.com, Paypal.com ou encore Mastercard le mois dernier [14].

- XMCO :
L'ActuSécu est maintenant disponible en anglais !
http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0006
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb
http://www.microsoft.com/technet/security/advisory/2490606.mspx
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0007
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3970

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0003
http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day-in.html
http://lcamtuf.coredump.cx/cross_fuzz/fuzzer_timeline.txt
http://lcamtuf.coredump.cx/cross_fuzz/known_vuln.txt
http://lcamtuf.coredump.cx/cross_fuzz/msie_crash.txt

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0002
http://www.videolan.org/security/sa1007.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0010
http://seclists.org/fulldisclosure/2011/Jan/35

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0013
http://www.onapsis.com/resources/get.php?resid=adv_onapsis-2011-001
http://www.onapsis.com/resources/get.php?resid=adv_onapsis-2011-002
https://service.sap.com/sap/support/notes/1439348

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0023
http://support.apple.com/kb/HT4498

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0017
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5085293.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0012
http://krebsonsecurity.com/2011/01/white-house-ecard-dupes-dot-gov-geeks/

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0018
http://xs-sniper.com/blog/2011/01/04/bypassing-flash's-local-with-filesystem-sandbox/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0009
http://torrentfreak.com/bottorrent-using-bittorrent-as-a-ddos-tool-101229/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0021
http://www.microsoft.com/technet/security/bulletin/ms11-jan.mspx
http://blogs.technet.com/b/msrc/archive/2011/01/06/advance-notification-service-for-the-january-2011-security-bulletin-release.aspx

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0016
http://www.scmagazineus.com/sourcefire-picks-up-immunent-for-21-million/article/193759/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0008
http://www.h-online.com/security/news/item/Dell-to-acquire-SecureWorks-1163365.html

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0001
http://www.theregister.co.uk/2010/12/30/avenge_assange_server_raids/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[INFO] [SECURITE] Microsoft propose une solution temporaire ("fix it") pour la faille li�e � la pr�visualisation

Tue, 11 Jan 2011 13:49:51 GMT+1

Information	Valeur
Titre	Microsoft propose une solution temporaire ("fix it") pour la faille liée à la prévisualisation
Titre officiel	Une vulnérabilité du moteur de rendu des graphiques peut permettre l'exécution de code à distance.
Date	10 Janvier 2011
Plateforme	Windows
Programme	Microsoft Windows
Criticité	Elevée
Exploitation	Distante
Dommage	Accès au système
Description	Après avoir publié son bulletin KB2490606, Microsoft propose une solution temporaire qui permet de désactiver le mode "Prévisualisation" de son explorateur de fichier. Pour rappel, la faille de sécurité résulte d'un manque de validation des entrées au sein de la fonction "CreateSizedDIBSECTION()" définie dans la librairie partagée "shimgvw.dll". En spécifiant une valeur "biClrUsed " négative, un pirate est en mesure de provoquer un débordement de tampon sur la pile (voir CXA-2011-0007). La solution prend la forme d'un exécutable "fix it" disponible à l'adresse suivante : http://go.microsoft.com/?linkid=9757856 Un autre exécutable permet de désactiver cette solution de contournement temporaire. Celui-ci est disponible à l'adresse suivante : http://go.microsoft.com/?linkid=9757859 Étant donné la mise à disposition d'un code d'exploitation sur Internet (voir CXA-2011-0006), le CERT-XMCO recommande l'utilisation de cet outil afin de mettre en place de façon automatique la solution de contournement proposée par Microsoft dans son bulletin KB2490606. Il sera, néanmoins, recommandé d'installer le correctif définitif lorsque celui-ci sera rendu disponible. Note : après l'exécution de ce "fix it", les fichiers multimédias généralement traités par le moteur de rendu des graphiques ne seront pas affichés correctement.
Vulnérable	* Windows XP SP3 * Windows XP Professionnel SP2 (Edition 64 bits) * Windows Server 2003 SP2 (Editions 32 bits, 64 bits et Itanium) * Windows Vista SP1 et SP2 (Editions 32 et 64 bits) * Windows Server 2008 et Windows Server 2008 SP2 (Editions 32 bits, 64 bits et Itanium)
Non vulnérable	* Windows 7 (Editions 32 et 64 bits) * Windows Server 2008 R2 (Editions 64 bits et Itanium)
Référence	http://support.microsoft.com/kb/2490606 http://www.microsoft.com/france/technet/security/advisory/2490606.mspx https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0006 https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0007
Référence CVE	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3970
Correction	Aucun correctif n'est actuellement disponible. Microsoft propose deux outils pour activer et désactiver la solution de contournement proposée ci-dessous. Ceux-ci sont disponibles aux adresses suivantes : * Activation http://go.microsoft.com/?linkid=9757856 * Désactivation http://go.microsoft.com/?linkid=9757859 Pour rappel, la solution de contournement proposée par Microsoft consistait en l'exécution des commandes suivantes, qui empêcheront l'affichage des fichiers gérés par "Windows Graphics Rendering Engine" : * Windows XP et 2003 (32 bits) : Echo y\| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N * Windows XP et 2003 (64 bits) : Echo y\| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N Echo y\| cacls %WINDIR%\SYSWOW64\shimgvw.dll /E /P everyone:N * Windows Vista et Windows 2008 (32 bits) : takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL.TXT icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F) * Windows Vista et Windows 2008 (64 bits) : takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL takeown /f %WINDIR%\SYSWOW64\SHIMGVW.DLL icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL32.TXT icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL64.TXT icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F) icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /deny everyone:(F)
Id XMCO Partners	CXA-2011-0031
Lien extranet XMCO Partners	https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0031

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 27 d�cembre au 2 janvier

Tue, 04 Jan 2011 18:38:28 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation du correctif MS10-087 [1] lié à Microsoft Word. Un code d'exploitation [2] a été publié cette semaine. De plus, cette faille de sécurité est actuellement exploitée par des malwares [3].

* Résumé des évènements majeurs :
- Exploits :
Un code d'exploitation permettant de prendre le contrôle d'un système à l'ouverture d'un fichier RTF spécialement conçu avec Microsoft Word a été publié [2]. Le CERT-XMCO recommande à tous les internautes concernés l'installation du correctif MS10-087 [1] publié par Microsoft au mois d'octobre. Pour rappel, cette faille de sécurité est actuellement exploitée par les pirates [3].

- Cybercriminalité / Attaques :
Plusieurs sites liés à la sécurité ont été piratés [4]. Parmi les victimes exposées dans la seconde édition du webzine "Owned and Exposed" se trouvaient le site du projet Ettercap, d'Exploit-DB et de Backtrack, d'inj3ct0r, du forum underground Carders.cc et enfin Free-Hack.

Un nouveau cheval de Troie baptisé Geinimi [5] ciblant Androïd a été découvert sur des "markets" chinois alternatifs. Ce dernier serait le malware le plus évolué sur Android découvert à ce jour. Il est capable de récolter de nombreuses informations contenues dans le carnet d'adresses, mais aussi les coordonnées de l'appareil, ses numéros IMEI/IMSI, ainsi que la liste des applications installées. De plus, ce malware serait capable de recevoir des instructions de la part d'un serveur distant, et donc de constituer un véritable botnet. Le CERT-XMCO recommande donc à tous les utilisateurs d'Androïd d'être vigilants. En effet, chaque application indique clairement les ressources auxquelles elle sera amenée à accéder lors de son installation.

- Conférence / Recherche :
Un chercheur a publié les résultats d'une étude [6] des fonctions de sécurité associées aux cookies utilisées par les 1000 sites les plus visités actuellement. Très peu de ces sites utilisent les paramètres HttpOnly et Secure des cookies de session.

- Entreprises :
La fondation Mozilla [7] a prévenu les internautes de la découverte par un chercheur en sécurité de la présence d'un fichier de sauvegarde contenant une partie non négligeable d'une des bases de données associées au site Mozilla Addons. Cette découverte fait suite à l'extension du programme de récompense pour la découverte de failles de sécurité. La fondation a effacé les vieux condensats MD5 des mots de passe afin de désactiver les comptes, puis a averti les utilisateurs concernés afin qu'ils réinitialisent leur mot de passe. Mozilla avait procédé, il y a plus d'un an, à une évolution de sa politique de sécurité afin de ne plus utiliser cet algorithme de hachage faible. Les nouveaux utilisateurs ou ceux ayant récemment changé leur mot de passe ne sont donc pas concernés.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1564
http://www.microsoft.com/technet/security/bulletin/MS10-087.mspx

[2]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1848
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11450/entry/modules/exploits/windows/fileformat/ms10_087_rtf_pfragments_bof.rb

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1780
http://blog.trendmicro.com/malicious-rtf-files-exploit-microsoft-office-vulnerability

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1837
http://krebsonsecurity.com/2010/12/carders-cc-linux-exploit-org-and-exploit-db-org-hacked/
http://www.exploit-db.com/papers/15823/

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1852
http://www.net-security.org/malware_news.php?id=1577

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1847
http://michael-coates.blogspot.com/2010/12/study-of-httponly-and-secure-cookie.html

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1844
http://blog.mozilla.com/security/2010/12/27/addons-mozilla-org-disclosure/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 20 au 26 d�cembre

Tue, 28 Dec 2010 14:58:42 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Quelques jours après la publication de plusieurs [1] codes [2] d'exploitation [3], Microsoft vient seulement de publier son bulletin KB2488013 [4] relatif à la faille de sécurité présente au sein d'Internet Explorer lié aux imports de style CSS (0-day) [5]. L'éditeur confirme la gravité de cette faille. De plus, un chercheur a publié un article [6] présentant comment exploiter la faille 0day au travers d'un navigateur alternatif. Lorsqu'Interne Explorer est défini comme navigateur par défaut, la simple ouverture d'un fichier PDF avec Adobe Reader depuis un autre navigateur permettait de forcer l'ouverture d'Internet Explorer et par conséquent d'exploiter la vulnérabilité.

- Correctifs :
Oracle a publié l'Update 23 de Java 1.6 [7]. Aucune faille de sécurité n'a néanmoins été corrigée dans cette nouvelle version de la JVM.

Adobe a publié son bulletin de sécurité référencé APSB10-30 [8] relatif à une vulnérabilité présente au sein de Photoshop CS5. Le CERT-XMCO recommande l'installation de ce correctif.

- Exploits :
Plusieurs exploits ciblant les produits Microsoft ont été publiés cette semaine.
Un code d'exploitation permettant de compromettre un système Windows [9] en incitant un utilisateur à visiter une page internet malveillante a été publié. La vulnérabilité provient de l'ActiveX "Microsoft WMI Object Viewer" qui peut être utilisé afin de corrompre la mémoire du système.
Une autre preuve de concept permettant de provoquer un déni de service sur un serveur IIS 7.5 [10] a été publiée. D'après Microsoft, cette faille n'impacte que le service FTP du serveur, qui n'est pas installé ni activé par défaut. La possibilité de prise de contrôle à distance n'a pas été démontrée pour le moment.

Un code d'exploitation permettant de prendre le contrôle d'un serveur ProFTPd [11] a été publié. Celui-ci exploite une faille de sécurité présente au sein du module SQL. La faille avait été présentée dans la dernière édition de Phrack.

- Entreprises :
Google [12] a introduit une nouvelle fonction de sécurité au sein de son moteur de recherche. Les sites détectés comme potentiellement malveillants ou compromis sont maintenant clairement indiqués comme tels.

Microsoft [13] a annoncé qu'il portera la fonction de sécurité "Office File Validation" introduite au sein d'Office 2010 vers les anciennes versions 2003 et 2007 de la suite. Cette fonction permet de valider la structure binaire des fichiers avant de les ouvrir afin de limiter le risque d'exploitation.

- International :
La saga Wikileaks continue. En début de semaine, Bank Of America [14] a annoncé suivre l'exemple de plusieurs autres sociétés américaines en bloquant les transferts d'argent à destination de Wikileaks. En fin de semaine, L'ONU [15] s'est efforcée de rappeler à ces nombreux états membres que l'accès aux informations détenues par les gouvernements, et autres autorités publiques faisait partie intégrante des droits de l'Homme...

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1736
http://seclists.org/fulldisclosure/2010/Dec/110

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1785
http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1808
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1828
http://www.microsoft.com/technet/security/advisory/2488013.mspx
http://blogs.technet.com/b/srd/archive/2010/12/22/new-internet-explorer-vulnerability-affecting-all-versions-of-ie.aspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1724
http://www.wooyun.org/bugs/wooyun-2010-0885

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1830
http://xs-sniper.com/blog/2010/12/22/expanding-the-attack-surface/

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1809
http://www.oracle.com/technetwork/java/javase/6u23releasenotes-191058.html
http://www.oracle.com/technetwork/java/javase/2col/6u23bugfixes-191074.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1807
http://www.adobe.com/support/security/bulletins/apsb10-30.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3127

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1824
http://www.wooyun.org/bugs/wooyun-2010-01006

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1826
http://www.exploit-db.com/exploits/15803/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1812
http://www.phrack.org/issues.html?issue=67&id=7#article

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1810
http://www.h-online.com/security/news/item/Google-warns-users-of-hacked-web-sites-1156568.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1819
http://blogs.technet.com/b/msrc/archive/2010/12/14/benefits-of-office-2010-file-validation-being-made-available-for-office-2003-and-2007.aspx
http://blogs.technet.com/b/msrc/archive/2010/12/14/more-about-the-office-file-validation-backport-plan.aspx

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1805
http://www.networkworld.com/news/2010/121810-bank-of-america-cuts-services.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1833
http://www.cidh.oas.org/relatoria/showarticle.asp?artID=829&lID=1

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 13 au 19 d�cembre

Tue, 21 Dec 2010 14:24:11 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs publiés par Microsoft dans le cadre de son "Patch Tuesday" [1] du mois de décembre. Le CERT-XMCO préconise, tout particulièrement, l'installation des correctifs MS10-091 [2] (Exécution de code à distance via la gestion des polices de caractères OTF), MS10-090 [3] (Exécution de code à distance via Internet Explorer) et MS10-092 [4] (Élévation de privilèges au sein du planificateur de tâches). En effet, ces deux derniers bulletins corrigent des vulnérabilités exploitées sur internet et pour lesquelles des codes d'exploitation sont publiquement disponibles.

* Résumé des évènements majeurs :
- Correctifs :
Microsoft a publié 17 bulletins corrigeant 40 vulnérabilités dans le cadre de son "Patch Tuesday" [1] du mois de décembre.

- Exploits :
Un code d'exploitation tirant parti de la vulnérabilité 0day qui affecte Internet Explorer [5] a été publié. Cette vulnérabilité résulte d'une erreur au sein de la gestion des imports de styles CSS.

- Cybercriminalité / Attaques :
Trend Micro [6] vient d'identifier un virus qui exploite une vulnérabilité corrigée récemment par Microsoft dans son bulletin MS10-087 [7]. Un fichier RTF malveillant serait actuellement envoyé par courriel. Il tenterait d'exploiter un débordement de tas au sein de la suite Office. La vulnérabilité exploitée permettrait au pirate de prendre le contrôle d'un système vulnérable dès l'ouverture du fichier en question.

Après que sa clause de non-divulgation ait pris fin, Gregory Perry a décidé de rendre publique une information sensible [8]. D'après lui, une ou plusieurs portes dérobées auraient été introduites au sein de la pile IPSec du système d'exploitation OpenBSD. Cette rumeur a engendré de nombreuses réactions de la part des personnes mises en cause. Un audit du code serait en cours afin de détecter une potentielle porte dérobée. Il est très difficile de savoir ce qu'il en est actuellement, étant donné l'importance et la complexité du code en question et la sensibilité du sujet.

La base de données de plusieurs sites tels que Gawker.com, Gizmodo.com, ou encore LifeHacker.com appartenant à "Gawker Media" et contenant 1,3 million d'emails et de mots de passe, a été piratée. Un groupe de pirates appelé "Gnosis" [9] a revendiqué l'attaque. Celui-ci a diffusé publiquement ces informations.

Les plateformes de distribution de publicité [10] de Google (DoubleClick) et de Microsoft (rad.msn.com) auraient été utilisées pour distribuer des malwares sur d'autres sites, sous la forme de bannières publicitaires. Les cybercriminels seraient parvenus à tromper les responsables des plateformes de publicité en utilisant ADShufffle.com, un domaine qui ressemble fortement à ADShuffle.com, avec lequel travaillent régulièrement Google et Microsoft.

- Conférence / Recherche :
Le NIST [11] a récemment publié la liste des 5 algorithmes sélectionnés pour faire partie du tour final de sélection du prochain standard SHA-3. Parmi les 5 finalistes se trouvent trois propositions européennes : BLAKE [12] (suisse), Grøstl [13] (collaboration austro-danoise), et enfin Keccak [14] (belge). La seule proposition américaine est Skein [15]. Enfin, JH [16] arrive tout droit de Singapour. Reste encore de nombreuses heures de travail pour tous les chercheurs impliqués dans ce long processus de sélection, afin de découvrir le maximum de failles dans les propositions faites avant l'échéance du concours en mars 2012.

- Entreprises :
Après Google, c'est au tour de Mozilla [17] d'étendre son programme de récompense attribué aux chercheurs de failles de sécurité pour les autoriser à traquer les failles de sécurité qui se trouvent sur les différents sites de la fondation.

L'application iCERT-XMCO pour iPad est, maintenant, disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1723
http://www.microsoft.com/technet/security/bulletin/ms10-dec.mspx
http://blogs.technet.com/b/msrc/archive/2010/12/14/december-2010-security-bulletin-release.aspx
http://blogs.technet.com/b/srd/archive/2010/12/14/assessing-the-risk-of-the-december-security-updates.aspx

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1762
http://www.microsoft.com/technet/security/Bulletin/MS10-091.mspx

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1761
http://www.microsoft.com/technet/security/bulletin/MS10-090.mspx

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1757
http://www.microsoft.com/technet/security/bulletin/ms10-092.mspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1785
http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1780
http://blog.trendmicro.com/malicious-rtf-files-exploit-microsoft-office-vulnerability

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1564
http://www.microsoft.com/france/technet/security/bulletin/MS10-087.mspx

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1779
http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
http://marc.info/?l=openbsd-tech&m=129244045916861&w=2

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1777
http://sucuri.net/mirror/gawker-readme.txt

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1776
http://www.h-online.com/security/news/item/The-trick-with-the-f-Google-and-Microsoft-web-sites-distribute-malware-1152887.html

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1744
http://www.schneier.com/blog/archives/2010/12/nist_announces.html

[12]
http://131002.net/blake/

[13]
http://www.groestl.info/

[14]
http://keccak.noekeon.org/

[15]
http://www.skein-hash.info/

[16]
http://icsd.i2r.a-star.edu.sg/staff/hongjun/jh/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1794
https://www.mozilla.org/security/bug-bounty-faq-webapp.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 6 au 12 d�cembre

Tue, 14 Dec 2010 16:30:48 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des dernières versions des logiciels VMware ESX Server [1], Firefox [2], Thunderbird [3], et Exim [4]. La vulnérabilité relative à Exim est actuellement exploitée [5] sur Internet.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une nouvelle vulnérabilité au sein d'Internet Explorer [6] 6, 7 et 8 a été découverte. Celle-ci est liée à la gestion des "import" en CSS et peut être utilisée afin de compromettre un système [7]. Cependant, seule une preuve de concept permettant de provoquer un déni de service est actuellement disponible [8].

- Correctifs :
Mozilla [9] et VMware [10] ont publié de nouvelles versions de leurs logiciels Firefox [2], Thunderbird [3] et VMware ESX Server [1].

- Exploits :
Un code d'exploitation ciblant une vulnérabilité du serveur mail Exim découverte il y a plus de 2 ans a été publié. La faille permet de compromettre un serveur en envoyant un mail spécialement conçu [5].

- Cybercriminalité / Attaques :
Le magazine Forbes a récemment découvert que certains sites internet espionnaient leurs visiteurs [11]. Plus précisément, environ 50 sites utiliseraient des scripts JavaScript afin de savoir si un internaute a déjà visité d'autres sites "concurrents".

Les forces de l'ordre russes ont arrêté quatre cybercriminels impliqués dans la compromission de l'ensemble des distributeurs automatiques de billets d'une petite ville de 200 000 habitants [12].

- Conférence / Recherche :
Un chercheur a annoncé avoir réussi à mettre en place l'ASLR au sein de l'iOS sur les iPhones "jailbreakés" [13]. De son côté, Apple ne souhaite toujours pas implémenter cette protection pour son OS mobile. (Mac OS "Leopard" et "Snow Leopard" n'intègrent que partiellement cette protection)

- Entreprises :
Microsoft [14] a annoncé la date de publication de son "Patch Tuesday" du mois de décembre. Le 14 décembre prochain, 17 bulletins corrigeront 40 vulnérabilités, parmi lesquelles la dernière faille 0day exploitée par Stuxnet (élévation de privilèges via le planificateur de tâche [15]), ainsi que celle présente au sein d'Internet Explorer (attribut "clip" [16]). Des codes d'exploitations sont disponibles sur Internet pour ces deux failles.

Microsoft [17] a annoncé l'arrivée d'une nouvelle fonctionnalité dédiée à la protection de la vie privée des utilisateurs au sein de la prochaine version d'Internet Explorer (9). "Tracking Protection" fonctionne sur le même principe que l'extension Ad-Bloc de Firefox. Il s'agit d'un mécanisme permettant de bloquer certains contenus à partir de liste noire disponible sur Internet.

Une société a étudié le fonctionnement du racourciseur d'URL proposé par McAfee [18]. D'après leurs expériences, McAfee proposerait un service qui vérifie uniquement si un site héberge des fichiers malveillants. Or, de plus en plus d'attaques concernent le vol d'informations personnelles (phishing) et ce type de vérification n'est pas effectuée alors que cela est déjà mis en place par certains sites comme Facebook...

- International :
Wikileaks a fait la une de nombreuses sources d'informations de cette semaine. Après avoir publié quelques-uns des 250 000 "câbles" diplomatiques obtenus, le site a subi de nombreuses attaques de déni de service [19]. Son fondateur, Julian Assange a été arrêté au Royaume-Uni dans le cadre d'une affaire de viol en Suède [20]. Il est actuellement incarcéré à Londres en attendant un jugement d'ici plusieurs semaines. Des "hacktivistes" s'en sont alors pris à différentes sociétés tels que PayPal [21], Mastercard [22], ou encore Visa pour avoir mis en place des mesures répressives sans attendre de jugement. Selon de nombreuses rumeurs, les États-Unis seraient responsables de toutes ces péripéties et chercheraient à faire extrader Assange vers les USA pour pouvoir l'y juger. La France, ainsi que bon nombre d'états occidentaux ont voulu faire pression pour museler le site. De nombreux internautes ont réagi en fournissant des redirections DNS vers les adresses IP des serveurs, ainsi qu'en mettant en place des miroirs de Wikileaks. D'un autre côté, plusieurs voix se sont élevées contre Wikileaks. Parmi celles-ci, plusieurs proches d'Assange accusent Wikileaks de chercher à tirer des profits de ces révélations [23]. Un jeune néerlandais a enfin été arrêté pour avoir participé aux attaques de déni de service contre plusieurs sociétés [24]. Le site serait depuis hébergé en Russie par un hébergeur "bulletproof" capable de résister à des attaques informatiques, voire juridiques.

La NASA a révélé que 10 ordinateurs utilisés dans le cadre de son programme spatial ont été vendus au public [25]. Les disques durs n'ont pas été formatés alors même qu'ils contenaient des informations sensibles.

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

L'application iCERT-XMCO pour iPad est, maintenant, disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1704
http://seclists.org/fulldisclosure/2010/Dec/74

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1729
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.13

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1729
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.7

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1734
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1739
http://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/unix/smtp/exim4_string_format.rb?rev=11299
http://seclists.org/fulldisclosure/2010/Dec/222

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1724
http://seclists.org/fulldisclosure/2010/Dec/110

[7]
http://www.vupen.com/english/advisories/2010/3156

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1736
http://www.wooyun.org/bugs/wooyun-2010-0885

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1729

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1704

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1710
http://blogs.forbes.com/kashmirhill/2010/11/30/history-sniffing-how-youporn-checks-what-other-porn-sites-youve-visited-and-ad-networks-test-the-quality-of-their-data/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1700
http://www.net-security.org/malware_news.php?id=1555

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1711
http://www.theregister.co.uk/2010/12/07/enhanced_iphone_security/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1723
http://www.microsoft.com/technet/security/bulletin/ms10-dec.mspx
http://blogs.technet.com/b/msrc/archive/2010/12/09/december-2010-advance-notification-service-is-released.aspx

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1619
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11079/entry/scripts/meterpreter/schelevator.rb
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3888

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1550
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1526
http://www.microsoft.com/technet/security/advisory/2458511.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1713
http://blogs.msdn.com/b/ie/archive/2010/12/07/ie9-and-privacy-introducing-tracking-protection-v8.aspx

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1703
http://labs.m86security.com/2010/12/mcafee-secure-short-url-service-or-is-it/

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1651
http://hackingexpose.blogspot.com/2010/11/wikileaks-suffers-ddos-attack.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1709
http://www.guardian.co.uk/media/2010/dec/06/wikileaks-julian-assange-police

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1701
http://www.zdnetasia.com/paypal-suffers-dos-for-spurning-wikileaks-62204977.htm

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1716
http://www.networkworld.com/news/2010/120810-mastercard-website-partially-frozen-by.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1727
http://www.theregister.co.uk/2010/12/09/bradley_manning_wikileaks_no_help/

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1725
http://nakedsecurity.sophos.com/2010/12/09/dutch-boy-arrested-for-wikileaks-related-ddos-attacks-on-mastercard-and-paypal

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1715
http://www.networkworld.com/news/2010/120810-nasa-sold-pcs-without-wiping.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 29 novembre au 5 d�cembre

Mon, 06 Dec 2010 13:52:31 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
À la suite de la compromission le week-end dernier des serveurs du projet ProFTPd, une porte dérobée a été ajoutée dans le code de la version 1.3.3c [1].
Le CERT-XMCO recommande à tous utilisateurs utilisant une version téléchargée entre le 28 novembre et le 2 décembre de réinstaller une version saine.

* Résumé des évènements majeurs :
- Correctifs :
VMware a publié plusieurs [2] correctifs [3] pour l'ensemble de ses logiciels. Les vulnérabilités permettaient d'obtenir des privilèges élevés sur un système ou de provoquer un déni de service.

- Exploits :
Deux [4] exploits [5] pour Apache Axis2 (notamment installé avec SAP BusinessObjects Enterprise XI 3.2) ont été diffusés. Ces derniers permettent d'utiliser des comptes par défaut afin de s'authentifier sur le serveur et ajouter puis exécuter une archive JAR permettant de prendre le contrôle du système ciblé.

Metasploit a enrichi sa collection d'exploits en ajoutant l'exploitation de la porte dérobée ajoutée au sein de ProFTPd [6].

- Cybercriminalité / Attaques :
Quelques mois après la première version du célèbre "ransomware" GpCode, des pirates ont renforcé le mécanisme de chiffrement utilisé pour chiffrer les documents des victimes [7]. Aucune solution n'a encore été publiée afin de contrer ce virus et de pouvoir récupérer les données.

Une attaque plutôt surprenante a été menée le dimanche 28 novembre sur les serveurs de ProFTPd. Des pirates auraient exploité une faille 0day sur le logiciel ProFTPd afin de prendre le contrôle des serveurs du projet puis remplacer les sources de la version 1.3.3c par une version modifiée [1]. Le code ajouté par les pirates permettrait d'accéder à un système sur lequel est installé ProFTPd avec l'utilisateur "root". La simple commande FTP "HELP ACIDBITCHEZ" permettait à un pirate de prendre le contrôle du serveur. Toutes les versions téléchargées entre le 28 novembre et le 2 décembre seraient concernées. Des versions saines ont de nouveau été mises en place sur le serveur, mais la vulnérabilité 0day n'est toujours pas corrigée à l'heure actuelle.

- International :
Après avoir diffusé plus de 250000 documents confidentiels, le site WikiLeaks a subi de nombreuses attaques de déni de service [8].

