http://www.secuobs.com Observatoire de la securite Internet fr webmaster@secuobs.com 2012-03-28 18:03:30 - XMCO PARTNERS RSS : Information Valeur Titre ACTUSECU 27 Stuxnet analyse, mythes et réalités Date 28 Fevrier 2011 Description Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement à l'adresse suivante http wwwxmcopartnerscom actualite-securite-vulnerabilite-frhtml Au sommaire du numéro 27 Stuxnet analyse, mythes et réalités - Stuxnet dossier complet en deux parties sur LE malware de l'année 2010 - La vulnérabilité Keyboard Layout analyse d'une des vulnérabilités d'élévation de privilèges utilisée par Stuxnet MS10-073 - L'actualité du moment Top 10 des techniques de hacking, 0day IE, GS Days, ProFTPD - Les blogs, logiciels et extensions IMA, VMware Compliance Checker, Twitter et le blog de m_101 Bonne lecture Id XMCO Partners CXA-2011-0308 Lien extranet XMCO Partners https certxmcofr veille client indexxmco nv CXA-2011-0308 XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcofr - Jan veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/366734.shtmlhttp://www.secuobs.com/revue/news/366734.shtml Secuobs.com : 2012-03-28 18:03:30 - XMCO PARTNERS RSS - Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine Résumé des évènements majeurs - Vulnérabilités Une vulnérabilité a été découverte au sein de l'utilitaire crontab sur FreeBSD 1 L'exploitation de cette faille de sécurité permet d'obtenir des informations potentiellement sensibles - Correctifs Plusieurs failles de sécurité ont été corrigées cette semaine au sein des logiciels suivants Citrix Secure gateway 2 , Samba 3 , Google Chrome 4 , Firefox 5 et Thunderbird 6 , VSFTPD 7 et iTunes 8 - Exploits Un code d'exploitation ciblant la faille corrigée au sein de Windows par le correctif MS11-011 a été publié cette semaine Celui-ci permet d'élever localement ses privilèges 9 Un autre code d'exploitation ciblant le serveur FTP VSFTPD 10 permet de provoquer un déni de service à distance Enfin, un dernier code d'exploitation a été publié au sein du framework d'exploitation Metasploit cible la solution Citrix Access Gateway 11 et permet de prendre le contrôle d'un système distant - Cybercriminalité Attaques Le site institutionnel de la bourse de Londres a été utilisé pour propager des malwares 12 Plus précisément, des bannières publicitaires malveillantes étaient servies par un publicitaire peu scrupuleux en charge de monétiser les visites effectuées sur le site en question L'unité Dedicated Cheque and Plastic Crime Unit , composée d'agents de la Metropolitan Police, de la City of London Police ainsi que d'experts en cartes à puce, a constaté une augmentation du phénomène de skimming sur les automates de vente de tickets dans les stations de trains de Londres 13 Les usagers du métro et du train de Londres sont donc poussés à être très vigilants lors des achats de titres de transport 21 applications ont été supprimées de l'Androïd Market après qu'un malware surnommé DroidDream ait été découvert dans les paquets 14 Le cheval de Troie était relativement abouti et permettait aussi bien de dérober des informations personnelles que d'installer d'autres malwares - Conférence Recherche ThunderBolt 15 , une nouvelle technologie qui vient de faire son apparition sur les derniers Mac montre bien l'absence d'intérêt des constructeurs pour la sécurité En effet, bien que tout récent, ce protocole repose sur d'anciennes fondations techniques comme la DMA qui sont reconnues depuis longtemps comme dangereuses Plan B 16 , une nouvelle application, est disponible pour Androïd Celle-ci est installable à distance et permet, après une perte ou un vol, de verrouiller un smartphone à distance, voire de le retrouver - Entreprises Tout comme de nombreuses autres sociétés internationales, la banque d'investissement Morgan Stanley 17 aurait été victime de l'opération Aurora au début de l'année 2010 Cette information a été découverte dans les données dérobées à la société HBGarry Microsoft a annoncé la date de son prochain Patch Tuesday 18 Mardi 8 mars seront publiés 3 bulletins un des bulletins relatif à une vulnérabilité présente au sein de Windows est jugé critique par l'éditeur Les deux autres sont liés à Windows ainsi qu'à Office et sont jugés important Enfin, XMCO a publié le numéro 27 de l'ActuSécu Au sommaire Stuxnet, Exploit Windows Keyboard Layout, Actu du moment http wwwxmcofr actu-secu XMCO-ActuSecu-27-STUXNETpdf Nous vous rappelons aussi que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter http twittercom certxmco 1 https certxmcofr veille client indexxmco nv CXA-2011-0315 http seclistsorg fulldisclosure 2011 Feb 660 2 https certxmcofr veille client indexxmco nv CXA-2011-0311 http supportcitrixcom article CTX128168 3 https certxmcofr veille client indexxmco nv CXA-2011-0314 http sambaorg samba security CVE-2011-0719html 4 https certxmcofr