Avis d'expert : semaine du 14 au 20 mars 2011

Suite à la publication d’un code exploitant la vulnérabilité « Java codebase trust », le CERT-XMCO recommande une fois de plus l’installation du correctif publié par Oracle dans le bulletin JavaCpuFeb2011 le mois dernier.
Par ailleurs, une vulnérabilité 0day critique affectant Adobe Reader a été publiée. Adobe a réagi en publiant un correctif le lundi 21 mars. Le CERT-XMCO recommande d’installer ce correctif.

* Résumé de la semaine :
Vulnérabilités :
Adobe a annoncé mardi dernier, la découverte d’une vulnérabilité 0day critique dans Adobe Flash et Reader. Cette vulnérabilité peut être exploitée pour prendre le contrôle à distance d’un système implémentant un de ces deux logiciels. Des attaques exploitant celle-ci ont déjà été identifiées sur Internet : un fichier Excel (.XLS) malveillant dans lequel serait contenue une animation Flash, spécialement conçue, serait envoyé par email à de nombreux internautes. Seul Flash Player serait actuellement pris pour cible par les pirates. Adobe a annoncé qu’un correctif sera publié durant la semaine du 21 mars. Le CERT-XMCO recommande de se préparer au déploiement de se correctif et de redoubler de vigilance lors de la réception de pièce jointe.

Une vulnérabilité a été découverte au sein du navigateur Internet utilisé sur les smartphones BlackBerry. L’exploitation de celle-ci permet à un attaquant de prendre le contrôle d’un smartphone reposant sur la version 6.0 du logiciel BlackBerry Device Software. La faille de sécurité serait liée à la gestion des styles CSS au sein de Webkit.

Une vulnérabilité a été découverte sur la machine virtuelle Java installée avec Novell Access Manager. La faille de sécurité provient d’un problème de conversion entre deux types de données permettant à un attaquant de provoquer un déni de service.

Correctifs :
De multiples vulnérabilités on été corrigées au sein de SAP Crytal Reports 2008, SAP NetWeaver, SAP GUI, VMware vCenter, HP Client Automation Enterprise, IBM Lotus Quickr, Asterisk, Kerberos, RSA Access Manager Server, et enfin Flash Player sur Solaris.

Exploits :
Une preuve de concept exploitant l’une des vulnérabilités affectant les versions inférieures à Java 6 Update 24 a été publiée. Cette dernière, intégrée au sein du framework d’exploitation Metasploit pourrait donc prochainement être utilisée par des pirates afin de prendre le contrôle d’un système.

Un code d’exploitation permettant d’élever ses privilèges au sein du Runtime .Net sur un système Windows a été publié. Celle-ci permet de modifier le fichier, et force le système à exécuter des commandes arbitraires. Un compte local est néanmoins nécessaire pour pouvoir exploiter cette vulnérabilité.

De nombreux autres exploits ont été publiés cette semaine. Ces codes d’exploitation ciblent des vulnérabilités de Foxit Reader, HP OpenView Performance Insight Server, Adobe ColdFusion, et enfin RealPlayer.

Entreprises :
La nouvelle version de la célèbre tablette tactile d’Apple, sortie le 11 mars dernier, a tenu 3 jours après sa sortie avant d’être jailbreakée. Le hacker Comex a réussi à contourner les diverses protections de la version 4.3 du système d’exploitation iOS. Il semblerait que la vulnérabilité exploitée soit située en espace utilisateur (« User Land »).

Cybercriminalité / Attaques :
Le botnet Rustock, responsable d’une importante quantité de spams, semblerait avoir arrêté son émission le 16 mars 2011 à 15h. Ce dernier représentait parfois à lui seul la moitié du spam enregistré par certains chercheurs.

Le célèbre fournisseur de solutions de sécurité, RSA, a récemment été victime d’une attaque particulièrement sophistiquée. D’après les premiers éléments découverts, des informations sensibles relatives système d’authentification forte RSA SecurID auraient ainsi été volées. Parmi les informations que les pirates auraient pu récupérés, figurent les graines utilisées par RSA SecurID pour la génération des 6 chiffres aléatoires par le token RSA, ou encore le code source de la solution RSA SecurID. Les attaquants pourraient prédire les chiffres générés par les tokens, réduisant ainsi le niveau de sécurité de l’authentification de l’entreprise victime, ou avoir toutes les cartes en main afin de trouver des vulnérabilités exploitables.

XMCO :
XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment…
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

Adrien Guinault

Découvrir d'autres articles