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

L'application iCERT-XMCO pour iPad est disponible sur l'AppStore d'Apple :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1673
http://sourceforge.net/mailarchive/message.php?msg_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org

[2]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1653
http://lists.vmware.com/pipermail/security-announce/2010/000111.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3081

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1688
http://lists.vmware.com/pipermail/security-announce/2010/000112.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4295
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4296
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4294

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1660
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11179/entry/modules/exploits/multi/http/axis2_deployer.rb
http://www.rapid7.com/security-center/advisories/R7-0037.jsp
https://service.sap.com/sap/support/notes/1432881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0219

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1661
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11178/entry/modules/exploits/multi/http/axis2_deployer_rest.rb
http://www.rapid7.com/security-center/advisories/R7-0037.jsp
https://service.sap.com/sap/support/notes/1432881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0219

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1692
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11210/entry/modules/exploits/unix/ftp/proftpd_133c_backdoor.rb
http://www.exploit-db.com/exploits/15662/

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1655
http://www.kaspersky.com/news?id=207575539

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1651
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1654
http://hackingexpose.blogspot.com/2010/11/wikileaks-suffers-ddos-attack.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 15 au 21 novembre

Wed, 24 Nov 2010 16:25:29 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation du correctif APSB10-28 [1] qui corrige de multiples vulnérabilités au sein d'Adobe Reader. Avec la précédente publication du bulletin APSB10-26 [2] qui concernait le lecteur Flash, Adobe clôt ainsi l'alerte APSA10-05 [3].

* Résumé des évènements majeurs :
-Vulnérabilités :
Un chercheur a découvert une faille de sécurité au sein de la plate-forme Androïd [4]. Cette faille est liée à la gestion de l'installation des applications depuis l'Androïd Market. Lorsqu'un utilisateur installe une application, celle-ci pourrait d'elle-même procéder automatiquement à l'installation d'autres applications. Le chercheur en a fait la démonstration en déposant une preuve de concept sous le nom "Angry Birds Bonus Levels" sur l'Androïd Market. Malgré appellation, "Angry Birds Bonus Levels" n'est en rien une extension du jeu populaire "Angry Birds". L'installation de cette application entrainait celle de trois autres applications (à des fins de démonstration) aux noms de "Fake Contact Stealer", "Fake Location Tracker" et "Fake Toll Fraud". Google a rapidement réagi en supprimant ces 4 applications de son Androïd Market.

- Correctifs :
Apple a publié cette semaine un correctif pour son navigateur Internet Safari [5]. De multiples failles de sécurité ont été corrigées. En incitant un internaute à visiter une page spécialement conçue, un pirate était en mesure d'accéder à certaines informations sensibles et de compromettre le système de sa victime.

OpenSSL a corrigé une faille de sécurité au sein de sa librairie [6]. La faille de sécurité était relative au traitement des extensions TLS. Elle pouvait être exploitée par un pirate pour provoquer un déni de service, voire de compromettre un serveur utilisant les fonctionnalités offertes par la librairie. Apache n'est pas affecté par ce bogue. Dans le même temps, la fondation Apache a corrigé une faille de sécurité au sein du module "mod_fcgid" [7] qui pouvait être exploité afin de provoquer un déni de service.

VMware a publié un correctif pour ses solutions de virtualisation ESX(i) Server [8]. Les failles de sécurité provenaient du noyau Linux et du serveur Kerberos utilisé par la solution logicielle "Likewise".

Enfin, Adobe a publié le correctif APSB10-28 [1] pour Adobe Reader qui, avec l'APSB10-26 [2] à destination de Flash, vient clôturer l'alerte APSA10-05 [3]. Cette alerte était liée à l'exploitation dans la nature d'une vulnérabilité référencée CVE-2010-3654 [9] présente au sein du Flash Player. Les logiciels de la suite Acrobat, qui embarquaient le Flash Player au sein de la librairie partagée "authplay.dll", étaient également vulnérables. La version 9.4.1 d'Adobe Reader corrige enfin la faille de sécurité référencée CVE-2010-4091 [10]. Celle-ci était liée à la fonction "Doc.printSeps" du plug-in "EScript.api". Tout d'abord, Adobe avait annoncé que son exploitation ne permettait de provoquer qu'un déni de service, mais ensuite un chercheur a publié un code d'exploitation prouvant qu'il était possible de compromettre un système par ce biais.

- Cybercriminalité / Attaques :
Stuxnet est réapparu sur le devant de la scène. Symantec a complété son rapport [11] pour y ajouter une étude du code embarqué dans le malware ciblant le PLC ("Programmable Logic Controller"). D'après cette étude, Stuxnet serait, entre autres, conçu pour modifier la vitesse de rotation de certains moteurs utilisés dans le cadre de la procédure d'enrichissement de l'uranium. Cette modification provoquerait, à terme, une usure prématurée de ce type d'équipement. Par ailleurs, le matériel ciblé a été identifié précisément (contrôleurs Siemens S7-315 et S7-417). De son côté, Trend Micro propose un outil qui permet de détecter les postes compromis par Stuxnet sur un réseau local [12]. Enfin, le chercheur Ralph Langner propose de nombreux autres détails dans ses billets [13].

Adobe a annoncé la sortie imminente de la version X (10) de ses outils [14]. Préférant prévenir plutôt que guérir, l'éditeur a pris les devants en annonçant qu'il existait un risque non négligeable que des pirates utilisent cet "évènement" dans le cadre d'attaques de phishing à l'encontre des internautes [15]. En effet, la réputation internationale de l'éditeur, de son logiciel et de son identité visuelle ainsi que l'attente impatiente des internautes pour cette nouvelle version annoncée depuis longtemps font de cette sortie un terrain de jeux très propice pour les pirates.

Après BredoLab [16], c'est au tour du botnet KoobFace [17] d'être mis en difficultés par les professionnels de la sécurité. En effet, le week-end dernier, un chercheur canadien a alerté un FAI anglais pour qu'il coupe l'accès à trois serveurs de commande et de contrôle (C&C). Koobface, qui se diffuse principalement via les réseaux sociaux, a fait l'objet d'un rapport [18] complet sur son fonctionnement. Nart Villeneuve a rédigé ce rapport après avoir réussi à infiltrer un des serveurs de C&C des pirates. D'après le chercheur, ces informations seront utiles pour les forces de l'ordre lorsque celles-ci se pencheront sur ce botnet. En effet, ce dernier utilise de nombreuses techniques pour gêner les professionnels de la sécurité dans leur travail. Néanmoins, la disparition de 3 serveurs C&C ne signifie pas la fin de ce botnet. Comme l'opération Bredolab l'avait montré, il suffit d'un seul serveur de C&C restant pour que le botnet reparte.

- Conférence / Recherche :
L'ENISA a publié récemment les premières conclusions (partielles) de la simulation "Cyber Europe 2010" [19]. D'après les retours faits par les participants à l'agence, l'échange des leçons apprises par chacun d'entre eux est attendu avec impatience. La participation du secteur privé à cet exercice est attendue pour la prochaine édition. Enfin, les différents avancements des États membres dans la mise en place de procédure de réaction à ce type de menace mettent clairement en évidence le manque cruel d'un plan de réaction européenne uniforme. Par ailleurs, l'ENISA a su montrer son rôle de leader dans l'organisation ce type d'exercice et sera donc attendue de pieds fermes pour le prochain exercice.

- Entreprises :
Adobe a publié cette semaine la version X (10) de sa suite logicielle Acrobat [14]. Cette version majeure de Reader et d'Acrobat est l'occasion pour Adobe de mettre en place une nouvelle architecture et d'ajouter d'un bac à sable ("sandbox") qui vise à protéger, au mieux, les utilisateurs et les clients des nombreuses attaques menées par les pirates. Quatre [20] billets [21] postés [22] par Adobe [23] présentent en détail ces nouvelles caractéristiques. À noter, ce "bac à sable" n'est actuellement disponible que pour les plates-formes Windows.

Une semaine après avoir annoncé l'extension de son programme de récompense [24], Google annonce que 20 000 dollars de récompense sont déjà en cours d'attribution [25]. D'après le comité d'attribution des récompenses, celles-ci seraient plutôt généreuses pour cette première phase de lancement. En effet, plusieurs vulnérabilités mineures n'auraient pas dû être éligibles en temps normal. Cependant, Google reconnaît qu'un certain nombre de rapports sont d'excellentes qualités.

- International :
Dans un rapport publié cette semaine par une commission américaine dépendant du Congrès, les États-Unis accusent la Chine d'être les commanditaires d'un détournement massif des communications sur Internet [26]. Le 8 avril dernier, de 3:00pm UTC à 3:18pm UTC, deux opérateurs chinois ont détourné près de 15 % du trafic Internet mondial en annonçant des "routes" BGP erronées. Ce n'est pas la première fois qu'un tel détournement du trafic à lieu, mais l'importance du trafic détourné, ainsi que les cibles laissent un fort doute. En effet, ce détournement ciblait principalement les communications à destination, ou en provenance, des domaines ".gov" et ".mil" des États-Unis et de certains de leurs Alliés comme le Royaume-Uni, le Japon ou encore l'Australie. De nombreuses organisations publiques comme le Sénat, les différentes armées (Air, Terre, Marine), le secrétariat à la Défense, la NASA, ainsi que de nombreuses autres agences gouvernementales ont aussi été impactées. Enfin, le secteur privé n'a pas été épargné par ce détournement. Des sociétés comme Dell, IBM, Microsoft ou encore Yahoo pourraient avoir été touchées. Il est impossible de savoir ce qu'il est advenu des données qui ont transité par la Chine.

- XMCO :
L'application iCERT-XMCO pour iPad est, maintenant, disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Le cabinet XMCO recherche un stagiaire pour le mois de janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1603
http://www.adobe.com/support/security/bulletins/apsb10-28.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1541
http://www.adobe.com/support/security/bulletins/apsb10-26.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1494
http://www.adobe.com/support/security/advisories/apsa10-05.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1598
http://lastwatchdog.com/proof-of-concept-android-exploit-shows-ease-attacking/

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1615
http://support.apple.com/kb/HT4455

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1595
http://www.openssl.org/news/secadv_20101116.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3864

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1607
https://issues.apache.org/bugzilla/show_bug.cgi?id=49406
http://mail-archives.apache.org/mod_mbox/httpd-announce/201011.mbox/%3CAANLkTi=pWJ2KYDKuSFJDmnKd_xnF+S+_SZFn0esR-BjN@mail.gmail.com%3E
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3872

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1594
http://lists.vmware.com/pipermail/security-announce/2010/000108.html

[9]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3654

[10]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1590
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1599
http://www.symantec.com/connect/ko/blogs/stuxnet-breakthrough
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[12]
http://blog.trendmicro.com/stuxnet-scanner-a-forensic-tool/
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/StuxnetScanner.zip

[13]
http://www.langner.com/english/?p=440

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1616
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1604
http://blogs.adobe.com/psirt/2010/11/alert-adobe-acrobatreader-upgrade-email-spamphishing-scam.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1477
http://www.zdnet.co.uk/news/security-threats/2010/10/26/dutch-police-take-down-bredolab-botnet-40090649/?s_cid=938

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1617
http://www.h-online.com/security/news/item/Koobface-server-taken-down-1136163.html

[18]
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1618
http://www.enisa.europa.eu/media/press-releases/cyber-europe-2010-a-successful-2019cyber-stress-test2019-for-europe

[20]
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html

[21]
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-%E2%80%93-part-2-%E2%80%93-the-sandbox-process.html

[22]
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-3-broker-process-policies-and-inter-process-communication.html

[23]
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-4-the-challenge-of-sandboxing.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1509
http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1585
http://googleonlinesecurity.blogspot.com/2010/11/quick-update-on-our-vulnerability.html
http://www.google.com/corporate/rewardprogram.html

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1610
http://hackingexpose.blogspot.com/2010/11/chinese-isp-hijacked-us-military-gov.html
http://www.uscc.gov/annual_report/2010/10_annual_report.php

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 8 au 14 novembre

Thu, 18 Nov 2010 15:14:12 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs Microsoft jugés comme étant "importants" par l'éditeur : MS10-088 [1] (PowerPoint), MS10-089 [2] (Forefront Unified Access Gateway) et plus particulièrement du MS10-087 [3] qui affecte Microsoft Office et qui est jugé "critique".

* Résumé des évènements majeurs :
- Correctifs :
Dans le cadre de son "Patch Tuesday" [4] du mois de novembre, Microsoft a publié les bulletins de sécurité MS10-087 [3] (MS Office), MS10-088 [1] (PowerPoint) et MS10-089 [2] (Forefront Unified Access Gateway). Ces bulletins sont jugés comme étant critiques pour Office, et important pour les deux autres.

Adobe a publié cette semaine son bulletin de sécurité APSB10-27 [5] proposant un correctif pour Flash Media Server.

Apple a, de son côté, publié des correctifs pour QuickTime [6] et Mac OS X [7]. En incitant un utilisateur à ouvrir un document multimédia spécialement conçu avec QuickTime, un pirate était en mesure de compromettre un système à distance. Concernant Mac OS, de très nombreux composants logiciels du système d'exploitation ont été mis à jour. L'exploitation des vulnérabilités permettait à un pirate de compromettre un système.

- Exploit :
Plusieurs exploits ont été rendus publics cette semaine. Le premier [8] permet d'exploiter une vulnérabilité [9] référencée CVE-2010-3867 découverte la semaine dernière au sein de ProFTPd dans la gestion des commandes Telnet IAC.

La seconde preuve de concept [10] permet d'exploiter la vulnérabilité présentée la semaine dernière au sein d'Internet Explorer [11]. La faille de sécurité était liée à la gestion de l'attribut "clip" par la librairie partagée "mshtml.dll". L'exploitation de cette erreur permet à un pirate de corrompre la mémoire d'un système distant, afin d'en prendre le contrôle après avoir incité un utilisateur à visiter une page Internet spécialement conçue. Microsoft n'a toujours pas publié de correctif, mais propose une solution de contournement [12].

Enfin, une preuve de concept [13] exploitant une vulnérabilité (CVE-2010-4091) présente au sein d'Adobe Reader [14] et permettant de corrompre la mémoire du processus a été publiée. Celle-ci contredit les propos d'Adobe qui annonçait que l'exploitation de cette vulnérabilité permettait uniquement de provoquer un déni de service. Cette vulnérabilité est liée à l'utilisation de la fonction "Doc.printSeps" du plug-in "EScript.api". Une solution de contournement [15] et un correctif [16] ont néanmoins été proposés.

- Cybercriminalité / Attaques :
Des pirates ont exploité pour la seconde fois en peu de temps l'identité de l'organisation du Prix Nobel pour inciter des utilisateurs à ouvrir un document malveillant. Après avoir compromis le site internet de l'organisation [17], les pirates ont, cette fois, envoyé un grand nombre de pourriels [18] contenant une invitation à la cérémonie de remise du prix qui se tenait le 11 novembre dernier. Ce courriel, prétendument envoyé par "Alex Gladstein", le vice-président à la Statégie de l'"Oslo Freedom Forum", contenait en pièce jointe un PDF malveillant intitulé "invitation.pdf". Ce document spécialement conçu permettait d'exploiter la vulnérabilité référencée CVE-2010-2883 [19], récemment corrigée par Adobe dans son bulletin de sécurité APSB10-21 [20].

Dans le même temps, des criminels ont utilisé la dernière faille de sécurité 0day ciblant Internet Explorer [21] après avoir piraté le site de la branche d'Amnesty International basée à Hong Kong. L'objectif était de compromettre les systèmes des internautes visitant le site avec le navigateur de Microsoft. Un code d'exploitation de cette même faille a parallèlement été ajouté au kit d'exploitation "Eleonor" [22]. Cette mise à jour de l'outil destiné aux pirates a donc eu lieu moins de 2 jours après que le code d'exploitation ait été dans la nature, et environ une semaine après que la faille ait été rendue publique...

Enfin, une campagne de distribution de pourriels a été lancée visant plus spécifiquement des spécialistes de la sécurité informatique [23]. Un lien les dirigeait vers un faux centre de commande et de contrôle d'un botnet reposant sur Zeus. L'objectif des pirates était de diriger ces chercheurs vers un pot de miel ("honeypot") afin de récupérer diverses informations telles que leurs adresses IP. Ces informations pourraient avoir une valeur ajoutée très importante pour les pirates dans un futur plus ou moins proche. En effet, en relevant les adresses IP de leurs victimes, les pirates pourraient configurer leurs systèmes malveillants afin d'empêcher les spécialistes de s'y connecter.

- Conférence / Recherche :
BlackSheep [24], une nouvelle extension pour Firefox permet de contrer les pirates utilisant Firesheep [25] ou tout autre programme permettant de réaliser une attaque de vol de session en écoutant le trafic réseau ("HTTP Session Hijacking"/"sidejacking") sur un réseau local. De faux cookies de session sont ainsi envoyés afin de piéger les pirates.

Le monde de la sécurité est actuellement en pleine mutation. Après Google et Mozilla, c'est au tour de Baracuda Networks [26] de lancer son programme de récompense lors de la découverte de failles de sécurité.

- Entreprises :
Microsoft a été fortement critiquée cette semaine par ses concurrents pour avoir débuté une campagne de promotion de son antivirus "Security Essentials" [27]. En effet, le géant de Redmond a utilisé son service Windows Update afin de pousser ses clients américains dépourvus d'antivirus à installer le produit estampillé Microsoft. Il semblerait donc que la forte réprimande européenne liée au manque de concurrence dans le domaine des navigateurs ait porté ces fruits...

- XMCO :
L'application iCERT-XMCO pour iPad est maintenant disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6

Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1565
http://www.microsoft.com/technet/security/bulletin/ms10-088.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2572
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2573

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1566
http://www.microsoft.com/france/technet/security/bulletin/ms10-089.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2732
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2733
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2734
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3936

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1564
http://www.microsoft.com/technet/security/bulletin/MS10-087.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3333
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3334
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3335
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3336
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3337

[4]
http://www.microsoft.com/technet/security/bulletin/ms10-nov.mspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1570
http://www.adobe.com/support/security/bulletins/apsb10-27.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3633
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3634
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3635

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1567
http://support.apple.com/kb/HT4104

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1581
http://support.apple.com/kb/HT4435

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1549
http://seclists.org/fulldisclosure/2010/Nov/49
http://www.metasploit.com/modules/exploit/linux/ftp/proftp_telnet_iac

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1516
http://www.proftpd.org/docs/NEWS-1.3.3c
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3867

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1550
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms10_xxx_ie_css_clip.rb

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1526
http://www.symantec.com/connect/blogs/new-ie-0-day-used-targeted-attacks
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962

[12]
http://www.microsoft.com/technet/security/advisory/2458511.mspx

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1558
http://pastebin.com/h9GVyJhQ

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1554
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1532
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091
http://extraexploit.blogspot.com/2010/11/full-disclosure-xplpdf-adober-reader-94.html

[15]
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1603
http://www.adobe.com/support/security/bulletins/apsb10-28.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1469
http://norman.com/about_norman/press_center/news_archive/2010/129223/en-us

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1551
http://www.f-secure.com/weblog/archives/00002061.html

[19]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1327
http://www.adobe.com/support/security/bulletins/apsb10-21.html

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1573
http://hackingexpose.blogspot.com/2010/11/nasty-ie-0day-exploit-hosted-on-amnesty.html

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1562
http://thompson.blog.avg.com/2010/11/heads-up-0-day-in-an-exploit-kit.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1553
http://www.darkreading.com/insiderthreat/security/attacks/showArticle.jhtml?articleID=228200070

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1548
http://research.zscaler.com/2010/11/detecting-firesheep.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1467
http://codebutler.com/firesheep

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1561
http://threatpost.com/en_us/blogs/barracuda-networks-launches-bug-bounty-program-110910

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1559
http://www.net-security.org/malware_news.php?id=1522

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 1 au 7 novembre

Tue, 09 Nov 2010 23:18:38 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs disponibles pour Adobe Flash Player, proposés dans son bulletin APSB10-26 [1]. Cette publication fait suite au bulletin d'alerte APSA10-05 [2] dans lequel Adobe alertait ses clients de la découverte d'une vulnérabilité 0day au sein de Flash Player. L'éditeur devrait publier d'autres mises à jour [3] corrigeant la même vulnérabilité le 9 novembre (pour Flash Player sur Androïd) ainsi que dans la semaine du 15 novembre (Adobe Reader et d'Acrobat). Pour ces deux derniers logiciels, le CERT-XMCO recommande la suppression de la librairie partagée "authplay.dll" en tant que solution de contournement provisoire.

* Résumé des évènements majeurs :
- Vulnérabilités :
Adobe a révélé cette semaine l'existence d'un 0-day [4] permettant d'exécuter du code via un fichier PDF sous Adobe Reader. La faille référencée CVE-2010-4091 [5] provient de la fonction JavaScript "printSeps()". Un correctif devrait être publié le 15 novembre. Un code d'exploitation [6] a été diffusé sur internet.

Peu de temps auparavant, alors que le correctif APSB10-25 [7] venait tout juste d'être publié, une autre vulnérabilité [8] difficilement exploitable pour un pirate avait été révélée au sein de Shockwave Player. L'exploitation de celle-ci permet à un attaquant distant de prendre le contrôle d'un système vulnérable. Il était néanmoins nécessaire pour cela d'inciter un utilisateur à ouvrir la fenêtre de préférences ainsi qu'à ouvrir une page Internet spécialement conçue pour pouvoir exploiter cette faille à distance...

Une faille de sécurité [9] critique au sein d'Internet Explorer (6, 7 et 8) a été découverte. En incitant un utilisateur à visiter une page Internet spécialement conçue, un pirate est en mesure de compromettre un système vulnérable. La faille de sécurité provient de la gestion de l'attribut "clip" par la librairie partagée "mshtml.dll". Microsoft a réagi en publiant le bulletin de sécurité référencée KB2458511 [10].

- Correctifs :
Adobe a publié cette semaine son bulletin de sécurité APSB10-26 [1] corrigeant plusieurs failles de sécurité au sein de son lecteur Flash, dont la vulnérabilité référencée CVE-2010-3654 [11] présentée dans le bulletin d'alerte APSA10-05 [2]. Dans le même temps, des correctifs pour Flash sur Androïd ainsi que pour Reader et Acrobat ont été annoncés pour le 9 novembre et pour la semaine du 15.

Une faille de sécurité critique a été corrigée au sein de ProFTPd [12]. Celle-ci permettait de prendre le contrôle d'un serveur à distance. Un code d'exploitation [13] est disponible sur Internet.

Une autre faille de sécurité a été corrigée au sein du serveur DHCP de l'ISC [14]. Son exploitation permettait à un pirate de provoquer un déni de service.

- Exploit :
Un code d'exploitation [15] de la vulnérabilité référencée CVE-2010-3654 [10] affectant Flash Player (voir APSA10-05 [2]) a été publié sur Internet.

- Cybercriminalité / Attaques :
Un nouveau mode de distribution [16] de malware a fait son apparition sur Internet. Il est de notoriété publique que l'organisation des pirates suit un modèle de division des tâches très poussé. Dans ce cadre, un pirate a eu l'idée de donner son malware spécialisé dans le vol d'informations à ces "clients". Ceux-ci, qui sont en général spécialisés dans la dissémination, se chargent de la mise en place de campagne visant à propager et à installer le cheval de Troie sur un grand nombre de machines. Une fois installé ; les deux pirates reçoivent une copie des informations dérobée. Ainsi chacun travaille pour la réussite de l'opération complète : le développeur créé un malware "techniquement" efficace, pendant que ses "clients" se chargement de garantir son installation sur les postes des victimes.

- Conférence / Recherche :
Une étude [17] ciblant la qualité du code source d'Androïd a été publiée par la société Coverity. La qualité du code serait particulièrement bonne de manière générale, avec deux fois moins de bogues qu'habituellement dans le domaine industriel (0,47 défaut pour 1000 lignes de code au lieu de 1 défaut pour 1000 lignes de code). Cependant, les portions du noyau spécifiques à Androïd, lequel est largement dérivé de Linux, ont une plus grande densité de défaut que le reste du kernel (0,78 défaut pour 1000 lignes de code).

- Entreprises :
Google [18] a annoncé cette semaine l'extension de son programme de récompense. Celui-ci permettait jusqu'à présent aux chercheurs ayant découvert une faille de sécurité au sein de Google Chrome de se voir offrir une somme d'argent allant jusqu'à 3133,7 dollars en fonction de la criticité de la découverte. Avec cette extension, les chercheurs sont donc maintenant invités à rechercher des failles de sécurité présente au sein des applications web. Seuls certains domaines ainsi que leurs sous domaines sont concernés, par exemple google.com ou encore youtube.com. Le géant de la recherche a néanmoins cadré très précisément les limites auxquels les chercheurs doivent se tenir. Pas question par exemple d'attaquer les infrastructures des opérateurs tiers hébergeant ses services...

Google [19] et Facebook [20] ont réagi à de récentes critiques dans le domaine de la protection de la vie privée de leurs utilisateurs. Google a ainsi retiré de son "Androïd Market" une application malveillante appelée "Secret SMS Replicator" pouvant être utilisée par un pirate afin d'obtenir une copie des messages texte envoyés à un utilisateur. De son côté, Facebook a réagi à une récente étude dans laquelle un chercheur avait montré que bon nombre d'application transmettait, voir revendait des informations personnelles.

La version 2.0 du standard PCI-DSS [21] a officiellement vu le jour. Au programme, pas de grandes nouveautés, mais plutôt de nombreuses clarifications. Celle-ci deviendra applicable à partir du 1er janvier 2011. Parmi les changements, cette mise à jour a été l'occasion d'un alignement des cycles de publication avec les standards PA-DSS et PTS. Les experts auraient aimé voir certains sujets tels que la "tokenization" traités. Espérons que la prochaine version prévue normalement pour 2014 inclura les nombreux retours d'expérience des professionnels sur ce sujet...

- International :
La seconde partie de la simulation "Cyber Europe 2010" [22] s'est tenue cette semaine. Organisée par l'ENISA, cette première édition de l'exercice de protection des infrastructures critique a permis à l'ensemble des acteurs européens (plus de 150 personnes) impliqués d'établir des relations de confiance, de prendre conscience des différences existantes, de tester les canaux de communication, de mettre en avant l'interdépendance et enfin d'aider les états membres à valider les procédures existantes et à en mettre en place de nouvelle, lorsque nécessaires.

- Prévention :
Sophos a publié une version gratuite de son antivirus "Sophos Anti-Virus Home Edition for Mac" [23] à destination des systèmes Mac OS.

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1541
http://www.adobe.com/support/security/bulletins/apsb10-26.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1494
http://www.adobe.com/support/security/advisories/apsa10-05.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1518
http://www.adobe.com/support/security/advisories/apsa10-05.html

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1532
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1554
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1558
http://pastebin.com/h9GVyJhQ

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1504
http://www.adobe.com/support/security/bulletins/apsb10-25.html
http://www.adobe.com/support/security/advisories/apsa10-04.html

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1522
http://isc.sans.edu/diary.html?storyid=9877

[9]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1526
http://www.symantec.com/connect/blogs/new-ie-0-day-used-targeted-attacks

[10]
http://www.microsoft.com/technet/security/advisory/2458511.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1515
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3654

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1516
http://www.proftpd.org/docs/NEWS-1.3.3c

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1549
http://seclists.org/fulldisclosure/2010/Nov/49

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1523
http://www.isc.org/software/dhcp/advisories/cve-2010-3611

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1515
http://www.metasploit.com/redmine/projects/framework/repository/revisions/10857/entry/modules/exploits/windows/fileformat/adobe_flashplayer_button.rb

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1513
http://www.net-security.org/malware_news.php?id=1515

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1528
http://blog.coverity.com/open-source/launch-of-the-coverity-scan-2010-open-source-integrity-report/

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1509
http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1512
http://www.net-security.org/secworld.php?id=10082

[20]
http://www.net-security.org/secworld.php?id=10079

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1514
http://www.net-security.org/article.php?id=1530

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1540
http://www.enisa.europa.eu/media/press-releases/cyber-europe-20102019-cyber-security-exercise-with-320-2018incidents2019-successfully-concluded

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1527
http://www.sophos.com/pressoffice/news/articles/2010/11/free-mac-anti-virus.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 25 au 31 octobre

Thu, 04 Nov 2010 14:13:25 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande de mettre en place une solution temporaire de protection contre l'exploitation de la faille de sécurité affectant le lecteur Flash embarqué au sein du logiciel Adobe Reader (CVE-2010-3654 [1], APSA10-05 [2]). Pour cela, le CERT-XMCO recommande de supprimer la libraire "authplay.dll" en attendant la publication d'un correctif par Adobe.