veille client indexxmco nv CXA-2011-0320 http googlechromereleasesblogspotcom 2011 02 stable-channel-update_28html 5 https certxmcofr veille client indexxmco nv CXA-2011-0323 http wwwmozillaorg security known-vulnerabilities firefox36html firefox3614 6 http wwwmozillaorg security known-vulnerabilities thunderbird31html thunderbird318 7 https certxmcofr veille client indexxmco nv CXA-2011-0327 http securityreasoncom achievement_securityalert 95 8 https certxmcofr veille client indexxmco nv CXA-2011-0335 http supportapplecom kb HT4554 9 https certxmcofr veille client indexxmco nv CXA-2011-0318 http wwwexploit-dbcom exploits 16262 10 https certxmcofr veille client indexxmco nv CXA-2011-0328 http securityreasoncom achievement_securityalert 95 11 https certxmcofr veille client indexxmco nv CXA-2011-0341 http wwwmetasploitcom redmine projects framework repository revisions 11873 entry modules exploits unix webapp citrix_access_gateway_execrb 12 https certxmcofr veille client indexxmco nv CXA-2011-0313 http wwwsecurityweekcom london-stock-exchange-web-site-serving-malware 13 https certxmcofr veille client indexxmco nv CXA-2011-0321 http wwwtheregistercouk 2011 03 01 card_skim_grows 14 https certxmcofr veille client indexxmco nv CXA-2011-0334 http blogmylookoutcom 2011 03 security-alert-malware-found-in-official-android-market-droiddream 15 https certxmcofr veille client indexxmco nv CXA-2011-0312 http iscsansedu diaryhtml storyid 10456 16 https certxmcofr veille client indexxmco nv CXA-2011-0336 http wwwh-onlinecom security news item Android-in-emergencies-refer-to-Plan-B-1201478html 17 https certxmcofr veille client indexxmco nv CXA-2011-0316 http wwwtheregistercouk 2011 03 01 morgan_stanley_aurora_attacks 18 https certxmcofr veille client indexxmco nv CXA-2011-0344 https wwwmicrosoftcom technet security bulletin ms11-marmspx XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCO Partners, consultez nous Internet http wwwxmcofr veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/366733.shtmlhttp://www.secuobs.com/revue/news/366733.shtml Secuobs.com : 2012-03-28 18:03:30 - XMCO PARTNERS RSS - Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine Avis d'expert Le CERT-XMCO recommande l'installation du correctif MS11-015 1 qui corrige deux failles de sécurité au sein du framework Windows Media L'ouverture d'un fichier spécialement conçu permettrait de prendre le contrôle d'un système à distance Résumé des évènements majeurs - Vulnérabilités Une faille de sécurité a été découverte au sein d'Internet Explorer 2 Son exploitation permettait de tromper un utilisateur en menant une attaque de spoofing afin de manipuler l'adresse de la page visitée - Correctifs Microsoft a publié trois correctifs dans le cadre de son Patch Tuesday 3 du mois de mars Ceux-ci sont relatifs au framework Windows Media MS11-015 1 , à Groove MS11-016 4 , ainsi qu'au Client Bureau à distance MS11-017 5 L'exploitation des 4 quatre failles de sécurité permettrait de prendre le contrôle d'un système à distance via l'ouverture d'un fichier spécialement conçu Le CERT-XMCO recommande l'installation du correctif MS11-015 De nombreux autres correctifs ont été publiés cette semaine pour VMware ESX i 6 , Postfix 7 , Tomcat 8 , Safari 9 , Java pour Mac OS X 10 , l'iOS d'Apple 11 , et enfin Joomla 12 Google Chrome 13 a aussi été mis à jour La version 100648127 corrige de nombreuses failles Celle-ci apporte une nouvelle fonction de sécurité la mise en place du bac à sable du lecteur Flash intégré au logiciel qui devrait complexifier l'exploitation de vulnérabilités - Exploits Un code d'exploitation permettant d'élever ses privilèges sur un système Windows a été publié 14 La définition de droits d'accès trop peu restrictifs à l'exécutable correspondant au service Net Runtime Optimization Service permettait de modifier le fichier, et ainsi qu'à forcer le système à exécuter des commandes arbitraires Un compte local est, néanmoins, nécessaire pour pouvoir exploiter cette vulnérabilité Un second exploit a été publié Celui-ci cible le contrôle ActiveX utilisé au sein de la solution Novell iPrint Client 15 L'exploitation de cette faille permet à un pirate de prendre le contrôle d'un système à distance en incitant simplement un internaute à visiter un site spécialement conçu - Cybercriminalité Attaques L'ANSSI a révélé cette semaine que le système d'information de Bercy, le ministère de l'Économie et des Finances, a été attaqué 16 Les pirates auraient réussi à prendre le contrôle de 150 systèmes en envoyant des courriels piégés à l'aide de Chevaux de Troie L'attaque durait depuis le mois de décembre L'ANSSI était à pied d'oeuvre depuis janvier pour colmater les brèches et identifier les commanditaires de ce piratage En fin de semaine, des documents comportant de nombreuses informations sensibles sur le SI du Ministère des Affaires Étrangères