Avis d'expert : semaines du 13 au 26 Février 2012

À la suite de la publication de différents codes d’exploitation, le CERT-XMCO recommande l’installation de la dernière version de Java (Java 6 Update 31 / javacpufeb2012).

Par ailleurs, Microsoft ayant publié différents correctifs dans le cadre du « Patch Tuesday » du mois de février, le CERT-XMCO recommande l’installation en priorité des correctifs MS12-010 (IE) et MS12-013 (Windows), ainsi que MS12-008 (Windows) et MS12-016 (.Net/SilverLight).

Enfin, le CERT-XMCO recommande l’installation de la dernière version de Flash publiée par Adobe.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques au cours des deux dernières semaines. Parmi les logiciels concernés figurent Symantec pcAnywhere, plusieurs modelés de routeur D-Link (DAP-1150 et DSL-2640B) et Linksys (WAG54GS), Novell Messenger Client et enfin l’OS pour smartphone Apple iOS 5.0.1.

Correctifs :

Dans le cadre de son « Patch Tuesday » du mois de février, Microsoft a publié des correctifs pour Windows (MS12-008, MS12-009, MS12-012, MS12-013), Internet Explorer (MS12-010), SharePoint (MS12-011), Windows Media (MS12-014), Visio Viewer 2010 (MS12-015) et enfin SilverLight et .Net (MS12-016). L’exploitation de ces différentes failles de sécurité permettait à un pirate d’élever localement ses privilèges, voire de prendre le contrôle complet du système à distance. Le CERT-XMCO recommande l’installation en priorité des correctifs MS12-010 (IE) et MS12-013 (Windows), ainsi que MS12-008 (Windows) et MS12-016 (.Net/SilverLight).

Dans le même temps, Adobe a publié des correctifs pour Shockwave (APSB12-02), Flash (APSB12-03) et Adobe RoboHelp (APSB12-04), et Oracle viens de publier une nouvelle version de sa machine virtuelle Java (Java 6 Update 31 / javacpufeb2012). Le CERT-XMCO recommande en priorité l’installation de la dernière version du Flash Player et de Java, dont les failles peuvent être exploitées afin de prendre le contrôle d’un système à distance.

Enfin, plusieurs autres correctifs ont été publiés. Ceux-ci concernent les logiciels Mozilla Firefox, Thunderbird et SeaMonkey, Google Chrome, Cisco Small Business SRP 500, Cisco IronPort Encryption Appliance, Cisco Nexus, IBM WebSphere Lonbardi, WebSphere DataPower et IBM Rational License Key Server et d’IBM Telelogic License Server, SAP NetWeaver, SAP AG Netweaver, Puppet, Samba, Bugzilla, BlackBerry Tablet OS, Apache HTTP, PhpMyAdmin (PMASA-2012-1), Citrix XenServer, Zimbra Collaboration Suite, et enfin Horde.

Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine pour Horde, Trend Micro Control Manager et enfin pour Java. Pour Java, ces deux codes d’exploitation ciblent des vulnérabilités corrigées dans la dernière version publiée (Java 6 Update 31 / javacpufeb2012), ainsi que dans la version Java 6 Update 19 (1.6.0_19 ou 6u19 / javacpumar2010).

Conférence / Recherche :

D’après les informations publiées par une équipe de chercheurs de l’EPFL, des problèmes dans la génération des clefs de chiffrement rendraient de nombreux serveurs vulnérables à différentes attaques sur Internet.

La nouvelle version de ZeuS ne nécessiterait plus de serveurs de C&C. En effet, les auteurs du malware auraient ajouté un mécanisme de P2P permettant au malware de se passer tout simplement de serveur de contrôle pour fonctionner, chacun des systèmes compromis jouant le rôle d’un tel serveur pour ses « voisins ».

Cybercriminalité / Attaques :

Les développeurs du projet Horde ont découvert une porte dérobée au sein de leur outil à la suite du piratage de l’un de leurs serveurs. Celle-ci a rapidement été identifiée et supprimée. Une preuve de concept permettant de l’exploiter a été publiée. Le CERT-XMCO recommande donc l’installation de la dernière version du logiciel.

Bien que souvent ignorés ou non médiatisés, les cas avérés de fraudes téléphoniques sont toujours aussi nombreux.

Des chercheurs ont observé une des premières attaques de déni de service distribuées sur le réseau IPv6. Le nombre de systèmes connectés en IPv6 est donc maintenant suffisamment important pour que les pirates s’y intéressent, et qu’ils soient en mesure de mener ce type d’attaques.

Il semblerait que le botnet Cutwail, dont l’activité avait été fortement réduite ces derniers temps, soit de nouveau actif. À plusieurs reprises, les chercheurs auraient constaté une forte augmentation de l’activité du botnet en terme de nombre de pourriels envoyés.

Entreprise :

Mozilla prend des mesures à l’encontre des autorités de certification ayant émis des certificats d’autorités subordonnées. La Fondation demande entre autres à ce que les certificats de ce type dont l’usage n’est pas clairement maitrisé par les autorités émettrices soient révoqués rapidement.

Symantec a publié une enquête sur l’utilisation des technologies mobiles en entreprise en 2012. La société observe en effet la montée en puissance de l’utilisation des technologies mobiles, ainsi que la prise de conscience des intervenants quant à la complexité de ce sujet en terme de sécurité.

Nortel serait probablement victime de pirates chinois présents au sein de son SI depuis près de 10 ans. D’après un ancien employé, il semblerait que la société n’ai pas cherché à réagir à ces attaques, ni à mettre en place de solution lui permettant de se protéger efficacement.

Internationnal :

Le démantèlement de DNSChanger pourrait aboutir en une coupure de l’accès à Internet des nombreux systèmes toujours infectés.

Juridique :

Selon une étude publiée par le cabinet « Javelin Strategy & Research », la fraude à l’identité serait en forte augmentation aux États-Unis.

Vie Privée :

Google aurait été pris la main dans le sac pour avoir mis en place différentes solutions de contournement lui permettant de forcer certains navigateurs tels que Safari ou Internet Explorer à accepter certains cookies lui permettant de pister les internautes, alors même que ceux-ci pensaient avoir configuré leur navigateur de façon à interdire ce type de mécanisme.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO

Adrien Guinault

Découvrir d'autres articles