XMCO PARTNERS RSS

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 4 au 10 avril

Thu, 14 Apr 2011 15:26:02 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Plusieurs failles de sécurité ont été découvertes cette semaine. Les produits Microsoft sont particulièrement exposés puisque des failles ont été identifiées au sein de Windows Vista [1], de la gestion de l'IPv6 par Windows [2], de Windows Media Player [3], et enfin au sein d'Internet Explorer [4]. L'exploitation de ces différentes failles permettrait de provoquer un déni de service pour les deux premières, voire de compromettre un système à distance pour les deux dernières.

Une dernière faille affectant VLC [5] a été découverte. Son exploitation permettrait de prendre le contrôle d'un système lors de l'ouverture d'un fichier s3m malformé.

- Correctifs :
De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels concernés, Zend Server [6], WebSphere Application Server [7], Joomla [8], HP Network Node Manager [9], DHCP Client [10], Solaris [11], WordPress [12], HTTPComponents d'Apache [13], Redmine [14] et enfin RoundCube [15].

- Exploits :
Plusieurs codes d'exploitation ont été publiés cette semaine.
Le premier exploit cible Windows Media Player [16] et permet de provoquer un déni de service lors de l'ouverture d'un fichier spécialement conçu.
Le second code d'exploitation permet de prendre le contrôle à distance d'un serveur Zend Server Java Bridge [17].
Enfin, le dernier exploit permet de prendre le contrôle à distance d'un serveur Lotus Domino iCalendar [18] via l'envoi d'un email contenant une invitation iCalendar malformée.

- Juridique :
Plusieurs experts en sécurité informatique ont déposé un dossier relatif à l'Affaire Wikileaks [19] opposant le gouvernement américain au géant du micro-blogging Twitter devant la justice américaine. Selon eux, il existe un réel danger pour la vie privée de chacun lorsqu'un gouvernement oblige des sociétés à transmettre des informations personnelles. En effet, l'accumulation de données personnelles par Twitter permettrait de dresser le profil précis, le comportement d'un internaute, y compris ses déplacements. Ces experts mettent donc en avant l'importance de l'obtention d'un mandat avant toute demande de ce type...

- Conférence / Recherche :
Avec le déclin annoncé de l'IPv4, et les futurs déploiements de l'IPv6, les chercheurs "commencent" à s'intéresser à ce nouveau domaine. Un nouveau type d'attaque, baptisée "SLAAC Attack" [20] a ainsi été présentée. Le mécanisme d'auto-configuration normalisé permettrait de forcer, à distance, un système à définir un nouveau routeur afin de détourner l'ensemble des communications. Dans le même domaine, il serait possible de provoquer un déni de service en envoyant simplement un grand nombre de datagramme IP de type "Neighbor Discovery".

D'après un rapport publié par IBM [21], le nombre de vulnérabilités et de codes d'exploitation dévoilés publiquement aurait connu une forte hausse en 2010 (+29 % par rapport à 2009 pour les vulnérabilités, contre +21 % pour les exploits).

À la suite de l'affaire Comodo, Google a annoncé la mise en place de nouvelle fonction de sécurité visant à protéger l'Internet. Chrome [22] se verra doté d'une fonction permettant de bloquer les plug-ins n'étant pas à jour. Le navigateur proposera un lien vers la dernière version publiée. De plus, une fenêtre d'alerte [23] demandera une confirmation de la part d'un utilisateur avant de procéder au téléchargement d'un exécutable lorsque celui-ci sera considéré comme suspicieux. Enfin, Google propose la mise en place d'une nouvelle fonction de sécurité au sein de la norme DNS. Baptisée DANE [24], cette évolution, fortement inspirée par DNSSEC et reposant sur celui-ci, permettra de spécifier au sein d'un enregistrement DNS l'autorité d'enregistrement habilité à "certifier" un site Internet.

- Cybercriminalité / Attaques :
De nouvelles informations ont été publiées par RSA [25] à la suite de l'attaque qu'a subie la société. D'après le communiqué de presse, la faille 0day ciblant le lecteur Flash récemment publié par Adobe serait le vecteur d'attaque principal. Pour rappel, celle-ci a récemment été corrigée par Adobe.

Un nouveau mode de fonctionnement a pu être observé dans le "petit" monde des packs d'exploitation avec l'arrivée de RoboPak Exploit Kit [26]. Après le SaaS (Software As A Service), le PaaS (Plateform As A Service) et et enfin l'IaaS (Infrastructure As A Service), ce nouveau venu sur la scène pirate introduit un nouveau mode de fonctionnement baptisé EaaS (Exploits As A Service). Ce n'est plus le logiciel qui est vendu, mais le service associé. Il est donc désormais possible d'acheter un droit d'utilisation du logiciel à la journée, à la semaine, voir au mois pour des tarifs peu élevés et fortement dégressifs.

Cette semaine, la société Epsilon [27] a reconnu officiellement avoir été victime d'un vol de données. Plusieurs millions d'adresses email ainsi que les noms des utilisateurs associés auraient ainsi été dérobés. Ces différentes informations pourraient être utilisées sous peu afin de lancer des campagnes de phishing de grande ampleur...

SpyEye et Zeus continuent d'évoluer. Le code source de Zeus [28] a été publié sur Internet sous la forme d'une archive protégée par mot de passe. De nombreux hackers tentent actuellement de bruteforcer celui-ci pour obtenir le code source. Cette publication engendrera potentiellement l'apparition de nombreuse variante du malware. SpyEye [29] de son côté reprend une fonction de Zeus. Cette version du malware ciblant les smartphones Symbian se voit ajouter une des nombreuses fonctionnalités de son concurrent Zeus permettant d'intercepter les mTANs (Mobile Transaction Authentification Number) envoyés par la banque par SMS. Grâce à cette information, les pirates sont en mesure de réaliser des transactions bancaires.

Une nouvelle campagne de spam pousse les internautes à installer la dernière version de certains logiciels Adobe [30]. Pour cela, et comme pour toute attaque de phishing, les victimes doivent au préalable fournir des informations personnelles...

- Entreprises :
Microsoft a annoncé la date de son prochain "Patch Tuesday" [31]. Mardi 12 avril seront publiés 17 bulletins de sécurité corrigeant pas moins de 64 vulnérabilités. Neuf d'entre eux sont jugés critiques; contre huit importants. Parmi les logiciels impactés : Microsoft Windows, Microsoft Office, Internet Explorer, Visual Studio, .NET Framework et enfin GDI+.

- XMCO :
XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0501
http://seclists.org/fulldisclosure/2011/Apr/38

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0515
http://samsclass.info/ipv6/proj/flood-router6a.htm

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0503
http://www.spinics.net/linux/lists/bugtraq/msg44386.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0537
http://www.hackersbay.in/2011/04/ie9-exploit-puts-windows-7-sp1-at-risk.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0533
https://www.sec-consult.com/files/20110407-0_libmodplug_stackoverflow.txt

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0505
http://www.zerodayinitiative.com/advisories/ZDI-11-113/

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0508
http://www-01.ibm.com/support/docview.wss?uid=swg27007951

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0516
http://developer.joomla.org/security/news/340-20110401-core-information-disclosure.html

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0517
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02776387

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0520
https://www.isc.org/software/dhcp/advisories/cve-2011-0997

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0523
http://www.kb.cert.org/vuls/id/648244

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0524
http://wordpress.org/news/2011/04/wordpress-3-1-1/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0528
http://www.apache.org/dist/httpcomponents/httpclient/RELEASE_NOTES-4.1.x.txt

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0535
http://www.redmine.org/news/53

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0536
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1492

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0502
http://www.spinics.net/linux/lists/bugtraq/msg44386.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0506
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12212/entry/modules/auxiliary/admin/zend/java_bridge.rb

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0512
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12236/raw/modules/exploits/windows/lotus/domino_icalendar_organizer.rb

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0504
http://www.net-security.org/secworld.php?id=10839

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0513
http://www.theregister.co.uk/2011/04/04/slaac_attack_microsoft_windows/

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0525
http://www.scmagazineus.com/number-of-reported-vulnerabilities-spiked-in-2010/article/199823/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0522
http://googleonlinesecurity.blogspot.com/2011/04/protecting-users-from-malicious.html

[23]
http://googleonlinesecurity.blogspot.com/2011/03/chrome-warns-users-of-out-of-date.html

[24]
http://googleonlinesecurity.blogspot.com/2011/04/improving-ssl-certificate-security.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0499
http://blogs.rsa.com/rivner/anatomy-of-an-attack/

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0509
http://www.kahusecurity.com/2011/robopak-exploit-kit

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0510
http://www.h-online.com/security/news/item/Millions-of-email-addresses-exposed-in-Epsilon-breach-1221307.html

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0521
http://www.net-security.org/malware_news.php?id=1681

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0518
http://www.h-online.com/security/news/item/Attacks-on-German-mTAN-banking-users-1222260.html

[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0519
http://www.net-security.org/secworld.php?id=10854

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0527
http://www.microsoft.com/technet/security/Bulletin/MS11-apr.mspx

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 21 au 27 mars

Thu, 14 Apr 2011 15:25:11 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Suite à la publication d'un code exploitant une vulnérabilité au sein du Flash Player (APSA11-01), le CERT-XMCO recommande l'installation des correctifs disponibles pour Flash Player (APSB11-05), Adobe Reader et Adobe Acrobat (APSB11-06).

* Résumé des évènements majeurs :
- Vulnérabilités :
Une faille de sécurité a été découverte au sein des concentrateurs VPN Cisco [1]. Ceux-ci réagissent différemment en fonction de la validité du groupe spécifié au sein des messages IKE. Cette erreur permettrait à un attaquant de mener une attaque de force brute afin de récupérer le nom du groupe.

Plusieurs autres vulnérabilités ont été découvertes au sein du serveur TFTP d'Avaya IP Office Manager [2], de RealPlayer, d'IBM Lotus Domino [3], d'HP Virtual SAN [4] et de l'iOS d'Apple [5]. L'exploitation de ces failles de sécurité permettrait à un attaquant de provoquer un déni de service voire de compromettre un système.

- Correctifs :
De multiples vulnérabilités ont été corrigées au sein de Mac OS X [6]. L'exploitation de celles-ci permettait à un attaquant de mener des attaques de type "Cross-Site Scripting", de voler des informations, d'élever ses privilèges, de provoquer un déni de service, voire de compromettre un système.

Une vulnérabilité critique a été corrigée au sein des logiciels Adobe (Flash, Reader et Acrobat) [7]. L'exploitation de celle-ci permettait à un attaquant distant de prendre le contrôle d'un système via l'ouverture d'un fichier spécialement formé. Cette vulnérabilité a été rapidement exploitée par des pirates.

Enfin, plusieurs vulnérabilités ont été corrigées au sein des logiciels Solaris [8] [9], Novell Netware [10], Symantec LiveUpdate Administrator [11], CATIA [12], VideoLan [13], Google Chrome [14] et de plusieurs applications Citrix [15].

- Exploits :
Un code d'exploitation permettant à un attaquant de prendre le contrôle d'un système via une vulnérabilité dans Novell Netware [16] a été publié. Celui-ci prend la forme d'un script Python et permet d'envoyer une commande FTP malicieuse dans le but de provoquer un débordement de tampon.

Un second exploit ciblant le serveur TFTP d'Avaya IP Office Managera [17] a été publié. En envoyant une requête spécialement conçue à la machine cible, le pirate est en mesure de provoquer un déni de service.

- Juridique :
Aux Pays-Bas, le piratage d'un routeur pour accéder à un réseau Wi-Fi n'est pas une infraction pénale [18]. En effet, un étudiant a été jugé pour avoir posté une menace de mort sur un forum après avoir piraté un routeur Wi-Fi pour masquer son identité. Cette affaire a abouti à une nouvelle jurisprudence. En s'appuyant sur des éléments de la loi datant du début des années 90, le juge a estimé que le routeur piraté par l'étudiant ne remplissait pas les trois critères caractérisant un ordinateur selon la justice néerlandaise. Le jeune accusé n'a donc pas été poursuivi pour "acte de piratage".

- Conférence / Recherche :
Des dizaines de codes d'exploitation et de preuves de concept ciblant des failles sur les systèmes SCADA (Supervisory Control And Data Acquisition) [19] ont été publiées cette semaine. Il semblerait qu'une société russe, se présentant comme spécialisée dans la sécurité des systèmes d'informations, ait lancé un kit d'exploitation regroupant les vulnérabilités dévoilées publiquement.

- Cybercriminalité / Attaques :
Pour la seconde fois en peu de temps, une application malveillante disponible pour les smartphones reposant sur Androïd et exploitant une vulnérabilité connue a été découverte [20]. Celle-ci était en mesure d'élever ses privilèges afin d'installer une porte dérobée sur le système et d'accéder au compte administrateur. Google a supprimé l'application de l'Androïd Market et a enclenché un processus de suppression automatique de l'application sur tous les téléphones infectés.

Neuf certificats frauduleux [21] visant les sites internet de plusieurs grandes sociétés telles que Google, Yahoo, ou encore Skype ont été délivrés la semaine dernière par une autorité de certification racine appelée Comodo. Les attaquants ont eu accès à un compte utilisateur de la RA (Registration Authority) par des moyens non déterminés. Ces certificats pourraient être utilisés dans des attaques de type "Man-in-the-Middle" sur une connexion protégée par le protocole SSL. Les principaux éditeurs de navigateurs Web ont été avertis et ont mis à jour leur liste de révocation.

La Commission Européenne a été victime d'une attaque informatique de grande ampleur deux jours avant le sommet de Bruxelles [22]. Les dirigeants devaient s'intéresser au sort de la Libye, aux opérations militaires menées actuellement, ainsi qu'à la sûreté du nucléaire en Europe depuis les incidents survenus au Japon. Un porte-parole de la Commission a déclaré que seuls quelques services ont été affectés. Il semblerait que les pirates aient envoyé des courriels contenant un fichier malveillant en pièce jointe pour pénétrer à l'intérieur du système d'informations.

- Vie privée :
Research In Motion (RIM) vient de mettre à disposition de ses clients privés européens l'application BlackBerry Protect [23]. Celle-ci permet aux utilisateurs de protéger leur smartphone de la même manière que les entreprises peuvent le faire avec le BlackBerry Enterprise Server. Cette application permet au propriétaire du téléphone de sauvegarder ses contacts, son calendrier, ses tâches, ses notes, ses signets et ses SMS. Ces données sauvegardées peuvent ensuite être restaurées sur le smartphone d'origine ou sur un nouvel appareil BlackBerry. D'autres services, également disponibles, permettent de localiser son smartphone si celui-ci a été égaré, d'effacer toutes les données et de verrouiller le téléphone à distance.

XMCO a publié récemment le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0441
http://www.cisco.com/en/US/products/products_security_response09186a0080b5992c.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0451
http://dl.packetstormsecurity.net/1103-exploits/avayaipom-dos.txt

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0438
http://www.zerodayinitiative.com/advisories/ZDI-11-110/

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0450
http://www.zerodayinitiative.com/advisories/ZDI-11-111/

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0442
http://www.zerodayinitiative.com/advisories/ZDI-11-109/

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0432
http://support.apple.com/kb/HT4581

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0431
http://www.adobe.com/support/security/bulletins/apsb11-06.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0428
http://blogs.sun.com/security/entry/cve_2010_3814_buffer_overflow

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0429
http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_libpng

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0426
http://www.zerodayinitiative.com/advisories/ZDI-11-106/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0436
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110321_00

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0444
http://www-01.ibm.com/support/docview.wss?uid=swg1HE02859

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0445
http://www.coresecurity.com/content/vlc-vulnerabilities-amv-nsv-files

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0449
http://googlechromereleases.blogspot.com/2011/03/stable-channel-update.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0456
http://support.citrix.com/article/CTX128366

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0427
http://www.zerodayinitiative.com/advisories/ZDI-11-106/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0452
http://dl.packetstormsecurity.net/1103-exploits/avayaipom-dos.txt

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0430
http://news.techworld.com/mobile-wireless/3266058/hacking-wireless-network-routers-no-longer-illegal-in-holland/?olo=rss

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0439
http://hackingexpose.blogspot.com/2011/03/attack-code-for-scada-vulnerabilities.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0440
http://www.net-security.org/malware_news.php?id=1672&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0443
http://www.microsoft.com/technet/security/advisory/2524375.mspx

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0446
http://www.euractiv.com/en/future-eu/cyber-attack-european-commission-reported-news-503461

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0437
http://www.h-online.com/security/news/item/BlackBerry-Protect-now-available-in-Europe-1211456.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 14 au 18 mars

Thu, 21 Mar 2011 15:24:05 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Suite à la publication d'un code exploitant la vulnérabilité "Java codebase trust", le CERT-XMCO recommande une fois de plus l'installation du correctif publié par Oracle dans le bulletin JavaCpuFeb2011 le mois dernier.
Par ailleurs, une vulnérabilité 0day critique affectant Adobe Reader a été publiée. Adobe a réagi en publiant un correctif le lundi 21 mars. Le CERT-XMCO recommande d'installer ce correctif.

* Résumé des évènements majeurs :
- Vulnérabilités :
Adobe a annoncé mardi dernier, la découverte d'une vulnérabilité 0day critique dans Adobe Flash et Reader [1]. Cette vulnérabilité peut être exploitée pour prendre le contrôle à distance d'un système implémentant un de ces deux logiciels. Des attaques exploitant celle-ci ont déjà été identifiées sur Internet : un fichier Excel (.XLS) malveillant dans lequel serait contenue une animation Flash, spécialement conçue, serait envoyé par email à de nombreux internautes. Seul Flash Player serait actuellement pris pour cible par les pirates. Adobe a annoncé qu'un correctif sera publié durant la semaine du 21 mars. Le CERT-XMCO recommande de se préparer au déploiement de se correctif et de redoubler de vigilance lors de la réception de pièce jointe.

Une vulnérabilité a été découverte au sein du navigateur Internet utilisé sur les smartphones BlackBerry [2]. L'exploitation de celle-ci permet à un attaquant de prendre le contrôle d'un smartphone reposant sur la version 6.0 du logiciel BlackBerry Device Software. La faille de sécurité serait liée à la gestion des styles CSS au sein de Webkit.

Une vulnérabilité a été découverte sur la machine virtuelle Java installée avec Novell Access Manager [3]. La faille de sécurité provient d'un problème de conversion entre deux types de données permettant à un attaquant de provoquer un déni de service.

- Correctifs :
De multiples vulnérabilités on été corrigées au sein de SAP Crytal Reports 2008 [4], SAP NetWeaver [5], SAP GUI [6], VMware vCenter [7], HP Client Automation Enterprise [8], IBM Lotus Quickr [9], Asterisk Open Source [10], Kerberos [11], RSA Access Manager Server [12], et enfin Flash Player sur Solaris [13].

- Exploits :
Une preuve de concept exploitant l'une des vulnérabilités affectant les versions inférieures à Java 6 Update 24 a été publiée [14]. Cette dernière, intégrée au sein du framework d'exploitation Metasploit pourrait donc prochainement être utilisée par des pirates afin de prendre le contrôle d'un système.

Un code d'exploitation permettant d'élever ses privilèges au sein du Runtime .Net sur un système Windows a été publié [19]. Celle-ci permet de modifier le fichier, et force le système à exécuter des commandes arbitraires. Un compte local est néanmoins nécessaire pour pouvoir exploiter cette vulnérabilité.

De nombreux autres exploits ont été publiés cette semaine. Ces codes d'exploitation ciblent des vulnérabilités de Foxit Reader [15], HP OpenView Performance Insight Server [16], Adobe ColdFusion [17], et enfin ActiveX RealPlayer [18].

-Actualité :
La nouvelle version de la célèbre tablette tactile d'Apple, sortie le 11 mars dernier, a tenu 3 jours après sa sortie avant d'être jailbreakée [20]. Le hacker Comex a réussi à contourner les diverses protections de la version 4.3 du système d'exploitation iOS. Il semblerait que la vulnérabilité exploitée soit située en espace utilisateur ("User Land").

- Cybercriminalité / Attaques :
Le botnet Rustock [21], responsable d'une importante quantité de spams, semblerait avoir arrêté son émission le 16 mars 2011 à 15h. Ce dernier représentait parfois à lui seul la moitié du spam enregistré par certains chercheurs.