et Européennes a été publié par le Ministère en question Les documents publiés décrivent en détail le Système d'Informations du Ministère Ceux-ci ont été publiés dans le cadre d'une consultation publique relative à la définition, au pilotage et au renforcement de la sécurité des SI du Ministère Un développeur a publié K0de Sploit Pack 17 , un pack d'exploitation dérivé du célèbre Eleonore en Open Source Celui-ci proposerait des améliorations lui permettant d'être plus efficace dans la compromission des systèmes d'exploitation au travers d'un navigateur vulnérable Le pirate aurait demandé l'aide des internautes afin de poursuivre les améliorations apportées à K0de Sploit Pack Un nouveau Banker vient de faire son apparition Tatanga 18 possède plusieurs fonctionnalités évoluées qui feront peut-être de lui un concurrent aux célèbres Zeus et SpyEye Par ailleurs, Zeus 19 continue d'évoluer alors que l'arrêt du développement avait été annoncé récemment Après avoir été adapté pour Symbian et Windows Mobile, le malware fait désormais son apparition sur BlackBerry - Conférence Recherche Le fameux chercheur Jon Oberheide a publié les résultats d'une étude sur une faille de type Cross-Site Scripting XSS au sein de l'Androïd Market 20 Si celui-ci n'avait pas informé Google de son existence, le chercheur aurait été capable de prendre le contrôle d'un smartphone à distance en incitant simplement un internaute à cliquer sur un lien le dirigeant vers le site en question Par ailleurs, le concours en question se déroulait en fin de semaine Pwn2Own 21 aura vu Internet Explorer 8 sur Windows 7 tombé dès le premier jour Le vainqueur a exploité pour cela, pas moins de 3 failles de sécurité différentes Safari sur Mac OS n'aura pas résisté plus longtemps, contrairement à Firefox et Google Chrome - Entreprises Après l'épisode DroidDream de la semaine précédente au cours duquel Google avait dû supprimer un grand nombre d'applications malveillantes de son Androïd Market, le géant de la recherche a souhaité prendre d'autres mesures réparatrices Google 22 a ainsi utilisé son kill switch pour supprimer à distance et sans confirmation les applications malveillantes des smartphones de ses clients L'éditeur a, ensuite, poussé vers les appareils concernés une mise à jour permettant de les débarrasser du malware résiduel Kaspersky 23 a réagi en dénonçant les techniques utilisées par Google pour réaliser cela en effet, la mise à jour se comporte de la même façon qu'un malware Une faille de sécurité est exploitée afin d'obtenir les privilèges SYSTEM, permettant de supprimer le malware, puis de s'auto-supprimer Au final, le mal est partiellement réparé puisque la faille est toujours exploitable Un autre malware 24 a d'ailleurs fait son apparition en fin de semaine Celui-ci se faisait passer pour la mise à jour de Google, et était présent sur des sites alternatifs à l'Androïd Market officiel Enfin, XMCO a récemment publié le numéro 27 de l'ActuSécu Au sommaire Stuxnet, Exploit Windows Keyboard Layout, Actu du moment, etc http wwwxmcofr actu-secu XMCO-ActuSecu-27-STUXNETpdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter http twittercom certxmco 1 https certxmcofr veille client indexxmco nv CXA-2011-0364 http wwwmicrosoftcom technet security bulletin ms11-015mspx 2 https certxmcofr veille client indexxmco nv CXA-2011-0354 http archivesneohapsiscom archives fulldisclosure 2011-03 0072html 3 https certxmcofr veille client indexxmco nv CXA-2011-0344 https wwwmicrosoftcom technet security bulletin ms11-marmspx 4 https certxmcofr veille client indexxmco nv CXA-2011-0365 http wwwmicrosoftcom technet security bulletin ms11-016mspx 5 https certxmcofr veille client indexxmco nv CXA-2011-0366 http wwwmicrosoftcom technet security bulletin ms11-017mspx 6 https certxmcofr veille client indexxmco nv CXA-2011-0355 http wwwvmwarecom security advisories VMSA-2011-0004html 7 https certxmcofr veille client indexxmco nv CXA-2011-0359 http wwwpostfixorg CVE-2011-0411html 8 https certxmcofr veille client indexxmco nv CXA-2011-0371 http tomcatapacheorg security-7html Fixed_in_Apache_Tomcat_7010_pourcents28released_8_Mar_2011pourcents29 9 https certxmcofr veille client indexxmco nv CXA-2011-0372 http supportapplecom kb HT4566 10 https certxmcofr veille client indexxmco nv CXA-2011-0374 http supportapplecom kb HT4562 11 https certxmcofr veille client indexxmco nv CXA-2011-0377 http supportapplecom kb HT4564 12 https certxmcofr veille client indexxmco nv CXA-2011-0378 http wwwjoomlaorg announcements release-news 5350-joomla-161-releasedhtml 13 https certxmcofr veille client indexxmco nv CXA-2011-0369 http googlechromereleasesblogspotcom 2011 03 chrome-stable-releasehtml 14 https certxmcofr veille client indexxmco nv CXA-2011-0361 http wwwexploit-dbcom exploits 16940 15 https certxmcofr veille client indexxmco nv CXA-2011-0348 http wwwmetasploitcom