* Résumé des évènements majeurs :
— Vulnérabilités :
Une vulnérabilité critique [3] au sein de Firefox a été découverte par un adolescent de 12 qui s'est donc vu récompensé par la "nouvelle" prime de 3000 $ offerte par Mozilla. Peu de temps après, un 0day [4] a été découvert sur le site du prix Nobel. Celui-ci permettait d'exploiter une faille de sécurité inconnue jusqu'alors au sein de la fonction JavaScript "document.write()". Mozilla a réagi très rapidement en publiant un correctif [5] en 2 jours.

Adobe a publié cette semaine le bulletin d'alerte APSA10-05 [2] à la suite de l'exploitation sur Internet d'une faille de sécurité au sein du lecteur Flash. Des documents PDF embarquant une animation Flash malveillante ont été envoyés aux internautes dans le cadre d'une campagne d'envoi massif de pourriels. La suppression de la librairie partagée "authplay.dll" présente dans le répertoire d'installation d'Adobe Reader permet de protéger les utilisateurs de ce logiciel contre l'exploitation de cette faille via le format de fichier PDF. Néanmoins, aucune solution autre que la désinstallation n'est actuellement disponible pour protéger les utilisateurs de Flash Player...

Une faille de sécurité au sein de l'iOS a été découverte [6]. Un pirate serait en mesure de contourner le verrouillage d'un iPhone afin d'accéder à l'ensemble du carnet d'adresses d'un utilisateur, voire de réaliser des appels téléphoniques.

Après avoir découvert la faille de "DLL hijacking" [7], Across Security vient de faire resurgir une autre faille similaire, liée à la gestion de l'expansion par Windows [8] des variables (telles que "%APPDATA%") contenues dans le "PATH". L'exploitation de cette faille de sécurité en parallèle du chargement automatique des librairies partagées depuis le dossier courant permet alors à un pirate de prendre le contrôle d'un système distant.

— Correctifs :
Adobe a publié cette semaine le bulletin APSB10-25 [9] proposant un correctif à la faille de sécurité référencée CVE-2010-3653 affectant Shockwave qui avait été présentée dans le bulletin d'alerte APSA10-04. De nombreuses autres failles de sécurité ont été corrigées par la même occasion. Même si celles-ci ne sont pas actuellement exploitées sur Internet, un code d'exploitation est disponible. Le CERT-XMCO recommande donc l'installation de la version 11.5.9.615 de Shockwave.

— Exploit :
Un code d'exploitation [10] a été publié sur Internet. Celui-ci permet d'exploiter la vulnérabilité référencée CVE-2010-3552 [11] récemment corrigée par Oracle dans la dernière version de Java (6 Update 22) lors de la publication de son bulletin "javacpuoct2010" [12]. La faille de sécurité provient d'un manque de validation du paramètre "docbase", et permet à un pirate de prendre le contrôle à distance d'un système vulnérable en incitant simplement un utilisateur à visiter une page internet malveillante.

— Cybercriminalité / Attaques :
Zeus continue de faire parler de lui. Ses nouvelles fonctionnalités [13] ont été l'occasion de publier de nouveaux articles. Une rumeur [14] stipulerait par ailleurs l'arrêt de son développement par Slavik, son développeur, et la prise de sa succession par Harderman, le développeur du concurrent SpyEye. La médiatisation trop importante de Zeus ces derniers temps est probablement la cause de la fusion de ces deux outils malveillants. Le retrait de Slavik de la scène pirate lui permettrait ainsi de se faire plus discret, et de faire retomber toute l'attention qui était portée sur lui. Dans le même temps, cette évolution permet à Harderman de revoir à la hausse les prix de son outil...

Les pirates composant la Cyber-Armée Iranienne auraient amorcé un changement de stratégie en mettant sur pied un botnet d'environ 400 000 machines [15]. Ce botnet serait pour le moment loué à d'autres pirates pour mener à bien leurs cyberattaques, mais il pourrait être à terme utilisé par ce groupuscule pour réaliser d'autres types de méfaits ; par exemple en représailles à l'infection par Stuxnet de l'Iran...

Le botnet Bredolad [16] a été démantelé par les autorités néerlandaises. Pour cela, une méthode juridiquement exotique a été utilisée. En effet, les spécialistes néerlandais ont piraté à leur tour les zombies composant le botnet afin d'avertir les utilisateurs de la compromission, et de leur demander de "nettoyer" leur machine. Une telle méthode est légalement interdite dans bon nombre de pays dans lesquels se trouvaient les systèmes infectés...

D'après l'étude "Mapping the Mal Web" [17] de McAfee, les domaines .com et .vn serait les plus "dangereux". Ceux-ci hébergeraient le plus de pages Internet malveillantes...

Une autre étude menée par la société Damballa [18] stipule que les pays occidentaux hébergeraient la majorité des serveurs de commande et de contrôle (C&C). Les résultats de cette étude ont été sévèrement critiqués [19] par bon nombre de spécialistes des botnets, pour qui le travail de Damballa n'a pas été fait de façon correcte...

Koobface fait encore parler de lui. Une nouvelle variante appelée "boonana" [20] a fait son apparition sur Internet. Celle-ci permet maintenant de compromettre aussi bien les postes des utilisateurs de réseaux sociaux sous Windows, que sous Mac OS ou encore sous Unix...

Un nouveau type d'attaque contre le système bancaire a été découvert. Le principe des "Flash attacks" [21] est de réaliser un nombre très important de petits débits passants sous la limite des systèmes de détection de fraude en un court laps de temps. Pour cela, les pirates dérobent les informations contenues dans la bande magnétique d'une carte bancaire à l'aide d'un "skimmer" présent sur un automate (DAB). Un grand nombre de copies de cette carte est ensuite réalisé à partir de ces informations. Les pirates n'ont ensuite plus qu'à s'organiser pour définir une date et une heure précise auxquelles les milliers de copies seront utilisées au travers du monde pour retirer de l'argent depuis un compte unique. Ce type d'attaque ne fonctionne bien évidemment que dans les pays faisant encore confiance à la piste magnétique, mais il est important de rappeler que l'ensemble de cartes bancaires est encore équipé d'une telle piste. Les Français peuvent donc potentiellement être pris pour cible d'une telle attaque...

— Conférence / Recherche :
Dans le cadre de la douzième édition de la conférence internationale Toorcon qui se tenait à San Diego aux États-Unis, le chercheur Éric Butler a publié une extension Firefox dénommée FireSheep [22] permettant de montrer les dangers pour les utilisateurs d'une mauvaise gestion par les sites internet de l'identification et de l'authentification. En effet, lorsque le protocole de chiffrement SSL/TLS est uniquement utilisé pour l'authentification, un pirate est alors en mesure de réaliser des attaques lui permettant de dérober le cookie de session dans les échanges HTTP réalisés entre un client et un serveur afin d'usurper l'identité d'un internaute sur un site. FireSheep permet par exemple de dérober les cookies de session en écoutant les communications effectuées sur un réseau (WiFi) peu sécurisé, et de les utiliser extrêmement simplement en cliquant directement sur l'icône associée au site vulnérable. Attention à ne pas se méprendre, cette attaque n'est en rien liée à Mozilla. La plateforme est ici simplement utilisée pour sa flexibilité. Par ailleurs, les internautes sont encouragés à naviguer sur les versions SSL/TLS des sites qu'ils visitent.

Les chercheurs de l'université de Cambridge ont publié cette semaine le code source [23] ainsi que les plans de la maquette utilisée pour démontrer la faille de sécurité présente au sein du protocole EMV. Pour rappel, ces chercheurs avaient démontré il y a plusieurs mois qu'il était possible de réaliser des payements avec des cartes bancaires dérobées sans avoir besoin d'en connaitre le code PIN...

— Entreprises :
Apple [24] a annoncé cette semaine vouloir supprimer certains logiciels historiquement vulnérables afin de renforcer la sécurité de son système d'exploitation. Le lecteur Flash d'Adobe, tout comme Java pourrait donc faire les frais de cette nouvelle directive d'Apple... Il resterait bien entendu la possibilité aux utilisateurs de Mac OS d'installer ces logiciels tiers manuellement.

— Prévention :
Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) a clôturé son initiative de sensibilisation à la sécurité informatique. Son Mois de la Sensibilisation à la Cyber-Sécurité [25] ("Cyber Security Awareness Month", aka "CSAM") a été l’occasion de recommander la mise en place de 31 bonnes pratiques concernant l'informatique au sein du cercle familial, scolaire et professionnel.

— XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmco.fr/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1494
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3654

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1518
http://www.adobe.com/support/security/advisories/apsa10-05.html

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1456
http://www.zdnet.com/blog/security/12-year-old-finds-critical-firefox-flaw-earns-3000-bounty/7524
http://www.mozilla.org/security/announce/2010/mfsa2010-65.html

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1479
http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/
http://norman.com/about_norman/press_center/news_archive/2010/129223/en
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3765

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1469
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1478

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1500
http://pastebin.com/Uwzt2EA6

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1488
http://www.mozilla.org/security/announce/2010/mfsa2010-73.html
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.12
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3765

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1465
http://hackingexpose.blogspot.com/2010/10/secret-button-sequence-bypasses-iphone.html

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1076
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1079
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1089
http://www.microsoft.com/technet/security/advisory/2269637.mspx

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1490
http://blog.acrossecurity.com/2010/10/breaking-setdlldirectory-protection.html

[9]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1504
http://www.adobe.com/support/security/bulletins/apsb10-25.html
http://www.adobe.com/support/security/advisories/apsa10-04.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3653

[10]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1495
http://www.metasploit.com/redmine/projects/framework/repository/revisions/10819/raw/modules/exploits/windows/browser/java_docbase_bof.rb

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1386
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3552

[12]
http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1459
http://www.banksecurityportal.com/banksecurity_news.asp?articleid=265431

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1461
http://krebsonsecurity.com/2010/10/spyeye-v-zeus-rivalry-ends-in-quiet-merger/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1463
http://blog.seculert.com/2010/10/iranian-cyber-army-strikes-back.html

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1477
http://www.zdnet.co.uk/news/security-threats/2010/10/26/dutch-police-take-down-bredolab-botnet-40090649/?s_cid=938

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1473
http://us.mcafee.com/en-us/local/docs/Mapping_Mal_Web.pdf

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1474
http://blog.damballa.com/?p=897

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1499
http://www.h-online.com/security/news/item/Damballa-s-analysis-of-botnet-C-C-servers-criticised-1126699.html

[20]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1476
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1486
http://blog.intego.com/2010/10/27/intego-security-memo-trojan-horse-osxkoobface-a-affects-mac-os-x-mac-koobface-variant-spreads-via-facebook-twitter-and-more/

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1487
http://www.theregister.co.uk/2010/10/27/credit_card_flash_attacks/

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1467
http://codebutler.com/firesheep

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1485
http://www.lightbluetouchpaper.org/2010/10/19/the-smart-card-detective-a-hand-held-emv-interceptor/

[24]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1472
http://www.guardian.co.uk/technology/blog/2010/oct/23/apple-flash-war-steve-jobs-continues

[25]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1323
http://isc.sans.edu/diary.html?storyid=9640

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 18 au 24 octobre

Tue, 26 Oct 2010 13:53:29 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Une vulnérabilité affectant Adobe Shockwave Player [1] et la preuve de concept associée [2] ont été publiées en fin de semaine dernière.
Le CERT-XMCO recommande de rester vigilant, car des attaques massives pourraient avoir lieu dans les prochains jours.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une preuve de concept exploitant une faille de sécurité présente au sein d'Internet Explorer [3] (7 et 8) a été publiée. Le chercheur l'ayant découvert aurait déjà alerté Microsoft il y a environ deux ans, sans aucune réaction officielle de l'éditeur. L'exploitation de cette faille permettrait à un pirate d'obtenir certaines informations sensibles via la simple visite d'une page Internet malveillante.

Une faille de sécurité a été découverte au sein du plug-in multimédia VLC pour Mozilla [4] . En incitant un internaute à visiter un site web spécialement conçu, un pirate était en mesure de compromettre un système.

Le chercheur Tavis Ormandy (Google) a découvert une vulnérabilité au sein de la librairie partagée Glibc [5]. En n'implémentant pas correctement une règle de sécurité définie par les concepteurs du format de fichiers exécutable ELF, les développeurs de la librairie ont introduit une faille de sécurité exploitable localement par un utilisateur malveillant afin d'élever ses privilèges. La faille de sécurité est plus précisément liée à l'expansion de la variable "$ORIGIN" lors de la manipulation des fichiers exécutables "setuid" ou "setgid".

À la suite de la mise à disposition sur Internet d'une preuve de concept permettant d'exploiter une faille de sécurité présente au sein du plug-in Shockwave Player, Adobe a publié un bulletin d'alerte APSA10-04 [1]. Aucune information sur la date prévisionnelle de sortie du correctif n'a été donnée par Adobe. Cette faille n'est pas encore massivement exploitée sur Internet.

- Correctifs :
Adobe a publié cette semaine deux correctifs référencés APSB10-23 [6] et APSB10-24 [7]. "RoboHelp" et "RoboHelp Server" seraient vulnérables à des attaques de type "Cross-Site Scripting" (XSS) (CVE-2010-2885 [8] et CVE-2010-2886 [9]). La vulnérabilité présente au sein de InDesign permettrait de charger automatiquement une librairie malveillante afin de compromettre un système à distance via l'ouverture d'un fichier.

La fondation Mozilla a publié cette semaine des correctifs pour ses logiciels phares : Firefox [10] et Thunderbird [11]. La visite d'une page Internet spécialement conçue permettait à un pirate de provoquer de multiples dommages.
Toujours dans le domaine des navigateurs web, Google a aussi publié une mise à jour de Chrome [12].

- Cybercriminalité / Attaques :
Après Microsoft [13] la semaine précédente, c'est au tour de systèmes appartenant à l'éditeur d'antivirus Kaspersky [14] et au fabricant de PC chinois Lenovo [15] d'être compromis. Les pirates utilisaient les serveurs compromis afin d'infecter les visiteurs. Un faux antivirus était ainsi proposé aux internautes visitant le site de téléchargement des produits Kaspersky...

- Justice :
Facebook [16] a déposé trois plaintes devant la cour fédérale de San Jose en Californie contre plusieurs personnes (physiques et morales) ayant abusé de son image pour monter des arnaques contre des internautes. Celles-ci visent deux hommes : Steven Richter et Jason Swan, ainsi qu'une entreprise canadienne spécialisée dans le marketing viral : MaxBounty. Ce n'est pas la première fois que Facebook poursuit des pirates devant les tribunaux, mais c'est une première concernant les sociétés "d'affiliation" telles que MaxBounty. D'après la société, MaxBounty serait responsable de plusieurs campagnes d'envoi de pourriels...

- Conférence / Recherche :
D'après les observations de Microsoft [17], Java pourrait bientôt remplacer le format PDF en tant que vecteur d'attaque favori des pirates. En effet, l'interopérabilité de Java, et l'ajout de nouvelles fonctionnalités de sécurité au sein des logiciels Adobe feront probablement pencher la balance du côté de Java. Par ailleurs, de plus en plus de packs d'exploitation [18] embarquent les exploits ciblant les vulnérabilités présentes au sein de Java.

- Entreprises :
Adobe [19] a annoncé la prochaine sortie des versions "X" de ses logiciels phares Adobe Reader, mais aussi Acrobat Suite, Acrobat Pro et Acrobat Standard. Cette nouvelle version majeure apportera entre autres de nouvelles fonctionnalités telles que la mise en place d'un bac à sable permettant de limiter le risque d'exploitation d'une faille de sécurité par un pirate.

- Internationnal :
Après avoir commencé à travailler sur un nouveau système d'exploitation [20] visant à garantir la sécurité et l'indépendance de l'Inde, le pays réfléchit actuellement à la mise en place d'une solution permettant de se "déconnecter" d'Internet [21]. Cet "interrupteur" permettait ainsi aux autorités indiennes de gagner du temps afin de mettre en place des protections lors de potentielles cyberattaques (cf. Estonie et la Géorgie en 2007 et 2008).

L'Allemagne [22] aurait de nouveau fait appel à un pirate afin d'obtenir des informations confidentielles détenues par la banque suisse Julius Bär. Un CD contenant environ 200 noms de clients de la banque suspectée de fraude fiscale aurait été acheté pour 1,5 million d'euros par un Land allemand (Rhénanie du Nord/Westphalie). Le pirate aurait agi, non pas pour son intérêt personnel, mais pour une "juste cause" puisqu'il aurait reversé cette somme à une oeuvre de bienfaisance. Celle-ci aurait refusé cet argent "douteux"...

Dans sa "National Security Strategy", le Royaume-Uni [23] aurait décidé d'allouer environ 567 millions d'euros afin de faire face aux cybermenaces. Le document métrait en place le contexte pour la "Strategic Defence Review" de demain. La cyberguerre est désormais officiellement considérée comme l'une des menaces les plus sérieuses pour le Royaume-Uni, et est classée au même niveau que le terrorisme, les pandémies ou encore les crises militaires internationales. Le document met en avant les Jeux olympiques de 2012 comme étant un évènement à haut risque en terme de cyberattaques.

Des pirates chinois [24] auraient mené des attaques contre de nombreux officiels sud coréens afin de leur dérober de nombreux documents confidentiels tout au long de 2010. Apparemment, les hackers ciblaient les fonctionnaires chargés des relations avec la Corée du Nord.

- Prévention :
Google, le géant de la recherche sur Internet, a publié une checklist [25] "sécurité" composée de 18 recommandations réparties en 5 grandes catégories : l'ordinateur, le navigateur Internet, le compte Google, les réglages de Gmail et enfin d'autres rappels. Celle-ci est principalement destinée aux utilisateurs de son service de messagerie Gmail.

Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité [26] ("Cyber Security Awareness Month", aka "CSAM"). Déjà 25 bonnes pratiques concernant l'informatique au sein du cercle familial, scolaire et professionnel ont été formulées.

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1451
APSA10-04.html" target='_blank'>http://blogs.adobe.com/psirt/2010/10/security-advisory-for-adobe-shockwave-player-APSA10-04.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3653

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1452
http://www.exploit-db.com/exploits/15296/

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1448
http://scarybeastsecurity.blogspot.com/2010/10/minor-leak-major-headache.html

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1434
http://shinnai.altervista.org/exploits/SH-007-20101019.html

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1449
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1450
http://archives.neohapsis.com/archives/fulldisclosure/2010-10/0258.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3847

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1425
http://www.adobe.com/support/security/bulletins/apsb10-23.html

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1426
http://www.adobe.com/support/security/bulletins/apsb10-24.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3153

[8]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2885

[9]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2886

[10]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1437
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.11

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1437
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.5

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1436
http://googlechromereleases.blogspot.com/2010/10/stable-channel-update.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1416
http://krebsonsecurity.com/2010/10/pill-gang-used-microsofts-network-to-attack-krebsonsecurity-com/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1431
http://countermeasures.trendmicro.eu/kaspersky-download-site-spread-fake-av/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1432
http://www.h-online.com/security/news/item/Trojan-trouble-at-Lenovo-1110581.html

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1441
http://www.pcworld.com/businesscenter/article/208387/facebook_sues_over_free_gift_card_dislike_button_scams.html

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1429
http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx

[18]
http://contagiodump.blogspot.com/2010/06/overview-of-exploit-packs-update.html

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1409
http://blogs.adobe.com/adobereader/2010/10/announcing-adobe-reader-x.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1358
http://www.newdelhinews.net/story/695571

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1454
http://economictimes.indiatimes.com/tech/internet/Govt-plans-to-cut-internet-services-in-case-of-cyber-attacks/articleshow/6791296.cms

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1422
http://www.rsr.ch/info/les-titres/economie/2592314-l-allemagne-s-offre-de-nouvelles-donnees-volees.html

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1423
http://www.computerworlduk.com/news/security/3244562/cyber-attacks-now-a-top-threat-to-uk-security-says-home-secretary/

[24]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1427
http://www.fastcompany.com/1696014/chinese-hackers-target-south-korean-diplomats

[25]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1420
http://mail.google.com/support/bin/static.py?hl=en&page=checklist.cs&tab=29488

[26]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1323
http://isc.sans.edu/diary.html?storyid=9640

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PATCH] [MICROSOFT] El�vation de privil�ges via plusieurs vuln�rabilit�s au sein du pilote de p�riph�rique noyau Win32k.sys (MS10-073)

Wed, 13 Oct 2010 12:12:13 GMT+1

Information	Valeur
Titre	Elévation de privilèges via plusieurs vulnérabilités au sein du pilote de périphérique noyau Win32k.sys (MS10-073)
Titre officiel	Microsoft Security Bulletin MS10-073 - Important - Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (KB981957)
Date	12 Octobre 2010
Plateforme	Windows
Programme	Noyau Windows
Criticité	Urgente
Exploitation	Locale
Dommage	Elévation de privilèges
Description	Trois vulnérabilités ont été corrigées au sein des systèmes Windows. L'exploitation de celles-ci permettait à un attaquant d'élever ses privilèges. Les trois failles de sécurité provenaient d'erreurs au sein du pilote de périphérique noyau des systèmes Windows (Win32k.sys). Ce gestionnaire permet de contrôler le gestionnaire de fenêtres, les affichages à l'écran ou encore les entrées du clavier et de la souris. Les erreurs étaient liées à une mauvaise gestion du nombre de pointeurs d'un objet (CVE-2010-2549, CXA-2010-0839 et [1]), d'une classe de fenêtres (CVE-2010-2744) ou encore lors du chargement de la configuration du clavier depuis un disque (CVE-2010-2743). La première vulnérabilité provenait de la façon dont les pilotes en mode noyau conservaient leur compteur de références sur un objet (CVE-2010-2549). La faille pouvait plus précisément être exploitée par un pirate afin de provoquer une erreur de type "use-after-free" en effectuant un grand nombre d'appels à la fonction "NtUserCheckAccessForIntegrityLevel()" provoquant ainsi une erreur au sein de la fonction "LockProcessByClientId()". (voir CXA-2010-0839) La deuxième vulnérabilité était liée à la façon dont les pilotes en mode noyau de Windows chargeaient des configurations de clavier spécifiques (CVE-2010-2743). Enfin, la dernière faille de sécurité était due à un manque de validation des données provenant des classes de fenêtres (CVE-2010-2744). Pour rappel, le ver Stuxnet exploitait la vulnérabilité liée à la configuration du clavier pour infecter des systèmes depuis une clé USB. En exécutant une application qui exploiterait l'une de ces vulnérabilités, un attaquant local préalablement authentifié était en mesure d'obtenir des privilèges élevés sur le système vulnérable. Note : l'application de ce correctif nécessite un redémarrage. Note 2 : ce bulletin remplace le précédent correctif MS10-048.
Exploit	Un code d'exploitation est disponible sur notre extranet
Vulnérable	* Windows XP SP3 * Windows XP Professionnel SP2 (Edition 64 bits) * Windows Server 2003 SP2 (Edition 32bits, 64 bits et Itanium) * Windows Vista SP1 et SP2 (Edition 32 et 64 bits) * Windows Server 2008 et Windows Server 2008 SP2 (Edition 64 bits et Itanium) * Windows 7 (Edition 32 et 64 bits) * Windows Server 2008 R2 (Edition 64 bits et Itanium)
Référence	[FR] http://www.microsoft.com/france/technet/security/bulletin/MS10-073.mspx [EN] http://www.microsoft.com/technet/security/bulletin/MS10-073.mspx https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0839 https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1306 http://www.exploit-db.com/exploits/14156/
Référence CVE	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2549 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2743 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2744
Correction	Le CERT-XMCO recommande l'application de ce correctif en urgence afin de limiter le risque d'infection par le ver Stuxnet. Le correctif MS10-073 est disponible sur le site de l'éditeur aux adresses suivantes : * Windows XP SP3 : http://www.microsoft.com/downloads/details.aspx?familyid=3966D754-D298-4E4A-9CE6-8205ACCD2215 * Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=7FD7C675-0675-4A87-A709-EDC47A30F1E2 * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=8EF4378E-21FF-4290-96BA-E00A60F372D1 * Windows Server 2003 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=4A95C74B-CFD8-45B5-8887-777429D21745 * Windows Server 2003 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=21637CD8-C75C-43B4-9948-BE7BE54AF6BF * Windows Vista SP1 et SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=E9F735AB-D995-4209-B2DC-197F53FDEE0F * Windows Vista SP1 et Windows Vista SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=738C8F70-B46A-4A59-BEA6-078074A9C4DB * Windows Server 2008 et Windows Server 2008 SP2 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=4DFF0EBE-CCBA-4675-98CA-9903F1CB6763 * Windows Server 2008 et Windows Server 2008 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=DA7905A9-9587-4184-8FCA-ECC636A3B67E * Windows Server 2008 et Windows Server 2008 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=B9096046-8C7A-450C-B8C5-6E9FB001E6CD * Windows 7 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=B5B31499-D242-42BF-AC78-B787FFB4D602 * Windows 7 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=C47E8B74-8CFE-42D9-9362-8786687C88AD * Windows Server 2008 R2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=98E0C6AC-C30B-4D39-8ED9-1FE69E7644E5 * Windows Server 2008 R2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=44080C75-036E-4BD0-914A-74AB72189EE3 Aucune solution de contournement n'a été identifiée par l'éditeur.
Id XMCO Partners	CXA-2010-1367
Lien extranet XMCO Partners	http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1367

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PATCH] [MICROSOFT] Corrections de multiples vuln�rabilit�s au sein du navigateur Internet Explorer (MS10-071)

Wed, 13 Oct 2010 12:07:15 GMT+1

Information	Valeur
Titre	Corrections de multiples vulnérabilités au sein du navigateur Internet Explorer (MS10-071)
Titre officiel	Cumulative Security Update for Internet Explorer (KB2360131)
Date	13 Octobre 2010
Plateforme	Windows
Programme	Internet Explorer
Criticité	Elevée
Exploitation	Avec une page web malicieuse
Dommage	Accès au système
Description	Microsoft vient de corriger 10 vulnérabilités présentes dans Internet Explorer, dont 2 considérées comme "critique" par Microsoft (CVE-2010-3326 et CVE-2010-3328). Les failles de sécurité résultaient principalement de débordements de mémoire lors du traitement de certains objets non ou mal initialisés. En incitant un utilisateur à visiter une page web spécialement conçue, un pirate était en mesure de compromettre un système en exécutant, à l'insu de la victime un code malicieux avec les droits de la victime exécutant Internet Explorer. La vulnérabilité (CVE-2010-0808), affectant uniquement Internet Explorer 6 et 7 sur Windows XP, est différente des autres. Cette vulnérabilité permet à un site web malicieux de voler le contenu des données préalablement utilisées par la fonction AutoComplete d'Internet Explorer. La fonction AutoComplete est le mécanisme permettant à Internet Explorer de remplir automatiquement des formulaires web avec les données fréquemment demandées (noms, prénoms, email...). Une autre vulnérabilité (CVE-2010-3330) permet à un JavaScript malicieux de contourner les protections dites de "Cross-Domain" (procédure de sécurité interdisant à une page web d'effectuer des requêtes sur un autre site visité par l'utilisateur) et alors de voler des informations à l'utilisateur, voire de s'introduire dans le réseau interne. Note : ce bulletin remplace le précédent correctif MS10-053.
Vulnérable	* Microsoft Internet Explorer 6 * Microsoft Internet Explorer 7 * Microsoft Internet Explorer 8
Référence	[EN] http://www.microsoft.com/technet/security/bulletin/ms10-071.mspx [FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-071.mspx
Référence CVE	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3243 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3324 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3326 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3328 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3329 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3330 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3331
Correction	Le CERT-XMCO recommande l'application du correctif MS10-071 (KB2294255) disponible aux adresses suivantes : Microsoft publie plusieurs versions du correctif en fonction de la version d'Internet Explorer et de la version de Windows : Internet Explorer 6 Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?FamilyID=3b029696-cf98-4935-b3d6-846110aaa4bb Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=d494535a-b68e-4242-af85-5fa62f631ffc * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?FamilyID=f64af3cd-591d-4212-94a0-3bc9a4d9782a * Windows Server 2003 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=12c3b950-b955-4820-9b4c-5206deb0cd3e * Windows Server 2003 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?FamilyID=97b3f6dc-8df5-4c93-aaee-f191498c7ce4 Internet Explorer 7 Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?FamilyID=c77ee103-7e97-44b2-bbf3-ee9f0de37fed Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=ff9c65fe-437c-426d-9096-dd89ff7927fd * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?FamilyID=fbcf0e65-c9f4-47f8-b4fc-ae46a66ab339 * Windows Server 2003 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=59a715a5-10ff-40e6-88e0-096c9b640799 * Windows Server 2003 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?FamilyID=ba194be9-24f9-4c62-9aa9-9e98c81ddba1 * Windows Vista SP1 et Windows Vista SP2 : http://www.microsoft.com/downloads/details.aspx?FamilyID=4f656d16-2a7e-4d18-8a5a-ebf8a1a10e2b * Windows Vista SP1 et Windows Vista SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=02c6260c-8e21-401a-992d-884c6ff7141d * Windows Server 2008 et Windows Server 2008 SP2 (32 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=0107dd61-7b3e-4fcf-9743-d9ae594b2278 * Windows Server 2008 et Windows Server 2008 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=139f3bb2-eefc-4cf4-9c15-de78f5a736c1 * Windows Server 2008 et Windows Server 2008 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?FamilyID=1a971fb2-7dc4-43bf-ae25-3a420bb1acf9 Internet Explorer 8 Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?familyid=93580299-d764-417f-a7fa-ee441fea2bb3 Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=05413f6c-b4be-4892-b4b3-c54dd01fd95d * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=9af37f62-5585-4ff5-9dd3-3fa0b148ae08 * Windows Server 2003 SP2 (64 bits) http://www.microsoft.com/downloads/details.aspx?familyid=c8052f0c-e62c-46c4-bb59-d515fa388ea8 * Windows Vista SP1 et Windows Vista SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=191c8388-f1ef-45b6-9f07-d5654a973abe * Windows Vista SP1 et Windows Vista SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=adeb3036-62fa-4a29-b82f-ff4a50c05996 * Windows Server 2008 et Windows Server 2008 SP2 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=ea5b7c86-3878-43a9-a4bc-12e04bfbd06e * Windows Server 2008 et Windows Server 2008 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=71ecdb27-46aa-4db1-b86a-3268cda88632 * Windows 7 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=6595770f-e580-4613-a83a-3b8ee4cc30f1 * Windows 7 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=ffe364ee-e2ae-466c-b727-14b1a976a860 * Windows Server 2008 R2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=d8b563ce-5db1-4490-8a63-44833d55152b * Windows Server 2008 R2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=bbaa9f46-8fc7-4c44-b38c-dc3d5210f63d
Id XMCO Partners	CXA-2010-1376
Lien extranet XMCO Partners	http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1376

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 4 au 10 octobre

Tue, 12 Oct 2010 12:32:26 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO attire votre attention sur la sortie du bulletin de sécurité APSB10-21 [1] corrigeant un grand nombre de vulnérabilités au sein d'Adobe Reader et d'Acrobat.
Par ailleurs, Microsoft [2] et Oracle [3] publieront dans la semaine à venir un grand nombre de correctifs : 16 bulletins corrigeant 49 vulnérabilités pour Microsoft ainsi qu'un bulletin concernant 81 vulnérabilités pour Oracle.