Le célèbre fournisseur de solutions de sécurité, RSA [22], a récemment été victime d'une attaque particulièrement sophistiquée. D'après les premiers éléments découverts, des informations sensibles relatives système d'authentification forte RSA SecurID auraient ainsi été volées. Parmi les informations que les pirates auraient pu récupérés, figurent les graines utilisées par RSA SecurID pour la génération des 6 chiffres aléatoires par le token RSA, ou encore le code source de la solution RSA SecurID. Les attaquants pourraient prédire les chiffres générés par les tokens, réduisant ainsi le niveau de sécurité de l'authentification de l'entreprise victime, ou avoir toutes les cartes en main afin de trouver des vulnérabilités exploitables.

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0397
http://www.adobe.com/support/security/advisories/apsa11-01.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0402
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB26132

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0415
http://www.novell.com/support/viewContent.do?externalId=7008129

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0394
https://service.sap.com/sap/support/notes/1509610

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0395
http://dsecrg.com/pages/vul/show.php?id=309

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0393
https://service.sap.com/sap/support/notes/1511179

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0398
http://www.vmware.com/security/advisories/VMSA-2011-0005.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0399
https://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02750690

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0416
https://www-304.ibm.com/support/docview.wss?uid=swg27013341

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0409
http://downloads.asterisk.org/pub/security/AST-2011-003.html

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0403
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2011-003.txt

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0408
http://archives.neohapsis.com/archives/bugtraq/2011-03/att-0148/ESA-2011-009.txt

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0389
http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_adobe_flash2

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0406
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11982/entry/modules/exploits/windows/browser/java_codebase_trust.rb

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0390
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11952/entry/modules/exploits/windows/fileformat/foxit_reader_filewrite.rb

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0404
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11969/entry/modules/exploits/windows/http/hp_openview_insight_backdoor.rb

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0405
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11974/entry/modules/exploits/windows/http/coldfusion_traversal.rb

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0419
https://www.metasploit.com/redmine/projects/framework/repository/revisions/12009/entry/modules/exploits/windows/browser/realplayer_cdda_uri.rb

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0391
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11904/entry/modules/post/windows/escalate/net_runtime_modify.rb

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0396
http://ipad-apple.fr/jailbreak-ipad/jailbreak-ipad-2-cest-deja-fait/346

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0413
http://labs.m86security.com/2011/03/rustock-down/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0417
http://www.rsa.com/node.aspx?id=3872

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[CERT-XMCO] [AVIS EXPERT] Avis d'expert : semaine du 7 au 13 mars

Thu, 14 Mar 2011 15:21:46 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation du correctif MS11-015 [1] qui corrige deux failles de sécurité au sein du framework Windows Media. L'ouverture d'un fichier spécialement conçu permettrait de prendre le contrôle d'un système à distance.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une faille de sécurité a été découverte au sein d'Internet Explorer [2]. Son exploitation permettait de tromper un utilisateur en menant une attaque de "spoofing" afin de manipuler l'adresse de la page visitée.

- Correctifs :
Microsoft a publié trois correctifs dans le cadre de son "Patch Tuesday" [3] du mois de mars. Ceux-ci sont relatifs au framework Windows Media (MS11-015) [1], à Groove (MS11-016) [4], ainsi qu'au Client Bureau à distance (MS11-017) [5]. L'exploitation des 4 quatre failles de sécurité permettrait de prendre le contrôle d'un système à distance via l'ouverture d'un fichier spécialement conçu. Le CERT-XMCO recommande l'installation du correctif MS11-015.

De nombreux autres correctifs ont été publiés cette semaine pour VMware ESX(i) [6], Postfix [7], Tomcat [8], Safari [9], Java pour Mac OS X [10], l'iOS d'Apple [11], et enfin Joomla! [12].

Google Chrome [13] a aussi été mis à jour. La version 10.0.648.127 corrige de nombreuses failles. Celle-ci apporte une nouvelle fonction de sécurité : la mise en place du bac à sable du lecteur Flash intégré au logiciel qui devrait complexifier l'exploitation de vulnérabilités.

- Exploits :
Un code d'exploitation permettant d'élever ses privilèges sur un système Windows a été publié [14]. La définition de droits d'accès trop peu restrictifs à l'exécutable correspondant au service ".Net Runtime Optimization Service" permettait de modifier le fichier, et ainsi qu'à forcer le système à exécuter des commandes arbitraires. Un compte local est, néanmoins, nécessaire pour pouvoir exploiter cette vulnérabilité.

Un second exploit a été publié. Celui-ci cible le contrôle ActiveX utilisé au sein de la solution Novell iPrint Client [15]. L'exploitation de cette faille permet à un pirate de prendre le contrôle d'un système à distance en incitant simplement un internaute à visiter un site spécialement conçu.

- Cybercriminalité / Attaques :
L'ANSSI a révélé cette semaine que le système d'information de Bercy, le ministère de l'Économie et des Finances, a été attaqué [16]. Les pirates auraient réussi à prendre le contrôle de 150 systèmes en envoyant des courriels piégés à l'aide de Chevaux de Troie. L'attaque durait depuis le mois de décembre. L'ANSSI était à pied d'oeuvre depuis janvier pour colmater les brèches et identifier les commanditaires de ce piratage.
En fin de semaine, des documents comportant de nombreuses informations sensibles sur le SI du Ministère des Affaires Étrangères et Européennes a été publié par le Ministère en question. Les documents publiés décrivent en détail le Système d'Informations du Ministère. Ceux-ci ont été publiés dans le cadre d'une consultation publique relative à la définition, au pilotage et au renforcement de la sécurité des SI du Ministère.

Un développeur a publié "K0de Sploit Pack" [17], un pack d'exploitation dérivé du célèbre Eleonore en "Open Source". Celui-ci proposerait des améliorations lui permettant d'être plus efficace dans la compromission des systèmes d'exploitation au travers d'un navigateur vulnérable. Le pirate aurait demandé l'aide des internautes afin de poursuivre les améliorations apportées à K0de Sploit Pack.

Un nouveau Banker vient de faire son apparition. Tatanga [18] possède plusieurs fonctionnalités évoluées qui feront peut-être de lui un concurrent aux célèbres Zeus et SpyEye.

Par ailleurs, Zeus [19] continue d'évoluer alors que l'arrêt du développement avait été annoncé récemment. Après avoir été adapté pour Symbian et Windows Mobile, le malware fait désormais son apparition sur BlackBerry.

- Conférence / Recherche :
Le fameux chercheur Jon Oberheide a publié les résultats d'une étude sur une faille de type "Cross-Site Scripting" (XSS) au sein de l'Androïd Market [20]. Si celui-ci n'avait pas informé Google de son existence, le chercheur aurait été capable de prendre le contrôle d'un smartphone à distance en incitant simplement un internaute à cliquer sur un lien le dirigeant vers le site en question.

Par ailleurs, le concours en question se déroulait en fin de semaine. Pwn2Own [21] aura vu Internet Explorer 8 sur Windows 7 tombé dès le premier jour. Le vainqueur a exploité pour cela, pas moins de 3 failles de sécurité différentes ! Safari sur Mac OS n'aura pas résisté plus longtemps, contrairement à Firefox et Google Chrome.

- Entreprises :
Après l'épisode "DroidDream" de la semaine précédente au cours duquel Google avait dû supprimer un grand nombre d'applications malveillantes de son Androïd Market, le géant de la recherche a souhaité prendre d'autres mesures réparatrices. Google [22] a ainsi utilisé son "kill switch" pour supprimer à distance et sans confirmation les applications malveillantes des smartphones de ses clients. L'éditeur a, ensuite, poussé vers les appareils concernés une mise à jour permettant de les débarrasser du malware résiduel. Kaspersky [23] a réagi en dénonçant les techniques utilisées par Google pour réaliser cela : en effet, la mise à jour se comporte de la même façon qu'un malware. Une faille de sécurité est exploitée afin d'obtenir les privilèges SYSTEM, permettant de supprimer le malware, puis de s'auto-supprimer. Au final, le mal est partiellement réparé puisque la faille est toujours exploitable. Un autre malware [24] a d'ailleurs fait son apparition en fin de semaine. Celui-ci se faisait passer pour la mise à jour de Google, et était présent sur des sites alternatifs à l'Androïd Market officiel.

Enfin, XMCO a récemment publié le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, etc.
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0364
http://www.microsoft.com/technet/security/bulletin/ms11-015.mspx

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0354
http://archives.neohapsis.com/archives/fulldisclosure/2011-03/0072.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0344
https://www.microsoft.com/technet/security/bulletin/ms11-mar.mspx

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0365
http://www.microsoft.com/technet/security/bulletin/ms11-016.mspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0366
http://www.microsoft.com/technet/security/bulletin/ms11-017.mspx

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0355
http://www.vmware.com/security/advisories/VMSA-2011-0004.html

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0359
http://www.postfix.org/CVE-2011-0411.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0371
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.10_%28released_8_Mar_2011%29

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0372
http://support.apple.com/kb/HT4566

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0374
http://support.apple.com/kb/HT4562

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0377
http://support.apple.com/kb/HT4564

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0378
http://www.joomla.org/announcements/release-news/5350-joomla-161-released.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0369
http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0361
http://www.exploit-db.com/exploits/16940/

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0348
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11886/entry/modules/exploits/windows/browser/novelliprint_getdriversettings_2.rb

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0350
http://www.parismatch.com/Actu-Match/Societe/Actu/Affaire-d-espionnage-a-Bercy-par-des-hackers-et-des-sites-chinois-258213/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0381
http://labs.m86security.com/tag/k0de/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0360
http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0363
https://threatpost.com/en_us/blogs/zeus-malware-not-dead-yet-new-features-being-added-030411

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0362
http://jon.oberheide.org/blog/2011/03/07/how-i-almost-won-pwn2own-via-xss/

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0373
http://www.zdnet.com/blog/security/pwn2own-2011-ie8-on-windows-7-hijacked-with-3-vulnerabilities/8367

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0349
http://googlemobile.blogspot.com/2011/03/update-on-android-market-security.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0375
http://www.h-online.com/open/news/item/Kaspersky-Google-s-handling-of-Android-malware-is-debatable-1204523.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0384
http://www.theregister.co.uk/2011/03/10/trojan_mimics_android_clean_up_tool/

[VEILLE] [SECURITE] Avis d'expert : semaine du 28 f�vrier au 6 mars

Mon, 07 Mar 2011 16:07:31 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Une vulnérabilité a été découverte au sein de l'utilitaire "crontab" sur FreeBSD [1]. L'exploitation de cette faille de sécurité permet d'obtenir des informations potentiellement sensibles.

- Correctifs :
Plusieurs failles de sécurité ont été corrigées cette semaine au sein des logiciels suivants : Citrix Secure gateway [2], Samba [3], Google Chrome [4], Firefox [5] et Thunderbird [6], VSFTPD [7] et iTunes [8].

- Exploits :
Un code d'exploitation ciblant la faille corrigée au sein de Windows par le correctif MS11-011 a été publié cette semaine. Celui-ci permet d'élever localement ses privilèges [9].

Un autre code d'exploitation ciblant le serveur FTP VSFTPD [10] permet de provoquer un déni de service à distance.

Enfin, un dernier code d'exploitation a été publié au sein du framework d'exploitation Metasploit cible la solution Citrix Access Gateway [11] et permet de prendre le contrôle d'un système distant.

- Cybercriminalité / Attaques :
Le site institutionnel de la bourse de Londres a été utilisé pour propager des malwares [12]. Plus précisément, des bannières publicitaires malveillantes étaient servies par un publicitaire peu scrupuleux en charge de monétiser les visites effectuées sur le site en question...

L'unité "Dedicated Cheque and Plastic Crime Unit", composée d'agents de la Metropolitan Police, de la City of London Police ainsi que d'experts en cartes à puce, a constaté une augmentation du phénomène de "skimming" sur les automates de vente de tickets dans les stations de trains de Londres [13]. Les usagers du métro et du train de Londres sont donc poussés à être très vigilants lors des achats de titres de transport...

21 applications ont été supprimées de l'Androïd Market après qu'un malware surnommé "DroidDream" ait été découvert dans les paquets [14]. Le cheval de Troie était relativement abouti et permettait aussi bien de dérober des informations personnelles que d'installer d'autres malwares.

- Conférence / Recherche :
ThunderBolt [15], une nouvelle technologie qui vient de faire son apparition sur les derniers Mac montre bien l'absence d'intérêt des constructeurs pour la sécurité... En effet, bien que tout récent, ce protocole repose sur d'anciennes fondations techniques (comme la DMA) qui sont reconnues depuis longtemps comme dangereuses.

Plan B [16], une nouvelle application, est disponible pour Androïd. Celle-ci est installable à distance et permet, après une perte ou un vol, de verrouiller un smartphone à distance, voire de le retrouver.

- Entreprises :
Tout comme de nombreuses autres sociétés internationales, la banque d'investissement Morgan Stanley [17] aurait été victime de l'opération Aurora au début de l'année 2010. Cette information a été découverte dans les données dérobées à la société HBGarry.

Microsoft a annoncé la date de son prochain "Patch Tuesday" [18]. Mardi 8 mars seront publiés 3 bulletins : un des bulletins relatif à une vulnérabilité présente au sein de Windows est jugé "critique" par l'éditeur. Les deux autres sont liés à Windows ainsi qu'à Office et sont jugés "important".

Enfin, XMCO a publié le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Nous vous rappelons aussi que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0315
http://seclists.org/fulldisclosure/2011/Feb/660

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0311
http://support.citrix.com/article/CTX128168

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0314
http://samba.org/samba/security/CVE-2011-0719.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0320
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_28.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0323
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.14

[6]
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.8

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0327
http://securityreason.com/achievement_securityalert/95

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0335
http://support.apple.com/kb/HT4554

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0318
http://www.exploit-db.com/exploits/16262/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0328
http://securityreason.com/achievement_securityalert/95

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0341
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11873/entry/modules/exploits/unix/webapp/citrix_access_gateway_exec.rb

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0313
http://www.securityweek.com/london-stock-exchange-web-site-serving-malware

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0321
http://www.theregister.co.uk/2011/03/01/card_skim_grows/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0334
http://blog.mylookout.com/2011/03/security-alert-malware-found-in-official-android-market-droiddream/

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0312
http://isc.sans.edu/diary.html?storyid=10456

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0336
http://www.h-online.com/security/news/item/Android-in-emergencies-refer-to-Plan-B-1201478.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0316
http://www.theregister.co.uk/2011/03/01/morgan_stanley_aurora_attacks/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0344
https://www.microsoft.com/technet/security/bulletin/ms11-mar.mspx

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 21 au 27 f�vrier

Wed, 02 Mar 2011 14:22:24 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs Cisco ASA [1] et FWSM [2] publiés cette semaine.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une vulnérabilité au sein de la fonction "grapheme_extract()" du moteur PHP a été découverte [3]. Son exploitation permettrait de provoquer un déni de service.
Une autre faille de sécurité a été découverte au sein de la solution Citrix Licensing [4]. Celle-ci permettrait aussi de provoquer un déni de service, voire de contourner certaines restrictions de sécurité.

- Correctifs :
De nombreux correctifs ont été publiés cette semaine. Parmi les logiciels vulnérables mis à jour : l'antivirus ClamAV [5], Asterisk [6], le serveur DNS Bind [7], Cisco ASA [1], FWSM [2] et Telepresence [8], le composant Microsoft Malware Protection Engine [9] utilisé par les différentes solutions antivirales de l'éditeur, le lecteur de fichier PDF Foxit Reader [10], Novell Netware [11] et enfin le contrôle ActiveX fourni avec CA Internet Security Suite [12].

- Exploits :
Un exploit ciblant le célèbre navigateur Internet Firefox [13] de la Fondation Mozilla a été publié au sein du framework d'exploitation Metasploit. La faille utilisée a été corrigée au mois d'octobre 2010 lors de la publication du bulletin MFSA2010-73 et de la version 3.6.12 du logiciel. Son exploitation permettait à un pirate de prendre le contrôle d'un système vulnérable en incitant simplement un internaute à visiter une page spécialement conçue.

De nombreux autres codes d'exploitation ont été publiés cette semaine pour Lotus Domino [14], pour Novell ZENworks [15], iPrint Server [16] et Netware [17]. Ceux-ci permettent de provoquer des dénis de service à distance, mais pourraient être modifiés pour prendre le contrôle d'un système vulnérable.

- Cybercriminalité / Attaques :
La dernière variante du malware "Spy.Felxispy" aurait infecté plus de 150 000 smartphones en Chine, tous reposants sur le système d'exploitation Symbian [18]. Ce malware aurait la capacité d'écouter les conversations d'un utilisateur en activant discrètement la fonction de "Conference Call" lorsqu'un appel serait intercepté. Le malware serait aussi en mesure d'activer le micro à distance, et de voler les messages reçus et émis depuis le téléphone infecté afin d'espionner une victime.

Un autre virus a été découvert cette semaine. Comme de nombreux autres malwares, "OddJob" est destiné à détourner la session d'un utilisateur visitant son compte bancaire en ligne [19]. Sa particularité est qu'il intercepterait les requêtes de déconnexion d'un utilisateur, afin de maintenir ainsi la session active, autorisant ainsi les cybercriminels à vider le compte bancaire de la victime alors que celle-ci pense être déconnectée.

- Conférence / Recherche :
Selon une étude intitulée "The Cost of Cyber Crime" publiée conjointement par le gouvernement britannique et l'industrie, le cybercrime coûterait chaque année 27 milliards de livres au Royaume-Uni (2 % du PIB !) [20]. Selon certains chercheurs, les chiffres avancés ne refléteraient pas la réalité. Néanmoins, l'effort fait pour mesurer les coûts du cybercrime et l'encouragement fait aux victimes à rapporter le préjudice subit sont des points très positifs à ne pas négliger.

- Entreprises :
Microsoft a publié la version finale du Service Pack 1 des systèmes d'exploitation Windows 7 et Windows Server 2008 R2 [21]. L'installation de ce SP apporterait des correctifs pour plus de 780 bogues ainsi que plusieurs améliorations de sécurité. Plusieurs versions sont disponibles en fonction du moyen d'installation et du type de plateforme matérielle utilisée.

- Internationnal :
Après la France, c'est au tour des Pays-Bas de publier sa stratégie en matière de cybersécurité [22]. Tout comme dans le cas français, la cybersécurité est présentée comme un enjeu majeur pour l'avenir de la société et pour le développement économique du pays. L'objectif recherché par le NCSC (National Cyber Security Centre) et par le CERT national Govcert.nl est la création de forts liens de coopération entre les différents acteurs composant le paysage de la société néerlandaise jouant un rôle dans le domaine de la sécurité.

L'Asie, sous la responsabilité de l'APCERT (Asia Pacific Computer Emergency Response Team), vient de réaliser un test grandeur nature de sa capacité à répondre à une cyber-attaque massive ciblant, entre autres, ses systèmes critiques [23]. Comme pour les États-Unis avec la simulation CyberStorm 3, puis l'Europe avec CYBER EUROPE 2010, l'objectif était de tester les liens de communication existants entre les 20 équipes réparties dans les 15 pays participants, ainsi que les procédures de réaction mises en place.

L'affaire Wikileaks [24] continue de suivre son cours. Vendredi, la justice anglaise a autorisé l'extradition de Julian Assange vers la Suède où il serait appelé à comparaître dans un procès pour des viols que le prévenu réfute. Assange dispose désormais d'une semaine pour faire appel de cette décision, ce que ses avocats prévoient faire. Le fondateur de Wikileaks pourrait risquer une nouvelle extradition vers les États-Unis où il risquerait la prison à vie, voire la peine de mort.