redmine projects framework repository revisions 11886 entry modules exploits windows browser novelliprint_getdriversettings_2rb 16 https certxmcofr veille client indexxmco nv CXA-2011-0350 http wwwparismatchcom Actu-Match Societe Actu Affaire-d-espionnage-a-Bercy-par-des-hackers-et-des-sites-chinois-258213 17 https certxmcofr veille client indexxmco nv CXA-2011-0381 http labsm86securitycom tag k0de 18 https certxmcofr veille client indexxmco nv CXA-2011-0360 http securityblogs21seccom 2011 02 tatanga-new-banking-trojan-with-mitbhtml 19 https certxmcofr veille client indexxmco nv CXA-2011-0363 https threatpostcom en_us blogs zeus-malware-not-dead-yet-new-features-being-added-030411 20 https certxmcofr veille client indexxmco nv CXA-2011-0362 http jonoberheideorg blog 2011 03 07 how-i-almost-won-pwn2own-via-xss 21 https certxmcofr veille client indexxmco nv CXA-2011-0373 http wwwzdnetcom blog security pwn2own-2011-ie8-on-windows-7-hijacked-with-3-vulnerabilities 8367 22 https certxmcofr veille client indexxmco nv CXA-2011-0349 http googlemobileblogspotcom 2011 03 update-on-android-market-securityhtml 23 https certxmcofr veille client indexxmco nv CXA-2011-0375 http wwwh-onlinecom open news item Kaspersky-Google-s-handling-of-Android-malware-is-debatable-1204523html 24 https certxmcofr veille client indexxmco nv CXA-2011-0384 http wwwtheregistercouk 2011 03 10 trojan_mimics_android_clean_up_tool http://www.secuobs.com/revue/news/366732.shtmlhttp://www.secuobs.com/revue/news/366732.shtml Secuobs.com : 2012-03-28 18:03:30 - XMCO PARTNERS RSS - Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine Résumé des évènements majeurs - Vulnérabilités Plusieurs failles de sécurité ont été découvertes cette semaine Les produits Microsoft sont particulièrement exposés puisque des failles ont été identifiées au sein de Windows Vista 1 , de la gestion de l'IPv6 par Windows 2 , de Windows Media Player 3 , et enfin au sein d'Internet Explorer 4 L'exploitation de ces différentes failles permettrait de provoquer un déni de service pour les deux premières, voire de compromettre un système à distance pour les deux dernières Une dernière faille affectant VLC 5 a été découverte Son exploitation permettrait de prendre le contrôle d'un système lors de l'ouverture d'un fichier s3m malformé - Correctifs De nombreux correctifs ont été publiés cette semaine Parmi les logiciels concernés, Zend Server 6 , WebSphere Application Server 7 , Joomla 8 , HP Network Node Manager 9 , DHCP Client 10 , Solaris 11 , WordPress 12 , HTTPComponents d'Apache 13 , Redmine 14 et enfin RoundCube 15 - Exploits Plusieurs codes d'exploitation ont été publiés cette semaine Le premier exploit cible Windows Media Player 16 et permet de provoquer un déni de service lors de l'ouverture d'un fichier spécialement conçu Le second code d'exploitation permet de prendre le contrôle à distance d'un serveur Zend Server Java Bridge 17 Enfin, le dernier exploit permet de prendre le contrôle à distance d'un serveur Lotus Domino iCalendar 18 via l'envoi d'un email contenant une invitation iCalendar malformée - Juridique Plusieurs experts en sécurité informatique ont déposé un dossier relatif à l'Affaire Wikileaks 19 opposant le gouvernement américain au géant du micro-blogging Twitter devant la justice américaine Selon eux, il existe un réel danger pour la vie privée de chacun lorsqu'un gouvernement oblige des sociétés à transmettre des informations personnelles En effet, l'accumulation de données personnelles par Twitter permettrait de dresser le profil précis, le comportement d'un internaute, y compris ses déplacements Ces experts mettent donc en avant l'importance de l'obtention d'un mandat avant toute demande de ce type - Conférence Recherche Avec le déclin annoncé de l'IPv4, et les futurs déploiements de l'IPv6, les chercheurs commencent à s'intéresser à ce nouveau domaine Un nouveau type d'attaque, baptisée SLAAC Attack 20 a ainsi été présentée Le mécanisme d'auto-configuration normalisé permettrait de forcer, à distance, un système à définir un nouveau routeur afin de détourner l'ensemble des communications Dans le même domaine, il serait possible de provoquer un déni de service en envoyant simplement un grand nombre de datagramme IP de type Neighbor Discovery D'après un rapport publié par IBM 21 , le nombre de vulnérabilités et de codes d'exploitation dévoilés publiquement aurait connu une forte hausse en 2010 29 pourcents par rapport à 2009 pour les vulnérabilités, contre 21 pourcents pour les exploits À la suite de l'affaire Comodo, Google a annoncé la mise en place de nouvelle fonction de sécurité visant à protéger l'Internet Chrome 22 se verra doté d'une fonction permettant de bloquer les plug-ins n'étant pas à jour Le navigateur proposera un lien vers la dernière version publiée De plus, une fenêtre d'alerte 23 demandera une confirmation de