Avis d'expert : semaine du 10 au 16 mai 2010

Cette semaine, une nouvelle vulnérabilité critique (0-day) affectant Safari a été publiée. Le code d’exploitation étant disponible sur Internet, le CERT-XMCO recommande aux utilisateurs de Safari de ne pas visiter de sites provenant de sources douteuses, voire d’utiliser un navigateur alternatif dans l’attente d’un correctif.
Deux autres évènements majeurs ont également retenu notre attention:
– La publication par Microsoft et Adobe des bulletins de sécurité du mois de mai ;
– Et la publication des résultats alarmistes du concours PWN2KILL sur l’état des lieux des antivirus.

* Résumé des évènements majeurs :
Dans le cadre du « patch tuesday » du mois de mai, Microsoft a corrigé deux vulnérabilités critiques affectant les clients de messagerie Outlook Express/Windows Mail (MS10-030) et l’interpréteur VBScript pour Applications (VBA) (MS10-031) principalement utilisés au sein de la suite Office. L’exploitation de la première faille de sécurité nécessite qu’un pirate incite un utilisateur à utiliser un serveur de messagerie malicieux (i.e. modification de la configuration). Quant à la seconde, celle-ci requiert qu’un utilisateur ouvre un fichier contenant une macro spécialement conçue. Dans les deux cas, l’exploitation de la vulnérabilité est jugée complexe par Microsoft. Le CERT-XMCO recommande néanmoins l’application des correctifs.

De son côté, Adobe a publié deux bulletins de sécurité corrigeant de nombreuses failles de sécurité au sein de du serveur Coldfusion (APSB10-11) et du lecteur Shockwave (APSB10-12).

Le projet « Month of PHP Bugs » poursuit sa lancée en révélant chaque jour de nouvelles vulnérabilités au sein de l’interpréteur PHP et des applications codées dans le même langage. Près d’une vingtaine de vulnérabilités plus ou moins critiques ont déjà été présentées.

Dans le cadre de la conférence iAWACS 2010, le concours PWN2KILL a été l’occasion de tester la protection offerte par quinze antivirus. Sur sept virus « home made », un seul a été détecté par l’ensemble des solutions de protection. Les six autres ont tous réussi à infecter au moins 12 systèmes Windows 7 protégés par un antivirus différent. Ces résultats démontrent, une nouvelle fois, les limites des antivirus actuels.
Les éditeurs de solutions devraient faire évoluer leurs logiciels pour ne pas rester cantonnés à des méthodes de détections relativement bien connues des pirates, et facilement contournables. En effet, les sept équipes étaient principalement constituées d’élèves de l’ESIEA, école qui organisait la conférence et le concours.
De leur côté, les chercheurs de la société Matousec ont publié une analyse sur l’utilisation par les antivirus de « hooks » sur le système d’exploitation pour mettre en place leur solution de protection. D’après ces chercheurs, les implémentations seraient relativement vulnérables à une attaque durant laquelle l’échantillon de code scanné serait remplacé par un échantillon malveillant juste après la vérification. Le fruit de ces recherches semble faire polémique dans le monde de la sécurité. En effet, il semblerait que cette technique appelée TOCTOU (Time Of Check to Time Of Use) avait été publiée en 2003 dans les listes de diffusion de sécurité.

L’accès à Internet en Allemagne et en Autriche a été fortement perturbé au cours de la semaine dernière. Durant environ une heure, une panne de quatre serveurs DNS responsables des domaines « .DE » et « .AT » a gêné la résolution des noms de ces domaines. De nombreux sites et services ont été affectés. Ce genre d’événement montre bien la faiblesse du système DNS actuel sur lequel repose Internet.

Enfin, un nouveau type de botnet constitué uniquement de serveurs a été découvert. Contrairement à de simples ordinateurs personnels, les serveurs disposent généralement d’une bande passante importante ce qui réduit le nombre de zombies pour mener une attaque de DDoS.

Adrien Guinault

Découvrir d'autres articles