Enfin, XMCO a publié cette semaine le numéro 27 de l'ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, ...
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0285
http://www.cisco.com/warp/public/707/cisco-sa-20110223-asa.shtml

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0288
http://www.cisco.com/warp/public/707/cisco-sa-20110223-fwsm.shtml

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0279
http://securityreason.com/securityalert/8087

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0286
http://support.citrix.com/article/CTX128167

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0274
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2486

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0275
http://downloads.asterisk.org/pub/security/AST-2011-002.html

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0277
https://www.isc.org/software/bind/advisories/cve-2011-0414

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0294
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-cts.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-ctsman.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-ctms.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20110223-telepresence-ctrs.shtml

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0290
http://www.microsoft.com/technet/security/advisory/2491888.mspx

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0306
http://secunia.com/secunia_research/2011-14/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0291
http://download.novell.com/Download?buildid=1z3z-OsVCiE~

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0293
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={53A608DF-BFDB-4AB3-A98F-E4BB6BC7A2F4}

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0276
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11773/entry/modules/exploits/windows/browser/mozilla_interleaved_write.rb

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0267
http://www.securityfocus.com/bid/46231

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0268
http://packetstormsecurity.org/files/view/98587

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0269
http://www.exploit-db.com/exploits/16192/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0296
http://www.exploit-db.com/exploits/16234/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0284
http://www.net-security.org/malware_news.php?id=1640

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0289
http://www.scmagazineus.com/trojan-steals-session-ids-bypasses-logout-requests/article/196816/

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0270
http://www.h-online.com/security/news/item/Report-cybercrime-costs-UK-economy-Lb27-billion-per-year-1192970.html

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0281
http://nakedsecurity.sophos.com/2011/02/23/windows-7windows-2008-r2-service-pack-1-officially-launched/

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0282
http://www.govcert.nl/english/service-provision/knowledge-and-publications/factsheets/national-cyber-security-strategy-launched.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0280
http://www.apcert.org/documents/pdf/Drill2011_PressRelease.pdf

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0305
http://www.theregister.co.uk/2011/02/24/julian_assange_wikileaks_extradition_hearing/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[XMCO] [ACTUSECU] ACTUSECU #27 : Stuxnet : analyse, mythes et r�alit�s

Mon, 28 Feb 2011 12:34:43 GMT+1

Information	Valeur
Titre	ACTUSECU #27 : Stuxnet : analyse, mythes et réalités
Date	28 Fevrier 2011
Description	Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement à l'adresse suivante : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html Au sommaire du numéro 27 "Stuxnet : analyse, mythes et réalités" : - Stuxnet : dossier complet en deux parties sur LE malware de l'année 2010. - La vulnérabilité Keyboard Layout : analyse d'une des vulnérabilités d'élévation de privilèges utilisée par Stuxnet (MS10-073). - L'actualité du moment : Top 10 des techniques de hacking, 0day IE, GS Days, ProFTPD... - Les blogs, logiciels et extensions : IMA, VMware Compliance Checker, Twitter et le blog de m_101. Bonne lecture !!!
Id XMCO Partners	CXA-2011-0308
Lien extranet XMCO Partners	https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0308

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmco.fr - Jan/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 7 au 13 f�vrier

Tue, 15 Feb 2011 17:45:26 GMT+1

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 31 janvier au 6 f�vrier

Fri, 11 Feb 2011 14:15:13 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Microsoft [1] et Adobe [2] ont annoncé la parution le 8 février de plusieurs correctifs pour Windows, Internet Explorer, Office, IIS, Adobe Reader et enfin Acrobat.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une faille de sécurité a été découverte au sein de IIS 6 [3]. En créant un dossier portant l'extension ".ASP", et en y plaçant un fichier contenant du code ASP mais dont l'extension ne correspond pas à ce type de fichier (ie ".JPG", ".GIF", ...), un pirate peut compromettre un serveur en forçant le serveur à exécuter le code ASP contenu dans le fichier.

- Correctifs :
De multiples failles de sécurité ont été corrigées dans VLC [4], DB2 [5], Exim [6], Cisco WebEx [7] et Cisco Tandberg [8], PostgreSQL [9], Symantec IM Manager [10], et enfin Google Chrome [11].

- Exploits :
Deux codes d'exploitation ciblant VLC [12] et Tomcat [13] ont été publiés. Le premier permet d'exploiter la faille "MKV", récemment corrigée, afin de prendre le contrôle d'un système ; alors que le second permet de provoquer un déni de service d'un serveur Tomcat via l'envoi d'une requête spécialement conçue.

- Cybercriminalité / Attaques :
Un nouveau type de skimmer a été découvert dans la nature [14]. Pour s'adapter à la vigilance accrue des utilisateurs de carte bancaire lorsqu'ils s'approchent d'un automate, les pirates ont modifié leur façon de procéder. Au lieu de placer leurs outils directement sur les distributeurs automatiques de billets, les pirates piègent les lecteurs de carte bancaire présents à l'entrée des sas, et y placent une caméra derrière le DAB.

La bourse de Londres et un établissement américain homologue ont amorcé des enquêtes à la suite des attaques (peut-être terroriste) qui auraient conduit à la chute du cours des actions de plusieurs entreprises l'été dernier [15].

Un pirate anglais est actuellement jugé pour avoir dérobé 400 milliards de jetons (virtuels) de poker sur le site de jeux en ligne Zynga [16]. Selon l'éditeur, cela représenterait l'équivalent de 12 millions de dollars... En les revendant, dans leur totalité, au marché noir, le pirate n' aurait touché que 300 000 dollars...

Le botnet Waledac semble plus que jamais être de retour sur le devant de la scène pirate [17]. Des chercheurs ont découvert que le botnet utilisait une liste de 500 000 comptes email dérobés afin de contourner les protections reposant sur des listes noires d'adresses IP...

La société AV-Test a enregistré la semaine dernière le 50 millionième exemplaire de malware dans sa base de données [18]. Le chiffre annoncé par AV-Test peut être trompeur, car il correspond au nombre d'échantillons uniques. Ce chiffre impressionnant reflète, néanmoins, l'activité importante dans le domaine du développement de malwares.

Le code source d'une version bêta de l'antivirus Kaspersky Internet Security 8.0 a été divulgué [19]. L'auteur de la fuite, un ex-employé de l'éditeur, est actuellement en prison. La société était au courant de la distribution du code source sur les forums privés depuis le mois de novembre 2010.

- Conférence / Recherche :
Les règles de l'édition 2011 du concours Pwn2Own [20] ont été rendues publiques. Comme l'an passé, les navigateurs et les smartphones seront soumis aux attaques des chercheurs qui pourront gagner de nombreux prix, pour un montant total de plus de 120 000 dollars...

Dans le cadre de la dernière édition de la ShmooCon, un chercheur a présenté un nouveau concept de botnet contrôlé entièrement par SMS [21].

Des chercheurs ont découvert une faille de sécurité au sein du système de gestion de mot de passe d'Amazon [22]. Le site utilisait probablement la fonction "crypt()" puisqu'il souffrait des mêmes faiblesses. Les mots de passe de plus de 8 caractères étaient tronqués. De plus, le système était insensible à la casse...

- Entreprises :
Microsoft [1] a annoncé la date de son prochain "Patch Tuesday". Le 8 février prochain sont attendus 12 bulletins de sécurité corrigeant 22 vulnérabilités. Par ses 3 bulletins jugés "critique" et les 9 bulletins "important", Microsoft a, entre autres, prévu de corriger les dernières failles 0day (import de CSS et prévisualisation) ainsi que la faille touchant le serveur FTP de IIS.

Dans la foulée, Adobe [2] a emboité le pas de Microsoft et a annoncé la parution, le même jour, de son bulletin APSB11-03 qui proposait des mises à jour critiques pour Reader et Acrobat.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0159
http://blogs.technet.com/b/msrc/archive/2011/02/03/advance-notification-service-for-the-february-2011-security-bulletin-release.aspx

[2]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0161
http://blogs.adobe.com/psirt/2011/02/prenotification-quarterly-security-updates-for-adobe-reader-and-acrobat-2.html

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0137
http://securitylab.ir/blog/dl/Microsoft-IIS6-parsing-directory-Vulnerability.pdf

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0134
http://www.videolan.org/security/sa1102.html

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0139
http://www.ibm.com/support/docview.wss?uid=swg21426108

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0140
http://lists.exim.org/lurker/message/20110126.034702.4d69c278.en.html

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0143
http://www.coresecurity.com/content/webex-atp-and-wrf-overflow-vulnerabilities

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0155
http://www.cisco.com/warp/public/707/cisco-sa-20110202-tandberg.shtml

[9]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0144
http://www.postgresql.org/about/news.1289

[10]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0145
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110131_00

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0163
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update.html

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0147
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11692/entry/modules/exploits/windows/browser/vlc_webm.rb

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0148
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11634/entry/modules/auxiliary/dos/http/apache_tomcat_transfer_encoding.rb

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0153
http://krebsonsecurity.com/2011/01/atm-skimmers-that-never-touch-the-atm/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0142
http://www.theregister.co.uk/2011/01/31/london_stock_exchange_attack/

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0154
http://www.allfacebook.com/hacker-steals-12-million-in-zynga-poker-chips-2011-02

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0151
https://threatpost.com/en_us/blogs/research-reveals-huge-cache-ftp-email-credentials-stolen-waledac-020211

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0138
http://www.h-online.com/security/news/item/50-million-viruses-and-rising-1178664.html

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0133
http://news.softpedia.com/news/Former-Kaspersky-Employee-Responsible-for-Leaked-Source-Code-181367.shtml

[20]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0152
http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0141
http://www.zdnet.com/blog/security/researcher-demos-sms-based-smartphone-botnet/8031

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0135
http://www.wired.com/threatlevel/2011/01/amazon-password-problem/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmco.fr/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 24 au 30 janvier

Wed, 02 Feb 2011 11:45:50 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation de la dernière version d'Opéra (11.01) [1] à la suite de la correction d'une faille de sécurité critique qui pouvait être exploitée afin de prendre le contrôle d'un système distant.
Le CERT-XMCO recommande aussi la mise en place de la solution de contournement proposée par Microsoft relative à la gestion du protocole MHTML [2]. L'exploitation de cette faille de sécurité permet de mener une attaque similaire à une attaque de "Cross-Site Scripting" (XSS).

* Résumé des évènements majeurs :
- Vulnérabilités :
Microsoft a publié, à la fin de la semaine, son bulletin de sécurité KB2501696 [2]. Ce dernier concerne la gestion du protocole MHTML. L'exploitation de cette faille de sécurité permettrait à un pirate de dérober certaines données sensibles en incitant, simplement, un internaute à visiter un site spécialement conçu. D'après l'éditeur, des informations permettant l'exploitation de cette vulnérabilité ont déjà été publiées. Cependant, la faille ne serait pas encore exploitée.

- Correctifs :
Plusieurs logiciels Symantec [3], ainsi que SAP Cristal Reports [4], Cisco Content Services Gateway [5], Opéra [1], OpenOffice [6], RealPlayer [7] ou encore le serveur DHCP de l'ISC [8] ont été mis à jour cette semaine. Les failles de sécurité pouvaient être exploitées pour provoquer des dommages pouvant aller jusqu'à la compromission d'un système vulnérable.

- Exploits :
Plusieurs codes d'exploitation ont été publiés.
Un code ciblant SAP Crystal Report Server 2008 [9] permet d'accéder à certaines informations sensibles en menant une attaque de "Directory Traversal".
D'autres codes permettant d'exploiter des failles présentes dans Oracle [10] Document [11] Capture [12] ont été publiés. Afin d’utiliser cette vulnérabilité, un pirate doit inciter un internaute à visiter un site spécialement conçu.

- Cybercriminalité / Attaques :
Les serveurs hébergeant les différents sites et services de SourceForge [13] et de Fedora [14] ont été piratés cette semaine. Dans un cas comme dans l'autre, les personnes en charge de la gestion de ces incidents ont été très transparentes. Elles ont précisément décrit les actions réalisées, les risques existants et les informations en leur possession. A première vue, il semblerait que les pirates n'aient pas eu le temps d'accomplir de méfaits. Dans les deux cas, la surveillance d'indicateurs adaptés aurait permis de détecter rapidement l'attaque et de prendre ainsi les mesures nécessaires.

Un site "underground" de vente d'identifiants permettant d'accéder aux panels d'administration de sites gouvernementaux, militaires et de l'éducation a été découvert [15]. Le pirate proposerait, par exemple, l'accès total en tant qu'administrateur au site des forces armées d'Albanie pour 499 dollars.

Une ancienne version de Darkness [16] aurait été mise gratuitement à disposition sur Internet. Grâce à celle-ci, les pirates seraient capables de mettre sur pied de petits botnets très efficaces reposant simplement sur une trentaine de machines zombie. Récemment, Darkness était responsable de l'attaque de 1,5 site en moyenne par jour, et même jusqu'à 3 sites par jour lors du dernier trimestre de l'année 2010...

- Conférence / Recherche :
D'après TrendMicro, la fusion de Zeus et de SpyEye [17] serait en cours. La version 1.3.05 de SpyEye semble apporter bon nombre de nouvelles fonctionnalités empruntées à son ex-concurrent Zeus.

- Entreprises :
Le rachat de McAfee par Intel [18] pour un montant de 7,68 milliards de dollars a été validé (sous conditions) cette semaine par la Commission Européenne.

- International :
La récente explosion qui a frappé l'aéroport de Moscou aurait été déclenchée de façon involontaire par un opérateur de téléphonie mobile en envoyant d'un SMS de bonne année [19]. En effet, un téléphone portable était utilisé par le kamikaze en tant que détonateur. Celui-ci devait déclencher l'explosion de l'engin à la suite de la réception d'un SMS.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0115
http://www.opera.com/support/kb/view/982/
http://www.opera.com/support/kb/view/983/
http://www.opera.com/support/kb/view/984/
http://www.opera.com/support/kb/view/985/
http://www.opera.com/support/kb/view/986/

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0131
http://www.microsoft.com/technet/security/advisory/2501696.mspx
http://support.microsoft.com/kb/2501696

http://blogs.technet.com/b/srd/archive/2011/01/28/more-information-about-the-mhtml-script-injection-vulnerability.aspx
http://blogs.technet.com/b/msrc/archive/2011/01/28/microsoft-releases-security-advisory-2501696.aspx

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0018
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0096

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0112
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0145
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110126_00
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110126_01
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110131_00

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0099
https://service.sap.com/sap/support/notes/1458310
https://service.sap.com/sap/support/notes/1458309
https://service.sap.com/sap/support/notes/1476930

http://dsecrg.com/pages/vul/show.php?id=301
http://dsecrg.com/pages/vul/show.php?id=302
http://dsecrg.com/pages/vul/show.php?id=303

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0110
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6791d.shtml

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0121
http://packetstormsecurity.org/files/view/97907/VSR-2011-01-26.txt

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0128
http://service.real.com/realplayer/security/01272011_player/en/

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0111
http://www.isc.org/software/dhcp/advisories/cve-2011-0413

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0118
http://www.exploit-db.com/exploits/16054/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0119
http://www.exploit-db.com/exploits/16053/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0120
http://www.exploit-db.com/exploits/16056/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0122
http://www.exploit-db.com/exploits/16055/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0132
http://sourceforge.net/blog/sourceforge-attack-full-report/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0098
http://lists.fedoraproject.org/pipermail/announce/2011-January/002911.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0097
http://blog.imperva.com/2011/01/major-websites-govmiledu-are-hacked-and-up-for-sale.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0103
http://www.darkreading.com/insider-threat/167801100/security/attacks-breaches/229100144/active-darkness-ddos-botnet-s-tool-now-available-for-free.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0106
http://blog.trendmicro.com/spyeyezeus-toolkit-v1-3-05-beta/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0117
http://www.theregister.co.uk/2011/01/27/intel_takeover_approved/

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0114
http://www.leaderpost.com/news/Text+message+blows+suicide+bomber+accident/4172966/story.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 17 au 23 janvier

Wed, 26 Jan 2011 13:38:56 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Oracle a publié des mises à jour pour de nombreux logiciels vulnérables dans le cadre de son cycle de publication de correctif de sécurité [1]. Le CERT-XMCO recommande leur installation. Certaines failles permettent de prendre le contrôle d'un système à distance sans authentification préalable.

* Résumé des évènements majeurs :
- Correctifs :
Dans le cadre de son cycle de sécurité, Oracle a publié son bulletin "cpujan2011" [1] ainsi que les nombreux correctifs associés. Pas moins de 28 logiciels sont vulnérables. Le CERT-XMCO recommande l'installation des correctifs.

Une nouvelle faille de sécurité critique a été publiée au sein du CMS SPIP [2]. Il est conseillé d'installer la version mise à jour.

D'autres correctifs pour CISCO IOS [3], CISCO ASA [4] et Citrix Provisioning Service [5] ont aussi été publiés.

- Exploits :
Plusieurs exploits ont été publiés cette semaine.
Un exploit [6] permettant d'élever localement ses privilèges à partir de la faille de sécurité corrigée dans le bulletin MS10-073 [7] a été publié. Contrairement à la première preuve de concept [8] publiée la semaine dernière, ce code permet simplement d'obtenir les privilèges "SYSTEM" sur un système Windows.

Androïd [9] est également concerné par un exploit qui permet de dérober des fichiers arbitraires stockés sur un smartphone.

Enfin, le dernier code d'exploitation permet de prendre le contrôle d'un système Windows sur lequel est installé Novell iPrint [10]. En incitant un internaute à visiter une page spécialement conçue tirant parti d'une faille présente au sein du contrôle ActiveX, un attaquant est en mesure de compromettre la machine de sa victime.

- Cybercriminalité / Attaques :
Quelque temps après l'affaire Gawker, plus de 10 millions de mots de passe ont été volés au site web Trapster [11]. Des mesures auraient été prises afin de prévenir d'autres attaques.

Une faille de sécurité a été découverte au sein de Koobface [12], un malware multiplateforme. L'exploitation de cette vulnérabilité permettrait à des groupes rivaux de compromettre un système infecté par Koobface afin de prendre, à leur tour, le contrôle de la machine.

Un ver circulant sur le réseau social Twitter a été observé cette semaine [13]. Ce dernier était utilisé pour diriger les internautes vers un site malveillant afin de les forcer à télécharger puis à installer un faux antivirus.

- Conférence / Recherche :
Le top 10 des attaques web découvertes par les chercheurs a été publié [14]. Ce classement départage plus de 69 techniques initialement en lice pour ce top 10.

- Entreprises :
L'ENISA, le CSIRT européen a publié un guide intitulé "Security and Resilience in Governmental Clouds" [15] sur les différents avantages et inconvénients de l'utilisation du "Cloud" à destination des organismes publics. Une autre étude intitulée "Data Breach Notifications in Europe" [16] examine la manière dont les opérateurs de télécommunication gèrent actuellement les fuites de données.

- International :
Stuxnet [17] a continué à faire parler de lui cette semaine. Un article publié par le New York Times a présenté de façon officielle une théorie relative aux origines du malware. D'après les journalistes, les États Unis, aidés par Israël, auraient développé le malware. Ils l'auraient ensuite testé au sein du centre de recherche israélien Dimona. L'article retrace l'origine de ce programme au dernier mois de la présidence de Bush, mais ne se base sur aucun fait nouveau. Des journalistes concurrents du Forbes ont publié deux jours après un article [18] qui se moquait du travail accompli, et qui mettait en avant une autre théorie [19] déjà proposée au mois de décembre selon laquelle la Finlande et la Chine seraient derrière Stuxnet. Dans les faits, rien n'accuse officiellement qui que ce soit, mais la chronologie présentée par les journalistes du NY Times reste pour le moins étonnante. De plus, les journalistes ont le mérite d'avancer des noms sur les acteurs de cette histoire.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0073
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0067
http://www.spip-contrib.net/SPIP-2-1-8-corrige-une-importante-faille-de-securite

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0065
http://www.cisco.com/en/US/docs/ios/15_0/15_0x/15_01_XA/rn800xa.pdf

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0063
http://www.cisco.com/en/US/docs/security/asa/asa82/release/notes/asarn82.html
http://www.cisco.com/en/US/docs/security/asa/asa83/release/notes/asarn83.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0075
http://support.citrix.com/article/CTX127149

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0069
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11597

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1367
http://www.microsoft.com/technet/security/bulletin/MS10-073.mspx

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0048
http://reversemode.com/index.php?option=com_content&task=view&id=71&Itemid=1

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0081
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11601/entry/modules/auxiliary/gather/android_htmlfileprovider.rb

[10]
http://www.exploit-db.com/exploits/16014/
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0082

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0091
http://www.theregister.co.uk/2011/01/21/trapster_website_hack/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0085
http://www.theregister.co.uk/2011/01/19/mac_linux_bot_vulnerabilities/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0087
http://isc.sans.edu/diary.html?storyid=10297

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0068
http://jeremiahgrossman.blogspot.com/2011/01/top-ten-web-hacking-techniques-of-2010.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0072
http://www.enisa.europa.eu/media/press-releases/governmental-cloud-in-the-eu-new-agency-report

[16]
http://www.enisa.europa.eu/media/press-releases/new-report-data-breach-notifications-in-europe

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0062
http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?pagewanted=all

[18]
http://blogs.forbes.com/jeffreycarr/2011/01/17/the-new-york-times-fails-to-deliver-stuxnets-creators/?boxes=Homepagechannels

[19]
http://blogs.forbes.com/firewall/2010/12/14/stuxnets-finnish-chinese-connection/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 3 au 9 janvier

Wed, 12 Jan 2011 15:49:24 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande de ne pas utiliser le mode d'affichage "miniature" de l'explorateur Windows. Un code d'exploitation a été publié cette semaine pour Windows 2000 et XP [1]. Celui-ci permet de prendre le contrôle d'un système distant en incitant un utilisateur à ouvrir un dossier et à sélectionner ce mode d'affichage. La faille est liée à l'affichage de la miniature correspondant à un document. Aucun correctif n'est actuellement disponible.