la part d'un utilisateur avant de procéder au téléchargement d'un exécutable lorsque celui-ci sera considéré comme suspicieux Enfin, Google propose la mise en place d'une nouvelle fonction de sécurité au sein de la norme DNS Baptisée DANE 24 , cette évolution, fortement inspirée par DNSSEC et reposant sur celui-ci, permettra de spécifier au sein d'un enregistrement DNS l'autorité d'enregistrement habilité à certifier un site Internet - Cybercriminalité Attaques De nouvelles informations ont été publiées par RSA 25 à la suite de l'attaque qu'a subie la société D'après le communiqué de presse, la faille 0day ciblant le lecteur Flash récemment publié par Adobe serait le vecteur d'attaque principal Pour rappel, celle-ci a récemment été corrigée par Adobe Un nouveau mode de fonctionnement a pu être observé dans le petit monde des packs d'exploitation avec l'arrivée de RoboPak Exploit Kit 26 Après le SaaS Software As A Service , le PaaS Plateform As A Service et et enfin l'IaaS Infrastructure As A Service , ce nouveau venu sur la scène pirate introduit un nouveau mode de fonctionnement baptisé EaaS Exploits As A Service Ce n'est plus le logiciel qui est vendu, mais le service associé Il est donc désormais possible d'acheter un droit d'utilisation du logiciel à la journée, à la semaine, voir au mois pour des tarifs peu élevés et fortement dégressifs Cette semaine, la société Epsilon 27 a reconnu officiellement avoir été victime d'un vol de données Plusieurs millions d'adresses email ainsi que les noms des utilisateurs associés auraient ainsi été dérobés Ces différentes informations pourraient être utilisées sous peu afin de lancer des campagnes de phishing de grande ampleur SpyEye et Zeus continuent d'évoluer Le code source de Zeus 28 a été publié sur Internet sous la forme d'une archive protégée par mot de passe De nombreux hackers tentent actuellement de bruteforcer celui-ci pour obtenir le code source Cette publication engendrera potentiellement l'apparition de nombreuse variante du malware SpyEye 29 de son côté reprend une fonction de Zeus Cette version du malware ciblant les smartphones Symbian se voit ajouter une des nombreuses fonctionnalités de son concurrent Zeus permettant d'intercepter les mTANs Mobile Transaction Authentification Number envoyés par la banque par SMS Grâce à cette information, les pirates sont en mesure de réaliser des transactions bancaires Une nouvelle campagne de spam pousse les internautes à installer la dernière version de certains logiciels Adobe 30 Pour cela, et comme pour toute attaque de phishing, les victimes doivent au préalable fournir des informations personnelles - Entreprises Microsoft a annoncé la date de son prochain Patch Tuesday 31 Mardi 12 avril seront publiés 17 bulletins de sécurité corrigeant pas moins de 64 vulnérabilités Neuf d'entre eux sont jugés critiques contre huit importants Parmi les logiciels impactés Microsoft Windows, Microsoft Office, Internet Explorer, Visual Studio, NET Framework et enfin GDI - XMCO XMCO a publié récemment le numéro 27 de l'ActuSécu Au sommaire Stuxnet, Exploit Windows Keyboard Layout, Actu du moment http wwwxmcofr actu-secu XMCO-ActuSecu-27-STUXNETpdf Enfin, nous vous rappelons que vous pouvez suivre l'actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter http twittercom certxmco 1 https certxmcofr veille client indexxmco nv CXA-2011-0501 http seclistsorg fulldisclosure 2011 Apr 38 2 https certxmcofr veille client indexxmco nv CXA-2011-0515 http samsclassinfo ipv6 proj flood-router6ahtm 3 https certxmcofr veille client indexxmco nv CXA-2011-0503 http wwwspinicsnet linux lists bugtraq msg44386html 4 https certxmcofr veille client indexxmco nv CXA-2011-0537 http wwwhackersbayin 2011 04 ie9-exploit-puts-windows-7-sp1-at-riskhtml 5 https certxmcofr veille client indexxmco nv CXA-2011-0533 https wwwsec-consultcom files 20110407-0_libmodplug_stackoverflowtxt 6 https certxmcofr veille client indexxmco nv CXA-2011-0505 http wwwzerodayinitiativecom advisories ZDI-11-113 7 https certxmcofr veille client indexxmco nv CXA-2011-0508 http www-01ibmcom support docviewwss uid swg27007951 8 https certxmcofr veille client indexxmco nv CXA-2011-0516 http developerjoomlaorg security news 340-20110401-core-information-disclosurehtml 9 https certxmcofr veille client indexxmco nv CXA-2011-0517 http h20000www2hpcom bizsupport TechSupport Documentjsp objectID c02776387 10 https certxmcofr veille client indexxmco nv CXA-2011-0520 https wwwiscorg software dhcp advisories cve-2011-0997 11 https certxmcofr veille client indexxmco nv CXA-2011-0523 http wwwkbcertorg vuls id 648244 12 https certxmcofr veille client indexxmco nv CXA-2011-0524 http wordpressorg news 2011 04 wordpress-3-1-1 13 https certxmcofr veille client indexxmco nv CXA-2011-0528 http wwwapacheorg dist httpcomponents httpclient RELEASE_NOTES-41xtxt 14 https certxmcofr