Avis d'expert : semaine du 28 Novembre au 4 Décembre 2011

À la suite de la publication de deux codes d’exploitation permettant de prendre le contrôle d’un système via une faille au sein de la machine virtuelle Java et d’élever ses privilèges localement au sein de Windows, le CERT-XMCO recommande l’installation de la dernière version de Java publiée par Oracle et du correctif Microsoft MS11-080. Il semblerait, en effet, que les pirates aient déjà intégré ce code d’exploitation ciblant au sein de leurs outils.

Résumé des évènements majeurs :

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le serveur web Lighttpd, HP Network Node Manager i et enfin le serveur FTPd et ProFTPd sur FreeBSD.

Correctifs :

Plusieurs correctifs ont été publiés. Ceux-ci concernent Mediaiwki MediaWiki security release 1.17.1], IBM Tivoli Netcool/Reporter, Solaris et HP-UX, le SDK Flex d’Adobe (APSB11-25), les imprimantes HP, phpMyAdmin (PMASA-2011-18), HP Protect Tools Device Access Manager et enfin le serveur d’application JBoss AS.

Apple a publié une mise à jour de son navigateur Safari qui ne corrigerait cependant aucune faille de sécurité.

Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine.
La première permettrait à un pirate d’accéder à des informations sensibles au sein d’Android.
La seconde permettrait à un pirate de prendre le contrôle d’un système à distance via une faille de sécurité corrigée par Oracle (Java 6 Update 29) au sein de la machine virtuelle Java.
La troisième permettrait à un utilisateur malveillant d’élever ses privilèges au sein de Windows en exploitant la faille corrigée par Microsoft lors de la publication du bulletin MS11-080.
La quatrième permettrait à un pirate de contourner le mécanisme d’authentification de la solution Lotus Domino d’IBM.
Enfin, la dernière permettrait à un pirate de prendre le contrôle d’un système FreeBSD à distance via une faille au sein des serveurs FTPd et ProFTPd.

Conférence / Recherche :

Après l’EFF, les chercheurs de Google viennent de publier le fruit de leurs réflexions concernant les améliorations à apporter à l’écosystème SSL. Les nombreuses attaques contre SSL au cours de l’année dernière ont mis en avant de nombreux problèmes concernant l’utilisation et le fonctionnement de SSL. L’ensemble de la communauté des chercheurs devrait maintenant se pencher sur des idées similaires entre les propositions afin de faire émerger des solutions techniques correspondant au meilleur compromis entre sécurité et complexité d’intégration au sein de l’existant.

Selon une étude publiée par Microsoft, Java resterait l’un des principaux logiciels ciblés par les pirates. Les pirates chercheraient à exploiter de nombreuses failles de sécurité, dont certaines auraient été corrigées par Oracle depuis plusieurs mois, voire plusieurs années. Microsoft, ainsi que le CERT-XMCO, rappelle à cette occasion l’importance de mettre à jour les logiciels installés sur son système.

Au cours de la semaine, des chercheurs ont révélé une faille de sécurité au sein du mécanisme de mise à jour des imprimantes HP. Cette dernière pouvait être exploitée par les pirates afin de prendre le contrôle d’une imprimante à distance. HP a réagi rapidement en proposant un correctif de sécurité.

Enfin, l’ENISA a publié un guide de recommandations qui présente les meilleures pratiques en terme de développement d’applications mobiles.

Cybercriminalité / Attaques :

Duqu continue d’être l’un des sujets d’attention des éditeurs de solutions antivirales. Kaspersky a ainsi publié plusieurs informations intéressantes concernant les serveurs de commande et de contrôle du malware utilisé par les pirates. Bien que ceux-ci aient procédé à un grand nettoyage dans les heures qui ont suivi l’annonce faite au public de la découverte du malware, quelques informations intéressantes ont pu être retrouvées par les analyses sur les systèmes de fichiers des serveurs compromis.

De nouveaux services font leur apparition dans l’écosystème des cyber-pirates. Une assurance proposée aux pirates qui achètent un service de chiffrement de malware a été découverte. Elle permettrait aux « clients » de se faire rembourser la prestation dans son intégralité si celle-ci s’avérait inefficace durant une période de temps prédéfinie.

Après la publication d’une preuve de concept par un chercheur, les pirates ont rapidement intégré au sein de leurs outils « commerciaux » un nouveau code d’exploitation qui permettrait de tirer parti d’une faille de sécurité au sein de Java afin de compromettre le système d’exploitation d’un internaute.

Le weekend dernier, des voleurs ont exploité une faille de sécurité au sein du système de distribution d’une pompe à essence afin de voler 3 000 litres de carburant.

Un nouveau cheval de Troie à destination des smartphones sous Android a été découvert. Il ciblerait les utilisateurs européens et permettrait aux pirates de gagner de l’argent en forçant le téléphone à envoyer des SMS vers des numéros surtaxés.

Entreprise :

Le site Darkreading a dressé la liste des 10 attaques les plus marquantes de l’année 2011 (Comodo, RSA, Epsilon, WordPress, Sony, Citibank, CyWorld, TRICARE, Facebook, et enfin Steam).

Internationnal :

WikiLeaks repousse la mise en ligne de son nouvel outil sécurisé permettant à ses informateurs de publier discrètement les informations sensibles qu’ils souhaiteraient révéler au grand jour. En effet, les nombreuses failles découvertes au sein du modèle SSL posent problème à Wikileaks, qui pense que le protocole est définitivement cassé.

Vie Privée :

À l’initiative de Mozilla, les différents éditeurs de navigateur web avaient mis en place une solution de contournement pour protéger les internautes contre l’exploitation abusive par les pirates de la propriété CSS « :visited » qui leur permettait de découvrir sur quels sites les internautes se sont précédemment rendus. Michal Zalewski, un chercheur en sécurité spécialisé dans le domaine des navigateurs web et d’Internet qui travaille pour Google, vient de présenter une nouvelle attaque très pernicieuse. Elle permet en effet de contourner la solution technique mise en place au sein des navigateurs. Une preuve de concept a été publiée.

Le 21 novembre dernier, l’Electronic Frontier Foundation (l’EFF) révélait au grand jour une histoire relativement classique : une société importante cherchait à étouffer les découvertes gênantes d’un chercheur sur l’un de ses produits 37. Une semaine après, ce sont les médias français qui font part avec grand bruit de cette nouvelle. Pourtant, chose étrange, l’Europe ne semble d’une part pas être concernée par ce logiciel « espion », et d’autre part, ce n’est pas la première fois qu’une société est prise la main dans le sac après avoir développé un logiciel qui lui permet d’accéder à de nombreuses données personnelles. Il y a juste 2 mois, HTC était surpris pour avoir mis en place un tel logiciel dans ses smartphones. À l’époque, très peu de médias français avaient relevé l’information qui concernait pourtant les possesseurs français de smartphones HTC ! Même si l’EFF a défendu le chercheur, CarrierIQ a souhaité rétablir la vérité en affirmant que son logiciel ne manipulait pas de données personnelles. Les affirmations de la société ont été validées par des vérifications faites par d’autres chercheurs.

XMCO a récemment publié plusieurs articles sur son blog :

L’application iCERT-XMCO est enfin disponible sur l’Android Market à l’adresse suivante :

Celle-ci vous permettra de suivre l’actualité de la sécurité informatique en restant informé des attaques informatiques du moment et des plus récentes découvertes de vulnérabilités des systèmes informatiques. Pour rappel, cette application est aussi disponible pour iPhone à l’adresse suivante :

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO

CERT-XMCO

Découvrir d'autres articles