* Résumé des évènements majeurs :
- Vulnérabilités :
Microsoft a demandé au chercheur Michal Zalewski de ne pas publier son outil baptisé "cross_fuzz" [2]. Ce fuzzer, développé par l'employé de Google sur son temps libre au cours des deux dernières années, permet de découvrir de nombreuses failles de sécurité au sein des navigateurs web. Il semblerait que Microsoft, qui possédait le code de l’outil en question, n'ait pas pris le temps de le tester. Après deux ans d'échanges, lorsque le chercheur a prévenu en décembre l'éditeur qu'il souhaitait le rendre public au début de l'année 2011, Microsoft s'est soudainement rendu compte de la criticité de certaines failles. Zalewski a, entre temps, obtenu la certitude que des pirates connaissaient l'existence d'une faille particulièrement critique découverte à l'aide de son outil. Comme le chercheur pense que les cybercriminels possèdent un code d'exploitation, il a préféré rendre son outil public afin de forcer Microsoft à réagir rapidement sans attendre deux années supplémentaires...

— Correctifs :
Une mise à jour du lecteur de fichiers multimédia VLC a été publiée cette semaine [3]. La faille de sécurité corrigée était liée au traitement des fichiers Real Media.
VMware a publié, de son côté, un correctif pour son serveur ESX [4]. Plusieurs failles de sécurité impactant le système (Glibc, Sudo, et openLDAP) ont été corrigées.
Deux vulnérabilités au sein de la console d'administration de SAP [5] ont été corrigées.
Apple a mis à jour son système d'exploitation Mac OS X [6] afin de corriger une faille présente au sein du composant PackageKit.
Enfin, plusieurs failles de type "XSS" ont été corrigées au sein de Novell Identity Manager [7].
Le CERT-XMCO recommande l'installation de l'ensemble de ces mises à jour.

- Exploits :
Un code d'exploitation ciblant le système d'exploitation Windows de Microsoft a été publié [1]. Il permet de compromettre un système via l'affichage des vignettes de prévisualisation correspondant aux fichiers contenus dans les dossiers. L'exploitation de cette faille de sécurité requiert qu'un utilisateur ait sélectionné le mode d'affichage "prévisualisation".

— Cybercriminalité / Attaques :
Le botnet Zeus [8] fait de nouveau parler de lui. Une campagne d'envoi massif de pourriels prenant la forme de carte de voeux aurait été utilisée afin de compromettre le système des employés d'agences gouvernementales américaines. Des documents à usage interne auraient ainsi été exfiltrés par des pirates et seraient accessibles à tous sur un serveur tiers.

— Conférence / Recherche :
Le spécialiste Billy Rios a publié des détails sur une solution permettant à un pirate de s'échapper du bac à sable (sandbox) utilisé par Flash Player [9]. Cette solution permettrait à un pirate de récupérer des informations personnelles stockées sur le système d'une victime et de les transmettre à un serveur distant en abusant le système de gestion des URLs.

Dans le cadre de la récente conférence du Chaos Communication Congress (27C3), un chercheur a présenté une utilisation abusive du protocole DHT utilisé par Bittorrent pour se passer de "tracker" [10]. Il serait ainsi possible de forcer des internautes à réaliser une attaque de DDoS sur une cible choisie par un pirate.

— Entreprises :
Microsoft a annoncé la date de son prochain "Patch Tuesday" [11]. Le 11 janvier prochain, l'éditeur publiera deux bulletins corrigeant 3 vulnérabilités. Le premier affecte seulement Windows Vista et est considéré comme "Important". Le second affecte l'ensemble des versions de Windows et est jugé "critique". Les vulnérabilités récemment découvertes affectant Internet Explorer (import CSS), ainsi que le moteur de rendu des graphiques (prévisualisation d'images) ne seront pas corrigées ce mois-ci.

L'éditeur de solution de sécurité Sourcefire a annoncé le rachat d'Immunent [12], spécialiste de la sécurité dans le Cloud, pendant que Dell cherche à acquérir la société SecureWorks [13].

- International :
Les autorités américaines et allemandes ont réalisé des perquisitions chez plusieurs fournisseurs d'accès à Internet dans le but de remonter aux "hacktivists" ayant participé aux attaques de déni de service distribué (DDoS) contre des sites tels que Visa.com, Paypal.com ou encore Mastercard le mois dernier [14].

- XMCO :
L'ActuSécu est maintenant disponible en anglais !
http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0006
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb
http://www.microsoft.com/technet/security/advisory/2490606.mspx
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0007
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3970

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0003
http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day-in.html
http://lcamtuf.coredump.cx/cross_fuzz/fuzzer_timeline.txt
http://lcamtuf.coredump.cx/cross_fuzz/known_vuln.txt
http://lcamtuf.coredump.cx/cross_fuzz/msie_crash.txt

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0002
http://www.videolan.org/security/sa1007.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0010
http://seclists.org/fulldisclosure/2011/Jan/35

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0013
http://www.onapsis.com/resources/get.php?resid=adv_onapsis-2011-001
http://www.onapsis.com/resources/get.php?resid=adv_onapsis-2011-002
https://service.sap.com/sap/support/notes/1439348

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0023
http://support.apple.com/kb/HT4498

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0017
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5085293.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0012
http://krebsonsecurity.com/2011/01/white-house-ecard-dupes-dot-gov-geeks/

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0018
http://xs-sniper.com/blog/2011/01/04/bypassing-flash's-local-with-filesystem-sandbox/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0009
http://torrentfreak.com/bottorrent-using-bittorrent-as-a-ddos-tool-101229/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0021
http://www.microsoft.com/technet/security/bulletin/ms11-jan.mspx
http://blogs.technet.com/b/msrc/archive/2011/01/06/advance-notification-service-for-the-january-2011-security-bulletin-release.aspx

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0016
http://www.scmagazineus.com/sourcefire-picks-up-immunent-for-21-million/article/193759/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0008
http://www.h-online.com/security/news/item/Dell-to-acquire-SecureWorks-1163365.html

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0001
http://www.theregister.co.uk/2010/12/30/avenge_assange_server_raids/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[INFO] [SECURITE] Microsoft propose une solution temporaire ("fix it") pour la faille li�e � la pr�visualisation

Tue, 11 Jan 2011 13:49:51 GMT+1

Information	Valeur
Titre	Microsoft propose une solution temporaire ("fix it") pour la faille liée à la prévisualisation
Titre officiel	Une vulnérabilité du moteur de rendu des graphiques peut permettre l'exécution de code à distance.
Date	10 Janvier 2011
Plateforme	Windows
Programme	Microsoft Windows
Criticité	Elevée
Exploitation	Distante
Dommage	Accès au système
Description	Après avoir publié son bulletin KB2490606, Microsoft propose une solution temporaire qui permet de désactiver le mode "Prévisualisation" de son explorateur de fichier. Pour rappel, la faille de sécurité résulte d'un manque de validation des entrées au sein de la fonction "CreateSizedDIBSECTION()" définie dans la librairie partagée "shimgvw.dll". En spécifiant une valeur "biClrUsed " négative, un pirate est en mesure de provoquer un débordement de tampon sur la pile (voir CXA-2011-0007). La solution prend la forme d'un exécutable "fix it" disponible à l'adresse suivante : http://go.microsoft.com/?linkid=9757856 Un autre exécutable permet de désactiver cette solution de contournement temporaire. Celui-ci est disponible à l'adresse suivante : http://go.microsoft.com/?linkid=9757859 Étant donné la mise à disposition d'un code d'exploitation sur Internet (voir CXA-2011-0006), le CERT-XMCO recommande l'utilisation de cet outil afin de mettre en place de façon automatique la solution de contournement proposée par Microsoft dans son bulletin KB2490606. Il sera, néanmoins, recommandé d'installer le correctif définitif lorsque celui-ci sera rendu disponible. Note : après l'exécution de ce "fix it", les fichiers multimédias généralement traités par le moteur de rendu des graphiques ne seront pas affichés correctement.
Vulnérable	* Windows XP SP3 * Windows XP Professionnel SP2 (Edition 64 bits) * Windows Server 2003 SP2 (Editions 32 bits, 64 bits et Itanium) * Windows Vista SP1 et SP2 (Editions 32 et 64 bits) * Windows Server 2008 et Windows Server 2008 SP2 (Editions 32 bits, 64 bits et Itanium)
Non vulnérable	* Windows 7 (Editions 32 et 64 bits) * Windows Server 2008 R2 (Editions 64 bits et Itanium)
Référence	http://support.microsoft.com/kb/2490606 http://www.microsoft.com/france/technet/security/advisory/2490606.mspx https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0006 https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2011-0007
Référence CVE	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3970
Correction	Aucun correctif n'est actuellement disponible. Microsoft propose deux outils pour activer et désactiver la solution de contournement proposée ci-dessous. Ceux-ci sont disponibles aux adresses suivantes : * Activation http://go.microsoft.com/?linkid=9757856 * Désactivation http://go.microsoft.com/?linkid=9757859 Pour rappel, la solution de contournement proposée par Microsoft consistait en l'exécution des commandes suivantes, qui empêcheront l'affichage des fichiers gérés par "Windows Graphics Rendering Engine" : * Windows XP et 2003 (32 bits) : Echo y\| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N * Windows XP et 2003 (64 bits) : Echo y\| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N Echo y\| cacls %WINDIR%\SYSWOW64\shimgvw.dll /E /P everyone:N * Windows Vista et Windows 2008 (32 bits) : takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL.TXT icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F) * Windows Vista et Windows 2008 (64 bits) : takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL takeown /f %WINDIR%\SYSWOW64\SHIMGVW.DLL icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL32.TXT icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL64.TXT icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F) icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /deny everyone:(F)
Id XMCO Partners	CXA-2011-0031
Lien extranet XMCO Partners	https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0031

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 27 d�cembre au 2 janvier

Tue, 04 Jan 2011 18:38:28 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation du correctif MS10-087 [1] lié à Microsoft Word. Un code d'exploitation [2] a été publié cette semaine. De plus, cette faille de sécurité est actuellement exploitée par des malwares [3].

* Résumé des évènements majeurs :
- Exploits :
Un code d'exploitation permettant de prendre le contrôle d'un système à l'ouverture d'un fichier RTF spécialement conçu avec Microsoft Word a été publié [2]. Le CERT-XMCO recommande à tous les internautes concernés l'installation du correctif MS10-087 [1] publié par Microsoft au mois d'octobre. Pour rappel, cette faille de sécurité est actuellement exploitée par les pirates [3].

- Cybercriminalité / Attaques :
Plusieurs sites liés à la sécurité ont été piratés [4]. Parmi les victimes exposées dans la seconde édition du webzine "Owned and Exposed" se trouvaient le site du projet Ettercap, d'Exploit-DB et de Backtrack, d'inj3ct0r, du forum underground Carders.cc et enfin Free-Hack.

Un nouveau cheval de Troie baptisé Geinimi [5] ciblant Androïd a été découvert sur des "markets" chinois alternatifs. Ce dernier serait le malware le plus évolué sur Android découvert à ce jour. Il est capable de récolter de nombreuses informations contenues dans le carnet d'adresses, mais aussi les coordonnées de l'appareil, ses numéros IMEI/IMSI, ainsi que la liste des applications installées. De plus, ce malware serait capable de recevoir des instructions de la part d'un serveur distant, et donc de constituer un véritable botnet. Le CERT-XMCO recommande donc à tous les utilisateurs d'Androïd d'être vigilants. En effet, chaque application indique clairement les ressources auxquelles elle sera amenée à accéder lors de son installation.

- Conférence / Recherche :
Un chercheur a publié les résultats d'une étude [6] des fonctions de sécurité associées aux cookies utilisées par les 1000 sites les plus visités actuellement. Très peu de ces sites utilisent les paramètres HttpOnly et Secure des cookies de session.

- Entreprises :
La fondation Mozilla [7] a prévenu les internautes de la découverte par un chercheur en sécurité de la présence d'un fichier de sauvegarde contenant une partie non négligeable d'une des bases de données associées au site Mozilla Addons. Cette découverte fait suite à l'extension du programme de récompense pour la découverte de failles de sécurité. La fondation a effacé les vieux condensats MD5 des mots de passe afin de désactiver les comptes, puis a averti les utilisateurs concernés afin qu'ils réinitialisent leur mot de passe. Mozilla avait procédé, il y a plus d'un an, à une évolution de sa politique de sécurité afin de ne plus utiliser cet algorithme de hachage faible. Les nouveaux utilisateurs ou ceux ayant récemment changé leur mot de passe ne sont donc pas concernés.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1564
http://www.microsoft.com/technet/security/bulletin/MS10-087.mspx

[2]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1848
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11450/entry/modules/exploits/windows/fileformat/ms10_087_rtf_pfragments_bof.rb

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1780
http://blog.trendmicro.com/malicious-rtf-files-exploit-microsoft-office-vulnerability

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1837
http://krebsonsecurity.com/2010/12/carders-cc-linux-exploit-org-and-exploit-db-org-hacked/
http://www.exploit-db.com/papers/15823/

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1852
http://www.net-security.org/malware_news.php?id=1577

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1847
http://michael-coates.blogspot.com/2010/12/study-of-httponly-and-secure-cookie.html

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1844
http://blog.mozilla.com/security/2010/12/27/addons-mozilla-org-disclosure/

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 20 au 26 d�cembre

Tue, 28 Dec 2010 14:58:42 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Quelques jours après la publication de plusieurs [1] codes [2] d'exploitation [3], Microsoft vient seulement de publier son bulletin KB2488013 [4] relatif à la faille de sécurité présente au sein d'Internet Explorer lié aux imports de style CSS (0-day) [5]. L'éditeur confirme la gravité de cette faille. De plus, un chercheur a publié un article [6] présentant comment exploiter la faille 0day au travers d'un navigateur alternatif. Lorsqu'Interne Explorer est défini comme navigateur par défaut, la simple ouverture d'un fichier PDF avec Adobe Reader depuis un autre navigateur permettait de forcer l'ouverture d'Internet Explorer et par conséquent d'exploiter la vulnérabilité.

- Correctifs :
Oracle a publié l'Update 23 de Java 1.6 [7]. Aucune faille de sécurité n'a néanmoins été corrigée dans cette nouvelle version de la JVM.

Adobe a publié son bulletin de sécurité référencé APSB10-30 [8] relatif à une vulnérabilité présente au sein de Photoshop CS5. Le CERT-XMCO recommande l'installation de ce correctif.

- Exploits :
Plusieurs exploits ciblant les produits Microsoft ont été publiés cette semaine.
Un code d'exploitation permettant de compromettre un système Windows [9] en incitant un utilisateur à visiter une page internet malveillante a été publié. La vulnérabilité provient de l'ActiveX "Microsoft WMI Object Viewer" qui peut être utilisé afin de corrompre la mémoire du système.
Une autre preuve de concept permettant de provoquer un déni de service sur un serveur IIS 7.5 [10] a été publiée. D'après Microsoft, cette faille n'impacte que le service FTP du serveur, qui n'est pas installé ni activé par défaut. La possibilité de prise de contrôle à distance n'a pas été démontrée pour le moment.

Un code d'exploitation permettant de prendre le contrôle d'un serveur ProFTPd [11] a été publié. Celui-ci exploite une faille de sécurité présente au sein du module SQL. La faille avait été présentée dans la dernière édition de Phrack.

- Entreprises :
Google [12] a introduit une nouvelle fonction de sécurité au sein de son moteur de recherche. Les sites détectés comme potentiellement malveillants ou compromis sont maintenant clairement indiqués comme tels.

Microsoft [13] a annoncé qu'il portera la fonction de sécurité "Office File Validation" introduite au sein d'Office 2010 vers les anciennes versions 2003 et 2007 de la suite. Cette fonction permet de valider la structure binaire des fichiers avant de les ouvrir afin de limiter le risque d'exploitation.

- International :
La saga Wikileaks continue. En début de semaine, Bank Of America [14] a annoncé suivre l'exemple de plusieurs autres sociétés américaines en bloquant les transferts d'argent à destination de Wikileaks. En fin de semaine, L'ONU [15] s'est efforcée de rappeler à ces nombreux états membres que l'accès aux informations détenues par les gouvernements, et autres autorités publiques faisait partie intégrante des droits de l'Homme...

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1736
http://seclists.org/fulldisclosure/2010/Dec/110

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1785
http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1808
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1828
http://www.microsoft.com/technet/security/advisory/2488013.mspx
http://blogs.technet.com/b/srd/archive/2010/12/22/new-internet-explorer-vulnerability-affecting-all-versions-of-ie.aspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1724
http://www.wooyun.org/bugs/wooyun-2010-0885

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1830
http://xs-sniper.com/blog/2010/12/22/expanding-the-attack-surface/

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1809
http://www.oracle.com/technetwork/java/javase/6u23releasenotes-191058.html
http://www.oracle.com/technetwork/java/javase/2col/6u23bugfixes-191074.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1807
http://www.adobe.com/support/security/bulletins/apsb10-30.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3127

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1824
http://www.wooyun.org/bugs/wooyun-2010-01006

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1826
http://www.exploit-db.com/exploits/15803/

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1812
http://www.phrack.org/issues.html?issue=67&id=7#article

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1810
http://www.h-online.com/security/news/item/Google-warns-users-of-hacked-web-sites-1156568.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1819
http://blogs.technet.com/b/msrc/archive/2010/12/14/benefits-of-office-2010-file-validation-being-made-available-for-office-2003-and-2007.aspx
http://blogs.technet.com/b/msrc/archive/2010/12/14/more-about-the-office-file-validation-backport-plan.aspx

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1805
http://www.networkworld.com/news/2010/121810-bank-of-america-cuts-services.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1833
http://www.cidh.oas.org/relatoria/showarticle.asp?artID=829&lID=1

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 13 au 19 d�cembre

Tue, 21 Dec 2010 14:24:11 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs publiés par Microsoft dans le cadre de son "Patch Tuesday" [1] du mois de décembre. Le CERT-XMCO préconise, tout particulièrement, l'installation des correctifs MS10-091 [2] (Exécution de code à distance via la gestion des polices de caractères OTF), MS10-090 [3] (Exécution de code à distance via Internet Explorer) et MS10-092 [4] (Élévation de privilèges au sein du planificateur de tâches). En effet, ces deux derniers bulletins corrigent des vulnérabilités exploitées sur internet et pour lesquelles des codes d'exploitation sont publiquement disponibles.

* Résumé des évènements majeurs :
- Correctifs :
Microsoft a publié 17 bulletins corrigeant 40 vulnérabilités dans le cadre de son "Patch Tuesday" [1] du mois de décembre.

- Exploits :
Un code d'exploitation tirant parti de la vulnérabilité 0day qui affecte Internet Explorer [5] a été publié. Cette vulnérabilité résulte d'une erreur au sein de la gestion des imports de styles CSS.

- Cybercriminalité / Attaques :
Trend Micro [6] vient d'identifier un virus qui exploite une vulnérabilité corrigée récemment par Microsoft dans son bulletin MS10-087 [7]. Un fichier RTF malveillant serait actuellement envoyé par courriel. Il tenterait d'exploiter un débordement de tas au sein de la suite Office. La vulnérabilité exploitée permettrait au pirate de prendre le contrôle d'un système vulnérable dès l'ouverture du fichier en question.

Après que sa clause de non-divulgation ait pris fin, Gregory Perry a décidé de rendre publique une information sensible [8]. D'après lui, une ou plusieurs portes dérobées auraient été introduites au sein de la pile IPSec du système d'exploitation OpenBSD. Cette rumeur a engendré de nombreuses réactions de la part des personnes mises en cause. Un audit du code serait en cours afin de détecter une potentielle porte dérobée. Il est très difficile de savoir ce qu'il en est actuellement, étant donné l'importance et la complexité du code en question et la sensibilité du sujet.

La base de données de plusieurs sites tels que Gawker.com, Gizmodo.com, ou encore LifeHacker.com appartenant à "Gawker Media" et contenant 1,3 million d'emails et de mots de passe, a été piratée. Un groupe de pirates appelé "Gnosis" [9] a revendiqué l'attaque. Celui-ci a diffusé publiquement ces informations.