veille client indexxmco nv CXA-2011-0535 http wwwredmineorg news 53 15 https certxmcofr veille client indexxmco nv CXA-2011-0536 http cvemitreorg cgi-bin cvenamecgi name CVE-2011-1492 16 https certxmcofr veille client indexxmco nv CXA-2011-0502 http wwwspinicsnet linux lists bugtraq msg44386html 17 https certxmcofr veille client indexxmco nv CXA-2011-0506 http devmetasploitcom redmine projects framework repository revisions 12212 entry modules auxiliary admin zend java_bridgerb 18 https certxmcofr veille client indexxmco nv CXA-2011-0512 http devmetasploitcom redmine projects framework repository revisions 12236 raw modules exploits windows lotus domino_icalendar_organizerrb 19 https certxmcofr veille client indexxmco nv CXA-2011-0504 http wwwnet-securityorg secworldphp id 10839 20 https certxmcofr veille client indexxmco nv CXA-2011-0513 http wwwtheregistercouk 2011 04 04 slaac_attack_microsoft_windows 21 https certxmcofr veille client indexxmco nv CXA-2011-0525 http wwwscmagazineuscom number-of-reported-vulnerabilities-spiked-in-2010 article 199823 22 https certxmcofr veille client indexxmco nv CXA-2011-0522 http googleonlinesecurityblogspotcom 2011 04 protecting-users-from-malicioushtml 23 http googleonlinesecurityblogspotcom 2011 03 chrome-warns-users-of-out-of-datehtml 24 http googleonlinesecurityblogspotcom 2011 04 improving-ssl-certificate-securityhtml 25 https certxmcofr veille client indexxmco nv CXA-2011-0499 http blogsrsacom rivner anatomy-of-an-attack 26 https certxmcofr veille client indexxmco nv CXA-2011-0509 http wwwkahusecuritycom 2011 robopak-exploit-kit 27 https certxmcofr veille client indexxmco nv CXA-2011-0510 http wwwh-onlinecom security news item Millions-of-email-addresses-exposed-in-Epsilon-breach-1221307html 28 https certxmcofr veille client indexxmco nv CXA-2011-0521 http wwwnet-securityorg malware_newsphp id 1681 29 https certxmcofr veille client indexxmco nv CXA-2011-0518 http wwwh-onlinecom security news item Attacks-on-German-mTAN-banking-users-1222260html 30 https certxmcofr veille client indexxmco nv CXA-2011-0519 http wwwnet-securityorg secworldphp id 10854 31 https certxmcofr veille client indexxmco nv CXA-2011-0527 http wwwmicrosoftcom technet security Bulletin MS11-aprmspx XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCO Partners, consultez nous Internet http wwwxmcofr veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/366731.shtmlhttp://www.secuobs.com/revue/news/366731.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Après une forte charge de travail occasionnée par les nombreux audits et tests d'intrusion de fin d'année, notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici http wwwxmcopartnerscom actu-secu XMCO-ActuSecu-Janvier2008pdf Au sommaire du numéro 18 Le côté obscur de l'Internet - Retour sur le Hack Of The Year TOR, votre meilleur ennemi - Les hébergeurs Bullet Proof les pirates passent à l'Offshore - Les Fast-Flux Networks Comment remonter à la source des attaques - Les vulnérabilités du mois l'exploit MS08-001 IGMPv3, la faille de l'iPhone, le virus Symbian Beselo et le MBR Rootkit XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247947.shtmlhttp://www.secuobs.com/revue/news/247947.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici http wwwxmcopartnerscom actu-secu XMCO-ActuSecu-19-Blackhatpdf Au sommaire du numéro 19 Spécial Blackhat 2008 - Dossier Blackhat 2008 Présentation des sujets Cracking GSM, Bad sushi, client side security - La mort des CAPTCHA Comment les pirates arrivent-ils à les casser - L'actualité du mois Les vulnérabilités MS08-021 GDI , Massive Injection SQL sur IIS ASP, prédiction des clefs WEP WPA, attaque CSRF dans uTorrent - Outils Les extensions Firefox utiles Firebug, Web Developer, BugMeNot, SwitchProxy XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247946.shtmlhttp://www.secuobs.com/revue/news/247946.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici http wwwxmcopartnerscom actu-secu XMCO-ActuSecu-20-UPNPpdf Au sommaire du numéro 20 UPNP, un protocole dangereux - Hacking UPNP Les faiblesses du protocole Plug and Play - Les attaques UPNP CSRF Le vecteur d'attaque Flash sur les routeurs ADSL - L'actualité du mois La vulnérabilité des DNS de Dan Kaminsky, la faille OpenSSL, root exploit sur Mac OSX, virus sur Mac OS, GPCode - Outils Flying Bit, Keepas, TrueCrypt, Axban XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247945.shtmlhttp://www.secuobs.com/revue/news/247945.