* Résumé des évènements majeurs :
— Vulnérabilités :
RIM, le fabricant de la solution BlackBerry, a été évoqué à plusieurs reprises au cours de la semaine.
Une vulnérabilité [4] a été découverte au sein du système d'exploitation de la plateforme mobile de Research In Motion (RIM) : BlackBerry. Un pirate est ainsi en mesure d'accéder à des informations sensibles en incitant un utilisateur à ouvrir une page Internet spécialement conçue utilisant le mécanisme HTML des "IFRAMES".
Une autre faille [5] de sécurité liée à l'utilisation du logiciel "BlackBerry Desktop Software" a été découverte par la société Elcomsoft. La mauvaise utilisation de la fonction de dérivation de clef "PBKDF2" associée à l'algorithme de chiffrement AES permettrait à un pirate de mener une attaque par force brute pour découvrir la valeur de la clef privée de 256 bits utilisée pour chiffrer les sauvegardes du système... Un pirate pourrait donc accéder en relativement peu de temps à l'ensemble des données sauvegardées par un utilisateur.

— Correctifs :
Microsoft a annoncé la date de publication de ses correctifs. Le 12 octobre, le "Patch Tuesday" [2] comprendra donc 16 bulletins corrigeant 49 vulnérabilités présentes au sein de Windows, SharePoint, Microsoft Web Applications ainsi que dans la suite bureautique Office. Microsoft juge celles-ci comme étant "critiques" pour quatre d'entre elles, "importantes" pour dix d'entre elles, et enfin "modérées" pour les deux restantes. Par ailleurs, l'édition d'octobre du "Patch Tuesday" sera aussi l'occasion pour Microsoft de corriger les deux vulnérabilités "0day" exploitées par le malware Stuxnet [6] pour élever ses privilèges.

Le même jour, Oracle publiera de son côté son bulletin de sécurité trimestriel "cpuoct2010" [3] corrigeant 81 vulnérabilités au sein de l'ensemble des logiciels Oracle et Sun.

Adobe a publié cette semaine son correctif hors cycle APSB10-21 [1]. Celui-ci corrige 23 vulnérabilités dont les failles de sécurité "0day" référencées CVE-2010-2883 [7] et CVE-2010-2884 [8] présentées par Adobe dans les alertes APSA10-02 [9] et APSA10-03 [10]. Dans le même temps, les professionnels de la sécurité, réunis pour la conférence annuelle "Virus Bulletin" qui se tenait à Vancouver au Canada, ont symboliquement voté pour l'abolition du format PDF [11]... Si aucune vulnérabilité ou aucun code d'exploitation ne sont publiés avant la fin du prochain cycle de sécurité d'Adobe, les prochains bulletins accompagnés de leur correctif sont attendus pour le 8 février 2011.

Enfin, MySQL [12], PostgreSQL [13] et Typo3 [14] ont publié des correctifs pour leurs logiciels respectifs.

— Cybercriminalité / Attaques :
Stuxnet [15] continue de faire parler de lui. Cette semaine, l'Iran a annoncé avoir arrêté les "espions" [16] responsables de la prolifération du malware dans le pays.
Dans le même temps, le régime islamique a reporté au début de l'année 2011 le lancement de la centrale nucléaire de Bushehr [17]. De légères fuites au coeur de la centrale forceraient les Iraniens à retarder la mise en production de la centrale, qui devait avoir lieu initialement au début du mois de novembre...

De nombreuses arrestations ont eu lieu cette semaine un peu partout dans le monde : en Angleterre [18], aux États-Unis [19] et en Ukraine [20]. Les pirates étaient soupçonnés de faire partie d'organisations liées au cybercrime tirant parti du malware ZeuS pour détourner de l'argent.

Plusieurs articles relatifs au cybercrime ont été publiés. Parmi ceux-ci, une étude [21] rappelant l'organisation complexe des criminels, ainsi que la vision de Microsoft [22] pour s'en protéger à l'échelle mondiale.

— Justice :
En Angleterre, un jeune homme de 19 ans vient d'être condamné [23] à quatre mois de prison pour avoir refusé de divulguer un mot de passe. Celui-ci avait été arrêté en mai 2009 dans une affaire de pédophilie, mais la Police n'a pu accéder au contenu chiffré du portable...

— Conférence / Recherche :
À la suite de l'étude menée sur l'utilisation des données personnelles par les applications Androïd [24], c'est au tour des applications pour l'iOS d'Apple [25] d'être montrées du doigt. Seuls 14 % des 57 applications provenant en partie des catégories "Most popular" et "Top Free" de l'AppStore n'utiliseraient pas de données personnelles. Inversement, près de 68 % des applications échangeraient au moins l’UDID ("Unique Device Identifier") avec des serveurs privés.

— Entreprises :
T-Mobile et HTC ont annoncé la commercialisation d'un nouveau smartphone basé sur Androïd, dont la particularité sera d'être équipé d'un rootkit matériel [26] permettant à l'opérateur et au fabricant d'empêcher toute modification du système. C'est sûrement la première fois qu'un éditeur propose d'un côté aux utilisateurs un système ouvert, et au fabricant un système verrouillé...

Le fournisseur d'accès à Internet américain Comcast [27] a annoncé le déploiement à l'échelle nationale d'un programme pilote initié à Denver l'année dernière. L'objectif de ce programme est d'alerter de façon automatisée les abonnés du FAI lorsque certains signes caractéristiques de la compromission d'un système ont été observés. Pour le moment, deux solutions techniques existent : l'envoi d'un courriel à l'internaute, ainsi que l'affichage d'une bannière en haut de chaque page Internet visitée avec un navigateur web. Dans le même temps, le FAI donne des conseils à ses clients afin de les aider à sécuriser leur ordinateur.

— Internationnal :
Les Émirats Arabes Unis [28] ont retiré la demande de suspension des services proposés par RIM dans le cadre de son offre BlackBerry, précédemment formulée auprès des opérateurs locaux. La solution proposée par RIM devrait donc satisfaire les exigences des émirats en terme de sécurité nationale.

— Prévention :
Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité [29] ("Cyber Security Awareness Month", aka "CSAM"). Déjà dix bonnes pratiques concernant l'informatique au sein du cercle familial ont été formulées.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1327
http://www.adobe.com/support/security/bulletins/apsb10-21.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1347
http://www.microsoft.com/technet/security/bulletin/ms10-oct.mspx

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1352
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1319
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1320
http://packetstormsecurity.org/1009-exploits/blackberry-crossorigin.txt

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1326
http://www.lemondeinformatique.fr/actualites/lire-le-cryptage-des-sauvegardes-blackberry-compromis-31832.html

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1306
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1327
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883
http://www.adobe.com/support/security/bulletins/apsb10-21.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1236
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2884
http://www.adobe.com/support/security/bulletins/apsb10-22.html

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1151
http://www.adobe.com/support/security/advisories/apsa10-02.html

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1180
http://www.adobe.com/support/security/advisories/apsa10-03.html

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1339
http://www.bitdefender.co.uk/NW1776-uk--BitDefender-report-echoes-security-industry-voice-on-PDFs.html

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1316
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-51.html

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1329
http://www.postgresql.org/about/news.1244

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1333
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1325
http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf

[16]
http://hackingexpose.blogspot.com/2010/10/iran-boasts-of-stuxnet-nuclear-spies.html

[17]
http://hackingexpose.blogspot.com/2010/10/iran-nuclear-plant-shutdown-due-to-leak.html

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1313
http://www.scmagazineus.com/uk-police-arrest-19-in-major-zeus-bust/article/179946/

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1313
http://www.scmagazineus.com/us-authorities-charge-70-money-mules-in-zeus-ring/article/180080/

[20]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1313
http://www.scmagazineus.com/fbi-announces-arrest-of-five-zeus-orchestrators/article/180213/

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1341
http://www.securityweek.com/structure-crybercrime-organization-hackers-have-supply-chains-too

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1353
http://blogs.technet.com/b/microsoft_on_the_issues/archive/2010/10/05/the-need-for-global-collective-defense-on-the-internet.aspx

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1334
http://www.h-online.com/security/news/item/Four-months-jail-for-refusing-to-disclose-password-1102546.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1297
http://appanalysis.org/tdroid10.pdf

[25]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1321
http://www.pskl.us/wp/wp-content/uploads/2010/09/iPhone-Applications-Privacy-Issues.pdf

[26]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1338
http://oti.newamerica.net/blogposts/2010/newest_google_android_cell_phone_contains_unexpected_feature_a_malicious_root_kit-380

[27]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1322
http://krebsonsecurity.com/2010/10/comcast-pushes-bot-alert-program-nationwide/

[28]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1354
http://www.lemonde.fr/technologies/article/2010/10/08/les-emirats-arabes-unis-ne-suspendront-pas-les-services-du-blackberry_1422062_651865.html

[29]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1323
http://isc.sans.edu/diary.html?storyid=9640

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 27 septembre au 3 octobre

Thu, 07 Oct 2010 13:34:25 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, le CERT-XMCO porte de nouveau votre attention sur le malware Stuxnet qui continue d'infecter un grand nombre d'entreprises.
Pour rappel, le virus a été développé pour infecter, voire saboter, les systèmes supervisés par des centres de contrôle SCADA équipés des systèmes Siemens S7-400 PLC et SIMATIC WinCC.
L'exploitation de quatre vulnérabilités 0day Windows, dont deux ont été corrigées par Microsoft, ainsi que de nombreux autres détails techniques prouvent que ce malware a été développé par des professionnels.

* Résumé des évènements majeurs :
- Virus :
Plusieurs études approfondies du malware Stuxnet ont été publiées par Symantec [1] et Esset [2]. Le fonctionnement de ce malware y est analysé de manière très précise.

- Vulnérabilités :
Une étude [3] publiée par un éditeur de solution antivirale montre que l'autorun serait la faille de sécurité du moment. En effet, la majorité des infections relevées sur les postes de travail serait due à des virus exploitant ce mécanisme...

- Exploits :
Dans le cadre du projet MOAUB [4] (Month Of Abyssec Undisclosed Bugs), Abyssec a continué à publier cette semaine ses dernières preuves de concept. Parmi les logiciels ciblés : Internet Explorer (MOAUB #27 [5]), Excel (MOAUB #29 [6] / MS10-038 [7]) et enfin le processeur de script Unicode de Windows (MOAUB #30 [8] / MS10-063 [9]). Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.

- Correctifs :
Microsoft a publié cette semaine le bulletin MS10-070 [10] corrigeant la faille de sécurité découverte au sein de l'implémentation ASP.Net de l'algorithme de chiffrement AES. L'exploitation de la vulnérabilité permettait à un pirate d'accéder à des informations sensibles, voire de contourner certaines restrictions de sécurité. Néanmoins, Microsoft a introduit dans ce correctif une option de configuration permettant aux utilisateurs de conserver le comportement vulnérable du framework ASP.Net...

Red Hat a annoncé [11] la fin du support de la version 3 de sa solution RHEL. L'éditeur recommande de migrer vers RHEL 5.

Adobe a annoncé cette semaine la publication le 5 octobre d'un correctif (APSB10-021 [12]) correspondant à l'alerte APSA10-02 [13] publiée il y a quelques semaines. Pour rappel, l'exploitation de la faille de sécurité référencée CVE-2010-2883 [14] avait été observée sur internet...

- Cybercriminalité / Attaques :
ZeuS a fait parler de lui cette semaine. Zitm (Zeus In The Mobile) [15], une version mobile du malware aurait fait son apparition sur Internet. Celle-ci serait spécialisée dans le vol de "mTAN" (Mobile Transaction Authentication Number) utilisé par les banques dans le cadre d'une authentification forte permettant d'accéder à leurs services en ligne.

Par ailleurs, alors qu'un chercheur de Google avait découvert une faille de sécurité dans l'application en ligne utilisée par les serveurs C&C du botnet Zeus, un correctif [16] a été publié dans les trois jours suivants. Les cybercriminels semblent donc être beaucoup plus réactifs que les éditeurs de solutions logicielles...

Enfin, des arrestations [17] ont eu lieu au Royaume-Uni. Celles-ci ciblaient plusieurs personnes en charge d'un botnet anglais permettant aux cyberpirates de voler et de blanchir de l'argent. Pas moins de 10 millions de dollars issus d'environ 600 comptes bancaires différents auraient ainsi été dérobés dans les trois derniers mois par les malfrats...

Un Vénézuélien a été condamné [18] à 10 ans de prison aux États-Unis pour avoir piraté des réseaux VoIP. Le criminel a ainsi vendu 10 millions de minutes de communication sur Internet en utilisant des serveurs VoIP piratés appartenant à de grands opérateurs tels qu'AT&T.

En France, un réseau [19] de trafic de codes de "désimlockage" des téléphones portables a été démantelé. Celui-ci opérait depuis une dizaine d'années. Des personnes travaillant directement chez les opérateurs revendaient simplement les codes auxquels ils avaient accès à d'autres complices pour 3 euros. Ces codes étaient ensuite revendus jusqu'à 30 euros à des particuliers par le biais de boutiques peu scrupuleuses. Un des criminels est soupçonné d'avoir gagné jusqu'à 25 000 euros par mois avec cette combine...

- Conférence / Recherche :
Des chercheurs ont publié une étude [20] sur l'utilisation des données personnelles par les applications Androïd. Les résultats sont plutôt alarmants puisque deux applications sur trois auraient un comportement suspect. Les chercheurs regrettent néanmoins de ne pas être en mesure de réaliser une telle étude sur les autres plateformes mobiles (iPhone et BlackBerry) qui ne sont pas "ouvertes" comme l'est Androïd.

Un éditeur de solution antivirale a publié une étude [21] présentant de nouveaux botnets. Les serveurs utilisés par le réseau social Twitter semblent être de plus en plus fréquemment utilisés comme serveur de C&C...

Alors que la clef maitre [22] utilisée pour protéger l'écosystème Blu-Ray avait été publiée sur Internet la semaine précédente, des chercheurs ont publié cette semaine une implémentation de l'algorithme de chiffrement HDCP [23].

- Entreprises :
Le DSI du gouvernement américain a pour la première fois évoqué le sujet IPv6 [24] en demandant aux agences gouvernementales et fédérales de rendre dans les deux ans à venir l'intégralité de leurs services accessible au public en IPv6. La migration vers le nouveau protocole bénéficiera de deux années supplémentaires pour les réseaux internes de ces agences.

- Internationnal :
Dans un autre domaine, les USA réalisaient cette semaine une simulation (CyberStorm 3 [25]) permettant de valider les bonnes pratiques utilisées par l'ensemble des intervenants nationaux dans le cadre d'une cyberattaque. Douze intervenants internationaux parmi lesquels figurait la France aidaient les USA dans la réalisation de ce test grandeur nature.

Enfin, l'Administration Obama a émis un souhait relatif aux nouveaux moyens de communication dans le cybermonde. Celle-ci envisagerait de proposer un texte de loi [26] imposant aux entreprises de mettre en place une porte dérobée dans leurs solutions afin que le gouvernement américain soit en mesure d'accéder à l'ensemble des échanges réalisés de manière discrète. De nombreuses solutions seraient impactées par une telle loi, à commencer par l'offre BlackBerry du Canadien RIM...

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1306
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[2]
http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1299
http://www.net-security.org/malware_news.php?id=1479

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1109
http://www.exploit-db.com/moaub-0days-binary-analysis-exploit-pocs/

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1278
http://www.exploit-db.com/moaub-27-microsoft-internet-explorer-mshtml-findtext-processing-issue/
http://www.exploit-db.com/exploits/15122/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2553

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1291
http://www.exploit-db.com/moaub-29-microsoft-excel-sxview-record-parsing-memory-corruption/
http://www.exploit-db.com/exploits/15148/

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0721
http://www.microsoft.com/technet/security/bulletin/ms10-038.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1245

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1300
ms10-063/" target='_blank'>ms10-063/" target='_blank'>http://www.exploit-db.com/moaub-30-microsoft-unicode-scripts-processor-remote-code-execution-ms10-063/
http://www.exploit-db.com/exploits/15158/

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1189
http://www.microsoft.com/technet/security/bulletin/MS10-063.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2738

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1286
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3332

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1308
https://rhn.redhat.com/errata/RHSA-2010-0734.html

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1327
http://www.adobe.com/support/security/bulletins/apsb10-21.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
http://www.adobe.com/support/security/advisories/apsa10-02.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1151
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/fileformat/adobe_cooltype_sing.rb

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1280
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1296
http://risky.biz/zeus
http://xs-sniper.com/blog/2010/09/27/turning-the-tables/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1285
http://krebsonsecurity.com/2010/09/19-arrested-in-multi-million-dollar-zeus-heists/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1274
http://www.theregister.co.uk/2010/09/24/voip_hacker_sentenced/

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1275
http://www.leparisien.fr/faits-divers/vaste-fraude-aux-codes-de-telephones-mobiles-27-09-2010-1084084.php

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1297
http://appanalysis.org/tdroid10.pdf

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1279
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/discerning_relationships__september_2010_.pdf

[22]
http://www.schneier.com/blog/archives/2010/09/master_hdcp_key.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1295
http://www.cs.sunysb.edu/~rob/hdcp.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1284
http://pro.clubic.com/it-business/actualite-368948-administration-obama-attaque-question-ipv6.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1289
http://www.spyworld-actu.com/spip.php?article13891
http://www.dhs.gov/xlibrary/assets/cyber-storm-3-media-fact-sheet.pdf

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1305
http://www.nytimes.com/2010/09/27/us/27wiretap.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 20 au 26 septembre

Tue, 28 Sep 2010 15:29:24 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, le CERT-XMCO porte votre attention sur le malware Stuxnet qui fait beaucoup parler de lui ces derniers temps. Le virus pourrait avoir été développé pour infecter, voire saboter un complexe nucléaire iranien. L'utilisation de quatre vulnérabilités 0day ciblant les systèmes d'exploitation Windows, ainsi que de nombreux autres détails techniques prouvent que ce malware aurait été développé par des professionnels dans un but précis (comme pour l'attaque Aurora).

* Résumé des évènements majeurs :
— Vulnérabilités :
À la suite de la révélation de la faille de sécurité au sein de l'implémentation de l'algorithme de chiffrement AES dans le framework ASP.Net [1], Microsoft a publié le bulletin KB2416728 présentant entre autres une solution de contournement [2].

— Exploits :
Un code permettant d'exploiter la faille de sécurité corrigée MS10-061 [3] dans le cadre du dernier "Patch Tuesday" a été rendu disponible sur Internet [4]. Celui-ci permet d'ajouter une tache planifiée via une faille présente au sein du service spooleur d'impression de Windows afin de prendre le contrôle d'un système vulnérable.

Dans le cadre du projet MOAUB [5] (Month Of Abyssec Undisclosed Mugs), Abyssec a continué de publier plusieurs preuves de concept. Parmi les logiciels ciblés : QuickTime (MOAUB #18 [6]), Novell iPrint (MOAUB #19 [7]), Java (MOAUB #20 [8]), Excel (MOAUB #21 [9] / MS10-038 [10]), Shockwave (MOAUB #22 [11]), Adobe Reader et Flash Player (MOAUB #23 [12], APSB10-14 [13] et APSB10-15 [14]), Excel (MOAUB #24 [15] / MS10-038 [16]), le codec MPEG Layer-3 de Windows (MOAUB #24 [17] / MS10-052 [18]), Firefox (MOAUB #25 [19] / MFSA 2010-39 [20]) et enfin le codec Cinepak de Microsoft (MOAUB #26 [21] / MS10-055 [22]). Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.

— Correctifs :
Cisco a publié 6 bulletins [A] [B] [C] [D] [E] [F] cette semaine, corrigeant plusieurs failles de l'IOS liées à l'utilisation des protocoles SIP, H.323, H.225.0, IGMPv3...
Apple a publié un correctif pour le 0day "_Marshaled_pUnk" [23] qui affectait l'ActiveX "QTPlugin.ocx" fourni avec QuickTime [24].

Adobe a publié le bulletin de sécurité APSB10-22 [25] proposant un correctif pour son logiciel Flash Player pour la faille présentée dans l'alerte APSA10-03 [26]. Cette faille de sécurité serait exploitée sur internet. Le CERT-XMCO recommande l'installation de ce correctif dans les plus brefs délais.

— Cybercriminalité / Attaques :
Une vulnérabilité de type "Cross-Site Scripting" (XSS) a été exploitée par un ver pour se répandre de façon très rapide au sein du réseau social Twitter [27]. Celle-ci avait déjà été corrigée, mais est réapparue de façon inexpliquée lors d'une mise à jour du site.

Stuxnet, un malware connu pour exploiter quatre 0days [28] au sein de Windows serait suspecté d'avoir été développé pour infecter et détruire un système de contrôle utilisé dans le complexe nucléaire Iranien Bushehr [29].

Plusieurs attaques de déni de service distribué ont eu lieu cette semaine contre les associations en charge de la défense des intérêts des majors (RIAA, MPAA,BPI...) [30]. Ces attaques de DDoS font suite à des actions similaires entreprises par la société indienne Aiplex contre plusieurs sites de téléchargement. Aiplex aurait ainsi été engagé par une trentaine de maisons de disque pour prendre en charge le repérage, l'avertissement et la mise en place de la sanction envers les pirates et leurs sites de "partage"...

Baptisé "Infostealer.Nimkey" par Symantec, un malware spécialisé dans le vol de clés privées vise les certificats numériques au format PKCS#12 [31].

— Conférence / Recherche :
Dans le cadre de la première conférence internationale organisée par et pour Interpol [32], l'un des hauts responsables de l'organisation a révélé que son identité avait été usurpée sur le réseau social Facebook afin de mener des attaques d'ingénierie sociale pour obtenir des informations relatives à une opération internationale. D'après Interpol, le vol d'identité serait devenu l'une des menaces les plus sérieuses à l'heure actuelle.

Alors même que la carte d'identité électronique allemande (eID) est sur le point d'être rendue disponible aux citoyens allemands, le Chaos Computer Club (CCC) a présenté à la télévision cette semaine l'exploitation de faille de sécurité permettant de contrôler une eID [33]. Néanmoins, le BSI, qui a bien noté ces remarques, pense que le système est suffisamment sécurisé tel qu'il est actuellement. Par ailleurs, et toujours selon la BSI, cette solution serait, dans tous les cas, nettement plus sécurisée que l'ancienne qui était basée sur un couple identifiant/mot de passe...

— Internationnal :
Dans le même temps, plusieurs acteurs allemands de l'Internet ont mis en place un organisme permettant de lutter contre la prolifération des botnets [34]. Différentes solutions sont évoquées : la mise en place d'une assistance téléphonique, la mise à disposition d'outils permettant de nettoyer son système, ainsi que la surveillance de certains flux réseau des internautes typiquement caractéristiques des zombies.

En France, l'initiative SignalSpam a vu sa plateforme mise à jour [35]. L'initiative qui a pour but de lutter contre les spammeurs propose maintenant deux petits programmes simplifiant la signalisation des pourriels depuis Outlook et Thunderbird.

— Entreprises :
Google est en train de migrer vers une authentification dite "forte" [36]. Les internautes voulant accéder à leur compte Google Apps se verront demander une information supplémentaire lors de leur authentification. Google enverra un SMS contenant un mot de passe temporaire nécessaire pour se connecter au service.