Les plateformes de distribution de publicité [10] de Google (DoubleClick) et de Microsoft (rad.msn.com) auraient été utilisées pour distribuer des malwares sur d'autres sites, sous la forme de bannières publicitaires. Les cybercriminels seraient parvenus à tromper les responsables des plateformes de publicité en utilisant ADShufffle.com, un domaine qui ressemble fortement à ADShuffle.com, avec lequel travaillent régulièrement Google et Microsoft.

- Conférence / Recherche :
Le NIST [11] a récemment publié la liste des 5 algorithmes sélectionnés pour faire partie du tour final de sélection du prochain standard SHA-3. Parmi les 5 finalistes se trouvent trois propositions européennes : BLAKE [12] (suisse), Grøstl [13] (collaboration austro-danoise), et enfin Keccak [14] (belge). La seule proposition américaine est Skein [15]. Enfin, JH [16] arrive tout droit de Singapour. Reste encore de nombreuses heures de travail pour tous les chercheurs impliqués dans ce long processus de sélection, afin de découvrir le maximum de failles dans les propositions faites avant l'échéance du concours en mars 2012.

- Entreprises :
Après Google, c'est au tour de Mozilla [17] d'étendre son programme de récompense attribué aux chercheurs de failles de sécurité pour les autoriser à traquer les failles de sécurité qui se trouvent sur les différents sites de la fondation.

L'application iCERT-XMCO pour iPad est, maintenant, disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1723
http://www.microsoft.com/technet/security/bulletin/ms10-dec.mspx
http://blogs.technet.com/b/msrc/archive/2010/12/14/december-2010-security-bulletin-release.aspx
http://blogs.technet.com/b/srd/archive/2010/12/14/assessing-the-risk-of-the-december-security-updates.aspx

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1762
http://www.microsoft.com/technet/security/Bulletin/MS10-091.mspx

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1761
http://www.microsoft.com/technet/security/bulletin/MS10-090.mspx

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1757
http://www.microsoft.com/technet/security/bulletin/ms10-092.mspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1785
http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1780
http://blog.trendmicro.com/malicious-rtf-files-exploit-microsoft-office-vulnerability

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1564
http://www.microsoft.com/france/technet/security/bulletin/MS10-087.mspx

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1779
http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
http://marc.info/?l=openbsd-tech&m=129244045916861&w=2

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1777
http://sucuri.net/mirror/gawker-readme.txt

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1776
http://www.h-online.com/security/news/item/The-trick-with-the-f-Google-and-Microsoft-web-sites-distribute-malware-1152887.html

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1744
http://www.schneier.com/blog/archives/2010/12/nist_announces.html

[12]
http://131002.net/blake/

[13]
http://www.groestl.info/

[14]
http://keccak.noekeon.org/

[15]
http://www.skein-hash.info/

[16]
http://icsd.i2r.a-star.edu.sg/staff/hongjun/jh/

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1794
https://www.mozilla.org/security/bug-bounty-faq-webapp.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 6 au 12 d�cembre

Tue, 14 Dec 2010 16:30:48 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des dernières versions des logiciels VMware ESX Server [1], Firefox [2], Thunderbird [3], et Exim [4]. La vulnérabilité relative à Exim est actuellement exploitée [5] sur Internet.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une nouvelle vulnérabilité au sein d'Internet Explorer [6] 6, 7 et 8 a été découverte. Celle-ci est liée à la gestion des "import" en CSS et peut être utilisée afin de compromettre un système [7]. Cependant, seule une preuve de concept permettant de provoquer un déni de service est actuellement disponible [8].

- Correctifs :
Mozilla [9] et VMware [10] ont publié de nouvelles versions de leurs logiciels Firefox [2], Thunderbird [3] et VMware ESX Server [1].

- Exploits :
Un code d'exploitation ciblant une vulnérabilité du serveur mail Exim découverte il y a plus de 2 ans a été publié. La faille permet de compromettre un serveur en envoyant un mail spécialement conçu [5].

- Cybercriminalité / Attaques :
Le magazine Forbes a récemment découvert que certains sites internet espionnaient leurs visiteurs [11]. Plus précisément, environ 50 sites utiliseraient des scripts JavaScript afin de savoir si un internaute a déjà visité d'autres sites "concurrents".

Les forces de l'ordre russes ont arrêté quatre cybercriminels impliqués dans la compromission de l'ensemble des distributeurs automatiques de billets d'une petite ville de 200 000 habitants [12].

- Conférence / Recherche :
Un chercheur a annoncé avoir réussi à mettre en place l'ASLR au sein de l'iOS sur les iPhones "jailbreakés" [13]. De son côté, Apple ne souhaite toujours pas implémenter cette protection pour son OS mobile. (Mac OS "Leopard" et "Snow Leopard" n'intègrent que partiellement cette protection)

- Entreprises :
Microsoft [14] a annoncé la date de publication de son "Patch Tuesday" du mois de décembre. Le 14 décembre prochain, 17 bulletins corrigeront 40 vulnérabilités, parmi lesquelles la dernière faille 0day exploitée par Stuxnet (élévation de privilèges via le planificateur de tâche [15]), ainsi que celle présente au sein d'Internet Explorer (attribut "clip" [16]). Des codes d'exploitations sont disponibles sur Internet pour ces deux failles.

Microsoft [17] a annoncé l'arrivée d'une nouvelle fonctionnalité dédiée à la protection de la vie privée des utilisateurs au sein de la prochaine version d'Internet Explorer (9). "Tracking Protection" fonctionne sur le même principe que l'extension Ad-Bloc de Firefox. Il s'agit d'un mécanisme permettant de bloquer certains contenus à partir de liste noire disponible sur Internet.

Une société a étudié le fonctionnement du racourciseur d'URL proposé par McAfee [18]. D'après leurs expériences, McAfee proposerait un service qui vérifie uniquement si un site héberge des fichiers malveillants. Or, de plus en plus d'attaques concernent le vol d'informations personnelles (phishing) et ce type de vérification n'est pas effectuée alors que cela est déjà mis en place par certains sites comme Facebook...

- International :
Wikileaks a fait la une de nombreuses sources d'informations de cette semaine. Après avoir publié quelques-uns des 250 000 "câbles" diplomatiques obtenus, le site a subi de nombreuses attaques de déni de service [19]. Son fondateur, Julian Assange a été arrêté au Royaume-Uni dans le cadre d'une affaire de viol en Suède [20]. Il est actuellement incarcéré à Londres en attendant un jugement d'ici plusieurs semaines. Des "hacktivistes" s'en sont alors pris à différentes sociétés tels que PayPal [21], Mastercard [22], ou encore Visa pour avoir mis en place des mesures répressives sans attendre de jugement. Selon de nombreuses rumeurs, les États-Unis seraient responsables de toutes ces péripéties et chercheraient à faire extrader Assange vers les USA pour pouvoir l'y juger. La France, ainsi que bon nombre d'états occidentaux ont voulu faire pression pour museler le site. De nombreux internautes ont réagi en fournissant des redirections DNS vers les adresses IP des serveurs, ainsi qu'en mettant en place des miroirs de Wikileaks. D'un autre côté, plusieurs voix se sont élevées contre Wikileaks. Parmi celles-ci, plusieurs proches d'Assange accusent Wikileaks de chercher à tirer des profits de ces révélations [23]. Un jeune néerlandais a enfin été arrêté pour avoir participé aux attaques de déni de service contre plusieurs sociétés [24]. Le site serait depuis hébergé en Russie par un hébergeur "bulletproof" capable de résister à des attaques informatiques, voire juridiques.

La NASA a révélé que 10 ordinateurs utilisés dans le cadre de son programme spatial ont été vendus au public [25]. Les disques durs n'ont pas été formatés alors même qu'ils contenaient des informations sensibles.

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

L'application iCERT-XMCO pour iPad est, maintenant, disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1704
http://seclists.org/fulldisclosure/2010/Dec/74

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1729
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.13

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1729
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.7

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1734
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1739
http://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/unix/smtp/exim4_string_format.rb?rev=11299
http://seclists.org/fulldisclosure/2010/Dec/222

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1724
http://seclists.org/fulldisclosure/2010/Dec/110

[7]
http://www.vupen.com/english/advisories/2010/3156

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1736
http://www.wooyun.org/bugs/wooyun-2010-0885

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1729

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1704

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1710
http://blogs.forbes.com/kashmirhill/2010/11/30/history-sniffing-how-youporn-checks-what-other-porn-sites-youve-visited-and-ad-networks-test-the-quality-of-their-data/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1700
http://www.net-security.org/malware_news.php?id=1555

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1711
http://www.theregister.co.uk/2010/12/07/enhanced_iphone_security/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1723
http://www.microsoft.com/technet/security/bulletin/ms10-dec.mspx
http://blogs.technet.com/b/msrc/archive/2010/12/09/december-2010-advance-notification-service-is-released.aspx

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1619
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11079/entry/scripts/meterpreter/schelevator.rb
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3888

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1550
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1526
http://www.microsoft.com/technet/security/advisory/2458511.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1713
http://blogs.msdn.com/b/ie/archive/2010/12/07/ie9-and-privacy-introducing-tracking-protection-v8.aspx

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1703
http://labs.m86security.com/2010/12/mcafee-secure-short-url-service-or-is-it/

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1651
http://hackingexpose.blogspot.com/2010/11/wikileaks-suffers-ddos-attack.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1709
http://www.guardian.co.uk/media/2010/dec/06/wikileaks-julian-assange-police

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1701
http://www.zdnetasia.com/paypal-suffers-dos-for-spurning-wikileaks-62204977.htm

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1716
http://www.networkworld.com/news/2010/120810-mastercard-website-partially-frozen-by.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1727
http://www.theregister.co.uk/2010/12/09/bradley_manning_wikileaks_no_help/

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1725
http://nakedsecurity.sophos.com/2010/12/09/dutch-boy-arrested-for-wikileaks-related-ddos-attacks-on-mastercard-and-paypal

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1715
http://www.networkworld.com/news/2010/120810-nasa-sold-pcs-without-wiping.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 29 novembre au 5 d�cembre

Mon, 06 Dec 2010 13:52:31 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
À la suite de la compromission le week-end dernier des serveurs du projet ProFTPd, une porte dérobée a été ajoutée dans le code de la version 1.3.3c [1].
Le CERT-XMCO recommande à tous utilisateurs utilisant une version téléchargée entre le 28 novembre et le 2 décembre de réinstaller une version saine.

* Résumé des évènements majeurs :
- Correctifs :
VMware a publié plusieurs [2] correctifs [3] pour l'ensemble de ses logiciels. Les vulnérabilités permettaient d'obtenir des privilèges élevés sur un système ou de provoquer un déni de service.

- Exploits :
Deux [4] exploits [5] pour Apache Axis2 (notamment installé avec SAP BusinessObjects Enterprise XI 3.2) ont été diffusés. Ces derniers permettent d'utiliser des comptes par défaut afin de s'authentifier sur le serveur et ajouter puis exécuter une archive JAR permettant de prendre le contrôle du système ciblé.

Metasploit a enrichi sa collection d'exploits en ajoutant l'exploitation de la porte dérobée ajoutée au sein de ProFTPd [6].

- Cybercriminalité / Attaques :
Quelques mois après la première version du célèbre "ransomware" GpCode, des pirates ont renforcé le mécanisme de chiffrement utilisé pour chiffrer les documents des victimes [7]. Aucune solution n'a encore été publiée afin de contrer ce virus et de pouvoir récupérer les données.

Une attaque plutôt surprenante a été menée le dimanche 28 novembre sur les serveurs de ProFTPd. Des pirates auraient exploité une faille 0day sur le logiciel ProFTPd afin de prendre le contrôle des serveurs du projet puis remplacer les sources de la version 1.3.3c par une version modifiée [1]. Le code ajouté par les pirates permettrait d'accéder à un système sur lequel est installé ProFTPd avec l'utilisateur "root". La simple commande FTP "HELP ACIDBITCHEZ" permettait à un pirate de prendre le contrôle du serveur. Toutes les versions téléchargées entre le 28 novembre et le 2 décembre seraient concernées. Des versions saines ont de nouveau été mises en place sur le serveur, mais la vulnérabilité 0day n'est toujours pas corrigée à l'heure actuelle.

- International :
Après avoir diffusé plus de 250000 documents confidentiels, le site WikiLeaks a subi de nombreuses attaques de déni de service [8].

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

L'application iCERT-XMCO pour iPad est disponible sur l'AppStore d'Apple :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1673
http://sourceforge.net/mailarchive/message.php?msg_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org

[2]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1653
http://lists.vmware.com/pipermail/security-announce/2010/000111.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3081

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1688
http://lists.vmware.com/pipermail/security-announce/2010/000112.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4295
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4296
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4294

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1660
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11179/entry/modules/exploits/multi/http/axis2_deployer.rb
http://www.rapid7.com/security-center/advisories/R7-0037.jsp
https://service.sap.com/sap/support/notes/1432881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0219

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1661
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11178/entry/modules/exploits/multi/http/axis2_deployer_rest.rb
http://www.rapid7.com/security-center/advisories/R7-0037.jsp
https://service.sap.com/sap/support/notes/1432881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0219

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1692
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11210/entry/modules/exploits/unix/ftp/proftpd_133c_backdoor.rb
http://www.exploit-db.com/exploits/15662/

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1655
http://www.kaspersky.com/news?id=207575539

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1651
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1654
http://hackingexpose.blogspot.com/2010/11/wikileaks-suffers-ddos-attack.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 15 au 21 novembre

Wed, 24 Nov 2010 16:25:29 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation du correctif APSB10-28 [1] qui corrige de multiples vulnérabilités au sein d'Adobe Reader. Avec la précédente publication du bulletin APSB10-26 [2] qui concernait le lecteur Flash, Adobe clôt ainsi l'alerte APSA10-05 [3].

* Résumé des évènements majeurs :
-Vulnérabilités :
Un chercheur a découvert une faille de sécurité au sein de la plate-forme Androïd [4]. Cette faille est liée à la gestion de l'installation des applications depuis l'Androïd Market. Lorsqu'un utilisateur installe une application, celle-ci pourrait d'elle-même procéder automatiquement à l'installation d'autres applications. Le chercheur en a fait la démonstration en déposant une preuve de concept sous le nom "Angry Birds Bonus Levels" sur l'Androïd Market. Malgré appellation, "Angry Birds Bonus Levels" n'est en rien une extension du jeu populaire "Angry Birds". L'installation de cette application entrainait celle de trois autres applications (à des fins de démonstration) aux noms de "Fake Contact Stealer", "Fake Location Tracker" et "Fake Toll Fraud". Google a rapidement réagi en supprimant ces 4 applications de son Androïd Market.

- Correctifs :
Apple a publié cette semaine un correctif pour son navigateur Internet Safari [5]. De multiples failles de sécurité ont été corrigées. En incitant un internaute à visiter une page spécialement conçue, un pirate était en mesure d'accéder à certaines informations sensibles et de compromettre le système de sa victime.

OpenSSL a corrigé une faille de sécurité au sein de sa librairie [6]. La faille de sécurité était relative au traitement des extensions TLS. Elle pouvait être exploitée par un pirate pour provoquer un déni de service, voire de compromettre un serveur utilisant les fonctionnalités offertes par la librairie. Apache n'est pas affecté par ce bogue. Dans le même temps, la fondation Apache a corrigé une faille de sécurité au sein du module "mod_fcgid" [7] qui pouvait être exploité afin de provoquer un déni de service.

VMware a publié un correctif pour ses solutions de virtualisation ESX(i) Server [8]. Les failles de sécurité provenaient du noyau Linux et du serveur Kerberos utilisé par la solution logicielle "Likewise".

Enfin, Adobe a publié le correctif APSB10-28 [1] pour Adobe Reader qui, avec l'APSB10-26 [2] à destination de Flash, vient clôturer l'alerte APSA10-05 [3]. Cette alerte était liée à l'exploitation dans la nature d'une vulnérabilité référencée CVE-2010-3654 [9] présente au sein du Flash Player. Les logiciels de la suite Acrobat, qui embarquaient le Flash Player au sein de la librairie partagée "authplay.dll", étaient également vulnérables. La version 9.4.1 d'Adobe Reader corrige enfin la faille de sécurité référencée CVE-2010-4091 [10]. Celle-ci était liée à la fonction "Doc.printSeps" du plug-in "EScript.api". Tout d'abord, Adobe avait annoncé que son exploitation ne permettait de provoquer qu'un déni de service, mais ensuite un chercheur a publié un code d'exploitation prouvant qu'il était possible de compromettre un système par ce biais.

- Cybercriminalité / Attaques :
Stuxnet est réapparu sur le devant de la scène. Symantec a complété son rapport [11] pour y ajouter une étude du code embarqué dans le malware ciblant le PLC ("Programmable Logic Controller"). D'après cette étude, Stuxnet serait, entre autres, conçu pour modifier la vitesse de rotation de certains moteurs utilisés dans le cadre de la procédure d'enrichissement de l'uranium. Cette modification provoquerait, à terme, une usure prématurée de ce type d'équipement. Par ailleurs, le matériel ciblé a été identifié précisément (contrôleurs Siemens S7-315 et S7-417). De son côté, Trend Micro propose un outil qui permet de détecter les postes compromis par Stuxnet sur un réseau local [12]. Enfin, le chercheur Ralph Langner propose de nombreux autres détails dans ses billets [13].

Adobe a annoncé la sortie imminente de la version X (10) de ses outils [14]. Préférant prévenir plutôt que guérir, l'éditeur a pris les devants en annonçant qu'il existait un risque non négligeable que des pirates utilisent cet "évènement" dans le cadre d'attaques de phishing à l'encontre des internautes [15]. En effet, la réputation internationale de l'éditeur, de son logiciel et de son identité visuelle ainsi que l'attente impatiente des internautes pour cette nouvelle version annoncée depuis longtemps font de cette sortie un terrain de jeux très propice pour les pirates.

Après BredoLab [16], c'est au tour du botnet KoobFace [17] d'être mis en difficultés par les professionnels de la sécurité. En effet, le week-end dernier, un chercheur canadien a alerté un FAI anglais pour qu'il coupe l'accès à trois serveurs de commande et de contrôle (C&C). Koobface, qui se diffuse principalement via les réseaux sociaux, a fait l'objet d'un rapport [18] complet sur son fonctionnement. Nart Villeneuve a rédigé ce rapport après avoir réussi à infiltrer un des serveurs de C&C des pirates. D'après le chercheur, ces informations seront utiles pour les forces de l'ordre lorsque celles-ci se pencheront sur ce botnet. En effet, ce dernier utilise de nombreuses techniques pour gêner les professionnels de la sécurité dans leur travail. Néanmoins, la disparition de 3 serveurs C&C ne signifie pas la fin de ce botnet. Comme l'opération Bredolab l'avait montré, il suffit d'un seul serveur de C&C restant pour que le botnet reparte.

- Conférence / Recherche :
L'ENISA a publié récemment les premières conclusions (partielles) de la simulation "Cyber Europe 2010" [19]. D'après les retours faits par les participants à l'agence, l'échange des leçons apprises par chacun d'entre eux est attendu avec impatience. La participation du secteur privé à cet exercice est attendue pour la prochaine édition. Enfin, les différents avancements des États membres dans la mise en place de procédure de réaction à ce type de menace mettent clairement en évidence le manque cruel d'un plan de réaction européenne uniforme. Par ailleurs, l'ENISA a su montrer son rôle de leader dans l'organisation ce type d'exercice et sera donc attendue de pieds fermes pour le prochain exercice.

- Entreprises :
Adobe a publié cette semaine la version X (10) de sa suite logicielle Acrobat [14]. Cette version majeure de Reader et d'Acrobat est l'occasion pour Adobe de mettre en place une nouvelle architecture et d'ajouter d'un bac à sable ("sandbox") qui vise à protéger, au mieux, les utilisateurs et les clients des nombreuses attaques menées par les pirates. Quatre [20] billets [21] postés [22] par Adobe [23] présentent en détail ces nouvelles caractéristiques. À noter, ce "bac à sable" n'est actuellement disponible que pour les plates-formes Windows.

Une semaine après avoir annoncé l'extension de son programme de récompense [24], Google annonce que 20 000 dollars de récompense sont déjà en cours d'attribution [25]. D'après le comité d'attribution des récompenses, celles-ci seraient plutôt généreuses pour cette première phase de lancement. En effet, plusieurs vulnérabilités mineures n'auraient pas dû être éligibles en temps normal. Cependant, Google reconnaît qu'un certain nombre de rapports sont d'excellentes qualités.