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici http wwwxmcopartnerscom actualite-securite-vulnerabilite-frhtml Au sommaire du numéro 21 Federal Trojan et ClickJacking - Federal Trojan les écoutes et les perquisitions numériques à distance - Le ClickJacking une attaque aussi simple qu'efficace - Le SurfJacking l'exploitation des cookies non sécurisés - Les fake antivirus, les exploits ActiveX, la faille dans le routage BGP - Les blogs sécurité du mois l'avis et la vie des experts sécurité XMCO interviendra sous la forme d'un retour d'expériences dans le cadre de l'événement La sécurité dans le secteur de la banque et assurance du salon InfoSecurity Frédéric Charpentier présentera plusieurs cas réels de hacking au cours desquels nous sommes intervenus en tant qu'experts Les détails techniques des actes de piratages seront analysés et commentés Les participants découvriront alors des situations réelles, bien loin des mythes entretenus Notre intervention aura lieu à 11h45, le mercredi 19 novembre lien suivant Demandez dès aujourd'hui votre badge gratuit à l'adresse suivante http wwwinfosecuritycomfr FR badge ref XMCW XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247944.shtmlhttp://www.secuobs.com/revue/news/247944.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici http wwwxmcopartnerscom actualite-securite-vulnerabilite-frhtml Au sommaire du numéro 22 Le vol d'identité et Conficker - Le vol d'identité sur Internet les méthodes utilisées par les pirates - La faille MD5, les certificats et les attaques Man In The Middle - Conficker le virus à la mode - L'exploit telnet FreeBSD, les failles Internet Explorer MS08-078, MS09-002 , le inPhishing, Safari et les flux RSS malicieux, et la pile Bluetooth de Windows Mobile - Les blogs, logiciels et extensions sécurité XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247943.shtmlhttp://www.secuobs.com/revue/news/247943.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici http wwwxmcopartnerscom actualite-securite-vulnerabilite-frhtml Au sommaire du numéro 23 Koobface, Gumblar, Slowloris, Antisec quand les pirates passent à l'action - Revue des nouveautés présentées dans les conférences sécurité Blackhat et SSTIC - L'attaque Internet Gumblar et les redirections JS - Le ver Koobface le ver social de FaceBook - L'attaque Déni de Service Slowloris contre Apache - L'actualité du mois l'exploit Microsoft IIS FTP, Coldfusion NullByte, 0-days SSH antisec et un Trojan Skype XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247942.shtmlhttp://www.secuobs.com/revue/news/247942.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement ici http wwwxmcopartnerscom actualite-securite-vulnerabilite-frhtml Au sommaire du numéro 24 Les vulnérabilités SSL, la sécurité des iPhones jailbreakés et le PCI-DSS - Le PCI-DSS et les entreprises françaises - La sécurité des iPhones jailbreakés - Les vulnérabilités SSL de ces derniers mois - L'actualité du mois Les conférences sécurité, les correctifs et 0-day Microsoft, l'attaque EvilMaid, les attaques de Phishing XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247941.shtmlhttp://www.secuobs.com/revue/news/247941.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Suite à l'annonce d'une vulnérabilité 0-day affectant Internet Explorer, Microsoft a publié un correctif temporaire Pendant le même temps, une preuve de concept exploitant une vulnérabilité liée à la gestion des fichiers d'aide au format CHM a été publiée Virtual PC et Virtual Server sont également affectés par une vulnérabilité permettant d'interagir avec la mémoire des systèmes d'exploitation invités Ce problème reconnu par Microsoft ne sera pas corrigé Enfin, une autre preuve de concept a été publiée, simplifiant l'exploitation de la faille liée au support du format TIFF Cette vulnérabilité référencée CVE-2010-0188 a néanmoins été corrigée récemment par Adobe avec le bulletin APSB10-007 XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247940.shtmlhttp://www.secuobs.com/revue/news/247940.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Le cabinet XMCO Partners vient de publier une application disponible sur l'App Store d'Apple pour tous les possesseurs d'iPhone ou d'iPod touch Baptisée iCERT-XMCO, cette application permet de suivre facilement l'actualité de la sécurité informatique depuis leur téléphone Grâce à une interface intuitive, le lecteur pourra retrouver les différentes informations telles que l'actualité de la sécurité informations, virus, attaques , les vulnérabilités logicielles ou encore les alertes du moment Cette première version v11 n'est qu'un début D'autres versions suivront prochainement pour simplifier l'utilisation de l'application et apporter de nouvelles fonctionnalités Note les informations accessibles via l'application correspondent uniquement à une partie du travail effectué par la cellule de Veille du cabinet XMCO Partners L'abonnement à ce service permet d'accéder à des informations ainsi qu'à des services supplémentaires Pour toute demande d'informations supplémentaires, veuillez contacter veille_secu xmcopartnerscom XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247939.shtmlhttp://www.secuobs.com/revue/news/247939.