Vous pouvez suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1178
http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1229
https://www.microsoft.com/technet/security/advisory/2416728.mspx

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1187
http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1222
https://www.metasploit.com/redmine/projects/framework/repository/revisions/10369/entry/modules/exploits/windows/dcerpc/ms10_061_spoolss.rb

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1109
http://www.exploit-db.com/moaub-0days-binary-analysis-exploit-pocs/

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1227
http://www.exploit-db.com/moaub-18-apple-quicktime-fli-linepacket-remote-code-execution-vulnerability/
http://www.exploit-db.com/exploits/15035/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0520

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1228
http://www.exploit-db.com/moaub-19-novell-iprint-client-browser-plugin-call-back-url-stack-overflow/
http://www.exploit-db.com/exploits/15042/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1527

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1230
http://www.exploit-db.com/moaub-20-java-cmm-readmabcurvedata-stack-overflow/
http://www.exploit-db.com/exploits/15056/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0838

[9]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1242
http://www.exploit-db.com/moaub-21-microsoft-excel-wopt-record-parsing-heap-memory-corruption/
http://www.exploit-db.com/exploits/15065/

[1Ø]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-0721
http://www.microsoft.com/technet/security/bulletin/ms10-038.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0824

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1246
http://www.exploit-db.com/moaub-22-adobe-shockwave-director-tsac-chunk-memory-corruption/
http://www.exploit-db.com/exploits/15076/
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1077
http://www.adobe.com/support/security/bulletins/apsb10-20.html

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1259
http://www.exploit-db.com/moaub-23-adobe-acrobat-and-reader-newfunction-remote-code-execution-vulnerability/
http://www.exploit-db.com/exploits/15086/
http://www.adobe.com/support/security/advisories/apsa10-01.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2168

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0734
http://www.adobe.com/support/security/bulletins/apsb10-14.html

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0823
http://www.adobe.com/support/security/bulletins/apsb10-15.html

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1273
http://www.exploit-db.com/moaub-24-microsoft-excel-obj-record-stack-overflow/
http://www.exploit-db.com/exploits/15094/

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0721
http://www.microsoft.com/technet/security/bulletin/ms10-038.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0822

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1272
http://www.exploit-db.com/moaub-24-microsoft-mpeg-layer-3-audio-decoder-division-by-zero/
http://www.exploit-db.com/exploits/15096/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1011
http://www.microsoft.com/technet/security/Bulletin/MS10-052.mspx

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1276
http://www.exploit-db.com/moabu-15-mozilla-firefox-css-font-face-remote-code-execution-vulnerability/
http://www.exploit-db.com/exploits/15104/

[2Ø]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0909
http://www.mozilla.org/security/announce/2010/mfsa2010-39.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2752

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1277
ms10-055/" target='_blank'>http://www.exploit-db.com/moaub-26-microsoft-cinepak-codec-cvdecompress-heap-overflow-ms10-055/
http://www.exploit-db.com/exploits/15112/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1014
http://www.microsoft.com/technet/security/Bulletin/MS10-055.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2553

[A]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1253
http://www.cisco.com/warp/public/707/cisco-sa-20100922-nat.shtml

[B]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1254
http://www.cisco.com/warp/public/707/cisco-sa-20100922-sip.shtml

[C]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1255
http://www.cisco.com/warp/public/707/cisco-sa-20100922-sslvpn.shtml

[D]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1256
http://www.cisco.com/warp/public/707/cisco-sa-20100922-cucmsip.shtml

[E]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1257
http://www.cisco.com/warp/public/707/cisco-sa-20100922-h323.shtml

[F]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1258
http://www.cisco.com/warp/public/707/cisco-sa-20100922-igmp.shtml

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1102
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1818

[24]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1226
http://support.apple.com/kb/HT4339

[25]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1236
http://www.adobe.com/support/security/bulletins/apsb10-22.html

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1180
http://www.adobe.com/support/security/advisories/apsa10-03.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2884

[27]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1244
http://status.twitter.com/post/1161435117/xss-attack-identified-and-patched

[28]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1201
http://blogs.technet.com/b/msrc/archive/2010/09/13/september-2010-security-bulletin-release.aspx

[29]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1245
http://www.networkworld.com/news/2010/092110-was-stuxnet-built-to-attack.html

[3Ø]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1233
http://pandalabs.pandasecurity.com/4chan-users-organize-ddos-against-mpaa/

[31]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1263
http://www.symantec.com/connect/blogs/stux-be-you

[32]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1232
http://www.interpol.int/Public/ICPO/speeches/2010/SGinformationSecurityConf20100915.pdf

[33]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1250
http://www.h-online.com/security/news/item/CCC-reveals-security-problems-with-German-electronic-IDs-1094577.html

[34]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1251
http://techblog.avira.com/2010/09/17/the-anti-botnet-initiative/en/

[35]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1252
http://www.lemondeinformatique.fr/actualites/lire-signal-spam-propose-un-plugin-pour-outlook-ou-thunderbird-31711.html

[36]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1238
http://www.networkworld.com/news/2010/092010-google-adds-two-factor-authentication-option.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[EXPLOIT] [MICROSOFT] Prise de contr�le d'un syst�me Windows via l'ajout d'une t�che planifi�e (MS10-061)

Mon, 20 Sep 2010 18:32:19 GMT+1

Information	Valeur
Titre	Prise de contrôle d'un système Windows via l'ajout d'une tâche planifiée (MS10-061)
Titre officiel	Microsoft Print Spooler Service Impersonation Vulnerability
Date	20 Septembre 2010
Plateforme	Windows
Programme	Microsoft
Criticité	Elevée
Exploitation	Réseau local
Dommage	Accès au système
Description	Une preuve de concept, exploitant l'une des vulnérabilités présentées dans les bulletins MS10-061 et CXA-2010-1187, a été publiée. La vulnérabilité en question, référencée CVE-2010-2729, affecte plus précisément le service "Printer Spooler Service". L'exploitation de cette faille permet la compromission d'un système Windows à distance. La preuve de concept se matérialise sous la forme d'un code en Ruby s'intégrant au sein du framework Metasploit et permet d'utiliser le service "spouleur d'imprimante" afin de créer un fichier sur le système. En envoyant une requête "WritePrinter" au serveur d'impression vulnérable, un pirate peut donc créer une tâche planifiée permettant de prendre le contrôle du système ciblé.
Exploit	Un code d'exploitation est disponible sur notre extranet
Vulnérable	* Windows XP SP3 * Windows XP Professionnel SP2 (Edition x64) * Windows Server 2003 SP2 (Edition 32 bits, x64 et Itanium) * Windows Vista SP1 et SP2 (Edition 32 bits et x64) * Windows Server 2008 et Windows Server 2008 SP2 (Edition 32 bits, x64 et Itanium) * Windows 7 (Edition 32 bits et x64) * Windows Server 2008 R2 (Edition x64 et Itanium)
Référence	https://www.metasploit.com/redmine/projects/framework/repository/revisions/10369/entry/modules/exploits/windows/dcerpc/ms10_061_spoolss.rb http://expertmiami.blogspot.com/2010/09/stuxnet-et-ses-quatre-0days.html https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1187 [FR] http://www.microsoft.com/france/technet/security/bulletin/MS10-061.mspx [EN] http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx
Référence CVE	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2729
Correction	Nous vous recommandons d'appliquer les correctifs disponibles sur le site de l'éditeur : * Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?FamilyID=93FABA6B-0A85-4ACC-B527-A012BBF56B13 * Windows XP Professionnel SP2 (Edition x64): http://www.microsoft.com/downloads/en/details.aspx?familyid=9F7F3737-056D-44BD-B644-51093B5B501B * Windows Server 2003 Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=3D79680B-C071-462F-9CEA-551FBD42EDF0 * Windows Server 2003 Édition x64 Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=073B3305-4A81-4EF8-B6AA-E53B31A936B4 * Windows Server 2003 avec SP2 pour systèmes Itanium: http://www.microsoft.com/downloads/details.aspx?FamilyID=CA35A520-C4DA-41BB-ABCC-D5BC534FF19A * Windows Vista Service Pack 1 et Windows Vista Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=028977FD-0F39-42D4-9FEE-0D90A2931CFD * Windows Vista Édition x64 Service Pack 1 et Windows Vista Édition x64 Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=C68B9337-883D-4E98-BA0A-90B5CAD46184 * Windows Server 2008 pour systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=E2E788DE-8400-4BF6-B96B-A915154AA20A * Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=E08D4F49-5A13-4E1D-B0A7-27B314C2EDB5 * Windows Server 2008 pour systèmes Itanium et Windows Server 2008 pour systèmes Itanium Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=098537D5-BF6E-4E04-AD33-1CDE697E062F * Windows 7 pour systèmes 32 bits: http://www.microsoft.com/downloads/details.aspx?FamilyID=34619E9E-1F00-40E4-BE6F-5BBF5E3C801B * Windows 7 pour systèmes x64: http://www.microsoft.com/downloads/details.aspx?FamilyID=DBB747A5-658D-44CF-BD49-425D1700157F * Windows Server 2008 R2 pour systèmes x64: http://www.microsoft.com/downloads/details.aspx?FamilyID=11E20088-1BE2-4166-9C97-234B7E9F1C4F * Windows Server 2008 R2 pour systèmes Itanium: http://www.microsoft.com/downloads/details.aspx?FamilyID=D8C635F8-8978-44BF-B457-E07368F08EF4
Id XMCO Partners	CXA-2010-1222
Lien extranet XMCO Partners	http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1222

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 6 au 12 septembre

Tue, 14 Sep 2010 16:13:05 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Une vulnérabilité 0day au sein d'Adobe Reader est activement exploitée sur Internet (bulletin de sécurité Adobe APSA10-02 [1]). Aucun correctif pour Adobe Acrobat ou Reader n'est actuellement disponible. Les éditeurs antivirus ont publié des signatures pour ces fichiers. Le CERT-XMCO recommande aux RSSI de s'assurer que leur passerelle antivirus scanne bien les fichiers PDF et que les signatures sont à jour (Symantec signature 20101.1.1.7 "Bloodhound.PDF!gen1" ; McAfee signature 5.400.0.1158 "Exploit-PDF.ps.gen" ; TrendMicro signature 9.120.0.1004 "TROJ_PIDIEF.WM").

* Résumé des évènements majeurs :
- Vulnérabilités :
À la suite de la découverte [2] d'un PDF malveillant contenant un code d'exploitation, Adobe ainsi que plusieurs chercheurs ont émis une alerte de sécurité [3]. En effet, cette faille permet de compromettre un système à distance via l'ouverture d'un PDF contenant une police de caractères spécialement conçue afin de corrompre le champ "uniqueName" d'une table "SING". L'ouverture d'un tel document permet à un pirate de prendre le contrôle à distance d'un système. De plus, les recherches effectuées ont montré que l'attaque était complexe. Le document PDF contient plusieurs pages incluant un code d'exploitation propre à chaque version du logiciel. Par ailleurs, le fichier exécutable installé est signé numériquement [4] avec la clef privée correspondant à un certificat appartenant à la banque américaine "Vantage Credit Union".

Un code d'exploitation [5] permettant d'exploiter une faille de sécurité [6] présente dans les versions antérieures à l'Update 19 de Java 6 a été rendu public. La faille concerne la désérialisation d'un objet "RMIConnectionImpl" dans un contexte privilégié, afin de permettre à un attaquant de prendre le contrôle d'un système. La vulnérabilité nécessite qu'un pirate incite un internaute à visiter une page internet malveillante contenant un Applet Java spécialement conçu. Le CERT-XMCO recommande de mettre à jour la machine virtuelle Java [7].

Un chercheur a publié une preuve de concept relative à une vulnérabilité [8] présente au sein d'Internet Explorer. Celle-ci permettra à un pirate d'accéder et de manipuler à distance des informations sensibles via l'utilisation de la directive CSS "@import". La faille serait connue de Microsoft depuis 2008...

Plusieurs autres codes d'exploitation ont été rendus disponibles dans le cadre du mois des vulnérabilités Abysssec. Parmi les logiciels vulnérables ciblés, Movie Maker (MOAUB #04 [9] / MS10-016 [10]), le codec MPEG-Layer 3 de Windows (MOAUB #05 [11] / MS10-026 [12]), HP OpenView (MOAUB #06 [13]), Novell Netware FTP (MOAUB #07 [14]), MS Visio (MOAUB #08 [15] / MS10-028 [16]), Firefox (MOAUB #09 [17] / MFSA2010-30 [18]), MS Office Excel (MOAUB #10 [19] / MS10-038 [20]), MS Office Word (MOAUB #11 [21] / MS10-056 [22]) et enfin Adobe Reader (MOAUB #12 [23] / APSB10-15 [24]). Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.

- Correctifs :
Microsoft a annoncé [25] que son prochain "Patch Tuesday" aura lieu le 14 septembre. Au programme, 9 bulletins de sécurité (4 critiques et 5 importants) concernant Windows et Office.

- Cybercriminalité / Attaques :
Des pirates ont mené une attaque [26] assez ingénieuse en imitant les pages d'avertissement des navigateurs web afin de pousser les internautes à télécharger et à installer leurs malwares...

Un nouveau cheval de Troie [27] ciblant la plateforme Androïd a été découvert. Celui-ci utilise les techniques SEO (Search Engine Optimization) afin d'apparaître dans les premiers résultats des moteurs de recherche.

Un ver se propageant via d'anciennes techniques [28] a fait son apparition. Transmis par courriel/pourriel, il scanne le carnet d'adresses du système de la victime afin d'envoyer de nouveaux mails. Il se recopie aussi sur des partages distants, ainsi que sur des supports de stockages externes...

Alors que plusieurs serveurs C&C du botnet "Cutwail/Pushdo" avaient été fermés par les professionnels de la sécurité, 5000 pourriels provenant des zombies du botnet auraient été envoyés [29]. Les pirates sont donc probablement déjà en train de le remettre sur pieds.

- Internationnal :
Une clef USB [30] contenant plus de 2000 documents appartenant à un officier anglais a été retrouvée dans la rue. Les 4 Go de données non chiffrés contenant des informations sensibles concernant le terrorisme, la gestion de crise, ou encore une liste de noms et des grades des officiers anglais pourraient se retrouver entre de mauvaises mains...

- Entreprises :
NSS Labs, une société spécialisée dans la sécurité vient d'annoncer vouloir lancer un nouveau site de vente en ligne de code d'exploitation [31]. Les chercheurs pourront ainsi mettre en vente leurs exploits, qui seront testés par NSS avant d'être mis à disposition des entreprises et autres acheteurs dont les identités seront préalablement validées. Seuls des codes permettant d'exploiter des failles de sécurité dont les correctifs ont été publiés seront mis en vente.

Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
http://www.adobe.com/support/security/advisories/apsa10-02.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1151
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/fileformat/adobe_cooltype_sing.rb

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
http://www.adobe.com/support/security/advisories/apsa10-02.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1160
http://www.securelist.com/en/blog/2287/Adobe_Reader_zero_day_attack_now_with_stolen_certificate

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1162
http://www.metasploit.com/redmine/projects/framework/repository/revisions/10255

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0388
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0094

[7]
http://java.sun.com/javase/downloads/index.jsp

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1141
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1142
http://archives.neohapsis.com/archives/fulldisclosure/2010-09/0066.html

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1138
ms10-016/" target='_blank'>http://www.exploit-db.com/movie-maker-remote-code-execution-ms10-016/
http://www.exploit-db.com/exploits/14886/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0286
http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010- 0265

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1137
http://www.exploit-db.com/moaub-5-microsoft-mpeg-layer-3-audio-stack-based-overflow/
http://www.exploit-db.com/exploits/14895/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0449
http://www.microsoft.com//technet/security/Bulletin/MS10-026.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0480

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1144
http://www.exploit-db.com/moaub-6-hp-openview-nnm-webappmon-exe-execvp_nc-remote-code-execution/
http://www.exploit-db.com/exploits/14916/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1146
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1145
http://www.exploit-db.com/moaub-7-novell-netware-nwftpd-rmdrnfrdele-argument-parsing-buffer-overflow/
http://www.exploit-db.com/exploits/14928/

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1161
http://www.exploit-db.com/moaub-8-microsoft-office-visio-dxf-file-stack-overflow/
http://www.exploit-db.com/exploits/14944/

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0447
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0550
http://www.microsoft.com/france/technet/security/bulletin/MS10-028.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1681
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0254
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0256

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1158
http://www.exploit-db.com/moaub-9-mozilla-firefox-xslt-sort-remote-code-execution-vulnerability/
http://www.exploit-db.com/exploits/14949/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0788
http://www.mozilla.org/security/announce/2010/mfsa2010-30.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1199

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1169
http://www.exploit-db.com/moaub-10-excel-rtd-memory-corruption/
http://www.exploit-db.com/exploits/14966/

[2Ø]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0721
http://www.microsoft.com/technet/security/bulletin/ms10-038.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1246

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1176
http://www.exploit-db.com/moaub11-microsoft-office-word-sprmcmajority-buffer-overflow/
http://www.exploit-db.com/exploits/14971

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1015
http://www.microsoft.com/technet/security/bulletin/MS10-056.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1900

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1177
http://www.exploit-db.com/moaub12-adobe-acrobat-and-reader-pushstring-memory-corruption/
http://www.exploit-db.com/exploits/14982/

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0823
http://www.adobe.com/support/security/bulletins/apsb10-15.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2201

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1167
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1132
http://blogs.technet.com/b/mmpc/archive/2010/09/01/rogue-msil-zeven-wants-a-piece-of-the-microsoft-security-essentials-pie.aspx

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1157
http://www.net-security.org/malware_news.php?id=1460

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1172
http://threatpost.com/en_us/blogs/new-email-worm-turns-back-clock-virus-attacks-090910

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1156
http://blog.trendmicro.com/pushdo-takedown-damages-botnet/
http://blog.trendmicro.com/new-fake-facebook-spam-waves-send-through-cutwailpushdo-botnet/

[3Ø]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1139
http://www.dailystar.co.uk/news/view/152395/Manchester-Police-dump-terror-secrets-in-the-street

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1174
http://www.forbes.com/forbes/2010/0927/technology-internet-hackers-nasdaq-nss-digital-arms-dealer.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 30 ao�t au 5 septembre

Mon, 06 Sep 2010 18:51:32 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :

- Vulnérabilités :
Une faille de sécurité a été découverte au sein de l'ActiveX "QTPlugin.ocx" [1] fourni avec QuickTime. Un pirate peut compromettre un système vulnérable en incitant simplement un utilisateur à visiter une page internet spécialement conçue. Cette page devra contenir un paramètre appelé "_Marshaled_pUnk". Le CERT-XMCO recommande la plus grande prudence, étant donné qu'un exploit [2] est disponible sur internet. L'exploitation de la vulnérabilité permet de contourner les protections DEP et ASLR de Windows, via le chargement d'une librairie relative à Windows Live Messenger par Internet Explorer qui ne tire pas parti de ces protections.

Un an après une présentation qui avait eu lieu dans le cadre de la conférence HAR 2009, un chercheur a publié un code [3] permettant de retrouver le mot de passe des comptes administrateurs prédéfinis sur un routeur ou un switch à partir de son adresse MAC. Depuis un an, aucun des constructeurs n'avait réagi. Parmi les fabricants incriminés, on retrouve 3Com, Dell, SMC, Foundry ou encore EdgeCore.

- Logiciels :
Novell a publié un bulletin de sécurité [4] relatif à l'utilisation d'OpenSSH sur Netware. Ce bulletin précisait l'existence d'une faille de sécurité permettant de provoquer un déni de service à distance. Malheureusement, la faille de sécurité serait plus critique que prévu, et le chercheur qui avait découvert l'existence de cette vulnérabilité la fait savoir en publiant une démonstration, ainsi qu'une preuve de concept [5].

- Correctifs :
Après avoir proposé un outil et une solution de contournement pour la faille relative au chargement de librairie, Microsoft a proposé cette semaine un "Fix It" [6]. Cet outil permet, en quelques clics, de mettre en place les recommandations effectuées antérieurement, et pour lesquelles il était nécessaire d'installer un premier outil, puis de manipuler la base de registre. Cette simplification de la procédure permet à tous les utilisateurs de se protéger simplement contre une exploitation distante de la vulnérabilité.

- Cybercriminalité / Attaques :
Pour la seconde fois au cours du mois d'août, les pirates s'en sont pris à un fournisseur de service DNS. DtDNS [7], tout comme DnsMadeEasy [8], a subi des attaques en deni de service distribué. DnsMadeEasy a rapporté qu'un débit entrant de plus de 50Gbits/s avait saturé plusieurs liens entrants de 10 Gbits/s chacun...

- Recherche / Conférence :
De son côté, l'université américaine de Duke, sponsorisée par le RIPE [9], a voulu tester "dans la nature" une implémentation sécurisée du protocole BGP basé sur l'utilisation d'un attribut dit "transitif". Lors de l'émission des premières annonces BGP par le RIPE NCC, ce champ optionnel a provoqué une réaction en chaine causée par un bug au sein de certains routeurs cisco utilisant l'IOS [10]. Lors de la réception des annonces, les tables de routages ont été corrompues, et les routeurs ont envoyé des annonces invalides, provoquant ainsi de légères perturbations sur le réseau mondial.

- Internationnal :
Dans l'affaire opposant Research In Motion (RIM) au gouvernement indien, une nouvelle étape a été franchie. RIM a déposé un dossier de proposition au gouvernement indien qui est en train de l'étudier. Les Indiens [11] ont donc donné un répit de 60 jours à RIM, en demandant aux opérateurs de retarder la coupure des services de messagerie sécurisés utilisés par les smartphones canadiens.

- Entreprises
Une étude réalisée par Trend Micro [12] montre que les vols d'informations sensibles en entreprises sont pour la majorité des cas réalisés par des employés via des moyens basiques : clefs USB, mails... Il est donc le plus souvent difficile de s'en protéger sans que cela ne passe par une sensibilisation des employés aux risques personnels et professionnels encourus, aux recommandations...

De nombreuses opérations de rachat ont eu lieu : après McAfee, Intel [13] s'est offert la branche mobile de son concurrent Infineon. Le match entre Dell et HP s'est soldé par une victoire d'HP [14] qui rachète le spécialiste du stockage 3Par, Google [15] s'offre Angstro et SocialDeck, IBM [16] procède au rachat de Storewise, CA [17] à celui de Arcot et Citrix [18] à celui de VMLogix. Dans le même temps, AMD [19] a annoncé vouloir supprimer la marque ATI et Cisco [20] s'intéresserait à Skype. Par ses nombreux rachats, les entreprises montrent un intérêt particulier pour les domaines du stockage, du "cloud computing" et des réseaux sociaux.

Enfin, XMCO Partners a publié cette semaine le numéro 26 de l'ACTU-SECU [21]. Au sommaire : 0day, ASPROX, exploitations massives, phishing, attaques ciblées : le retour en force des hackers ...

Vous pouvez suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[XMCO] ACTUSECU n�26 : 0day, exploitations massives, phishing, attaques cibl�es�: le retour en force des hackers

Wed, 01 Sep 2010 15:21:56 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement à l'adresse suivante :
http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 26 "0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers " :

- ASPROX et 0day PDF : analyse des attaques

- Le coaching RSSI : quelques grammes d'opérationnels dans un monde de ...

- PCI-DSS : la sécurité des applications web

- Les conférences du moment : Blackhat Europe, Hackito, SSTIC

- L’actualité du moment : 0day Java, Microsoft Help Center, LNK, Tabnabbing, JBoss HEAD...

- Les blogs, les logiciels et les extensions sécurité...

Bonne lecture !!!

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 23 au 29 ao�t

Wed, 01 Sep 2010 11:47:29 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande de mettre en place les solutions de contournement [1] proposées par Microsoft afin de se protéger contre l'exploitation distante de la faille permettant la compromission d'un système via le chargement par Windows de librairies malveillantes lors de l'ouverture d'un fichier.

* Résumé des évènements majeurs :
- Vulnérabilités :
La faille [2] liée au chargement de librairies malveillantes lors de l'ouverture d'un fichier a fait beaucoup parler d'elle. Cette vulnérabilité, qui avait fait sa première apparition publique la semaine dernière dans un bulletin de sécurité pour iTunes [3], a rapidement pris de l'ampleur.
La faille de sécurité en question est liée au chargement automatique par Windows de librairies (DLL) dans le répertoire de travail local (CWD) lors du lancement d'une application. Un pirate déposant dans un dossier quelconque (local ou distant) un fichier associé à une application vulnérable, ainsi qu'une librairie spécialement conçue peut compromettre le système d'un utilisateur simplement. Pour cela, le pirate doit inciter la victime potentielle à ouvrir le fichier (par exemple un fichier audio, vidéo, un document Office...) afin que l'application vulnérable soit lancée, et qu'elle charge automatiquement la librairie du pirate se trouvant dans le même répertoire. L'ouverture de celle-ci permettra alors au pirate de compromettre le système de l'utilisateur, et d'obtenir les mêmes privilèges que ceux de la victime. Tous les jours, de nouvelles preuves de concept sont disponibles pour les applications les plus courantes [4]. Microsoft propose une solution de contournement [1], mais a annoncé que l'ensemble des éditeurs devrait mettre à jours leurs logiciels vulnérables, puisque le comportement de Windows est standard, et commun à de nombreux autres systèmes d'exploitation. Des chercheurs sont d'ailleurs parvenus à exploiter ce type de faille de sécurité sur des distributions Linux telles que Debian, Ubuntu ou encore Fedora [5].

- Logiciels / Correctifs :
Une étude [6] réalisée par l'équipe X-Force d'IBM présente des résultats inquiétants. Sur l'ensemble des vulnérabilités qui ont été rapportées aux éditeurs et recensées par IBM sur la première moitié de l'année 2010, pas moins d'une sur deux attend toujours la publication d'un correctif par son éditeur. Malgré les efforts de certains d'entre eux dans le domaine de la transparence et de la réactivité, il reste toujours de mauvais élèves chez les éditeurs... Adobe est particulièrement bien noté sur cette période, puisque seulement 3 % des vulnérabilités qui lui ont été rapportées ne sont pas encore corrigées. De leurs côtés, Google est de plus en plus surveillé par les chercheurs et prend ainsi la place d'HP dans le top 10 du nombre de failles par vendeurs. Apple, suivi par Microsoft, est en tête de ce même classement.

- Cybercriminalité / Attaques :
Deux ans après le drame du vol JK5022 à Madrid et selon le journal "El Pais" [7], un rapport interne de la compagnie aérienne Spanair a révélé qu'un virus aurait infecté un système de monitoring TOWS (TakeOff Warning System) pendant la période du crash. D'après certains spécialistes, il est possible que celui-ci soit au moins en partie responsable du crash de l'avion MD-82 de la compagnie espagnole qui avait couté la vie de 154 personnes.

Le Pentagone, relayé par de nombreux journalistes [8], a révélé cette semaine l'existence d'une attaque datant de 2008 menées contre le système d'informations militaire utilisé par les Amèricains. En pleine guerre en Irak et en Afghanistan, un support de stockage externe USB a été utilisé pour introduire un cheval de Troie. Celui-ci s'est propagé au sein de nombreuses zones du SI, y compris confidentielles, et aurait pu exfiltrer des données sensibles vers des ennemis. L'opération "Buckshot Yankee" a par la suite donné lieu à la mise en place d'une stratégie de sécurité drastique, interdisant par exemple l'utilisation des ports USB au sein du SI. Cette attaque a été présentée comme étant la plus importante en date ciblant les ordinateurs des militaires américains.

Le botnet YoyoDDoS [9], qui avait fait son apparition sur internet au mois de mars dernier, s’est fait remarquer. Pas moins de 180 attaques menées à l'encontre de sites marchands ou de sites de jeux en ligne ont été répertoriées. Plusieurs techniques sont utilisées par les pirates pour saturer les serveurs (flood HTTP, UDP, TCP, ICMP). Mis à part quelques serveurs américains, coréens et allemands, la majorité des cibles est chinoise (plus de 126 sur 180).

À peine deux mois après sont lancement, le système antipiratage de l'Androïd est déjà contourné [10]. Un développeur d'application a démontré qu'en décompilant "simplement" une application protégée, en modifiant une partie spécifique du code, puis en la recompilant, il est possible de cracker des applications "protégées"...

- Entreprises / Juridique :
Après la présentation réalisée par le chercheur Barnaby Jack il y a quelques semaines lors de la dernière conférence BlackHat qui se tenait à Las Vegas aux États-Unis, plusieurs fabricants de distributeurs automatiques de billets (Hantle et Triton) ont annoncé avoir corrigé les failles de sécurité découvertes par le chercheur [11]. Ceci est une bonne nouvelle, puisque d'après le chercheur, il était possible d'exploiter ce type de faille sur la quasi-totalité des modèles de distributeurs pour retirer de l'argent.

Visa a publié cette semaine, avec l'aide du SANS, un document [12] présentant 10 "best practices" disponibles pour les entreprises travaillant dans le domaine des applications de paiement en ligne. Celles-ci, qui sont déjà concernées par le standard PA-DSS (Payment Application Data Security Standard), voient donc apparaitre 10 nouveaux "coups de pouce" utilisés dans le cadre de ce type de développement nécessitant un certain niveau de sécurité.

