À la suite de la publication d’un code d’exploitation permettant de prendre le contrôle d’un système à distance via l’exploitation d’une faille au sein du Flash Player d’Adobe, le CERT-XMCO recommande l’installation du correctif APSB11-21 ou ultérieure (APSB11-26 et APSB11-28). Un pirate est en effet en mesure de prendre le contrôle d’un système à distance en incitant un internaute à visiter une page spécialement conçue.
Résumé des évènements majeurs
Vulnérabilités :
De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le firmware des routeurs DLink, le serveur de noms Bind, HP Business Availability Center (BAC) et Business Service Management (BSM), IBM Cognos TM1, MySQL, et enfin la librairie Apache APR.
La faille de sécurité affectant MySQL semble à première vue critique (Remote Code Execution pré authentification), mais le seul code d’exploitation actuellement existant est privé. Le CERT-XMCO recommande l’installation du correctif dès que celui-ci sera disponible, ainsi que la restriction de l’accès au serveur (firewall, interface réseau en écoute, etc.).
Correctifs :
Plusieurs correctifs ont été publiés. Ceux-ci concernent les framework Apache MyFaces et Apache CXF , IBM SolidDB et AIX, Solaris (Pidgin et Flash), HP System Management Homepage (SMH) et HP-UX, CA Total Defense Suite, Novell iPrint Client, Google Chrome, Horde Application Framework, IMP et DIMP, Avaya Interaction Center, RealPlayer, JBoss, Skype et enfin EMC Documentum xPlore.
Par ailleurs, Microsoft a annoncé la publication de 7 bulletins de sécurité le mardi 14 février dans le cadre de son « Patch Tuesday » du mois de février.
Exploit :
Deux codes d’exploitation ont été divulgués cette semaine. Ceux-ci permettent de prendre le contrôle d’un système à distance via des vulnérabilités au sein d’Adobe Flash Player (APSB11-21) et de Citrix Streamprocess.
Conférence / Recherche :
Google Chrome va prochainement arrêter de vérifier la validité des certificats SSL auprès des listes de révocation publiées par les autorités de certification. Les avantages selon Google sont : pas de temps perdu pour l’internaute lorsque celui-ci visite un site web protégé par SSL, et pas de fuite d’information privée en alertant l’autorité de certification des sites visités par l’internaute. Inconvénients : aucun. En effet, selon le géant de la recherche, cette protection ne sert à rien, puisqu’elle est par nature contournable. Google propose donc de l’améliorer en embarquant les listes noires de certificats révoqués au sein même du navigateur, en les mettant à jour via un mécanisme de mises à jour transparent pour l’internaute.
Adobe a publié une première version de son Flash Player pour Firefox intégrant de base un mécanisme de bac à sable. Cette nouvelle fonction de sécurité, très proche de celle présente au sein d’Adobe Reader, devrait assurer un niveau de protection plus élevé pour les internautes.
Cybercriminalité / Attaques :
Après Zeus, Citadel pourrait être la prochaine évolution majeure dans le domaine des malwares. Ce toolkit reposerait sur le code source de Zeus, qui aurait été publié à la fin de l’année 2011 sur Internet. Cependant les développeurs auraient apporté autour de celui-ci une sorte de réseau social permettant aux utilisateurs de rapporter les problèmes rencontrés, et de voter pour les fonctionnalités à ajouter.
Google a mis en place un nouveau service sur son Android Market, appelé « Bouncer« . Celui-ci sert à détecter les applications malveillantes automatiquement avant même que celles-ci ne soient publiées.
Entreprise :
La confiance est décidément difficile à maintenir entre chacun des acteurs constituant l’écosystème SSL. L’autorité de certification Trustwave a en effet reconnu avoir émis un certificat SSL correspondant à une autorité de certification intermédiaire pour un de ces clients souhaitant inspecter le contenu des flux chiffrés de ses employés. Mozilla envisage en conséquence de supprimer le certificat racine de l’autorité de certification du trousseau de ces logiciels, afin de protéger la vie privée des internautes.
D’après un échange de mails publiés sur Internet, Symantec aurait été victime d’une tentative d’extorsion de la part des pirates ayant dérobé le code source de certains logiciels de l’éditeur. Le pirate a publié sur Internet le code source après avoir réalisé que les forces de l’ordre étaient à pied d’oeuvre.
Internationnal :
En France, l’ANSSI a évalué la capacité du pays à réagir à un cyber-incident majeur en déroulant l’exercice PIRANET 2012.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO