Avis d'expert : semaine du 21 au 27 mars 2011

Suite à la publication d’un code exploitant une vulnérabilité au sein du Flash Player (APSA11-01), le CERT-XMCO recommande l’installation des correctifs disponibles pour Flash Player (APSB11-05), Adobe Reader et Adobe Acrobat (APSB11-06).

* Résumé des évènements majeurs :
Vulnérabilités :
Une faille de sécurité a été découverte au sein des concentrateurs VPN Cisco. Ceux-ci réagissent différemment en fonction de la validité du groupe spécifié au sein des messages IKE. Cette erreur permettrait à un attaquant de mener une attaque de force brute afin de récupérer le nom du groupe.

Plusieurs autres vulnérabilités ont été découvertes au sein du serveur TFTP d’Avaya IP Office Manager, de RealPlayer, d’IBM Lotus Domino, d’HP Virtual SAN et de l’iOS d’Apple. L’exploitation de ces failles de sécurité permettrait à un attaquant de provoquer un déni de service voire de compromettre un système.

Correctifs :
De multiples vulnérabilités ont été corrigées au sein de Mac OS X. L’exploitation de celles-ci permettait à un attaquant de mener des attaques de type « Cross-Site Scripting », de voler des informations, d’élever ses privilèges, de provoquer un déni de service, voire de compromettre un système.

Une vulnérabilité critique a été corrigée au sein des logiciels Adobe (Flash, Reader et Acrobat). L’exploitation de celle-ci permettait à un attaquant distant de prendre le contrôle d’un système via l’ouverture d’un fichier spécialement formé. Cette vulnérabilité a été rapidement exploitée par des pirates.

Enfin, plusieurs vulnérabilités ont été corrigées au sein des logiciels Solaris [1] [2], Novell Netware, Symantec LiveUpdate Administrator, CATIA, VLC, Google Chrome et de plusieurs applications Citrix.

Exploits :
Un code d’exploitation permettant à un attaquant de prendre le contrôle d’un système via une vulnérabilité dans Novell Netware a été publié. Celui-ci prend la forme d’un script Python et permet d’envoyer une commande FTP malicieuse dans le but de provoquer un débordement de tampon.

Un second exploit ciblant le serveur TFTP d’Avaya IP Office Manager a été publié. En envoyant une requête spécialement conçue à la machine cible, le pirate est en mesure de provoquer un déni de service.

Juridique :
Aux Pays-Bas, le piratage d’un routeur pour accéder à un réseau Wi-Fi n’est pas une infraction pénale. En effet, un étudiant a été jugé pour avoir posté une menace de mort sur un forum après avoir piraté un routeur Wi-Fi pour masquer son identité. Cette affaire a abouti à une nouvelle jurisprudence. En s’appuyant sur des éléments de la loi datant du début des années 90, le juge a estimé que le routeur piraté par l’étudiant ne remplissait pas les trois critères caractérisant un ordinateur selon la justice néerlandaise. Le jeune accusé n’a donc pas été poursuivi pour « acte de piratage ».

Conférence / Recherche :
Des dizaines de codes d’exploitation et de preuves de concept ciblant des failles sur les systèmes SCADA (Supervisory Control And Data Acquisition) ont été publiées cette semaine. Il semblerait qu’une société russe, se présentant comme spécialisée dans la sécurité des systèmes d’informations, ait lancé un kit d’exploitation regroupant les vulnérabilités dévoilées publiquement.

Cybercriminalité / Attaques :
Pour la seconde fois en peu de temps, une application malveillante disponible pour les smartphones reposant sur Androïd et exploitant une vulnérabilité connue a été découverte. Celle-ci était en mesure d’élever ses privilèges afin d’installer une porte dérobée sur le système et d’accéder au compte administrateur. Google a supprimé l’application de l’Androïd Market et a enclenché un processus de suppression automatique de l’application sur tous les téléphones infectés.

Neuf certificats frauduleux visant les sites internet de plusieurs grandes sociétés telles que Google, Yahoo, ou encore Skype ont été délivrés la semaine dernière par une autorité de certification racine appelée Comodo. Les attaquants ont eu accès à un compte utilisateur de la RA (Registration Authority) par des moyens non déterminés. Ces certificats pourraient être utilisés dans des attaques de type « Man-in-the-Middle » sur une connexion protégée par le protocole SSL. Les principaux éditeurs de navigateurs Web ont été avertis et ont mis à jour leur liste de révocation.

La Commission Européenne a été victime d’une attaque informatique de grande ampleur deux jours avant le sommet de Bruxelles. Les dirigeants devaient s’intéresser au sort de la Libye, aux opérations militaires menées actuellement, ainsi qu’à la sûreté du nucléaire en Europe depuis les incidents survenus au Japon. Un porte-parole de la Commission a déclaré que seuls quelques services ont été affectés. Il semblerait que les pirates aient envoyé des courriels contenant un fichier malveillant en pièce jointe pour pénétrer à l’intérieur du système d’informations.

Entreprises :
Research In Motion (RIM) vient de mettre à disposition de ses clients privés européens l’application BlackBerry Protect. Celle-ci permet aux utilisateurs de protéger leur smartphone de la même manière que les entreprises peuvent le faire avec le BlackBerry Enterprise Server. Cette application permet au propriétaire du téléphone de sauvegarder ses contacts, son calendrier, ses tâches, ses notes, ses signets et ses SMS. Ces données sauvegardées peuvent ensuite être restaurées sur le smartphone d’origine ou sur un nouvel appareil BlackBerry. D’autres services, également disponibles, permettent de localiser son smartphone si celui-ci a été égaré, d’effacer toutes les données et de verrouiller le téléphone à distance.

XMCO :
XMCO a publié récemment le numéro 27 de l’ActuSécu. Au sommaire : Stuxnet, Exploit Windows Keyboard Layout, Actu du moment…
http://www.xmco.fr/actu-secu/XMCO-ActuSecu-27-STUXNET.pdf

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

Adrien Guinault

Découvrir d'autres articles