Enfin, Dell et HP se disputent l'acquisition de la société 3Par [13], spécialisée dans le stockage et la gestion des données. La première offre de Dell valorisait à 18 dollars l'action 3Par, qui après plusieurs contre-offres est maintenant évaluée à 30 dollars par HP.

Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 16 au 22 ao�t

Mon, 23 Aug 2010 17:48:28 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'application du correctif cumulatif Adobe APSB-10-17 qui corrige la faille "/Launch" (CVE-2010-1240) des lecteurs PDF Adode Reader et Adobe Acrobat.

* Résumé des évènements majeurs :
- Vulnérabilités :
Cette semaine, plusieurs failles de sécurité importantes ont été rendues publiques. Les systèmes d'exploitation de Microsoft sont vulnérables à une attaque appelée "DLL hijacking". À la suite de la correction par Apple, la semaine dernière, d'une faille de sécurité présente dans iTunes [1] et annoncée dans un bulletin de sécurité de la société AcrosSecurity [2], HD Moore a publié certaines informations permettant d'étendre la portée de cette faille à de très nombreuses autres applications utilisées sur Windows [3]. Des informations supplémentaires devraient être disponibles en début de semaine. En incitant un utilisateur à ouvrir un fichier spécialement conçu hébergé sur un partage distant (WebDAV, SMB, ...), un pirate est en mesure de forcer un programme tiers à charger certaines librairies malveillantes présentes sur le partage, permettant ainsi la compromission distante du système.
De son côté, Tavis Ormandy a publié des informations ainsi qu'une preuve de concept relative à une vulnérabilité au sein de la fonction "win32k!GreStretchBltInternal()" [4] de la librairie GDI (Graphics Device Interface) de Windows permettant de provoquer un déni de service, voire de compromettre un système.

Par ailleurs, une élévation de privilèges sur FreeBSD était exploitable localement. La faille de sécurité était liée à une mauvaise gestion du drapeau de lecture-seule par la fonction "mbufs()" [5]. Deux [6] preuves [7] de concept sont disponibles sur Internet.

Enfin, la faille de sécurité affectant Coldfusion [8] corrigée la semaine dernière par Adobe dans le bulletin APSB10-18 se trouve être plus importante que ce qui n'avait été annoncé par l'éditeur. Une preuve de concept [9] a ainsi fait son apparition sur Internet. Celle-ci permet à un pirate d'obtenir des informations sensibles comme des mots de passe via l'envoi d'une requête HTTP spécialement conçue. Grâce à ce mot de passe, l'attaquant peut ensuite prendre le contrôle du serveur en y déposant un script CFM malicieux via l'interface d'administration qui lui permettrait d'exécuter des commandes sur le système sous-jacent.

- Logiciels/ Correctifs :
Adobe a publié le correctif APSB10-17 [10] pour Reader et Acrobat. Celui-ci corrige la faille "/Launch" [11] référencée CVE-2010-1240 [12] pour laquelle le correctif APSB10-15 [13] (inefficace [14]) avait déjà été publié. D'autres vulnérabilités ont été corrigées : le lecteur Flash embarqué dans ces logiciels a également été mis à jour, près d'une semaine après que le bulletin APSB10-16 [15] ait été publié, alors même que Google avait publié dans la journée une nouvelle version de son navigateur Google Chrome [16] intégrant la mise à jour de Flash.

- Cybercriminalité / Attaques :
L'un des plus imposants forums au monde, 4Chan [17], s'est vu utiliser comme vecteur de propagation de malware. Le site, qui ne nécessitait aucune authentification pour écrire un message, a vu apparaitre une grande quantité de posts contenant des images au format PNG. Des messages accompagnaient ces images, afin de pousser les utilisateurs à exécuter le malware sur leur système. Les équipes responsables du forum ont réagi en supprimant les messages incriminés, et en indiquant aux utilisateurs la démarche à suivre pour ne pas devenir à son tour une victime.

Un autre malware a fait son apparition. Celui-ci copie l'interface de Windows Update [18] afin d'inciter les utilisateurs à installer un cheval de Troie sur leur PC, permettant ainsi aux pirates d'installer de nombreux autres programmes malveillants.

Les smartphones utilisant Androïd sont une fois de plus la cible d'un programme malveillant. En effet, des chercheurs ont découvert que le logiciel "Tap Snake" [19] transmettait les coordonnées GPS de ses utilisateurs afin de rendre possible leur suivi. L'application a été par la suite supprimée de l'App Store de Google.

Un nouveau botnet a fait son apparition. "dd_ssh" [20] exploite une faille présente dans les vieilles versions de PhpMyAdmin afin de compromettre des serveurs, puis de les utiliser pour mener des attaques de force brute sur des serveurs SSH.

- Entreprises / Juridique :
Deux annonces ont secoué le petit monde des géants de l'informatique. Le fondeur Intel [21] a annoncé le rachat de l'éditeur de solution antivirale McAfee [22] pour plus de 7 milliards de dollars. De son côté, HP [23] a acquis Fortify. Des consolidations qui vont probablement faire évoluer le paysage de la sécurité dans le monde de l'entreprise.

Oracle a de son côté déposé une plainte [24] devant les tribunaux contre Google accusant le géant de la recherche d'avoir enfreint un certain nombre de brevets liés à Java dans le cadre du projet Dalvik, une réimplémentation de la machine virtuelle Java pour Androïd.

Enfin, le PCI Council a présenté un document de travail [25] au sein duquel des premières informations sur la version 2 du PCI DSS sont fournies. Cette nouvelle version du standard n'apporte pas de réelle modification par rapport à la version actuelle. Le PCI DSS, qui sera plus aligné avec le PA-DSS, mettra l'accent sur l'établissement du périmètre ainsi que sur la gestion des logs et validera dans certaines conditions, l'utilisation d'une approche basée sur les risques. Néanmoins, ce document ne parle pas du tout de "Tokenization" ni de chiffrement.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 9 au 15 ao�t

Mon, 16 Aug 2010 17:44:02 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Semaine chargée pour les professionnels de la sécurité avec la sortie conjointe de 14 bulletins Microsoft dans le cadre de son "Patch Tuesday", ainsi que de 3 bulletins Adobe.
Les logiciels Microsoft ciblés sont Windows (toutes versions), Internet Explorer, SilverLight et enfin Office. De son côté, Adobe a publié des bulletins concernant le lecteur Flash, le Flash Media Server et enfin le serveur d'applications Coldfusion. La criticité de tous ces bulletins varie entre "critique" et "important".
Le CERT-XMCO recommande dans un cas général de débuter par les bulletins MS10-053 (notamment pour Internet Explorer 6), MS10-052 (codec MPEG Layer-3), MS10-055 (codec Cinepack), MS10-056 (Office Word), MS10-060 (SilverLight) et enfin le APSB10-16 (Flash).

* Résumé des évènements majeurs :
- Vulnérabilités / Correctifs:
Microsoft [1], ainsi qu'Adobe [2] ont tous les deux publié de nombreux correctifs au cours de la semaine. Le nombre (36 bulletins MS et 3 Adobe) et la criticité relative des vulnérabilités corrigées étant trop importants, nous vous recommandons de vous référer à ces pages (MS [3], Adobe [4]) pour plus d'informations.

Quelques heures après qu'Adobe ait corrigé son Flash Player, Google a réagi en proposant une nouvelle version de Chrome embarquant le dernier correctif [5]. De son côté, Adobe n'a toujours pas publié de nouvelle version pour ses nombreux logiciels intégrant le plug-in...

Quelques jours après que des pirates aient mis en ligne un site [6] permettant de "jailbreaker" très simplement son iPhone, Apple a réagi en proposant une version corrigée de son iOS 4 [7]. Néanmoins, pas de correctif pour les autres versions du système d'exploitation de la marque à la pomme...

- Logiciels :
Firefox 4 sera doté d'un système de mises à jour automatiques [8]. Pour garantir un niveau de sécurité élevé, Mozilla a décidé de suivre une politique de mise à jour semblable à celle de Google vis-à-vis de Chrome. Pour les mises à jour mineures (comprendre de sécurité), FF4 téléchargera et installera seul le correctif, sans rien demander à l'utilisateur. Néanmoins, une confirmation sera demandée à l'internaute lors de l'installation d'une mise à jour majeure (changement de fonctionnalités). Fonctionnalité intéressante pour les particuliers, mais pour les entreprises... ?

- Cybercriminalité / Attaques :
D'après Verizon [9] et les services secrets américains, près d'une attaque informatique sur deux bénéficierait d'une complicité interne. Toujours d'après le même rapport, seulement 4 % des attaques nécessiteraient la mise en place de solution technique coûteuse...

Vladislav Anatolievich Horohorin, soupçonné d'être "BadB", a été arrêté à l'aéroport de Nice alors qu'il s'apprêtait à prendre un vol pour Moscou [10]. L'homme serait le pirate fondateur de l'ex-communauté "CarderPlanet", et serait toujours actif dans la vente de données bancaires volées. Il attend actuellement son extradition vers les États-Unis, où il risquerait une peine de 12 ans de prison et 500 000 $ d'amende.
Dans le même temps, Sergei Tsurikov, un jeune estonien de 26 ans, a lui déjà été extradé vers les USA où il sera jugé pour plusieurs chefs d'inculpation, dont la fraude informatique et l'usurpation d'identité aggravée [11]. L'homme est en effet accusé d'avoir participé au vol de 9 M$, ainsi qu'à celui des données personnelles de plus de 1,5 million de personnes dans le cadre du piratage de RBS WorldPay en 2008. Il risque de plusieurs années de prison, et jusqu'à 3,5 millions de dollars d'amende.

- Recherche / Conférence :
Dans le cadre de la conférence USENIX, un chercheur a présenté son travail sur un nouveau type d'attaque par canaux auxiliaires. En écoutant "simplement" le son émis par une vielle imprimante matricielle, il est possible de découvrir le contenu du texte imprimé [12]. D'après lui, il est techniquement envisageable de mener le même type d'attaque sur des imprimantes à jet d'encre, même si lui n'a pas réussi.

- Internationnal :
Après avoir été bloqués pour une courte durée en Arabie Saoudite [13], les systèmes de communication de BlackBerry ont été réactivés [14]. Il semblerait que RIM est accepté d'installer des serveurs directement dans le pays afin de les placer sous juridiction locale. L'Inde, qui était aussi en pourparler avec BlackBerry, a fait savoir qu'elle était aussi prête à procéder au blocage des communications entre les smartphones canadiens [15].

L'Allemagne, a aussi émis une recommandation négative envers RIM, en recommandant à ses ministres et aux personnels des ministères de ne pas utiliser de smartphones tels que le BlackBerry ou encore l'iPhone pour des raisons de sécurité [16]. Le BSI (Bureau Fédéral pour la Sécurité de l'Information équivalent à l'ANSSI française) conseille d'utiliser le SiMKo 2 conçu par T-Systems. Ce smartphone est exclusivement vendu aux agences gouvernementales et a été approuvé par le BSI pour gérer des données confidentielles. L'Allemagne rejoint donc la France qui avait émis une telle recommandation en 2007.

De son côté, le Royaume-Uni vient de faire savoir qu'une mise à jour généralisée d'Internet Explorer était inutile, et trop couteuse en temps et en argent. IE6 semblerait amplement suffisant pour l'usage dont il est actuellement fait d'un navigateur internet par un fonctionnaire anglais [17]. D'après les services informatiques anglais, l'utilisation d'un pare-feu et d'un antivirus (à jour tout de même) suffirait amplement à protéger les fonctionnaires anglais. Pourtant, même Microsoft, qui travaille actuellement sur la version 9 du navigateur, reconnait qu'utiliser IE6 est dangereux.

- Entreprises / Juridique :
Dans un procès opposant l'ARJEL à sept fournisseurs d'accès à internet, le tribunal de grande instance de Paris a condamné les FAI à bloquer par tous les moyens l'accès à certains sites de jeux non homologués par l'Autorité de Régulation des Jeux en Ligne [18]. Ce jugement pourrait ouvrir la voie à de nombreux débordement. Les coûts de blocage sont actuellement supportés uniquement par les FAI. La mise en place de solution de filtrage telle que la DPI, évoquée au cours du procès, pourrait venir alourdir cette facture...

Après avoir été racheté par eBay, puis partiellement cédé à un groupe d'entrepreneurs, Skype a annoncé sa prochaine introduction en bourse [19].

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 26 juillet au 1 aout 2010

Thu, 05 Aug 2010 14:44:56 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

*Avis d'expert :
Plusieurs de nos clients nous ont fait part de tentatives d'exploitation par des malwares de la famille "W32.Changeup" de la faille de sécurité liée aux raccourcis de type LNK sous Windows. Le CERT-XMCO réitère donc sa préconisation et recommande aux entreprises comme aux particuliers de rester vigilants sur l'exploitation éventuelle de cette vulnérabilité.
Pour rappel, cette faille de sécurité de type 0-day est particulièrement importante, puisqu'il suffit que l'utilisateur explore un dossier local (clef USB, etc.), ou distant (partage réseau, WebDAV, etc.) contenant un fichier de raccourci malveillant, pour que sa machine soit compromise. Par ailleurs, des codes d'exploitation sont disponibles publiquement sur internet.
Microsoft propose le correctif MS10-046 disponible pour les systèmes actuellement supportés, ainsi que deux solutions de contournements. Cependant, la mise en place de ces solutions de contournement provoque des effets de bords (désactivation de l'affichage des icônes des raccourcis) rendant difficile l'utilisation de Windows. Certains éditeurs de solution antivirale ont aussi proposé leur solution de protection.
Pour le CERT-XMCO, aucune solution viable sur le long terme n'est actuellement disponible pour les systèmes non supportés (Windows 2000 SP4 et Windows XP SP2 entre autres). Le CERT-XMCO recommande donc a tous les utilisateurs de Windows XP SP2 de passer à Windows XP SP3 toujours supporté et pour lequel un correctif est disponible.

* Résumé des évènements majeurs :
- Vulnérabilités :
La faille de sécurité liée au fichier de raccourci LNK [1], présente au sein des systèmes d'exploitation Microsoft a continué de faire parler d'elle. Des malwares exploitant cette faille ont été observés dans la nature [2]. En attendant un correctif officiel de la part de Microsoft, et en plus d'offrir la détection de ces fichiers malveillants, certains éditeurs de solutions antivirales tels que Sophos [3] ou G-Data [4] ont proposé des outils permettant de protéger un système vulnérable contre une exploitation de cette vulnérabilité.

Les éditeurs des navigateurs web Firefox [5], Chrome [6], Safari [7] ont respectivement mis à jour leurs logiciels, afin de combler plusieurs failles de sécurité permettant d'aller jusqu'à compromettre le système d'un internaute.

- Logiciels :
Deux applications, respectivement disponibles pour iPhone et pour Androïd sur les AppStore d'Apple et de Google, ont été identifiées comme suspectes. En effet, l'application financière "Citi Mobile App" [8] disponible pour iPhone a été mise à jour à la suite de la découverte de la divulgation (en clair) par l'application de certaines informations bancaires (numéro de compte, codes d'accès, etc.) lors d'une synchronisation avec iTunes. De son côté, "Jackeey Wallpaper" [9] a été montrée du doigt comme étant à l'origine de l'envoi de très nombreuses informations personnelles sur des serveurs en Chine, alors même que cela n'est en aucun cas nécessaire pour le bon fonctionnement de l'application (gestion des fonds d'écran).

- Cybercriminalité/Attaques :
Dans le cadre de la dernière édition de la conférence BlackHat, le chercheur Barnaby Jack a enfin pu présenter son travail de recherche sur les distributeurs automatiques de billets. Celle-ci a été l'occasion pour lui de divulguer certains détails sur les vulnérabilités découvertes, ainsi que de réaliser une démonstration. Il a ainsi pu démontrer qu'il était possible de récupérer de l'argent via une attaque réussie [10].

Toujours dans le cadre de la BlackHat (ainsi que dans celui de la DEFCON), un chercheur de la société AirTight a présenté son travail sur le WPA2. En menant une attaque surnommée "WPA Hole 196" [11], celui-ci serait en mesure de contourner le mécanisme de chiffrement après s'être authentifié sur le réseau. L'exploitation de cette faille de sécurité permettrait à un utilisateur légitime de récupérer, voire de modifier (??) les données échangées par d'autres personnes.

Par ailleurs, le créateur du botnet Mariposa, un jeune homme de 23 ans connu sous le pseudonyme "Iserdo", a été arrêté en Slovénie avec deux autres suspects [12]. Pour rappel, ce botnet comptait jusqu'à 13 millions de zombies. Le FBI, la Guardia Civil, ainsi que la police slovène continuent d'enquêter sur cette affaire.

Enfin, un chercheur voulant mettre en exergue l'importance de la gestion par les utilisateurs de leurs données personnelles sur Facebook a rendu publique une liste contenant le nom associé à l'identifiant unique et à l'URL de prés d'un compte Facebook sur cinq [13].

- Entreprises :
Adobe et Microsoft ont annoncé un partenariat [14]. Afin de ne pas avoir à réinventer la roue, Adobe entre dès à présent dans le programme "MAPP" (Microsoft Active Protection Program) de Microsoft. Ce programme permettra à de nombreux professionnels de la sécurité d'obtenir avant leur publication, des informations sur les mises à jour des logiciels Adobe.

Juniper a annoncé procéder au rachat de la société SMobile Systems [15], spécialisée dans le développement de logiciels de sécurité pour smartphones et tablets, pour un montant de 70 millions de dollars. Cette acquisition permettra à l'éditeur d'élargir le spectre de sa solution JunOS Pulse à destination des smartphones, tablets, netbooks et autres ordinateurs portable ; en ajoutant la protection des appareils fonctionnant sous Androïd, Apple iOS, Symbian, BlackBerry et Windows Mobile des virus, spyware et autres menaces, ainsi qu'en fournissant un moyen de contrôle parental.

Enfin, après que Mozilla et Google aient annoncé l'augmentation des primes décernée aux chercheurs pour la découverte de faille de sécurité dans leurs logiciels, certains géants tels que Microsoft ont fait savoir qu'une telle politique ne correspondait pas avec leur façon de récompenser les chercheurs [16]. Ainsi, Apple, Adobe, Oracle ou encore Microsoft refusent de rémunérer les chercheurs "à la vulnérabilité".

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 19 au 25 juillet 2010

Mon, 02 Aug 2010 14:33:10 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Microsoft a mis à jour son avis de sécurité [1] concernant la vulnérabilité non corrigée liée aux raccourcis. Microsoft considère désormais que celle-ci est exploitable à partir de sites web, et même par le biais de documents pouvant contenir des raccourcis, tels que des documents de la suite Microsoft Office.

Mozilla a mis à jour plusieurs de ses produits (Firefox 3.6.7 et 3.5.11, Seamonkey 2.0.6 et Thunderbird 3.0.6 et 3.1.1), corrigeant par la même occasion de nombreuses vulnérabilités [2].

Une vulnérabilité a été identifiée dans Safari [3] et permet à un attaquant de voler des informations sensibles contenues dans le carnet d'adresses, par la simple visite d'un site web malveillant/compromis. Néanmoins, celle-ci est facilement contournable en désactivant le remplissage automatique des formulaires (activé par défaut).

HP a également corrigé une vulnérabilité importante [4] dans OpenView Node Manager et qui permettait à un attaquant de prendre le contrôle d'une machine à distance.

- Logiciels :
Afin d'encourager les chercheurs à faire le bon choix, Mozilla a décidé d'augmenter la récompense attribuée lors de la découverte de vulnérabilité [5]. Cette somme passe désormais de 500 $ à 3000 $ maximum.
Google a emboîté le pas à Mozilla [6], et augmente également la prime maximale. Celle-ci passe de 1337 $ à 3133,7 $. Google ne manque pas de conserver au passage son jeu de mots sur "leet".

Adobe a annoncé que la prochaine version de son lecteur PDF Adobe Reader inclura une fonctionnalité avancée et appelée "Protected Mode" [7]. Cette dernière sera en fait similaire aux sandbox intégrées au navigateur web Google Chrome ou encore à la suite bureautique Office 2010 et permettra donc de prévenir les actions dangereuses sur le système.

- Cybercriminalité/Attaques :
La dernière étude de Sophos [8] montre que les États-Unis restent numéro un des pays relayeurs de spam, la France quant à elle est 6ème du classement. Au niveau continental, c'est dorénavant l'Europe qui domine devant l'Asie.

Pour rester dans le domaine des pourriels, une campagne cible actuellement les clients du site Amazon [9] et vise à compromettre le système des victimes.

Des cartes mères de serveurs Dell contenaient un malware connu sous le nom de code "W32.Spybot" [10]. D'après Dell, le problème serait actuellement réglé.

Enfin, le centre de recherche de l'éditeur antivirus AVG vient de rendre publique une étude concernant le pack d'exploitation Eleonore. Cette étude [11] publie des résultats impressionnants : 10 % des victimes visitant les pages infectées par ce pack d'exploitation se ferait compromettre. Ce ne sont pas moins de 165 domaines compromis qui avec leurs 12 millions de visiteurs auraient infecté 1,2 million d'ordinateurs.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[XMCO] [AVIS EXPERT] Avis d'expert : semaine du 12 au 18 juillet 2010

Thu, 22 Jul 2010 16:35:21 GMT+1

Information	Valeur
Titre	Avis d'expert : semaine du 12 au 18 juillet 2010
Date	22 Juillet 2010
Criticité	Urgente
Description	Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine: Avis d'expert : Après la publication d'une vulnérabilité critique au sein de Windows Shell, le CERT-XMCO recommande aux entreprises et aux particuliers de rester vigilants sur l'exploitation éventuelle de cette vulnérabilité. Cette vulnérabilité 0-day est particulièrement importante, car il suffit que l'utilisateur explore un dossier local (clef usb, etc...), ou distant (partage réseau, WebDAV, etc...) et contenant le fichier de raccourci malveillant pour que sa machine soit compromise. De plus, des codes d'exploitation sont disponibles publiquement sur internet. Microsoft a proposé deux solutions de contournements. Cependant, la mise en place de ces solutions provoque des effets de bords (désactivation de l'affichage des icônes des raccourcis) rendant difficile l'utilisation de Windows. Pour le CERT-XMCO, aucune solution viable n'est envisageable avant la publication du correctif prévu en août. Résumé des évènements majeurs : - Vulnérabilités: Cette semaine a été marquée par la publication mensuelle des bulletins Microsoft. 4 bulletins ont été émis, dont 2 corrigeant des vulnérabilités divulguées publiquement relatives au centre d'aide et de support (MS10-042)[1] et au pilote d'affichage canonique (MS10-043)[2]. Toutes les vulnérabilités permettaient de compromettre une machine [3][4]. Outre ce "Patch Tuesday" classique, une vulnérabilité 0-day a été dévoilée et est liée au traitement des fichiers de raccourci (fichier LNK ou PIF) [5]. Celle-ci est particulièrement importante, car elle affecte l'ensemble des systèmes d'exploitation Windows et ne nécessite que la navigation dans un dossier (local ou distant) contenant le fichier malveillant pour que la machine soit compromise. En outre, des preuves de concept et des codes d'exploitation sont déjà disponibles sur internet. En attendant la publication d'un correctif, Microsoft offre deux méthodes de contournement, une permettant de bloquer toute exploitation de la faille (désactivation des icônes de raccourcis), et une autre permettant de bloquer les exploitations à distance (désactivation du "WebClient"). Microsoft conseille également de bloquer le téléchargement des fichiers LNK et PIF depuis internet en configurant de manière appropriée la passerelle internet. Cette semaine a également été la semaine de la publication trimestrielle des bulletins Oracle (CPUJUL2010) [6]. Ce ne sont pas moins de 59 vulnérabilités qui ont été corrigées dans l'ensemble des produits Oracle et anciens produits Sun. - Logiciels: La fin du support de Windows XP SP2 et Windows 2000 est désormais officielle [7]. Microsoft ne publiera ainsi plus de correctif de sécurité pour ces versions de Windows, incluant également les logiciels publiés sur ces plateformes tels qu'Internet Explorer, Media Player ou encore Outlook Express. Il est fortement recommandé de migrer les stations de travail encore sous Windows XP SP2 vers Windows XP SP3 qui sera lui supporté jusqu'en 2014. Mozilla lutte contre les add-ons non sécurisés, en supprimant et en bloquant le plug-in "Mozilla Sniffer" qui contenait un code capable de voler les identifiants de connexion soumis par l'utilisateur [8]. Plus de 1800 personnes avaient installé ce plug-in. - Cybercriminalité/Attaques: La vulnérabilité liée aux fichiers LNK est déjà exploitée par des virus. Le premier du genre se nomme "Stuxnet" et a cible des entreprises utilisant des systèmes SCADA [9]. Microsoft a recensé près de 25 000 tentatives d'exploitation de la faille liée au centre d'aide et de support de Windows, faille qui est désormais comblée (MS10-042) [10]. Le malware Zeus/Zbot est toujours actif et a été mis à jour par ces concepteurs [11]. Cette nouvelle variante est désormais plus sélective dans les banques visées, en ne se concentrant que sur 4 pays (Etats-Unis, Royaume-Uni, Espagne et Allemagne), et se dote de fonctionnalités rendant son analyse plus difficile pour les chercheurs en sécurité. De plus, Zeus tente maintenant d'exploiter les programmes de sécurité "Verified by Visa" et "MasterCard SecureCode" pour obtenir encore plus d'informations personnelles de ses victimes.
Référence	[1] http://www.microsoft.com/france/technet/security/Bulletin/MS10-042.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0871 [2] http://www.microsoft.com/france/technet/security/Bulletin/MS10-043.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0872 [3] http://www.microsoft.com/france/technet/security/Bulletin/MS10-044.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0874 [4] http://www.microsoft.com/france/technet/security/bulletin/ms10-045.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0873 [5] http://www.microsoft.com/technet/security/advisory/2286198.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0894 [6] http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0883 [7] http://www.h-online.com/security/news/item/Support-for-Windows-2000-and-Windows-XP-Service-Pack-2-expires-today-1037316.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0869 [8] http://www.h-online.com/security/news/item/Mozilla-disables-login-stealing-Firefox-add-on-1038441.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0882 [9] http://www.f-secure.com/weblog/archives/00001987.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0893 [10] http://www.microsoft.com/technet/security/bulletin/ms10-042.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0884 [11] http://www.theregister.co.uk/2010/07/13/zeus_goes_local/ http://www.scmagazineus.com/zeus-now-spoofing-visa-mastercard-programs/article/174635/ http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0885
Id XMCO Partners	CXA-2010-0915
Lien extranet XMCO Partners	http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0915

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 5 au 11 juillet 2010

Tue, 13 Jul 2010 14:03:00 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine:

* Résumé des évènements majeurs :
-Vulnérabilité :
Cette semaine a été marquée par la divulgation de deux vulnérabilités 0-day affectant des produits Microsoft.
La première vulnérabilité provient plus précisément de la fonction "NtUserCheckAccessForIntegrityLevel()", et permettrait à un attaquant local d'élever ses privilèges sur Windows Vista et Windows Server 2008 [1].
La seconde vulnérabilité provient de la fonction "UpdateFrameTitleForDocument()", et permettrait de compromettre un système Windows 2000 SP4 et Windows XP SP2/SP3. Pour le moment, seul le produit PowerZip a été identifié comme vecteur d'attaque possible [2].

-Recherche :
Suite aux représailles contre Tavis Ormandy, un groupe de chercheurs en sécurité anonyme a décidé de former le "Microsoft-Spurned Researcher Collective" reprenant les initiales "MSRC" du "Microsoft Security Response Center". Ce groupe de chercheurs, dont les identités ne sont pas connues, dévoilera les vulnérabilités en suivant le "full disclosure". Le "Microsoft-Spurned Researcher Collective" est ainsi à l'origine de la divulgation de la première vulnérabilité 0-day présentée ci-dessus [3].

Une équipe, menée par Sean O'Neil, serait parvenue à découvrir l'algorithme de chiffrement personnalisé utilisé par Skype pour protéger les communications de ses utilisateurs [4].

