Avis d'expert : semaine du 25 au 31 Juillet 2011

Le CERT-XMCO ne note aucun événement particulier à retenir cette semaine.

Résumé des évènements majeurs :

Vulnérabilités :

Plusieurs failles de sécurité ont été découvertes cette semaine au sein des logiciels tels que Oracle, Skype, Internet Explorer, ou FreeRadius. Une vulnérabilité a également été découverte au sein du module « Google Web Toolkit Remote Procedure Call » de CA ARCserve D2D. En envoyant une requête HTTP de type POST spécialement formée en direction de la page « /contents/service/homepage » sur le port TCP/8014, le pirate était en mesure de récupérer les identifiants « Administrateur » utilisés lors de l’installation de l’application.

Correctifs :

Une vulnérabilité a été corrigée au sein du système d’exploitation iOS d’Apple, celle-ci résultait d’un manque de validation de l’extension « BasicConstraints » contenue dans un certificat x509. Un utilisateur malveillant était en mesure de générer et signer un faux certificat dans le but de mener une attaque de type « Man-In-The-Middle ».

De nombreux autres correctifs ont été publiés. Parmi les logiciels concernés : PhpMyAdmim, serveur Bind/Adobe Flash Player de Solaris, Nagios, D-Link, Samba SWAT, XenApp/XenDesktop, serveur Bind de F5, Typo3, Oracle Enterprise Manager, EMC Data Protection/EMC Captiva eInput, Drupal Core, Cisco TelePresence Recording Server, VMWare ESX, Sybase, Apache Tomcat et IBM WebSphere Application Server.

De multiples failles de sécurité ont également été corrigées sur les produits HP tels que HP Data Protector, HP Performance/Operations Agent, HP Network Automation et HP SiteScope.

Exploit :

Plusieurs codes d’exploitation ont été publiés cette semaine. Il était possible de prendre le contrôle à distance d’un système hébergeant une application PhpMyAdmin ou encore CA ARCserve D2D. Une preuve de concept permettant d’accéder au système via une faille au sein de Safari installé sur les produits Apple a été publiée. Enfin, une preuve de concept permettant de réaliser une attaque de type « Cross-Site Request Forgery » au sein de Samba SWAT a été publiée.

Conférence / Recherche :

Le chercheur en sécurité nommé Charlie Miller a découvert les batteries MacBook, MacBook Pro et MacBook Air utilisaient tous le même mot de passe pour protéger leur firmware. Ce chercheur n’a pas dévoilé le mot de passe pour l’instant, mais cette vulnérabilité pourrait permettre à un pirate de réaliser un virus surchauffant la batterie, voire même de la faire exploser.

Il semblerait également que les mots de passe de session de Mac OS X soient stockés en mémoire lorsque celui-ci est verrouillé ou mis en veille. Pour exploiter cette faille de sécurité, un logiciel nommé Passware Kit Forensic permet de se connecter directement à la mémoire (DMA) par une connexion FireWire pour pouvoir récupérer le mot de passe de l’utilisateur.

Publication :

La société Imperva, spécialisée dans la protection des données, a publié un rapport analysant 10 millions de requêtes « hostiles » récupérées sur une trentaine de sondes. Les failles de sécurité les plus recherchées ne sont pas nouvelles : Directory Traversal, XSS, SQL Injection, …

La cérémonie de Pwnie Awards a annoncé ses nominés pour l’année 2011. Le groupe « Anonymous » et « Lulzsec » sont présents pour avoir piraté un grand nombre de sites de sociétés et de gouvernements. De son côté, Sony est le seul nominé dans la catégorie du piratage le plus impressionnant.

Microsoft a également annoncé l’ouverture de son nouveau centre de recherche et de protection contre les malwares « Microsoft Malware Protection Center » à Munich en Allemage.

La société AV-Test, organisme indépendant dans le domaine de la sécurité, déclare BitDefender comme ayant le score maximal à son comparatif d’antivirus. Les critères pris en compte par AV-Test incluent « la protection contre les attaques de malwares de type ‘0day’, la détection d’échantillons de codes malveillants récents et la détection de malwares en cours de propagation ».

Le département de la défense américain vient de mettre en ligne une distribution Linux sécurisée nommée Lightweight Portable Security (LPS). Au départ conçue pour permettre aux employés du département de la défense de travailler en toute sécurité sur des postes publics, elle peut maintenant être utilisée par le grand public.

Le directeur de l’US-CERT a annoncé cette semaine sa démission. Aucune information supplémentaire n’a été donnée de sa part sur les raisons de son départ.

Cybercriminalité / Attaques :

Le groupe Anonymous a posté sur le site « pastebin » un échantillon des 8 Go de données confidentielles volées aux autorités italiennes (CNAIPIC).

Le site de l’Élysée a été compromis dans la nuit de 26 au 27 juillet. Pendant quelques heures, la page d’accueil du site a été modifiée et proposait aux internautes de « faire sortir Nicolas Sarkozy ». Pour ce faire, les pirates ont exploité une vulnérabilité de type « Cross-site scripting » (XSS).

Entreprises :

Le porte-parole du Business Software Alliance (BSA) a récemment déclaré que la France est l’un des pays piratant le plus de logiciels. En effet, il semblerait que 39% des logiciels installés en 2010 soient illicites. La France est néanmoins en voie de progression depuis l’année 2005.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Adrien Guinault

Découvrir d'autres articles