- International :
Dans un rapport publié cette semaine par une commission américaine dépendant du Congrès, les États-Unis accusent la Chine d'être les commanditaires d'un détournement massif des communications sur Internet [26]. Le 8 avril dernier, de 3:00pm UTC à 3:18pm UTC, deux opérateurs chinois ont détourné près de 15 % du trafic Internet mondial en annonçant des "routes" BGP erronées. Ce n'est pas la première fois qu'un tel détournement du trafic à lieu, mais l'importance du trafic détourné, ainsi que les cibles laissent un fort doute. En effet, ce détournement ciblait principalement les communications à destination, ou en provenance, des domaines ".gov" et ".mil" des États-Unis et de certains de leurs Alliés comme le Royaume-Uni, le Japon ou encore l'Australie. De nombreuses organisations publiques comme le Sénat, les différentes armées (Air, Terre, Marine), le secrétariat à la Défense, la NASA, ainsi que de nombreuses autres agences gouvernementales ont aussi été impactées. Enfin, le secteur privé n'a pas été épargné par ce détournement. Des sociétés comme Dell, IBM, Microsoft ou encore Yahoo pourraient avoir été touchées. Il est impossible de savoir ce qu'il est advenu des données qui ont transité par la Chine.

- XMCO :
L'application iCERT-XMCO pour iPad est, maintenant, disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Le cabinet XMCO recherche un stagiaire pour le mois de janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1603
http://www.adobe.com/support/security/bulletins/apsb10-28.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1541
http://www.adobe.com/support/security/bulletins/apsb10-26.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1494
http://www.adobe.com/support/security/advisories/apsa10-05.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1598
http://lastwatchdog.com/proof-of-concept-android-exploit-shows-ease-attacking/

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1615
http://support.apple.com/kb/HT4455

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1595
http://www.openssl.org/news/secadv_20101116.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3864

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1607
https://issues.apache.org/bugzilla/show_bug.cgi?id=49406
http://mail-archives.apache.org/mod_mbox/httpd-announce/201011.mbox/%3CAANLkTi=pWJ2KYDKuSFJDmnKd_xnF+S+_SZFn0esR-BjN@mail.gmail.com%3E
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3872

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1594
http://lists.vmware.com/pipermail/security-announce/2010/000108.html

[9]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3654

[10]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1590
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1599
http://www.symantec.com/connect/ko/blogs/stuxnet-breakthrough
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[12]
http://blog.trendmicro.com/stuxnet-scanner-a-forensic-tool/
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/StuxnetScanner.zip

[13]
http://www.langner.com/english/?p=440

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1616
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1604
http://blogs.adobe.com/psirt/2010/11/alert-adobe-acrobatreader-upgrade-email-spamphishing-scam.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1477
http://www.zdnet.co.uk/news/security-threats/2010/10/26/dutch-police-take-down-bredolab-botnet-40090649/?s_cid=938

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1617
http://www.h-online.com/security/news/item/Koobface-server-taken-down-1136163.html

[18]
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1618
http://www.enisa.europa.eu/media/press-releases/cyber-europe-2010-a-successful-2019cyber-stress-test2019-for-europe

[20]
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html

[21]
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-%E2%80%93-part-2-%E2%80%93-the-sandbox-process.html

[22]
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-3-broker-process-policies-and-inter-process-communication.html

[23]
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-4-the-challenge-of-sandboxing.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1509
http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1585
http://googleonlinesecurity.blogspot.com/2010/11/quick-update-on-our-vulnerability.html
http://www.google.com/corporate/rewardprogram.html

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1610
http://hackingexpose.blogspot.com/2010/11/chinese-isp-hijacked-us-military-gov.html
http://www.uscc.gov/annual_report/2010/10_annual_report.php

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 8 au 14 novembre

Thu, 18 Nov 2010 15:14:12 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs Microsoft jugés comme étant "importants" par l'éditeur : MS10-088 [1] (PowerPoint), MS10-089 [2] (Forefront Unified Access Gateway) et plus particulièrement du MS10-087 [3] qui affecte Microsoft Office et qui est jugé "critique".

* Résumé des évènements majeurs :
- Correctifs :
Dans le cadre de son "Patch Tuesday" [4] du mois de novembre, Microsoft a publié les bulletins de sécurité MS10-087 [3] (MS Office), MS10-088 [1] (PowerPoint) et MS10-089 [2] (Forefront Unified Access Gateway). Ces bulletins sont jugés comme étant critiques pour Office, et important pour les deux autres.

Adobe a publié cette semaine son bulletin de sécurité APSB10-27 [5] proposant un correctif pour Flash Media Server.

Apple a, de son côté, publié des correctifs pour QuickTime [6] et Mac OS X [7]. En incitant un utilisateur à ouvrir un document multimédia spécialement conçu avec QuickTime, un pirate était en mesure de compromettre un système à distance. Concernant Mac OS, de très nombreux composants logiciels du système d'exploitation ont été mis à jour. L'exploitation des vulnérabilités permettait à un pirate de compromettre un système.

- Exploit :
Plusieurs exploits ont été rendus publics cette semaine. Le premier [8] permet d'exploiter une vulnérabilité [9] référencée CVE-2010-3867 découverte la semaine dernière au sein de ProFTPd dans la gestion des commandes Telnet IAC.

La seconde preuve de concept [10] permet d'exploiter la vulnérabilité présentée la semaine dernière au sein d'Internet Explorer [11]. La faille de sécurité était liée à la gestion de l'attribut "clip" par la librairie partagée "mshtml.dll". L'exploitation de cette erreur permet à un pirate de corrompre la mémoire d'un système distant, afin d'en prendre le contrôle après avoir incité un utilisateur à visiter une page Internet spécialement conçue. Microsoft n'a toujours pas publié de correctif, mais propose une solution de contournement [12].

Enfin, une preuve de concept [13] exploitant une vulnérabilité (CVE-2010-4091) présente au sein d'Adobe Reader [14] et permettant de corrompre la mémoire du processus a été publiée. Celle-ci contredit les propos d'Adobe qui annonçait que l'exploitation de cette vulnérabilité permettait uniquement de provoquer un déni de service. Cette vulnérabilité est liée à l'utilisation de la fonction "Doc.printSeps" du plug-in "EScript.api". Une solution de contournement [15] et un correctif [16] ont néanmoins été proposés.

- Cybercriminalité / Attaques :
Des pirates ont exploité pour la seconde fois en peu de temps l'identité de l'organisation du Prix Nobel pour inciter des utilisateurs à ouvrir un document malveillant. Après avoir compromis le site internet de l'organisation [17], les pirates ont, cette fois, envoyé un grand nombre de pourriels [18] contenant une invitation à la cérémonie de remise du prix qui se tenait le 11 novembre dernier. Ce courriel, prétendument envoyé par "Alex Gladstein", le vice-président à la Statégie de l'"Oslo Freedom Forum", contenait en pièce jointe un PDF malveillant intitulé "invitation.pdf". Ce document spécialement conçu permettait d'exploiter la vulnérabilité référencée CVE-2010-2883 [19], récemment corrigée par Adobe dans son bulletin de sécurité APSB10-21 [20].

Dans le même temps, des criminels ont utilisé la dernière faille de sécurité 0day ciblant Internet Explorer [21] après avoir piraté le site de la branche d'Amnesty International basée à Hong Kong. L'objectif était de compromettre les systèmes des internautes visitant le site avec le navigateur de Microsoft. Un code d'exploitation de cette même faille a parallèlement été ajouté au kit d'exploitation "Eleonor" [22]. Cette mise à jour de l'outil destiné aux pirates a donc eu lieu moins de 2 jours après que le code d'exploitation ait été dans la nature, et environ une semaine après que la faille ait été rendue publique...

Enfin, une campagne de distribution de pourriels a été lancée visant plus spécifiquement des spécialistes de la sécurité informatique [23]. Un lien les dirigeait vers un faux centre de commande et de contrôle d'un botnet reposant sur Zeus. L'objectif des pirates était de diriger ces chercheurs vers un pot de miel ("honeypot") afin de récupérer diverses informations telles que leurs adresses IP. Ces informations pourraient avoir une valeur ajoutée très importante pour les pirates dans un futur plus ou moins proche. En effet, en relevant les adresses IP de leurs victimes, les pirates pourraient configurer leurs systèmes malveillants afin d'empêcher les spécialistes de s'y connecter.

- Conférence / Recherche :
BlackSheep [24], une nouvelle extension pour Firefox permet de contrer les pirates utilisant Firesheep [25] ou tout autre programme permettant de réaliser une attaque de vol de session en écoutant le trafic réseau ("HTTP Session Hijacking"/"sidejacking") sur un réseau local. De faux cookies de session sont ainsi envoyés afin de piéger les pirates.

Le monde de la sécurité est actuellement en pleine mutation. Après Google et Mozilla, c'est au tour de Baracuda Networks [26] de lancer son programme de récompense lors de la découverte de failles de sécurité.

- Entreprises :
Microsoft a été fortement critiquée cette semaine par ses concurrents pour avoir débuté une campagne de promotion de son antivirus "Security Essentials" [27]. En effet, le géant de Redmond a utilisé son service Windows Update afin de pousser ses clients américains dépourvus d'antivirus à installer le produit estampillé Microsoft. Il semblerait donc que la forte réprimande européenne liée au manque de concurrence dans le domaine des navigateurs ait porté ces fruits...

- XMCO :
L'application iCERT-XMCO pour iPad est maintenant disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6

Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1565
http://www.microsoft.com/technet/security/bulletin/ms10-088.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2572
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2573

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1566
http://www.microsoft.com/france/technet/security/bulletin/ms10-089.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2732
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2733
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2734
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3936

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1564
http://www.microsoft.com/technet/security/bulletin/MS10-087.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3333
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3334
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3335
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3336
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3337

[4]
http://www.microsoft.com/technet/security/bulletin/ms10-nov.mspx

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1570
http://www.adobe.com/support/security/bulletins/apsb10-27.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3633
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3634
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3635

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1567
http://support.apple.com/kb/HT4104

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1581
http://support.apple.com/kb/HT4435

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1549
http://seclists.org/fulldisclosure/2010/Nov/49
http://www.metasploit.com/modules/exploit/linux/ftp/proftp_telnet_iac

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1516
http://www.proftpd.org/docs/NEWS-1.3.3c
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3867

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1550
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms10_xxx_ie_css_clip.rb

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1526
http://www.symantec.com/connect/blogs/new-ie-0-day-used-targeted-attacks
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962

[12]
http://www.microsoft.com/technet/security/advisory/2458511.mspx

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1558
http://pastebin.com/h9GVyJhQ

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1554
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1532
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091
http://extraexploit.blogspot.com/2010/11/full-disclosure-xplpdf-adober-reader-94.html

[15]
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1603
http://www.adobe.com/support/security/bulletins/apsb10-28.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1469
http://norman.com/about_norman/press_center/news_archive/2010/129223/en-us

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1551
http://www.f-secure.com/weblog/archives/00002061.html

[19]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1327
http://www.adobe.com/support/security/bulletins/apsb10-21.html

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1573
http://hackingexpose.blogspot.com/2010/11/nasty-ie-0day-exploit-hosted-on-amnesty.html

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1562
http://thompson.blog.avg.com/2010/11/heads-up-0-day-in-an-exploit-kit.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1553
http://www.darkreading.com/insiderthreat/security/attacks/showArticle.jhtml?articleID=228200070

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1548
http://research.zscaler.com/2010/11/detecting-firesheep.html

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1467
http://codebutler.com/firesheep

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1561
http://threatpost.com/en_us/blogs/barracuda-networks-launches-bug-bounty-program-110910

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1559
http://www.net-security.org/malware_news.php?id=1522

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 1 au 7 novembre

Tue, 09 Nov 2010 23:18:38 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'installation des correctifs disponibles pour Adobe Flash Player, proposés dans son bulletin APSB10-26 [1]. Cette publication fait suite au bulletin d'alerte APSA10-05 [2] dans lequel Adobe alertait ses clients de la découverte d'une vulnérabilité 0day au sein de Flash Player. L'éditeur devrait publier d'autres mises à jour [3] corrigeant la même vulnérabilité le 9 novembre (pour Flash Player sur Androïd) ainsi que dans la semaine du 15 novembre (Adobe Reader et d'Acrobat). Pour ces deux derniers logiciels, le CERT-XMCO recommande la suppression de la librairie partagée "authplay.dll" en tant que solution de contournement provisoire.

* Résumé des évènements majeurs :
- Vulnérabilités :
Adobe a révélé cette semaine l'existence d'un 0-day [4] permettant d'exécuter du code via un fichier PDF sous Adobe Reader. La faille référencée CVE-2010-4091 [5] provient de la fonction JavaScript "printSeps()". Un correctif devrait être publié le 15 novembre. Un code d'exploitation [6] a été diffusé sur internet.

Peu de temps auparavant, alors que le correctif APSB10-25 [7] venait tout juste d'être publié, une autre vulnérabilité [8] difficilement exploitable pour un pirate avait été révélée au sein de Shockwave Player. L'exploitation de celle-ci permet à un attaquant distant de prendre le contrôle d'un système vulnérable. Il était néanmoins nécessaire pour cela d'inciter un utilisateur à ouvrir la fenêtre de préférences ainsi qu'à ouvrir une page Internet spécialement conçue pour pouvoir exploiter cette faille à distance...

Une faille de sécurité [9] critique au sein d'Internet Explorer (6, 7 et 8) a été découverte. En incitant un utilisateur à visiter une page Internet spécialement conçue, un pirate est en mesure de compromettre un système vulnérable. La faille de sécurité provient de la gestion de l'attribut "clip" par la librairie partagée "mshtml.dll". Microsoft a réagi en publiant le bulletin de sécurité référencée KB2458511 [10].

- Correctifs :
Adobe a publié cette semaine son bulletin de sécurité APSB10-26 [1] corrigeant plusieurs failles de sécurité au sein de son lecteur Flash, dont la vulnérabilité référencée CVE-2010-3654 [11] présentée dans le bulletin d'alerte APSA10-05 [2]. Dans le même temps, des correctifs pour Flash sur Androïd ainsi que pour Reader et Acrobat ont été annoncés pour le 9 novembre et pour la semaine du 15.

Une faille de sécurité critique a été corrigée au sein de ProFTPd [12]. Celle-ci permettait de prendre le contrôle d'un serveur à distance. Un code d'exploitation [13] est disponible sur Internet.

Une autre faille de sécurité a été corrigée au sein du serveur DHCP de l'ISC [14]. Son exploitation permettait à un pirate de provoquer un déni de service.

- Exploit :
Un code d'exploitation [15] de la vulnérabilité référencée CVE-2010-3654 [10] affectant Flash Player (voir APSA10-05 [2]) a été publié sur Internet.

- Cybercriminalité / Attaques :
Un nouveau mode de distribution [16] de malware a fait son apparition sur Internet. Il est de notoriété publique que l'organisation des pirates suit un modèle de division des tâches très poussé. Dans ce cadre, un pirate a eu l'idée de donner son malware spécialisé dans le vol d'informations à ces "clients". Ceux-ci, qui sont en général spécialisés dans la dissémination, se chargent de la mise en place de campagne visant à propager et à installer le cheval de Troie sur un grand nombre de machines. Une fois installé ; les deux pirates reçoivent une copie des informations dérobée. Ainsi chacun travaille pour la réussite de l'opération complète : le développeur créé un malware "techniquement" efficace, pendant que ses "clients" se chargement de garantir son installation sur les postes des victimes.

- Conférence / Recherche :
Une étude [17] ciblant la qualité du code source d'Androïd a été publiée par la société Coverity. La qualité du code serait particulièrement bonne de manière générale, avec deux fois moins de bogues qu'habituellement dans le domaine industriel (0,47 défaut pour 1000 lignes de code au lieu de 1 défaut pour 1000 lignes de code). Cependant, les portions du noyau spécifiques à Androïd, lequel est largement dérivé de Linux, ont une plus grande densité de défaut que le reste du kernel (0,78 défaut pour 1000 lignes de code).

- Entreprises :
Google [18] a annoncé cette semaine l'extension de son programme de récompense. Celui-ci permettait jusqu'à présent aux chercheurs ayant découvert une faille de sécurité au sein de Google Chrome de se voir offrir une somme d'argent allant jusqu'à 3133,7 dollars en fonction de la criticité de la découverte. Avec cette extension, les chercheurs sont donc maintenant invités à rechercher des failles de sécurité présente au sein des applications web. Seuls certains domaines ainsi que leurs sous domaines sont concernés, par exemple google.com ou encore youtube.com. Le géant de la recherche a néanmoins cadré très précisément les limites auxquels les chercheurs doivent se tenir. Pas question par exemple d'attaquer les infrastructures des opérateurs tiers hébergeant ses services...

Google [19] et Facebook [20] ont réagi à de récentes critiques dans le domaine de la protection de la vie privée de leurs utilisateurs. Google a ainsi retiré de son "Androïd Market" une application malveillante appelée "Secret SMS Replicator" pouvant être utilisée par un pirate afin d'obtenir une copie des messages texte envoyés à un utilisateur. De son côté, Facebook a réagi à une récente étude dans laquelle un chercheur avait montré que bon nombre d'application transmettait, voir revendait des informations personnelles.

La version 2.0 du standard PCI-DSS [21] a officiellement vu le jour. Au programme, pas de grandes nouveautés, mais plutôt de nombreuses clarifications. Celle-ci deviendra applicable à partir du 1er janvier 2011. Parmi les changements, cette mise à jour a été l'occasion d'un alignement des cycles de publication avec les standards PA-DSS et PTS. Les experts auraient aimé voir certains sujets tels que la "tokenization" traités. Espérons que la prochaine version prévue normalement pour 2014 inclura les nombreux retours d'expérience des professionnels sur ce sujet...

- International :
La seconde partie de la simulation "Cyber Europe 2010" [22] s'est tenue cette semaine. Organisée par l'ENISA, cette première édition de l'exercice de protection des infrastructures critique a permis à l'ensemble des acteurs européens (plus de 150 personnes) impliqués d'établir des relations de confiance, de prendre conscience des différences existantes, de tester les canaux de communication, de mettre en avant l'interdépendance et enfin d'aider les états membres à valider les procédures existantes et à en mettre en place de nouvelle, lorsque nécessaires.

- Prévention :
Sophos a publié une version gratuite de son antivirus "Sophos Anti-Virus Home Edition for Mac" [23] à destination des systèmes Mac OS.

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1541
http://www.adobe.com/support/security/bulletins/apsb10-26.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1494
http://www.adobe.com/support/security/advisories/apsa10-05.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1518
http://www.adobe.com/support/security/advisories/apsa10-05.html

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1532
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1554
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1558
http://pastebin.com/h9GVyJhQ

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1504
http://www.adobe.com/support/security/bulletins/apsb10-25.html
http://www.adobe.com/support/security/advisories/apsa10-04.html

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1522
http://isc.sans.edu/diary.html?storyid=9877

[9]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1526
http://www.symantec.com/connect/blogs/new-ie-0-day-used-targeted-attacks

[10]
http://www.microsoft.com/technet/security/advisory/2458511.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1515
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3654

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1516
http://www.proftpd.org/docs/NEWS-1.3.3c

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1549
http://seclists.org/fulldisclosure/2010/Nov/49

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1523
http://www.isc.org/software/dhcp/advisories/cve-2010-3611

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1515
http://www.metasploit.com/redmine/projects/framework/repository/revisions/10857/entry/modules/exploits/windows/fileformat/adobe_flashplayer_button.rb

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1513
http://www.net-security.org/malware_news.php?id=1515

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1528
http://blog.coverity.com/open-source/launch-of-the-coverity-scan-2010-open-source-integrity-report/

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1509
http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1512
http://www.net-security.org/secworld.php?id=10082

[20]
http://www.net-security.org/secworld.php?id=10079

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1514
http://www.net-security.org/article.php?id=1530

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1540
http://www.enisa.europa.eu/media/press-releases/cyber-europe-20102019-cyber-security-exercise-with-320-2018incidents2019-successfully-concluded

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1527
http://www.sophos.com/pressoffice/news/articles/2010/11/free-mac-anti-virus.html

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 25 au 31 octobre

Thu, 04 Nov 2010 14:13:25 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande de mettre en place une solution temporaire de protection contre l'exploitation de la faille de sécurité affectant le lecteur Flash embarqué au sein du logiciel Adobe Reader (CVE-2010-3654 [1], APSA10-05 [2]). Pour cela, le CERT-XMCO recommande de supprimer la libraire "authplay.dll" en attendant la publication d'un correctif par Adobe.