-Cybercriminalité/Attaques :
Des pirates ont exploité une vulnérabilité de XSS permanent au sein de Youtube et touchant la partie des commentaires. Les attaques n'étaient heureusement pas des plus dangereuses, affichage de pop-up et redirection vers des sites pour adultes. De plus, Google n'a pas tardé à réagir en corrigeant la faille deux heures seulement après avoir été informé de cette vulnérabilité [5].

De nombreux comptes iTunes ont été piratés. Le but des pirates était de s'enrichir en achetant leurs propres applications par le biais des comptes compromis [6].

Le site thepiratebay.org a également été attaqué. Le pirate a ainsi pu récupérer près de 4 millions de logins et mots de passe via une faille d'injection SQL [7].

Enfin, un nouveau malware a fait son apparition sur Symbian S60. Ce dernier se matérialiserait sous la forme d'une application baptisée "ZvirOK" et enverrait des SMS vers des numéros surtaxés [8].

[VEILLE] [SECURITE] Avis d'expert - Semaine du 28 juin au 4 juillet 2010

Wed, 07 Jul 2010 13:56:32 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande aux entreprises et aux particuliers d'ajouter des clés de registres pour parer aux attaques Microsoft (faille CVE-2010-1885 connue sous le nom de "Faille du Centre d'Aide et de Support") et Adobe (CVE-2010-1240 connue sous le nom de "/Launch") qui sont virulentes en ce moment. Aucun correctif n'est actuellement efficace contre ces attaques, c'est pourquoi la mise en place d'une solution de contournement basée sur des clés de registre est recommandée.
- Pour pallier à la faille Adobe CVE-2010-1240/APSA10-01, définissez les paramètres suivants : "HKEY_CURRENT_USERSoftwareAdobeAcrobat Reader9.0Originals : bAllowOpenFile=0, bSecureOpenFile=1"
- Pour pallier à la faille Microsoft CVE-2010-1885/KB2219475, supprimez (après un backup), la clé "HKEY_CLASSES_ROOTHCP". Notez cependant que cette dernière solution altère le fonctionnement du panneau de contrôle et n'est donc pas sans conséquence.

* Résumé des évènements majeurs :
* Vulnérabilité :
Cette semaine, le bulletin de sécurité APSB10-15 [1] a été publié par Adobe. Les nouvelles versions 9.3.3 et 8.2.3 (Acrobat Reader et Adobe Reader) corrigent de nombreuses failles de sécurité, dont la vulnérabilité liée à l'utilisation de Flash dans les fichiers PDF référencée CVE-2010-1297 [2], et qui avait fait l'objet de l'alerte APSA10-01 [3] publiée au début du mois de juin ainsi que la faille "/Launch" référencée CVE-2010-1240 [4].

Malheureusement, la faille liée à la commande "/Launch" n'a pas été intégralement corrigée, puisque des chercheurs ont découvert des méthodes de contournement. L'utilisation de simples guillemets autour de la commande à exécuter (cmd.exe par exemple) rend le correctif inefficace [5]. Le CERT-XMCO recommande donc de mettre en place la solution de contournement proposée il y a quelques mois par Adobe.

De son côté, Microsoft a alerté ses clients sur l'exploitation massive [6] au cours des deux dernières semaines de la faille de sécurité référencée KB2219475 [7](CVE-2010-1885 [8]) présente au sein du centre d'aide et de support. Malgré l'absence de correctif, le CERT-XMCO rappelle à tous les clients de Microsoft qu'il existe une solution de contournement à mettre en place temporairement jusqu'à la publication d'un correctif [9].

* Entreprise/juridique :
Un banquier brésilien inculpé dans plusieurs affaires pourrait être prochainement relaxé [10]. Celui-ci aurait chiffré le contenu de son ordinateur avec le logiciel TrueCrypt. L'absence de texte de loi obligeant les citoyens brésiliens à fournir leur mot de passe a forcé les experts brésiliens, puis ceux du FBI à travailler sur le disque dur pendant près de 12 mois en vain.

Le Cert-IST a publié cette semaine les supports de présentation [11] qui ont eu lieu dans le cadre de son Forum annuel. Le thème de celui-ci était "Incidents de sécurité : Responsabilités et moyens d'actions de l'entreprise".

* Logiciels :
Google a publié cette semaine les premières versions de son navigateur incorporant un lecteur PDF [12]. Après avoir annoncé l'intégration d'un plug-in Flash [13] , et avoir opté pour le blocage des plug-ins vulnérables [14], Google veut faire de son navigateur une référence en matière de sécurité pour les internautes.
Néanmoins, tout n'est pas rose dans l'univers Google. Après avoir découvert l'existence de moyens techniques permettant au moteur de recherche de supprimer certaines applications utilisées sur Androïd, un chercheur à mener une étude sur deux types de messages pouvant être envoyés afin d'installer ou de supprimer une application sur ce type de smartphones [15]. Cette étude démontre l'existence de faille de sécurité dans l'implémentation de ces fonctions, pouvant être exploitée par des pirates afin de compromettre le système d'un smartphone. Dans le pire des cas, un pirate pourrait donc utiliser pour désinstaller une application de tout un parc de mobile équipé d'Androïd, voir transformer ce parc en un nouveau botnet en y installant un malware...

* Cybercriminalité/Attaques :
Enfin, côté cybercriminalité, deux botnets ont fait parler d'eux cette semaine. Kraken est revenu sur le devant de la scène plus d'un an après son démantèlement [16]. Asprox, quant à lui, se voit de plus en plus perfectionné, avec des fonctions avancées de détections et d'exploitation de faille de type "injection SQL" [17]. Comme souvent, ces réseaux de machines zombies servent principalement à envoyer de très nombreux pourriels.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 21 au 27 juin 2010

Mon, 28 Jun 2010 18:50:59 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert & Résumé des évènements majeurs :
Cette semaine a été particulièrement calme. Peu de vulnérabilités importantes ont été corrigées. VMware [1] a publié une mise à jour pour ESX 3.5. Firefox [2] et Opera [3] ont également mis à disposition une nouvelle version de leur navigateur.

L'arrivée de l'IOS 4 [4] et du nouvel iPhone ont éclipsé la mise à jour de l'anti-malware intégré sur Mac OSX [5].

Enfin, une étude publiée par SMobile Systems a montré que plus de 20 % des applications distribuées sur l'Android Market permettrait à des personnes tierces d'accéder à des informations personnelles [6].

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 14 au 20 juin 2010

Mon, 21 Jun 2010 17:48:57 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine a été marquée par l'annonce d'une faille de sécurité critique au sein du centre d'aide et de support de Windows et de l'exploit associé. Par ailleurs, les attaques exploitant la faille du lecteur Flash, corrigé récemment, s'intensifient. Le CERT-XMCO recommande d'appliquer rapidement les solutions proposées par Microsoft afin de parer contre les attaques en cours et de mettre à jour le lecteur Flash.

* Résumé des évènements majeurs :
- Vulnérabilité :
Cette semaine, SAP et Apple ont publié des bulletins de sécurité. En utilisant certaines commandes spéciales envoyées au serveur Telnet, un pirate pouvait contourner certaines restrictions de sécurité au sein de la distribution Java embarquée avec les logiciels SAP Enterprise Portal, SAP NetWeaver ou encore SAP Web Application Server [1]. De son côté, Apple a publié des correctifs pour Mac OS X [2] ainsi que pour iTunes [3]. On notera par ailleurs que la version mise à jour par Apple du lecteur Flash reste vulnérable [4].

De son côté, un chercheur travaillant pour Google a publié des détails ainsi qu'un code d'exploitation relatif à une vulnérabilité critique [5] référencée CVE-2010-1885 [6], présente au sein du centre d'aide et de support de Windows XP et Windows Serveur 2003. Cette annonce a soulevé beaucoup de polémique [7] ; entre autres à cause du délai de 5 jours (seulement) laissé à Microsoft pour réagir entre l'annonce privée et l'annonce publique. De nombreux éditeurs [8] et journalistes [9] se sont (probablement injustement [10]) indignés du non-respect du principe de "responsible-disclosure". La faille de sécurité est liée à un manque de validation de certaines entrées par le gestionnaire de protocole "hcp", et permet de compromettre un système Windows. Le code d'exploitation fourni à titre de démonstration a rapidement été repris au sein de framework d'exploitation [11]. Les pirates ont de leur côté lancé des attaques massives de cette faille sur Internet [12]. Le CERT-XMCO recommande donc à tous les utilisateurs la plus grande prudence lors de la visite de site internet peu sûr, ainsi que l'application de la solution de contournement proposée par Microsoft [13].

Par ailleurs, la vulnérabilité référencée CVE-2010-1297 [14], récemment corrigée par Adobe au sein du Flash Player (voir APSB10-14) est en cours d'exploitation par les pirates. L'exploitation de cette faille permet à un pirate de compromettre un système via la simple visite d'une page malveillante par un internaute.

Enfin, une campagne massive de distribution de pourriels tente d'inciter les utilisateurs de Skype à visiter une page Internet malveillante [15]. Celle-ci exploite une faille de sécurité au sein du plug-in "EasyBits Extras Manager" utilisé par Skype. La faille est utilisée afin d'installer des malwares sur le système des utilisateurs crédules. Le CERT-XMCO recommande donc à tous les internautes la plus grande prudence lors de l'ouverture d'emails contenant des liens vers des sites internet.

- Cybercriminalité/Attaques :
Les campagnes de SPAM s'intensifient ces derniers jours. Les pirates utilisent Skype, Facebook, Twitter et les sujets d'actualité (Coupe du Monde) afin de diriger les internautes vers des sites hébergeant des kits d'exploitation de vulnérabilités [16].

Une porte dérobée a été découverte au sein du serveur IRC Open Source UnrealIRCd. Celle-ci aurait été insérée par des pirates au sein de l'archive "Unreal3.2.8.1.tar.gz" [17]. En envoyant des chaines de caractères préfixées de "AB;", les pirates étaient en mesure d'exécuter des commandes sur le système, sans que cela ne nécessite d'authentification préalable. Les autres versions n'auraient pas été ciblées.

- Entreprise/juridique :
AT&T a subi les foudres des journalistes. Des données sensibles telles que des adresses de courriel, ou encore des numéros permettant de retrouver facilement l'identifiant unique IMSI de chaque client ont pu être obtenus depuis le site ayant servi à vendre les derniers iPads ainsi que les iPhone 4 [18]. Ces deux erreurs se sont produites coup sur coup, au cours des deux dernières semaines.

Orange, qui proposait un service de sécurisation censé empêcher le téléchargement illégal P2P, a été contraint de le retirer de la vente. Des pirates ont en effet été capables de mener une étude approfondie du logiciel utilisé par les clients [19], ainsi que de l'infrastructure en place. Un serveur central contenant des nombreuses informations personnelles a pu être compromis [20]. Par ailleurs, les nombreuses failles de sécurité existantes au sein du logiciel ont obligé l'opérateur à retirer son service de la vente [21]. En effet, il aurait été simple pour un pirate ayant compromis l'infrastructure du système de le transformer en un botnet...

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 7 au 13 juin 2010

Tue, 15 Jun 2010 15:21:37 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, le CERT-XMCO retient 4 évènements majeurs :
- Adobe a corrigé 32 vulnérabilités au sein de Flash Player dont la vulnérabilité critique "0-day" référencée CVE-2010-1297 ;
- Tavis Ormandy, chercheur chez Google, a découvert une vulnérabilité critique au sein de Windows (gestion des URL "hcp://") et publié un code d'exploitation fonctionnel ;
- La publication de 10 correctifs Microsoft (Excel, Office, Noyau Windows, SharePoint, .NET, IIS, Internet Explorer...);
- Le SSTIC 2010 a tenu ses promesses avec des présentations toujours aussi intéressantes.

Le CERT-XMCO recommande vivement de mettre à jour Flash Player afin de parer les exploitations massives menées depuis quelques jours par des groupes de pirates.

* Résumé des évènements majeurs :
- Vulnérabilité :
Plusieurs correctifs critiques ont été publiés cette semaine.
Suite à l'exploitation d'une vulnérabilité critique [1] découverte au sein d'Adobe Reader, Acrobat et Flash Player, Adobe a publié le bulletin APSB10-14 [2]. Le lecteur Flash Player a été mis à jour, mais la vulnérabilité référencée CVE-2010-1297 [3] reste exploitable au sein des visionneuses PDF qui devraient également être mises à jour à la fin du mois de juin. Le CERT-XMCO recommande de rester vigilant lors de l'ouverture de fichiers PDF provenant de sources douteuses et incite les entreprises ainsi que les particuliers à mettre à jour rapidement Flash Player vers la version 10.1.53.64.

Le "Black tuesday" du mois de juin [4] a permis de corriger un grand nombre de vulnérabilités au sein des logiciels Microsoft avec la sortie de 10 correctifs. Le CERT-XMCO conseille d'installer les correctifs MS10-034 [5] (kill-bits), MS10-035 [6] (Internet Explorer) et MS10-033 [7] (Windows Media) qui corrigent des vulnérabilités exploitables principalement sur des postes de travail.

- Conférences :
La conférence annuelle du SSTIC s'est déroulée du 9 au 11 juin dans la bonne humeur. Comme chaque année les conférences concernaient la sécurité de domaines variés (santé, cyberdéfense, hardware, GSM...) et étaient très intéressantes [8]. Un compte rendu de ces conférences sera présent dans le prochain numéro de l'ActuSécu.

- Cybercriminalité/attaques :
Une attaque massive a été menée en fin de semaine à l'encontre des serveurs web IIS/ASP [9]. Plus de 100 000 sites différents ont ainsi été compromis via une attaque d'injection SQL. Les pirates ont ainsi inséré une iframe pointant vers le site "http://ww.robint.us/u.js".

La faille Java "Launch()" corrigée en avril [10] revient sur le devant de la scène. De nombreux applets malicieux exploitant la vulnérabilité référencée CVE-2010-0886 [11] ont été identifiés sur plusieurs sites malveillants.

Les attaques de phishing/spam se sont amplifiées cette semaine. Twitter a été la première cible. Des millions d'emails d'alerte sur des attaques de force brute ont été envoyés à de nombreux utilisateurs de ce site de microblogging afin d'inciter à installer un logiciel de sécurité qui s'avère être un cheval de Troie. Les spammeurs continuent d'inonder nos boîtes aux lettres d'emails contenant des liens vers des sites d'achat de médicaments.

- Entreprise/juridique :
Après la sortie de l'iPad, A&T a colmaté une brèche ayant permis la fuite de plus de 114 000 adresses emails d'utilisateurs du produit d'Apple [12].

Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 31 mai au 6 juin 2010

Tue, 08 Jun 2010 17:50:01 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, Adobe a publié un bulletin d'alerte (0-day) pour son lecteur Flash et la suite Acrobat. Cette faille est actuellement exploitée sur Internet. Par ailleurs, une preuve de concept illustrant l'exploitation d'une faille Java liée au parseur MIDI a été publiée alors même que celle-ci a été récemment corrigée dans l'un des derniers bulletins de sécurité (JDK/JRE 6 Update 19) d'Oracle.
Le CERT-XMCO retient par ailleurs 3 évènements majeurs :
- La publication des correctifs Microsoft prévue le 9 juin ;
- La mise en accusation de plusieurs cybercriminels aux États-Unis ;
- Enfin, la mise à disposition gratuitement de l'application iCERT-XMCO durant le mois de juin.

* Résumé des évènements majeurs :
- Vulnérabilité :
Cette semaine, Microsoft a annoncé la publication de 10 bulletins de sécurité dans le cadre de son "Patch Tuesday" du mois de juin [1]. Six d'entre eux (dont deux "critiques") concernent Windows, deux autres bulletins jugés "importants" concernent Office, et un autre affectant simultanément Windows et Office est également jugé "important". Enfin, un dernier bulletin "critique" concerne Internet Explorer. Dans le lot, deux vulnérabilités publiques (XSS dans Sharepoint [2], et fuite d'information via Internet Explorer [3]) seront corrigées.

De son côté, Adobe a publié en fin de semaine une alerte (APSA10-01) [4] pour ses logiciels Flash Player, Adobe Reader et Adobe Acrobat. L'exploitation d'une faille de sécurité au sein du lecteur Flash permet à des pirates de compromettre un système. D'après Adobe, cette faille serait massivement exploitée par les cybercriminels. D'après la société VUPEN, la faille de sécurité (0-day) aurait été découverte il y a 6 mois par l'un de ses chercheurs qui aurait immédiatement alerté l'éditeur américain. Un délai de correction surement trop long pour un logiciel aussi critique... Néanmoins, aucun exploit n'a été rendu public pour le moment.

De son côté, un chercheur a publié une preuve de concept [5] permettant d'exploiter une des failles présentées dans le bulletin de sécurité d'Oracle du mois de mars (Update 19 de Java JRE/JDK 6) [5bis]. La faille en question affecte le parseur MIDI. L'exploit se présente sous la forme d'un applet Java et est donc exploitable sur tous les navigateurs dotés du plug-in Java, et ce, indépendamment du système d'exploitation. Le CERT-XMCO recommande donc à tous les utilisateurs d'installer la dernière version de Java (JRE/JDK 6 Upade 20) [5ter] si cela n'a pas déjà été fait.

- Cybercriminalité/attaques :
Les premiers rootkits pour Androïd ont été diffusés [6]. L'envoi d'un simple SMS ou un appel téléphonique permettrait à un pirate d'obtenir discrètement un accès à distance à un smartphone. D'autre part, après HTC, c'est au tour de Samsung de livrer des cartes mémoire avec un malware embarqué. La société s'est excusée, et a précisé que seul le marché allemand aurait été touché...

- Entreprise/juridique :
Avec l'objectif d'augmenter son niveau de sécurité, Google a annoncé migrer son environnement de travail Microsoft vers un environnement Apple/Unix [7]. Depuis janvier, les nouvelles recrues du géant de la recherche se verraient offrir le choix entre un poste Apple équipé de Mac OS X, et un PC équipé d'un système GNU/Linux. Microsoft a vivement réagi à cette annonce en donnant sa vision de l'attaque "Aurora" et des sécurités actuellement intégrées à son environnement de travail [8].

Dans le même temps, Microsoft a annoncé avoir aidé le département de la justice américain ainsi que le FBI à réunir des preuves permettant de mettre en place un mandat d'accusation contre trois cybercriminels pour avoir participé à une attaque massive [9]. Parmi ces trois personnes, deux sont de nationalité américaine. La troisième est suédoise. Le QG serait lui situé en Ukraine. Cet exemple montre bien le niveau auquel il faut travailler pour s'attaquer aux cybercriminels : multiples nationalités, multiples lieux de résidence, multiples juridictions, multiples lieux d'action et de modes opératoires... Travailler au seul niveau national pour lutter contre la cybercriminalité est simplement impossible.

Enfin, XMCO Partners souhaite rappeler que son application de veille pour iPhone iCERT-XMCO est disponible gratuitement sur l'App Store [10] d'Apple pendant le mois de juin. Cette application vous permettra de suivre de manière régulière la publication de nouvelles vulnérabilités logicielles, les alertes, les attaques ainsi que plus largement l'actualité de la sécurité informatique.
N'hésitez pas à nous faire parvenir vos commentaires et vos suggestions pour les prochaines mises à jour !

Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[XMCO] Suivez gratuitement l'actualit� de la s�curit� informatique sur votre iPhone avec iCERT-XMCO

Fri, 04 Jun 2010 10:41:53 GMT+1

L'application iPhone iCERT-XMCO développée par les consultants du cabinet XMCO Partners devient gratuite pendant une durée limitée.
Du 1er juin au 1er juillet, vous pourrez télécharger notre application gratuitement en recherchant "XMCO" sur l'App Store, ou depuis le lien suivant :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&ign-mpt=uo=6#

Suivez l'actualité de la sécurité informatique en restant informé des attaques informatiques du moment et des plus récentes découvertes de vulnérabilités des systèmes informatiques.

N'hésitez pas à nous faire parvenir vos commentaires et vos suggestions pour les prochaines mises à jour !

Suivez le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 24 au 30 mai 2010

Mon, 31 May 2010 17:53:30 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, Oracle, VMware et Adobe ont publié de nouveaux correctifs.
D'autre part, le CERT-XMCO retient 3 évènements majeurs :
- La découverte d'une nouvelle méthode permettant de faire de "l'hameçonnage" (phishing) grâce aux onglets des navigateurs (Firefox, Safari, IE...) ;
- Le vol de millions d'identifiants (jeux en ligne et skyblogs) ;
- L'annonce par Microsoft de la mise en place de deux nouveaux programmes visant à aider les États à protéger leurs Systèmes d'Informations.

* Résumé des évènements majeurs :
- Vulnérabilité :
Cette semaine, Oracle, VMware et Adobe ont tous les trois publié des bulletins de sécurité.
Les exécutables "tar" et "cpio" sont mis à jour [1] au sein de Solaris afin de corriger une faille de sécurité importante permettant de prendre le contrôle d'un système.
VMware ESX(i) a également été mis à jours après [2] la découverte de multiples failles de sécurité.
Enfin, une nouvelle version d'Adobe Photoshop CS4 a été publiée par Adobe à la suite de la découverte de faille de sécurité critique [3] dans la gestion de certains types de fichiers. Nous attirons votre attention sur le fait que des preuves de concept permettant de compromettre un système ont été rendues publiques.

Par ailleurs, un chercheur aurait découvert une faille de sécurité [4] au sein de l'iPhone 3GS. Une connexion USB établie entre un iPhone et un système d'exploitation Ubuntu 10.4 permettrait de contourner le code de verrouillage et ainsi d'accéder en lecture/écriture à certains dossiers.

Un développeur de la société Mozilla a présenté une nouvelle technique permettant de mener des campagnes de phishing [5]. Cette attaque repose sur une mauvaise gestion des évènements JavaScript lors du changement d'onglets au sein des navigateurs (Firefox, Safari, IE8...). En contrôlant un site web, un pirate peut facilement piéger un utilisateur peu attentif et ainsi mener une attaque de phishing.

Parallèlement, un autre chercheur a rendu publique une preuve de concept [6] permettant à un pirate d'obtenir des informations personnelles via l'exploitation d'une faille dans le moteur javascript de Firefox.

- Cybercriminalité/Attaques :
Skyrock a annoncé la perte de plus de 32 millions de mots de passe [7]. Un pirate aurait exploité une faille de sécurité afin de mettre la main sur une base de données contenant les identifiants des blogs "SkyBlog". Dans le même registre, une autre base de plus de 17 Go d'identifiants de jeux en ligne a été découverte par Symantec. L'utilisation conjointe du malware "Infostealer.Gampass" et "Trojan.Loginck" aurait permis de dérober 44 millions de comptes pouvant être revendus jusqu'à 10 euros sur les marchés "underground" [8].

- Entreprise/juridique :
Un responsable de Microsoft annonçait le lancement, dès cet été, de deux nouveaux programmes visant à aider les états à protéger leurs systèmes d'informations [9]. DISP (Defensive Information Sharing Program) permettra aux organismes étatiques d'accéder à des informations relatives aux vulnérabilités traitées par Microsoft avant la publication des correctifs. Quant au CIPP (Critical Infrastructure Partner Program), il permettra aux états d'obtenir des conseils personnalisés dans le domaine de la sécurisation des infrastructures critiques.

Après Symantec et Oracle, c'est au tour de McAfee d'annoncer le rachat vers la fin du mois de juin de Trust Digital [10]. Cette société, spécialisée dans la gestion d'un parc de smartphone, permettra à l'éditeur de solutions antivirales d'étendre la couverture offerte par ePolicy Orchestrator.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 17 au 23 mai 2010

Tue, 25 May 2010 15:42:17 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, le CERT-XMCO retient 3 évènements majeurs :
- La publication d'un bulletin Microsoft à la suite de la découverte d'une vulnérabilité critique au sein de Windows 7 et de Windows 2008 ;
- Le verdict rendu par un tribunal allemand au regard de la sécurisation des points d'accès WiFi personnel ;
- Et, la fermeture de deux hébergeurs russe et américain reconnus pour leur laxisme dans la lutte contre les cybercriminels.

* Résumé des évènements majeurs :
Près d'une semaine après le dernier "patch tuesday", Microsoft vient de publier un nouveau bulletin (KB2028859) [1]. Une vulnérabilité pour le moment non spécifiée a été découverte au sein du pilote "Canonical Display" [2] et permet de compromettre, à distance, un système Windows 7 (64 bits) et Windows 2008 R2 (64 bits et Itaninum). Microsoft affirme que cette vulnérabilité est difficilement exploitable, mais recommande néanmoins la désactivation de "Aero".

Le secteur de la sécurité des systèmes d'information est en cours de réorganisation. Après le rachat par Symantec, il y a quelques semaines, de PGP Corporation et de GuardianEdge [3] ; c'est au tour d'une partie de l'activité de Verisign [4] de tomber dans le giron de l'éditeur américain de solutions antivirales. De son côté, Oracle a annoncé le rachat au cours du mois de juin de Secerno [5], une société spécialisée dans la sécurité des bases de données.

Côté cybercriminalité, le forum allemand "carders.cc", dédié aux pirates, a été attaqué [6]. Les auteurs ont publié l'ensemble des failles de sécurité qu'ils ont pu observer et exploiter [7].
Par ailleurs, deux hébergeurs plus que conciliants avec l'activité des cybercriminels ont été déconnectés d'Internet. En effet, le Russe PROXIEZ-NET [8] et l'Américain 3FN.net [9] ont été reconnus par de nombreux professionnels comme étant liés à des activités malveillantes (hébergement de serveur de contrôle de botnet, de serveur utilisé pour réaliser des attaques, de contenu malveillant, relais de distribution de pourriels...). Leur déconnexion, aussi insignifiante qu'elle soit au niveau global, reste un signe encourageant de la part des autorités.

Dans le même temps, la Cour Fédérale allemande rend les utilisateurs finaux responsables de la sécurisation des points d'accès WiFi [10]. Cette nouvelle jurisprudence impose aux particuliers de "sécuriser" leurs points d'accès par l'utilisation d'une clef de chiffrement lors de l'installation (WEP, WPA...). Les points d'accès ouverts sont désormais interdits sous peine d'amende. Avec l'évolution des techniques d'attaque et l'utilisation de protocole obsolète (WEP), il est évident qu'une telle protection n'est pas suffisante sur le long terme...

Enfin, après l'apparition, la semaine précédente d'un nouveau type de botnet basé sur l'utilisation de serveur web, un kit de création de botnet clef en main a été découvert [11]. Celui-ci utilise le service gratuit Twitter pour contrôler les ordinateurs compromis. Un pirate peut donc faire effectuer à ses zombies de nombreuses commandes en utilisant un simple téléphone équipé d'un client Twitter...

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 10 au 16 mai 2010

Wed, 19 May 2010 12:00:09 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, une nouvelle vulnérabilité critique (0-day) affectant Safari [1] a été publiée. Le code d'exploitation étant disponible sur Internet, le CERT-XMCO recommande aux utilisateurs de Safari de ne pas visiter de sites provenant de sources douteuses, voire d'utiliser un navigateur alternatif dans l'attente d'un correctif.
Deux autres évènements majeurs ont également retenu notre attention :
- La publication par Microsoft et Adobe des bulletins de sécurité du mois de mai ;
- Et la publication des résultats alarmistes du concours PWN2KILL sur l'état des lieux des antivirus.

* Résumé des évènements majeurs :
Dans le cadre du "patch tuesday" du mois de mai [2], Microsoft a corrigé deux vulnérabilités critiques affectant les clients de messagerie Outlook Express/Windows Mail [3] (MS10-030) et l'interpréteur VBScript pour Applications (VBA) [4] (MS10-031) principalement utilisé au sein de la suite Office. L'exploitation de la première faille de sécurité nécessite qu'un pirate incite un utilisateur à utiliser un serveur de messagerie malicieux (modification de la configuration). Quant à la seconde, celle-ci requiert qu'un utilisateur ouvre un fichier contenant une macro spécialement conçue. Dans les deux cas, l'exploitation de la vulnérabilité est jugée complexe par Microsoft. Le CERT-XMCO recommande néanmoins l'application des correctifs.

De son côté, Adobe a publié deux bulletins de sécurité corrigeant de nombreuses failles de sécurité au sein de du serveur Coldfusion [5] (APSB10-11) et du lecteur Shockwave [6] (APSB10-12).

Le projet "Month of PHP Bugs" [7] poursuit sa lancée en révélant chaque jour de nouvelles vulnérabilités au sein de l'interpréteur PHP et des applications codées dans le même langage. Près d'une vingtaine de vulnérabilités plus ou moins critiques ont déjà été présentées.

Dans le cadre de la conférence iAWACS 2010 [8], le concours PWN2KILL [9] a été l'occasion de tester la protection offerte par quinze antivirus. Sur sept virus "home made", un seul a été détecté par l'ensemble des solutions de protection. Les six autres ont tous réussi à infecter au moins 12 systèmes Windows 7 protégés par un antivirus différent.
Ces résultats démontrent, une nouvelle fois, les limites des antivirus actuels.
Les éditeurs de solutions devraient faire évoluer leurs logiciels pour ne pas rester cantonnés à des méthodes de détections relativement bien connues des pirates, et facilement contournables. En effet, les sept équipes étaient principalement constituées d'élèves de l'ESIEA, école qui organisait la conférence et le concours.
De leur côté, les chercheurs de la société Matousec ont publié une analyse [10] sur l'utilisation par les antivirus de "hooks" sur le système d'exploitation pour mettre en place leur solution de protection. D'après ces chercheurs, les implémentations seraient relativement vulnérables à une attaque durant laquelle l'échantillon de code scanné serait remplacé par un échantillon malveillant juste après la vérification. Le fruit de ces recherches semble faire polémique dans le monde de la sécurité. En effet, il semblerait que cette technique appelée TOCTOU [11] (Time Of Check to Time Of Use) avait été publiée en 2003 dans les listes de diffusion de sécurité.

L'accès à Internet en Allemagne et en Autriche a été fortement perturbé au cours de la semaine dernière. Durant environ une heure, une panne de quatre serveurs DNS responsables des domaines ".DE" et ".AT" a gêné la résolution des noms de ces domaines. De nombreux sites et services ont été affectés. Ce genre d'événement montre bien la faiblesse du système DNS actuel sur lequel repose Internet.

Enfin, un nouveau type de botnet [12] constitué uniquement de serveurs a été découvert. Contrairement à de simples ordinateurs personnels, les serveurs disposent généralement d'une bande passante importante ce qui réduit le nombre de zombies pour mener une attaque de DDOS.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 3 au 9 mai 2010

Wed, 12 May 2010 00:45:30 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, aucune nouvelle vulnérabilité critique n'a été publiée. Le CERT-XMCO retient cependant 3 évènements majeurs :
- La publication annoncée par Microsoft de deux bulletins de sécurité pour le 11 mai [1].
- La mise à jour du lecteur de PDF Foxit [2] pour corriger la vulnérabilité PDF "/Launch" fortement exploitée au cours des dernières semaines [3][4].
- La publication de méthodes d'exploitation de la vulnérabilité permettant de contourner l'authentification JBoss [5]. Il est fort possible que celle-ci soit prochainement exploitée pour contourner les interfaces d'administration JMX-console et WEB-console exposée sur internet. Le CERT-XMCO recommande donc aux administrateurs de vérifier la configuration de leurs serveurs JBoss afin d'imposer l'authentification pour les différents verbes HTTP (dont HEAD).

* Résumé des évènements majeurs :
Dans le cadre du "patch tuesday" du mois d'avril, Microsoft a corrigé trois vulnérabilités importantes sans avoir averti ses clients. D'après les recherches effectuées par CORE Security, les correctifs MS10-024 [6] et MS10-028 [7] cacheraient des modifications réalisées sur Visio et le service SMTP de Windows. Microsoft a aussi annoncé la correction d'une faille de sécurité au sein de Windows et d'une autre au sein de l'interpréteur Visual Basic dans le cadre du "patch tuesday" du 11 mai [1]. Ces vulnérabilités sont jugées critiques.

Par ailleurs, Microsoft annonce qu'il ne proposera pas (tout de suite) de correctif pour la vulnérabilité de "Cross Site Scripting" révélée récemment dans SharePoint [8]. Seule une solution de contournement a été publiée [9]. Enfin, le CERT-XMCO rappelle que Microsoft arrêtera le support de Windows 2000 et de Windows XP SP2 à partir du 13 juillet prochain [1].

Côté postes de travail, l'éditeur du lecteur de PDF Foxit a publié la version 3.3 de Foxit Reader [2]. Cette version offre un nouveau composant appelé "Secure Trust Manager". Celui-ci permet de gérer finement les actions autorisées. Par défaut, le support de la commande "/Launch" est désactivé pour protéger les utilisateurs contre une exploitation de la faille découverte par le chercheur Didier Stevens [10].

Deux ans après la première édition, le mois des bogues PHP est de retour sur le site php-security.org [11]. Chaque jour, différentes failles de sécurité et des preuves de concept sont présentées, celles-ci affectent l'interpréteur PHP mais également des applications reposant sur l'interpréteur. Des conseils sont également proposés pour aider les développeurs à développer de manière sécurisée

Le navigateur Opera a été mis à jour en version 10.53 après la révélation de l'existence d'une faille de sécurité critique d'après l'éditeur [12].

Enfin, il y a quelques semaines, une faille de sécurité liée à la configuration de JBoss (jmx et web consoles) avait été corrigée par Red Hat [5]. Cette dernière et toujours présente dans la configuration par défaut du serveur JBoss. En utilisant certains types de requêtes HTTP comme HEAD, il était possible de contourner le processus d'authentification utilisé par les applications. Des outils exploitant cette vulnérabilité ont été mis à jour [13] et pourraient être massivement utilisés sur Internet.
Le CERT-XMCO recommande de vérifier rapidement la configuration de son serveur (web.xml).

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 26 avril au 2 mai 2010

Mon, 03 May 2010 16:41:02 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, aucune nouvelle vulnérabilité critique n'a été publiée. Le CERT-XMCO retient cependant trois évènements principaux.
Microsoft a publié une seconde version du correctif MS10-025 qui corrige une vulnérabilité de Windows Media Unicast Service sur Windows 2000 SP4. Parallèlement, une vulnérabilité de "Cross Site Scripting" a été identifiée au sein de SharePoint.
Enfin, une campagne de distribution de pourriels de grande envergure distribue un PDF malicieux tirant parti de la faille "/Launch". Le CERT-XMCO recommande aux utilisateurs de rester vigilants et de ne pas ouvrir les pièces jointes en provenance de sources douteuses.

* Résumé des évènements majeurs :
Microsoft a mis à jour le correctif MS10-025 pour les systèmes Windows 2000 SP4 uniquement. En effet, lors de sa première publication, le correctif n'était pas efficace. Microsoft avait donc décidé de le retirer afin de le mettre à jour. Même si le composant vulnérable n'est pas installé par défaut, nous attirons votre attention sur le fait qu'un code d'exploitation a été rendu public. Il est donc nécessaire d'installer le correctif si le service Windows Media Unicast est utilisé.

Après un an et demi d'accalmie, un nouveau malware semblable à ceux de la famille Storm vient d'être identifié sur Internet. Cette nouvelle mouture serait moins virulente. Cependant, nous vous rappelons qu'en son temps, le botnet "Storm Worm" était responsable de près de 20% de l'émission des pourriels et était constitué de plus d'un million de machines infectées.

De son côté, le botnet Zeus continue d'évoluer. Les dernières versions du malware exploitent la récente vulnérabilité "/Launch" du lecteur PDF d'Adobe et de Foxit. De plus, de nouvelles fonctionnalités ont été mises en oeuvre pour complexifier la détection du malware telles que la génération de noms de fichiers aléatoires et l'infection de nouveaux processus système.

Parallèlement, une campagne de distribution massive de spam exploite également la faille "/Launch". Un mail provenant d'une adresse du type "operator@MON_ENTREPRISE.com" ou encore "alert@MON_ENTREPRISE.com" est envoyé afin de prévenir les victimes d'un changement de configuration des paramètres de messagerie (POP et SMTP). L'ouverture de la pièce jointe "doc.pdf" incluse au sein de cet email et la validation de la boite de dialogue affichée permet de compromettre un système Windows.

Enfin, un pirate russe aurait mis la main sur plus de 1,5 million de comptes Facebook et aurait procédé à leur vente au détail sur Internet.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 19 au 25 avril 2010

Mon, 26 Apr 2010 17:35:49 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, l'actualité de la sécurité informatique a été calme : pas de nouveaux "0-day" ou d'attaques massives.
La menace la plus importante du moment demeure l'exploitation d'une faille de sécurité d'un plugin JAVA pour Internet Explorer par l'intermédiaire de sites web compromis ou hébergés par des pirates.
Pour se protéger de ces attaques, le CERT-XMCO recommande la mise à jour des machines virtuelles JAVA à la version 6 Update 20 ou la désactivation par GPO de l'ActiveX "Java Deployment Toolkit".

* Résumé des évènements majeurs :
Quelques jours après la découverte d'une vulnérabilité critique et la publication d'un correctif par Oracle (Java 6 Update 20), la vulnérabilité du plug-in Java a été largement exploitée cette semaine. Des sites tels que "songlyrics.com" auraient été compromis par des pirates (russes ?). La mise à jour d'Oracle prenant surtout en compte Internet Explorer, la fondation Mozilla a vivement réagi en bloquant les versions vulnérables du plug-in "Java Deployement Toolkit" dans son navigateur.

Par ailleurs, l'attaque surnommée "Aurora" fait encore parler d'elle. Le New York Times a ainsi publié de nouvelles informations à son sujet. Les pirates à l'origine de l'attaque auraient ciblé le SSO de Google baptisé Gaïa. Ces derniers auraient dérobé une partie de son code (si ce n'est la totalité) et auraient pu potentiellement insérer des portes dérobées. Google, ainsi que nombre d'experts sécurité prennent ce risque au sérieux, puisque les pirates pourraient potentiellement accéder aux informations privées de millions d'utilisateurs. Néanmoins, aucune information n'a été reconnue publiquement par Google qui aurait par ailleurs élevé le niveau de sécurité de certaines parties de son infrastructure.

Après avoir mis à jour sa base de signature vers la version "DAT 5958", les antivirus McAfee utilisés sur les systèmes Windows XP SP3 ont confondu l'exécutable système "scvhost.exe" avec le virus référencé "W32/Wecorl.a", le plaçant ainsi par mesure préventive en quarantaine. L'absence de cet exécutable indispensable au fonctionnement de Windows a provoqué de nombreux problèmes aussi bien dans le monde de l'entreprise que chez les particuliers.

Tout comme les récentes éruptions volcaniques, les termes "DAT", "5958", ou encore "McAfee" ont été utilisés par les pirates dans le cadre de campagne de pollution des moteurs de recherche qui dirigeaient ainsi les utilisateurs vers des sites hébergeant des malwares.

Les smartphones sont à la mode, et les pirates le savent. Un malware se faisant passer pour un outil de "jailbreak" d'iPhone a ainsi été découvert. D'autre part, des vulnérabilités critiques ont été découvertes au sein de Palm WebOS. Le simple envoi de SMS permettait de modifier la configuration du téléphone (ouverture d'un site internet, lancement d'un téléchargement, installation d'un certificat racine, désactivation de l'interface sans fil...).

Enfin, Microsoft retire le correctif MS10-025 qui ne corrigeait pas la vulnérabilité présente au sein de Windows Media Services. Une nouvelle version du correctif devrait être publiée cette semaine.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 12 au 18 avril 2010

Mon, 19 Apr 2010 17:02:48 GMT+1

Chaque semaine, les consultants du service de veille analysent les faits marquants de la semaine :

Oracle a publié la mise à jour trimestrielle "cpuapr2010" et la version 6u20 de Java SE à la suite de la découverte d'une vulnérabilité majeure au sein de Java Web Start. En effet, une faille de sécurité critique de JAVA est actuellement exploitée sur Internet. L'exploitation de la faille nécessite la visite par une victime d'une page web malicieuse. Oracle a réagi en publiant l'Update 20 (JRE/JDK) de Java SE 6 et en bloquant l'ActiveX "Java Deployment Toolkit" vulnérable au sein d'Internet Explorer.
La faille reste toujours exploitable sur les navigateurs alternatifs si les plug-ins Java ne sont pas désactivés.

Dans le cadre de son "Patch Tuesday", Microsoft a publié 11 correctifs résolvant 25 failles de sécurité. L'application de ces correctifs est bien sûr de rigueur, en particulier pour le correctif MS10-022 relatif à une attaque via Internet Explorer et VBscript.

De son côté, Apple a publié un correctif pour la faille de sécurité critique liée à l'utilisation de police de caractère spécialement conçue. Cette faille avait été utilisée par Charlie Miller pour remporter un prix lors du concours Pwn2Own qui a eu lieu au début du mois de mars.

Des pirates se sont attaqués à de nombreux blogs utilisant le moteur WordPress. L'attaque se base sur le fait que le fichier "wp-config.php" est en lecture pour tout le monde dans un contexte d'hébergement mutualisé, ainsi qu'il contient le mot de passe de la base de données en clair.

Enfin, la faille PDF relative à la commande "/Launch", corrigée la semaine dernière par Adobe dans son lecteur, est activement exploitée afin d'augmenter le nombre de machines zombies du botnet ZeuS.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 5 au 11 avril 2010

Mon, 12 Apr 2010 13:29:38 GMT+1

Chaque semaine, les consultants du service de veille analysent les faits marquants de la semaine :

Cette semaine, un débat entre experts laissait penser que Firefox pouvait contenir des certificats racines "piratés". Ce débat était finalement inutile puisqu'il s'agissait en fait d'un certificat RSA qui n'était simplement plus utilisé.

Des pirates se sont payés (en toute légitimité commerciale), les services de publicité des moteurs de recherche de Microsoft (Bing) et Yahoo! pour proposer aux utilisateurs des liens vers sites malveillants lorsque ceux-ci effectuaient des recherches sur le mot clé "advertising". Est-ce que les moteurs de recherche doivent s'assurer de l'intention des annonceurs ?

Suite à la découverte de la vulnérabilité permettant le lancement de programme depuis un fichier PDF (CVE-2009-4764 et CVE-2010-1240), Adobe a proposé une solution de contournement : désactiver la fonctionnalité incriminée "Allow opening of non-PDF file attachments with external applications" dans la catégorie "Trust Manager" des préférences.

Tandis que 11 correctifs de sécurité Windows sont prévus pour ce mardi, Microsoft annonce que XP SP2 et Windows 2000 ne seront plus supportés à partir du 13 juillet.

Enfin, le CERT XMCO publie ICERT-XMCO : une application iPhone permettant de suivre l'actualité de la sécurité (failles, alerte, info), ainsi que l'ActuSécu nº 25.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [iCERT-XMCO] Sortie de l'application iPhone/iPod Touch iCERT-XMCO permettant de suivre l'actualit� de la s�curit� informatique

Thu, 08 Apr 2010 12:19:06 GMT+1

Le cabinet XMCO Partners vient de publier une application disponible sur l'App Store d'Apple pour tous les possesseurs d'iPhone ou d'iPod touch.

Baptisée iCERT-XMCO, cette application permet de suivre facilement l'actualité de la sécurité informatique depuis leur téléphone. Grâce à une interface intuitive, le lecteur pourra retrouver les différentes informations telles que l'actualité de la sécurité (informations, virus, attaques...), les vulnérabilités logicielles ou encore les alertes du moment.

Cette première version (v1.1) n'est qu'un début. D'autres versions suivront prochainement pour simplifier l'utilisation de l'application et apporter de nouvelles fonctionnalités.

Note : les informations accessibles via l'application correspondent uniquement à une partie du travail effectué par la cellule de Veille du cabinet XMCO Partners. L'abonnement à ce service permet d'accéder à des informations ainsi qu'à des services supplémentaires. Pour toute demande d'informations supplémentaires, veuillez contacter veille_secu@xmcopartners.com

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 29 mars au 4 avril 2010

Tue, 06 Apr 2010 14:52:49 GMT+1

Suite aux attaques massives basées sur une vulnérabilité 0-days Internet Explorer (CVE-2010-0806), Microsoft publie un correctif "hors cycle" (MS10-018) affectant toutes les versions de son navigateur.

Plusieurs vulnérabilités critiques sont corrigées dans la machine virtuelle JAVA (JRE et JDK).

Une société américaine ECMC (spécialisée dans le crédit pour étudiants) annonce avoir perdu un support amovible contenant les données personnelles de plus de 3 millions de ses clients.

Côté cybercriminalité, un hacker surnommé TJX reçoit une peine de 20 ans de prison pour des actes de piratage de données.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 22 au 28 mars 2010

Mon, 29 Mar 2010 14:33:28 GMT+1

Cette semaine, plusieurs vulnérabilités importantes ont été publiées. Cisco a mis à jour son système IOS afin de se prémunir contre l'exploitation de 7 nouvelles vulnérabilités et a modifié son calendrier afin de publier les correctifs IOS le dernier mercredi de mars et septembre.

EzPublish a également mis à jour son CMS, vulnérable aux attaques d'injection SQL en aveugle.

Comme chaque année, le concours "Pwn2Own" a permis aux chercheurs de briller en exploitant des vulnérabilités "0-day" sur les principaux navigateurs du marché, mais également sur l'iPhone au centre de toutes les attentions.

Les cybercriminels ont diffusé une nouvelle version de Zbot qui vise les clients de banques et d'institutions financières européennes (Italie, Royaume-Uni, Allemagne et France) mais également un nouveau ver pour les plateformes Symbian/OS. Baptisé "MerogoSMS", cette application malicieuse utilise des SMS pour se propager et contacter des numéros surtaxés.

Enfin, le sénat vient de voter une nouvelle loi relative à la protection de la vie privée. Toutes les entreprises manipulant des données personnelles devront désormais désigner un correspondant "informatique et libertés" et communiquer avec la CNIL en cas d'intrusion informatique.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 15 au 21 mars 2010

Mon, 22 Mar 2010 13:41:08 GMT+1

Suite à l'annonce d'une vulnérabilité "0-day" affectant Internet Explorer, Microsoft a publié un correctif temporaire. Pendant le même temps, une preuve de concept exploitant une vulnérabilité liée à la gestion des fichiers d'aide au format ".CHM" a été publiée.

Virtual PC et Virtual Server sont également affectés par une vulnérabilité permettant d'interagir avec la mémoire des systèmes d'exploitation "invités". Ce problème reconnu par Microsoft ne sera pas corrigé.

Enfin, une autre preuve de concept a été publiée, simplifiant l'exploitation de la faille liée au support du format "TIFF". Cette vulnérabilité référencée CVE-2010-0188 a néanmoins été corrigée récemment par Adobe avec le bulletin APSB10-007.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 8 au 14 mars 2010

Tue, 16 Mar 2010 11:17:27 GMT+1

Microsoft n'a publié que deux correctifs dans le cadre du "patch tuesday", pour Excel et Movie Maker alors qu'une vulnérabilité "0-day" affectant Internet Explorer et un code d'exploitation ont été diffusés sur la toile. Cette vulnérabilité, activement exploitée, a tout de même été reconnue par Microsoft (bulletin KB981374).

Parallèlement, une attaque de grande ampleur a été menée par un groupe de pirates par l'intermédiaire de fichiers PDF exploitant la vulnérabilité CVE-2010-0188 corrigée depuis peu par Adobe (APSB10-07).

Enfin, deux produits grand public (HTC Magic vendu par Vodafone, ainsi qu'un chargeur de piles USB Energizer) ont été commercialisés en incluant les malwares Mariposa, Conficker ou Lineage. Ces derniers étaient automatiquement exécutés lors de l'installation des logiciels en question.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 1 au 7 mars 2010

Mon, 08 Mar 2010 13:55:49 GMT+1

Semaine chargée pour les cyberpirates et Microsoft.

Après la fermeture de nombreux noms de domaine associés au botnet "Waledac" par Microsoft, les autorités américaines et espagnoles se sont attaquées aux dirigeants de "Mariposa", un réseau de zombies estimé à plus de 13 millions de machines.

Le géant de Redmond a publié la mise à jour du correctif MS10-015 dont la distribution avait été suspendue à la suite d'apparitions d'écran bleu. D'autre part, Microsoft prévoit de sortir deux correctifs pour Windows et Office dans le "patch tuesday" du 9 mars.

Toujours chez Microsoft, plusieurs "0-day" ont été diffusés cette semaine. Une première vulnérabilité reconnue par l'éditeur touche Internet Explorer. Cette dernière permet à un pirate de prendre le contrôle d'un système distant par le biais d'une page Web chargeant automatiquement un fichier d'aide ".HLP". Enfin, une vulnérabilité de type XSS affectant Sharepoint 2007 ainsi qu'une preuve de concept pour Windows Media Player ont été rendues publiques.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 22 au 28 f�vrier 2010

Thu, 04 Mar 2010 11:55:34 GMT+1

Firefox serait sous le coup d'une vulnérabilité "0-day" non publiquement divulguée. CANVAS a mis à disposition de ses clients uniquement le code permettant l'exploitation de la faille, qui n'a donc pas été portée à la connaissance des développeurs du navigateur.
Il est possible que Mozilla ne puisse pas fournir rapidement de correctif sans information supplémentaire de la part des chercheurs.

Côté cybercriminalité, plusieurs serveurs web étatiques de la Colombie ont été compromis puis utilisés pour héberger discrètement des scripts participant à une attaque web à grande échelle.

Après l'apparition du botnet "Kneber" au cours de la semaine précédente, le botnet "Chuck Norris" arrive tout droit d'Italie afin de compromettre les modems ADSL et les routeurs faiblement sécurisés (mots de passe standards ou faibles). Chuck Norris est capable de réaliser des DDoS et de participer à des campagnes de phishing.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 15 au 21 f�vrier 2010

Tue, 23 Feb 2010 18:04:43 GMT+1

Adobe se trouve contraint de corriger une faille de sécurité qu'il avait précédemment niée dans son "Downloader".

Côté cybercriminalité, un nouveau botnet appelé "Kneber" ayant beaucoup de similitudes avec le botnet "Zeus" est apparu. Les auteurs du rootkit "TDL3" causant les écrans bleu suite à l'installation du correctif MS10-015 corrigent leur malware avec beaucoup de réactivité.

Une campagne de spam "bienveillante" et de grande envergure propose, au nom de Microsoft, de désinfecter les ordinateurs du ver "conficker", moyennant l'installation du cheval de Troie Win32:Bredolab-CC (Avast), Generic Dropper.lr (McAfee) ou encore Mal/EncPk-KW (Sophos).

Enfin, Firefox, le célèbre navigateur Open-Source de la fondation Mozilla serait sous le coup d'un "0 day" développé par les chercheurs de la société Intevydis et disponible dans la solution propriétaire VulnDisco complémentaire du framework CANVAS d'Imunity.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 8 au 14 f�vrier 2010

Thu, 18 Feb 2010 11:23:12 GMT+1

Microsoft a publié 13 correctifs permettant de résoudre, entres autres, une faille permettant de devenir Administrateur local de son poste et une autre aille assez proche de celle exploitée par Conficker.
Côté cybercriminalité, alors que des pirates volaient des millions en crédits carbone, les autorités chinoises ont fermé un des plus gros sites de hackers du pays.

Enfin, le chercheur Ross Andersona démontré qu'il était possible d'utiliser une carte de crédit à puce sans connaitre son code PIN du fait d'une faille du protocole EMV et d'un manque de contrôle des banques.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTU-SECU] PCI-DSS, les vuln�rabilit�s SSL et la s�curit� des iPhone jailbreak�s (ActuS�cu XMCO n�24)

Wed, 13 Jan 2010 14:08:33 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement ici : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 24 "Les vulnérabilités SSL, la sécurité des iPhones jailbreakés et le PCI-DSS " :

- Le PCI-DSS et les entreprises françaises

- La sécurité des iPhones jailbreakés

- Les vulnérabilités SSL de ces derniers mois

- L'actualité du mois : Les conférences sécurité, les correctifs et 0-day Microsoft, l'attaque EvilMaid, les attaques de Phishing

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Les attaques 2.0 : Koobface et Gumblar (ActuS�cu XMCO n�23)

Fri, 09 Oct 2009 10:26:11 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 23 "Koobface, Gumblar, Slowloris, Antisec: quand les pirates passent à l'action " :

- Revue des nouveautés présentées dans les conférences sécurité Blackhat et SSTIC

- L'attaque Internet Gumblar et les redirections JS

- Le ver Koobface : le ver social de FaceBook

- L'attaque Déni de Service Slowloris contre Apache

- L'actualité du mois : l'exploit Microsoft IIS FTP, Coldfusion NullByte, 0-days SSH antisec et un Trojan Skype.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Le vol d'identit� et Conficker (ActuS�cu XMCO n�22)

Wed, 18 Mar 2009 10:59:42 GMT+1

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Federal Trojan et ClickJacking (ActuS�cu XMCO n�21)

Thu, 23 Oct 2008 10:47:00 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 21 "Federal Trojan et ClickJacking" :

- Federal Trojan : les écoutes et les perquisitions numériques à distance

- Le ClickJacking : une attaque aussi simple qu'efficace

- Le SurfJacking : l'exploitation des cookies non sécurisés

- Les fake antivirus, les exploits ActiveX, la faille dans le routage BGP

- Les blogs sécurité du mois : l'avis et la vie des experts sécurité

XMCO interviendra sous la forme d'un retour d'expériences dans le cadre de l'événement "La sécurité dans le secteur de la banque et assurance" du salon InfoSecurity. Frédéric Charpentier présentera plusieurs cas réels de hacking au cours desquels nous sommes intervenus en tant qu'experts. Les détails techniques des actes de piratages seront analysés et commentés. Les participants découvriront alors des situations réelles, bien loin des mythes entretenus. Notre intervention aura lieu à 11h45, le mercredi 19 novembre.(lien suivant).

Demandez dès aujourd'hui votre badge gratuit à l'adresse suivante : http://www.infosecurity.com.fr/FR/badge?ref=XMCW

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] UPNP, un protocole dangereux ? (ActuS�cu XMCO n�20)

Fri, 18 Jul 2008 10:48:00 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actu-secu/XMCO-ActuSecu-20-UPNP.pdf

Au sommaire du numéro 20 "UPNP, un protocole dangereux ? " :
- Hacking UPNP : Les faiblesses du protocole Plug and Play
- Les attaques UPNP/CSRF : Le vecteur d'attaque Flash sur les routeurs ADSL
- L'actualité du mois : La vulnérabilité des DNS de Dan Kaminsky, la faille OpenSSL, root exploit sur Mac OSX, virus sur Mac OS, GPCode...
- Outils : Flying Bit, Keepas, TrueCrypt, Axban

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Sp�cial Blackhat 2008 (ActuS�cu XMCO n�19)

Wed, 14 May 2008 16:58:10 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actu-secu/XMCO-ActuSecu-19-Blackhat.pdf

Au sommaire du numéro 19 "Spécial Blackhat 2008" :
- Dossier Blackhat 2008 : Présentation des sujets (Cracking GSM, Bad sushi, client side security...)
- La mort des CAPTCHA : Comment les pirates arrivent-ils à les casser ?
- L'actualité du mois : Les vulnérabilités MS08-021 (GDI), Massive Injection SQL sur IIS ASP, prédiction des clefs WEP/WPA, attaque CSRF dans uTorrent...
- Outils : Les extensions Firefox utiles : Firebug, Web Developer, BugMeNot, SwitchProxy

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] L'anonymat : Le c�t� obscur de l'Internet (ActuS�cu XMCO n�18)

Wed, 14 May 2008 16:53:56 GMT+1

Chère lectrice, cher lecteur,

Après une forte charge de travail occasionnée par les nombreux audits et tests d'intrusion de fin d'année, notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actu-secu/XMCO-ActuSecu-Janvier2008.pdf

Au sommaire du numéro 18 "Le côté obscur de l'Internet" :
- Retour sur le Hack Of The Year : TOR, votre meilleur ennemi.
- Les hébergeurs Bullet Proof : les pirates passent à l'Offshore.
- Les Fast-Flux Networks : Comment remonter à la source des attaques ?
- Les vulnérabilités du mois : l'exploit MS08-001 IGMPv3, la faille de l'iPhone, le virus Symbian Beselo et le MBR Rootkit.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61