* Résumé des évènements majeurs :
— Vulnérabilités :
Une vulnérabilité critique [3] au sein de Firefox a été découverte par un adolescent de 12 qui s'est donc vu récompensé par la "nouvelle" prime de 3000 $ offerte par Mozilla. Peu de temps après, un 0day [4] a été découvert sur le site du prix Nobel. Celui-ci permettait d'exploiter une faille de sécurité inconnue jusqu'alors au sein de la fonction JavaScript "document.write()". Mozilla a réagi très rapidement en publiant un correctif [5] en 2 jours.

Adobe a publié cette semaine le bulletin d'alerte APSA10-05 [2] à la suite de l'exploitation sur Internet d'une faille de sécurité au sein du lecteur Flash. Des documents PDF embarquant une animation Flash malveillante ont été envoyés aux internautes dans le cadre d'une campagne d'envoi massif de pourriels. La suppression de la librairie partagée "authplay.dll" présente dans le répertoire d'installation d'Adobe Reader permet de protéger les utilisateurs de ce logiciel contre l'exploitation de cette faille via le format de fichier PDF. Néanmoins, aucune solution autre que la désinstallation n'est actuellement disponible pour protéger les utilisateurs de Flash Player...

Une faille de sécurité au sein de l'iOS a été découverte [6]. Un pirate serait en mesure de contourner le verrouillage d'un iPhone afin d'accéder à l'ensemble du carnet d'adresses d'un utilisateur, voire de réaliser des appels téléphoniques.

Après avoir découvert la faille de "DLL hijacking" [7], Across Security vient de faire resurgir une autre faille similaire, liée à la gestion de l'expansion par Windows [8] des variables (telles que "%APPDATA%") contenues dans le "PATH". L'exploitation de cette faille de sécurité en parallèle du chargement automatique des librairies partagées depuis le dossier courant permet alors à un pirate de prendre le contrôle d'un système distant.

— Correctifs :
Adobe a publié cette semaine le bulletin APSB10-25 [9] proposant un correctif à la faille de sécurité référencée CVE-2010-3653 affectant Shockwave qui avait été présentée dans le bulletin d'alerte APSA10-04. De nombreuses autres failles de sécurité ont été corrigées par la même occasion. Même si celles-ci ne sont pas actuellement exploitées sur Internet, un code d'exploitation est disponible. Le CERT-XMCO recommande donc l'installation de la version 11.5.9.615 de Shockwave.

— Exploit :
Un code d'exploitation [10] a été publié sur Internet. Celui-ci permet d'exploiter la vulnérabilité référencée CVE-2010-3552 [11] récemment corrigée par Oracle dans la dernière version de Java (6 Update 22) lors de la publication de son bulletin "javacpuoct2010" [12]. La faille de sécurité provient d'un manque de validation du paramètre "docbase", et permet à un pirate de prendre le contrôle à distance d'un système vulnérable en incitant simplement un utilisateur à visiter une page internet malveillante.

— Cybercriminalité / Attaques :
Zeus continue de faire parler de lui. Ses nouvelles fonctionnalités [13] ont été l'occasion de publier de nouveaux articles. Une rumeur [14] stipulerait par ailleurs l'arrêt de son développement par Slavik, son développeur, et la prise de sa succession par Harderman, le développeur du concurrent SpyEye. La médiatisation trop importante de Zeus ces derniers temps est probablement la cause de la fusion de ces deux outils malveillants. Le retrait de Slavik de la scène pirate lui permettrait ainsi de se faire plus discret, et de faire retomber toute l'attention qui était portée sur lui. Dans le même temps, cette évolution permet à Harderman de revoir à la hausse les prix de son outil...

Les pirates composant la Cyber-Armée Iranienne auraient amorcé un changement de stratégie en mettant sur pied un botnet d'environ 400 000 machines [15]. Ce botnet serait pour le moment loué à d'autres pirates pour mener à bien leurs cyberattaques, mais il pourrait être à terme utilisé par ce groupuscule pour réaliser d'autres types de méfaits ; par exemple en représailles à l'infection par Stuxnet de l'Iran...

Le botnet Bredolad [16] a été démantelé par les autorités néerlandaises. Pour cela, une méthode juridiquement exotique a été utilisée. En effet, les spécialistes néerlandais ont piraté à leur tour les zombies composant le botnet afin d'avertir les utilisateurs de la compromission, et de leur demander de "nettoyer" leur machine. Une telle méthode est légalement interdite dans bon nombre de pays dans lesquels se trouvaient les systèmes infectés...

D'après l'étude "Mapping the Mal Web" [17] de McAfee, les domaines .com et .vn serait les plus "dangereux". Ceux-ci hébergeraient le plus de pages Internet malveillantes...

Une autre étude menée par la société Damballa [18] stipule que les pays occidentaux hébergeraient la majorité des serveurs de commande et de contrôle (C&C). Les résultats de cette étude ont été sévèrement critiqués [19] par bon nombre de spécialistes des botnets, pour qui le travail de Damballa n'a pas été fait de façon correcte...

Koobface fait encore parler de lui. Une nouvelle variante appelée "boonana" [20] a fait son apparition sur Internet. Celle-ci permet maintenant de compromettre aussi bien les postes des utilisateurs de réseaux sociaux sous Windows, que sous Mac OS ou encore sous Unix...

Un nouveau type d'attaque contre le système bancaire a été découvert. Le principe des "Flash attacks" [21] est de réaliser un nombre très important de petits débits passants sous la limite des systèmes de détection de fraude en un court laps de temps. Pour cela, les pirates dérobent les informations contenues dans la bande magnétique d'une carte bancaire à l'aide d'un "skimmer" présent sur un automate (DAB). Un grand nombre de copies de cette carte est ensuite réalisé à partir de ces informations. Les pirates n'ont ensuite plus qu'à s'organiser pour définir une date et une heure précise auxquelles les milliers de copies seront utilisées au travers du monde pour retirer de l'argent depuis un compte unique. Ce type d'attaque ne fonctionne bien évidemment que dans les pays faisant encore confiance à la piste magnétique, mais il est important de rappeler que l'ensemble de cartes bancaires est encore équipé d'une telle piste. Les Français peuvent donc potentiellement être pris pour cible d'une telle attaque...

— Conférence / Recherche :
Dans le cadre de la douzième édition de la conférence internationale Toorcon qui se tenait à San Diego aux États-Unis, le chercheur Éric Butler a publié une extension Firefox dénommée FireSheep [22] permettant de montrer les dangers pour les utilisateurs d'une mauvaise gestion par les sites internet de l'identification et de l'authentification. En effet, lorsque le protocole de chiffrement SSL/TLS est uniquement utilisé pour l'authentification, un pirate est alors en mesure de réaliser des attaques lui permettant de dérober le cookie de session dans les échanges HTTP réalisés entre un client et un serveur afin d'usurper l'identité d'un internaute sur un site. FireSheep permet par exemple de dérober les cookies de session en écoutant les communications effectuées sur un réseau (WiFi) peu sécurisé, et de les utiliser extrêmement simplement en cliquant directement sur l'icône associée au site vulnérable. Attention à ne pas se méprendre, cette attaque n'est en rien liée à Mozilla. La plateforme est ici simplement utilisée pour sa flexibilité. Par ailleurs, les internautes sont encouragés à naviguer sur les versions SSL/TLS des sites qu'ils visitent.

Les chercheurs de l'université de Cambridge ont publié cette semaine le code source [23] ainsi que les plans de la maquette utilisée pour démontrer la faille de sécurité présente au sein du protocole EMV. Pour rappel, ces chercheurs avaient démontré il y a plusieurs mois qu'il était possible de réaliser des payements avec des cartes bancaires dérobées sans avoir besoin d'en connaitre le code PIN...

— Entreprises :
Apple [24] a annoncé cette semaine vouloir supprimer certains logiciels historiquement vulnérables afin de renforcer la sécurité de son système d'exploitation. Le lecteur Flash d'Adobe, tout comme Java pourrait donc faire les frais de cette nouvelle directive d'Apple... Il resterait bien entendu la possibilité aux utilisateurs de Mac OS d'installer ces logiciels tiers manuellement.

— Prévention :
Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) a clôturé son initiative de sensibilisation à la sécurité informatique. Son Mois de la Sensibilisation à la Cyber-Sécurité [25] ("Cyber Security Awareness Month", aka "CSAM") a été l’occasion de recommander la mise en place de 31 bonnes pratiques concernant l'informatique au sein du cercle familial, scolaire et professionnel.

— XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 :
http://www.xmco.fr/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1494
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3654

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1518
http://www.adobe.com/support/security/advisories/apsa10-05.html

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1456
http://www.zdnet.com/blog/security/12-year-old-finds-critical-firefox-flaw-earns-3000-bounty/7524
http://www.mozilla.org/security/announce/2010/mfsa2010-65.html

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1479
http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/
http://norman.com/about_norman/press_center/news_archive/2010/129223/en
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3765

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1469
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1478

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1500
http://pastebin.com/Uwzt2EA6

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1488
http://www.mozilla.org/security/announce/2010/mfsa2010-73.html
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.12
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3765

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1465
http://hackingexpose.blogspot.com/2010/10/secret-button-sequence-bypasses-iphone.html

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1076
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1079
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1089
http://www.microsoft.com/technet/security/advisory/2269637.mspx

[8]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1490
http://blog.acrossecurity.com/2010/10/breaking-setdlldirectory-protection.html

[9]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1504
http://www.adobe.com/support/security/bulletins/apsb10-25.html
http://www.adobe.com/support/security/advisories/apsa10-04.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3653

[10]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1495
http://www.metasploit.com/redmine/projects/framework/repository/revisions/10819/raw/modules/exploits/windows/browser/java_docbase_bof.rb

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1386
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3552

[12]
http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1459
http://www.banksecurityportal.com/banksecurity_news.asp?articleid=265431

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1461
http://krebsonsecurity.com/2010/10/spyeye-v-zeus-rivalry-ends-in-quiet-merger/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1463
http://blog.seculert.com/2010/10/iranian-cyber-army-strikes-back.html

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1477
http://www.zdnet.co.uk/news/security-threats/2010/10/26/dutch-police-take-down-bredolab-botnet-40090649/?s_cid=938

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1473
http://us.mcafee.com/en-us/local/docs/Mapping_Mal_Web.pdf

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1474
http://blog.damballa.com/?p=897

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1499
http://www.h-online.com/security/news/item/Damballa-s-analysis-of-botnet-C-C-servers-criticised-1126699.html

[20]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1476
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1486
http://blog.intego.com/2010/10/27/intego-security-memo-trojan-horse-osxkoobface-a-affects-mac-os-x-mac-koobface-variant-spreads-via-facebook-twitter-and-more/

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1487
http://www.theregister.co.uk/2010/10/27/credit_card_flash_attacks/

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1467
http://codebutler.com/firesheep

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1485
http://www.lightbluetouchpaper.org/2010/10/19/the-smart-card-detective-a-hand-held-emv-interceptor/

[24]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1472
http://www.guardian.co.uk/technology/blog/2010/oct/23/apple-flash-war-steve-jobs-continues

[25]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1323
http://isc.sans.edu/diary.html?storyid=9640

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 18 au 24 octobre

Tue, 26 Oct 2010 13:53:29 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Une vulnérabilité affectant Adobe Shockwave Player [1] et la preuve de concept associée [2] ont été publiées en fin de semaine dernière.
Le CERT-XMCO recommande de rester vigilant, car des attaques massives pourraient avoir lieu dans les prochains jours.

* Résumé des évènements majeurs :
- Vulnérabilités :
Une preuve de concept exploitant une faille de sécurité présente au sein d'Internet Explorer [3] (7 et 8) a été publiée. Le chercheur l'ayant découvert aurait déjà alerté Microsoft il y a environ deux ans, sans aucune réaction officielle de l'éditeur. L'exploitation de cette faille permettrait à un pirate d'obtenir certaines informations sensibles via la simple visite d'une page Internet malveillante.

Une faille de sécurité a été découverte au sein du plug-in multimédia VLC pour Mozilla [4] . En incitant un internaute à visiter un site web spécialement conçu, un pirate était en mesure de compromettre un système.

Le chercheur Tavis Ormandy (Google) a découvert une vulnérabilité au sein de la librairie partagée Glibc [5]. En n'implémentant pas correctement une règle de sécurité définie par les concepteurs du format de fichiers exécutable ELF, les développeurs de la librairie ont introduit une faille de sécurité exploitable localement par un utilisateur malveillant afin d'élever ses privilèges. La faille de sécurité est plus précisément liée à l'expansion de la variable "$ORIGIN" lors de la manipulation des fichiers exécutables "setuid" ou "setgid".

À la suite de la mise à disposition sur Internet d'une preuve de concept permettant d'exploiter une faille de sécurité présente au sein du plug-in Shockwave Player, Adobe a publié un bulletin d'alerte APSA10-04 [1]. Aucune information sur la date prévisionnelle de sortie du correctif n'a été donnée par Adobe. Cette faille n'est pas encore massivement exploitée sur Internet.

- Correctifs :
Adobe a publié cette semaine deux correctifs référencés APSB10-23 [6] et APSB10-24 [7]. "RoboHelp" et "RoboHelp Server" seraient vulnérables à des attaques de type "Cross-Site Scripting" (XSS) (CVE-2010-2885 [8] et CVE-2010-2886 [9]). La vulnérabilité présente au sein de InDesign permettrait de charger automatiquement une librairie malveillante afin de compromettre un système à distance via l'ouverture d'un fichier.

La fondation Mozilla a publié cette semaine des correctifs pour ses logiciels phares : Firefox [10] et Thunderbird [11]. La visite d'une page Internet spécialement conçue permettait à un pirate de provoquer de multiples dommages.
Toujours dans le domaine des navigateurs web, Google a aussi publié une mise à jour de Chrome [12].

- Cybercriminalité / Attaques :
Après Microsoft [13] la semaine précédente, c'est au tour de systèmes appartenant à l'éditeur d'antivirus Kaspersky [14] et au fabricant de PC chinois Lenovo [15] d'être compromis. Les pirates utilisaient les serveurs compromis afin d'infecter les visiteurs. Un faux antivirus était ainsi proposé aux internautes visitant le site de téléchargement des produits Kaspersky...

- Justice :
Facebook [16] a déposé trois plaintes devant la cour fédérale de San Jose en Californie contre plusieurs personnes (physiques et morales) ayant abusé de son image pour monter des arnaques contre des internautes. Celles-ci visent deux hommes : Steven Richter et Jason Swan, ainsi qu'une entreprise canadienne spécialisée dans le marketing viral : MaxBounty. Ce n'est pas la première fois que Facebook poursuit des pirates devant les tribunaux, mais c'est une première concernant les sociétés "d'affiliation" telles que MaxBounty. D'après la société, MaxBounty serait responsable de plusieurs campagnes d'envoi de pourriels...

- Conférence / Recherche :
D'après les observations de Microsoft [17], Java pourrait bientôt remplacer le format PDF en tant que vecteur d'attaque favori des pirates. En effet, l'interopérabilité de Java, et l'ajout de nouvelles fonctionnalités de sécurité au sein des logiciels Adobe feront probablement pencher la balance du côté de Java. Par ailleurs, de plus en plus de packs d'exploitation [18] embarquent les exploits ciblant les vulnérabilités présentes au sein de Java.

- Entreprises :
Adobe [19] a annoncé la prochaine sortie des versions "X" de ses logiciels phares Adobe Reader, mais aussi Acrobat Suite, Acrobat Pro et Acrobat Standard. Cette nouvelle version majeure apportera entre autres de nouvelles fonctionnalités telles que la mise en place d'un bac à sable permettant de limiter le risque d'exploitation d'une faille de sécurité par un pirate.

- Internationnal :
Après avoir commencé à travailler sur un nouveau système d'exploitation [20] visant à garantir la sécurité et l'indépendance de l'Inde, le pays réfléchit actuellement à la mise en place d'une solution permettant de se "déconnecter" d'Internet [21]. Cet "interrupteur" permettait ainsi aux autorités indiennes de gagner du temps afin de mettre en place des protections lors de potentielles cyberattaques (cf. Estonie et la Géorgie en 2007 et 2008).

L'Allemagne [22] aurait de nouveau fait appel à un pirate afin d'obtenir des informations confidentielles détenues par la banque suisse Julius Bär. Un CD contenant environ 200 noms de clients de la banque suspectée de fraude fiscale aurait été acheté pour 1,5 million d'euros par un Land allemand (Rhénanie du Nord/Westphalie). Le pirate aurait agi, non pas pour son intérêt personnel, mais pour une "juste cause" puisqu'il aurait reversé cette somme à une oeuvre de bienfaisance. Celle-ci aurait refusé cet argent "douteux"...

Dans sa "National Security Strategy", le Royaume-Uni [23] aurait décidé d'allouer environ 567 millions d'euros afin de faire face aux cybermenaces. Le document métrait en place le contexte pour la "Strategic Defence Review" de demain. La cyberguerre est désormais officiellement considérée comme l'une des menaces les plus sérieuses pour le Royaume-Uni, et est classée au même niveau que le terrorisme, les pandémies ou encore les crises militaires internationales. Le document met en avant les Jeux olympiques de 2012 comme étant un évènement à haut risque en terme de cyberattaques.

Des pirates chinois [24] auraient mené des attaques contre de nombreux officiels sud coréens afin de leur dérober de nombreux documents confidentiels tout au long de 2010. Apparemment, les hackers ciblaient les fonctionnaires chargés des relations avec la Corée du Nord.

- Prévention :
Google, le géant de la recherche sur Internet, a publié une checklist [25] "sécurité" composée de 18 recommandations réparties en 5 grandes catégories : l'ordinateur, le navigateur Internet, le compte Google, les réglages de Gmail et enfin d'autres rappels. Celle-ci est principalement destinée aux utilisateurs de son service de messagerie Gmail.

Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité [26] ("Cyber Security Awareness Month", aka "CSAM"). Déjà 25 bonnes pratiques concernant l'informatique au sein du cercle familial, scolaire et professionnel ont été formulées.

- XMCO :
Le cabinet XMCO est à la recherche d'un stagiaire pour janvier 2011 : http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1451
APSA10-04.html" target='_blank'>http://blogs.adobe.com/psirt/2010/10/security-advisory-for-adobe-shockwave-player-APSA10-04.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3653

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1452
http://www.exploit-db.com/exploits/15296/

[3]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1448
http://scarybeastsecurity.blogspot.com/2010/10/minor-leak-major-headache.html

[4]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1434
http://shinnai.altervista.org/exploits/SH-007-20101019.html

[5]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1449
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1450
http://archives.neohapsis.com/archives/fulldisclosure/2010-10/0258.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3847

[6]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1425
http://www.adobe.com/support/security/bulletins/apsb10-23.html

[7]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1426
http://www.adobe.com/support/security/bulletins/apsb10-24.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3153

[8]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2885

[9]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2886

[10]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1437
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.11

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1437
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.5

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1436
http://googlechromereleases.blogspot.com/2010/10/stable-channel-update.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1416
http://krebsonsecurity.com/2010/10/pill-gang-used-microsofts-network-to-attack-krebsonsecurity-com/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1431
http://countermeasures.trendmicro.eu/kaspersky-download-site-spread-fake-av/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1432
http://www.h-online.com/security/news/item/Trojan-trouble-at-Lenovo-1110581.html

[16]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1441
http://www.pcworld.com/businesscenter/article/208387/facebook_sues_over_free_gift_card_dislike_button_scams.html

[17]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1429
http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx

[18]
http://contagiodump.blogspot.com/2010/06/overview-of-exploit-packs-update.html

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1409
http://blogs.adobe.com/adobereader/2010/10/announcing-adobe-reader-x.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1358
http://www.newdelhinews.net/story/695571

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1454
http://economictimes.indiatimes.com/tech/internet/Govt-plans-to-cut-internet-services-in-case-of-cyber-attacks/articleshow/6791296.cms

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1422
http://www.rsr.ch/info/les-titres/economie/2592314-l-allemagne-s-offre-de-nouvelles-donnees-volees.html

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1423
http://www.computerworlduk.com/news/security/3244562/cyber-attacks-now-a-top-threat-to-uk-security-says-home-secretary/

[24]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1427
http://www.fastcompany.com/1696014/chinese-hackers-target-south-korean-diplomats

[25]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1420
http://mail.google.com/support/bin/static.py?hl=en&page=checklist.cs&tab=29488

[26]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1323
http://isc.sans.edu/diary.html?storyid=9640

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PATCH] [MICROSOFT] El�vation de privil�ges via plusieurs vuln�rabilit�s au sein du pilote de p�riph�rique noyau Win32k.sys (MS10-073)

Wed, 13 Oct 2010 12:12:13 GMT+1

Information	Valeur
Titre	Elévation de privilèges via plusieurs vulnérabilités au sein du pilote de périphérique noyau Win32k.sys (MS10-073)
Titre officiel	Microsoft Security Bulletin MS10-073 - Important - Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (KB981957)
Date	12 Octobre 2010
Plateforme	Windows
Programme	Noyau Windows
Criticité	Urgente
Exploitation	Locale
Dommage	Elévation de privilèges
Description	Trois vulnérabilités ont été corrigées au sein des systèmes Windows. L'exploitation de celles-ci permettait à un attaquant d'élever ses privilèges. Les trois failles de sécurité provenaient d'erreurs au sein du pilote de périphérique noyau des systèmes Windows (Win32k.sys). Ce gestionnaire permet de contrôler le gestionnaire de fenêtres, les affichages à l'écran ou encore les entrées du clavier et de la souris. Les erreurs étaient liées à une mauvaise gestion du nombre de pointeurs d'un objet (CVE-2010-2549, CXA-2010-0839 et [1]), d'une classe de fenêtres (CVE-2010-2744) ou encore lors du chargement de la configuration du clavier depuis un disque (CVE-2010-2743). La première vulnérabilité provenait de la façon dont les pilotes en mode noyau conservaient leur compteur de références sur un objet (CVE-2010-2549). La faille pouvait plus précisément être exploitée par un pirate afin de provoquer une erreur de type "use-after-free" en effectuant un grand nombre d'appels à la fonction "NtUserCheckAccessForIntegrityLevel()" provoquant ainsi une erreur au sein de la fonction "LockProcessByClientId()". (voir CXA-2010-0839) La deuxième vulnérabilité était liée à la façon dont les pilotes en mode noyau de Windows chargeaient des configurations de clavier spécifiques (CVE-2010-2743). Enfin, la dernière faille de sécurité était due à un manque de validation des données provenant des classes de fenêtres (CVE-2010-2744). Pour rappel, le ver Stuxnet exploitait la vulnérabilité liée à la configuration du clavier pour infecter des systèmes depuis une clé USB. En exécutant une application qui exploiterait l'une de ces vulnérabilités, un attaquant local préalablement authentifié était en mesure d'obtenir des privilèges élevés sur le système vulnérable. Note : l'application de ce correctif nécessite un redémarrage. Note 2 : ce bulletin remplace le précédent correctif MS10-048.
Exploit	Un code d'exploitation est disponible sur notre extranet
Vulnérable	* Windows XP SP3 * Windows XP Professionnel SP2 (Edition 64 bits) * Windows Server 2003 SP2 (Edition 32bits, 64 bits et Itanium) * Windows Vista SP1 et SP2 (Edition 32 et 64 bits) * Windows Server 2008 et Windows Server 2008 SP2 (Edition 64 bits et Itanium) * Windows 7 (Edition 32 et 64 bits) * Windows Server 2008 R2 (Edition 64 bits et Itanium)
Référence	[FR] http://www.microsoft.com/france/technet/security/bulletin/MS10-073.mspx [EN] http://www.microsoft.com/technet/security/bulletin/MS10-073.mspx https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0839 https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1306 http://www.exploit-db.com/exploits/14156/
Référence CVE	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2549 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2743 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2744
Correction	Le CERT-XMCO recommande l'application de ce correctif en urgence afin de limiter le risque d'infection par le ver Stuxnet. Le correctif MS10-073 est disponible sur le site de l'éditeur aux adresses suivantes : * Windows XP SP3 : http://www.microsoft.com/downloads/details.aspx?familyid=3966D754-D298-4E4A-9CE6-8205ACCD2215 * Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=7FD7C675-0675-4A87-A709-EDC47A30F1E2 * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=8EF4378E-21FF-4290-96BA-E00A60F372D1 * Windows Server 2003 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=4A95C74B-CFD8-45B5-8887-777429D21745 * Windows Server 2003 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=21637CD8-C75C-43B4-9948-BE7BE54AF6BF * Windows Vista SP1 et SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=E9F735AB-D995-4209-B2DC-197F53FDEE0F * Windows Vista SP1 et Windows Vista SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=738C8F70-B46A-4A59-BEA6-078074A9C4DB * Windows Server 2008 et Windows Server 2008 SP2 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=4DFF0EBE-CCBA-4675-98CA-9903F1CB6763 * Windows Server 2008 et Windows Server 2008 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=DA7905A9-9587-4184-8FCA-ECC636A3B67E * Windows Server 2008 et Windows Server 2008 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=B9096046-8C7A-450C-B8C5-6E9FB001E6CD * Windows 7 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=B5B31499-D242-42BF-AC78-B787FFB4D602 * Windows 7 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=C47E8B74-8CFE-42D9-9362-8786687C88AD * Windows Server 2008 R2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=98E0C6AC-C30B-4D39-8ED9-1FE69E7644E5 * Windows Server 2008 R2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=44080C75-036E-4BD0-914A-74AB72189EE3 Aucune solution de contournement n'a été identifiée par l'éditeur.
Id XMCO Partners	CXA-2010-1367
Lien extranet XMCO Partners	http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1367

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PATCH] [MICROSOFT] Corrections de multiples vuln�rabilit�s au sein du navigateur Internet Explorer (MS10-071)

Wed, 13 Oct 2010 12:07:15 GMT+1

Information	Valeur
Titre	Corrections de multiples vulnérabilités au sein du navigateur Internet Explorer (MS10-071)
Titre officiel	Cumulative Security Update for Internet Explorer (KB2360131)
Date	13 Octobre 2010
Plateforme	Windows
Programme	Internet Explorer
Criticité	Elevée
Exploitation	Avec une page web malicieuse
Dommage	Accès au système
Description	Microsoft vient de corriger 10 vulnérabilités présentes dans Internet Explorer, dont 2 considérées comme "critique" par Microsoft (CVE-2010-3326 et CVE-2010-3328). Les failles de sécurité résultaient principalement de débordements de mémoire lors du traitement de certains objets non ou mal initialisés. En incitant un utilisateur à visiter une page web spécialement conçue, un pirate était en mesure de compromettre un système en exécutant, à l'insu de la victime un code malicieux avec les droits de la victime exécutant Internet Explorer. La vulnérabilité (CVE-2010-0808), affectant uniquement Internet Explorer 6 et 7 sur Windows XP, est différente des autres. Cette vulnérabilité permet à un site web malicieux de voler le contenu des données préalablement utilisées par la fonction AutoComplete d'Internet Explorer. La fonction AutoComplete est le mécanisme permettant à Internet Explorer de remplir automatiquement des formulaires web avec les données fréquemment demandées (noms, prénoms, email...). Une autre vulnérabilité (CVE-2010-3330) permet à un JavaScript malicieux de contourner les protections dites de "Cross-Domain" (procédure de sécurité interdisant à une page web d'effectuer des requêtes sur un autre site visité par l'utilisateur) et alors de voler des informations à l'utilisateur, voire de s'introduire dans le réseau interne. Note : ce bulletin remplace le précédent correctif MS10-053.
Vulnérable	* Microsoft Internet Explorer 6 * Microsoft Internet Explorer 7 * Microsoft Internet Explorer 8
Référence	[EN] http://www.microsoft.com/technet/security/bulletin/ms10-071.mspx [FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-071.mspx
Référence CVE	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3243 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3324 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3326 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3328 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3329 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3330 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3331
Correction	Le CERT-XMCO recommande l'application du correctif MS10-071 (KB2294255) disponible aux adresses suivantes : Microsoft publie plusieurs versions du correctif en fonction de la version d'Internet Explorer et de la version de Windows : Internet Explorer 6 Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?FamilyID=3b029696-cf98-4935-b3d6-846110aaa4bb Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=d494535a-b68e-4242-af85-5fa62f631ffc * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?FamilyID=f64af3cd-591d-4212-94a0-3bc9a4d9782a * Windows Server 2003 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=12c3b950-b955-4820-9b4c-5206deb0cd3e * Windows Server 2003 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?FamilyID=97b3f6dc-8df5-4c93-aaee-f191498c7ce4 Internet Explorer 7 Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?FamilyID=c77ee103-7e97-44b2-bbf3-ee9f0de37fed Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=ff9c65fe-437c-426d-9096-dd89ff7927fd * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?FamilyID=fbcf0e65-c9f4-47f8-b4fc-ae46a66ab339 * Windows Server 2003 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=59a715a5-10ff-40e6-88e0-096c9b640799 * Windows Server 2003 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?FamilyID=ba194be9-24f9-4c62-9aa9-9e98c81ddba1 * Windows Vista SP1 et Windows Vista SP2 : http://www.microsoft.com/downloads/details.aspx?FamilyID=4f656d16-2a7e-4d18-8a5a-ebf8a1a10e2b * Windows Vista SP1 et Windows Vista SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=02c6260c-8e21-401a-992d-884c6ff7141d * Windows Server 2008 et Windows Server 2008 SP2 (32 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=0107dd61-7b3e-4fcf-9743-d9ae594b2278 * Windows Server 2008 et Windows Server 2008 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?FamilyID=139f3bb2-eefc-4cf4-9c15-de78f5a736c1 * Windows Server 2008 et Windows Server 2008 SP2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?FamilyID=1a971fb2-7dc4-43bf-ae25-3a420bb1acf9 Internet Explorer 8 Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?familyid=93580299-d764-417f-a7fa-ee441fea2bb3 Windows XP Professional SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=05413f6c-b4be-4892-b4b3-c54dd01fd95d * Windows Server 2003 SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=9af37f62-5585-4ff5-9dd3-3fa0b148ae08 * Windows Server 2003 SP2 (64 bits) http://www.microsoft.com/downloads/details.aspx?familyid=c8052f0c-e62c-46c4-bb59-d515fa388ea8 * Windows Vista SP1 et Windows Vista SP2 : http://www.microsoft.com/downloads/details.aspx?familyid=191c8388-f1ef-45b6-9f07-d5654a973abe * Windows Vista SP1 et Windows Vista SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=adeb3036-62fa-4a29-b82f-ff4a50c05996 * Windows Server 2008 et Windows Server 2008 SP2 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=ea5b7c86-3878-43a9-a4bc-12e04bfbd06e * Windows Server 2008 et Windows Server 2008 SP2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=71ecdb27-46aa-4db1-b86a-3268cda88632 * Windows 7 (32 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=6595770f-e580-4613-a83a-3b8ee4cc30f1 * Windows 7 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=ffe364ee-e2ae-466c-b727-14b1a976a860 * Windows Server 2008 R2 (64 bits) : http://www.microsoft.com/downloads/details.aspx?familyid=d8b563ce-5db1-4490-8a63-44833d55152b * Windows Server 2008 R2 (systèmes Itanium) : http://www.microsoft.com/downloads/details.aspx?familyid=bbaa9f46-8fc7-4c44-b38c-dc3d5210f63d
Id XMCO Partners	CXA-2010-1376
Lien extranet XMCO Partners	http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1376

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 4 au 10 octobre

Tue, 12 Oct 2010 12:32:26 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO attire votre attention sur la sortie du bulletin de sécurité APSB10-21 [1] corrigeant un grand nombre de vulnérabilités au sein d'Adobe Reader et d'Acrobat.
Par ailleurs, Microsoft [2] et Oracle [3] publieront dans la semaine à venir un grand nombre de correctifs : 16 bulletins corrigeant 49 vulnérabilités pour Microsoft ainsi qu'un bulletin concernant 81 vulnérabilités pour Oracle.

* Résumé des évènements majeurs :
— Vulnérabilités :
RIM, le fabricant de la solution BlackBerry, a été évoqué à plusieurs reprises au cours de la semaine.
Une vulnérabilité [4] a été découverte au sein du système d'exploitation de la plateforme mobile de Research In Motion (RIM) : BlackBerry. Un pirate est ainsi en mesure d'accéder à des informations sensibles en incitant un utilisateur à ouvrir une page Internet spécialement conçue utilisant le mécanisme HTML des "IFRAMES".
Une autre faille [5] de sécurité liée à l'utilisation du logiciel "BlackBerry Desktop Software" a été découverte par la société Elcomsoft. La mauvaise utilisation de la fonction de dérivation de clef "PBKDF2" associée à l'algorithme de chiffrement AES permettrait à un pirate de mener une attaque par force brute pour découvrir la valeur de la clef privée de 256 bits utilisée pour chiffrer les sauvegardes du système... Un pirate pourrait donc accéder en relativement peu de temps à l'ensemble des données sauvegardées par un utilisateur.

— Correctifs :
Microsoft a annoncé la date de publication de ses correctifs. Le 12 octobre, le "Patch Tuesday" [2] comprendra donc 16 bulletins corrigeant 49 vulnérabilités présentes au sein de Windows, SharePoint, Microsoft Web Applications ainsi que dans la suite bureautique Office. Microsoft juge celles-ci comme étant "critiques" pour quatre d'entre elles, "importantes" pour dix d'entre elles, et enfin "modérées" pour les deux restantes. Par ailleurs, l'édition d'octobre du "Patch Tuesday" sera aussi l'occasion pour Microsoft de corriger les deux vulnérabilités "0day" exploitées par le malware Stuxnet [6] pour élever ses privilèges.

Le même jour, Oracle publiera de son côté son bulletin de sécurité trimestriel "cpuoct2010" [3] corrigeant 81 vulnérabilités au sein de l'ensemble des logiciels Oracle et Sun.

Adobe a publié cette semaine son correctif hors cycle APSB10-21 [1]. Celui-ci corrige 23 vulnérabilités dont les failles de sécurité "0day" référencées CVE-2010-2883 [7] et CVE-2010-2884 [8] présentées par Adobe dans les alertes APSA10-02 [9] et APSA10-03 [10]. Dans le même temps, les professionnels de la sécurité, réunis pour la conférence annuelle "Virus Bulletin" qui se tenait à Vancouver au Canada, ont symboliquement voté pour l'abolition du format PDF [11]... Si aucune vulnérabilité ou aucun code d'exploitation ne sont publiés avant la fin du prochain cycle de sécurité d'Adobe, les prochains bulletins accompagnés de leur correctif sont attendus pour le 8 février 2011.

Enfin, MySQL [12], PostgreSQL [13] et Typo3 [14] ont publié des correctifs pour leurs logiciels respectifs.

— Cybercriminalité / Attaques :
Stuxnet [15] continue de faire parler de lui. Cette semaine, l'Iran a annoncé avoir arrêté les "espions" [16] responsables de la prolifération du malware dans le pays.
Dans le même temps, le régime islamique a reporté au début de l'année 2011 le lancement de la centrale nucléaire de Bushehr [17]. De légères fuites au coeur de la centrale forceraient les Iraniens à retarder la mise en production de la centrale, qui devait avoir lieu initialement au début du mois de novembre...

De nombreuses arrestations ont eu lieu cette semaine un peu partout dans le monde : en Angleterre [18], aux États-Unis [19] et en Ukraine [20]. Les pirates étaient soupçonnés de faire partie d'organisations liées au cybercrime tirant parti du malware ZeuS pour détourner de l'argent.

Plusieurs articles relatifs au cybercrime ont été publiés. Parmi ceux-ci, une étude [21] rappelant l'organisation complexe des criminels, ainsi que la vision de Microsoft [22] pour s'en protéger à l'échelle mondiale.

— Justice :
En Angleterre, un jeune homme de 19 ans vient d'être condamné [23] à quatre mois de prison pour avoir refusé de divulguer un mot de passe. Celui-ci avait été arrêté en mai 2009 dans une affaire de pédophilie, mais la Police n'a pu accéder au contenu chiffré du portable...

— Conférence / Recherche :
À la suite de l'étude menée sur l'utilisation des données personnelles par les applications Androïd [24], c'est au tour des applications pour l'iOS d'Apple [25] d'être montrées du doigt. Seuls 14 % des 57 applications provenant en partie des catégories "Most popular" et "Top Free" de l'AppStore n'utiliseraient pas de données personnelles. Inversement, près de 68 % des applications échangeraient au moins l’UDID ("Unique Device Identifier") avec des serveurs privés.

— Entreprises :
T-Mobile et HTC ont annoncé la commercialisation d'un nouveau smartphone basé sur Androïd, dont la particularité sera d'être équipé d'un rootkit matériel [26] permettant à l'opérateur et au fabricant d'empêcher toute modification du système. C'est sûrement la première fois qu'un éditeur propose d'un côté aux utilisateurs un système ouvert, et au fabricant un système verrouillé...

Le fournisseur d'accès à Internet américain Comcast [27] a annoncé le déploiement à l'échelle nationale d'un programme pilote initié à Denver l'année dernière. L'objectif de ce programme est d'alerter de façon automatisée les abonnés du FAI lorsque certains signes caractéristiques de la compromission d'un système ont été observés. Pour le moment, deux solutions techniques existent : l'envoi d'un courriel à l'internaute, ainsi que l'affichage d'une bannière en haut de chaque page Internet visitée avec un navigateur web. Dans le même temps, le FAI donne des conseils à ses clients afin de les aider à sécuriser leur ordinateur.

— Internationnal :
Les Émirats Arabes Unis [28] ont retiré la demande de suspension des services proposés par RIM dans le cadre de son offre BlackBerry, précédemment formulée auprès des opérateurs locaux. La solution proposée par RIM devrait donc satisfaire les exigences des émirats en terme de sécurité nationale.

— Prévention :
Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité [29] ("Cyber Security Awareness Month", aka "CSAM"). Déjà dix bonnes pratiques concernant l'informatique au sein du cercle familial ont été formulées.

Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1327
http://www.adobe.com/support/security/bulletins/apsb10-21.html

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1347
http://www.microsoft.com/technet/security/bulletin/ms10-oct.mspx

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1352
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1319
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1320
http://packetstormsecurity.org/1009-exploits/blackberry-crossorigin.txt

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1326
http://www.lemondeinformatique.fr/actualites/lire-le-cryptage-des-sauvegardes-blackberry-compromis-31832.html

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1306
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1327
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883
http://www.adobe.com/support/security/bulletins/apsb10-21.html

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1236
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2884
http://www.adobe.com/support/security/bulletins/apsb10-22.html

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1151
http://www.adobe.com/support/security/advisories/apsa10-02.html

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1180
http://www.adobe.com/support/security/advisories/apsa10-03.html

[11]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1339
http://www.bitdefender.co.uk/NW1776-uk--BitDefender-report-echoes-security-industry-voice-on-PDFs.html

[12]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1316
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-51.html

[13]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1329
http://www.postgresql.org/about/news.1244

[14]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1333
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020/

[15]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1325
http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf

[16]
http://hackingexpose.blogspot.com/2010/10/iran-boasts-of-stuxnet-nuclear-spies.html

[17]
http://hackingexpose.blogspot.com/2010/10/iran-nuclear-plant-shutdown-due-to-leak.html

[18]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1313
http://www.scmagazineus.com/uk-police-arrest-19-in-major-zeus-bust/article/179946/

[19]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1313
http://www.scmagazineus.com/us-authorities-charge-70-money-mules-in-zeus-ring/article/180080/

[20]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1313
http://www.scmagazineus.com/fbi-announces-arrest-of-five-zeus-orchestrators/article/180213/

[21]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1341
http://www.securityweek.com/structure-crybercrime-organization-hackers-have-supply-chains-too

[22]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1353
http://blogs.technet.com/b/microsoft_on_the_issues/archive/2010/10/05/the-need-for-global-collective-defense-on-the-internet.aspx

[23]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1334
http://www.h-online.com/security/news/item/Four-months-jail-for-refusing-to-disclose-password-1102546.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1297
http://appanalysis.org/tdroid10.pdf

[25]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1321
http://www.pskl.us/wp/wp-content/uploads/2010/09/iPhone-Applications-Privacy-Issues.pdf

[26]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1338
http://oti.newamerica.net/blogposts/2010/newest_google_android_cell_phone_contains_unexpected_feature_a_malicious_root_kit-380

[27]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1322
http://krebsonsecurity.com/2010/10/comcast-pushes-bot-alert-program-nationwide/

[28]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1354
http://www.lemonde.fr/technologies/article/2010/10/08/les-emirats-arabes-unis-ne-suspendront-pas-les-services-du-blackberry_1422062_651865.html

[29]
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1323
http://isc.sans.edu/diary.html?storyid=9640

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61