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - L'application iPhone iCERT-XMCO développée par les consultants du cabinet XMCO Partners devient gratuite pendant une durée limitée Du 1er juin au 1er juillet, vous pourrez télécharger notre application gratuitement en recherchant XMCO sur l'App Store, ou depuis le lien suivant http itunesapplecom fr app icert-xmco id365470210 mt 8 ign-mpt uo 6 Suivez l'actualité de la sécurité informatique en restant informé des attaques informatiques du moment et des plus récentes découvertes de vulnérabilités des systèmes informatiques N'hésitez pas à nous faire parvenir vos commentaires et vos suggestions pour les prochaines mises à jour Suivez le CERT-XMCO sur Twitter http twittercom certxmco XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCO Partners, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247938.shtmlhttp://www.secuobs.com/revue/news/247938.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Information Valeur Titre Avis d'expert semaine du 12 au 18 juillet 2010 Date 22 Juillet 2010 Criticité Urgente Description Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine Avis d'expert Après la publication d'une vulnérabilité critique au sein de Windows Shell, le CERT-XMCO recommande aux entreprises et aux particuliers de rester vigilants sur l'exploitation éventuelle de cette vulnérabilité Cette vulnérabilité 0-day est particulièrement importante, car il suffit que l'utilisateur explore un dossier local clef usb, etc , ou distant partage réseau, WebDAV, etc et contenant le fichier de raccourci malveillant pour que sa machine soit compromise De plus, des codes d'exploitation sont disponibles publiquement sur internet Microsoft a proposé deux solutions de contournements Cependant, la mise en place de ces solutions provoque des effets de bords désactivation de l'affichage des icônes des raccourcis rendant difficile l'utilisation de Windows Pour le CERT-XMCO, aucune solution viable n'est envisageable avant la publication du correctif prévu en août Résumé des évènements majeurs - Vulnérabilités Cette semaine a été marquée par la publication mensuelle des bulletins Microsoft 4 bulletins ont été émis, dont 2 corrigeant des vulnérabilités divulguées publiquement relatives au centre d'aide et de support MS10-042 1 et au pilote d'affichage canonique MS10-043 2 Toutes les vulnérabilités permettaient de compromettre une machine 3 4 Outre ce Patch Tuesday classique, une vulnérabilité 0-day a été dévoilée et est liée au traitement des fichiers de raccourci fichier LNK ou PIF 5 Celle-ci est particulièrement importante, car elle affecte l'ensemble des systèmes d'exploitation Windows et ne nécessite que la navigation dans un dossier local ou distant contenant le fichier malveillant pour que la machine soit compromise En outre, des preuves de concept et des codes d'exploitation sont déjà disponibles sur internet En attendant la publication d'un correctif, Microsoft offre deux méthodes de contournement, une permettant de bloquer toute exploitation de la faille désactivation des icônes de raccourcis , et une autre permettant de bloquer les exploitations à distance désactivation du WebClient Microsoft conseille également de bloquer le téléchargement des fichiers LNK et PIF depuis internet en configurant de manière appropriée la passerelle internet Cette semaine a également été la semaine de la publication trimestrielle des bulletins Oracle CPUJUL2010 6 Ce ne sont pas moins de 59 vulnérabilités qui ont été corrigées dans l'ensemble des produits Oracle et anciens produits Sun - Logiciels La fin du support de Windows XP SP2 et Windows 2000 est désormais officielle 7 Microsoft ne publiera ainsi plus de correctif de sécurité pour ces versions de Windows, incluant également les logiciels publiés sur ces plateformes tels qu'Internet Explorer, Media Player ou encore Outlook Express Il est fortement recommandé de migrer les stations de travail encore sous Windows XP SP2 vers Windows XP SP3 qui sera lui supporté jusqu'en 2014 Mozilla lutte contre les add-ons non sécurisés, en supprimant et en bloquant le plug-in Mozilla Sniffer qui contenait un code capable de voler les identifiants de connexion soumis par l'utilisateur 8 Plus de 1800 personnes avaient installé ce plug-in - Cybercriminalité Attaques La vulnérabilité liée aux fichiers LNK est déjà exploitée par des virus Le premier du genre se nomme Stuxnet et a cible des entreprises utilisant des systèmes SCADA 9 Microsoft a recensé près de 25 000 tentatives d'exploitation de la faille liée au centre d'aide et de support de Windows, faille qui est désormais comblée MS10-042 10 Le malware Zeus Zbot est toujours actif et a été mis à jour par ces concepteurs 11 Cette nouvelle variante est désormais plus sélective dans les banques visées, en ne se concentrant que sur 4 pays Etats-Unis, Royaume-Uni, Espagne et Allemagne , et se dote de fonctionnalités rendant son analyse plus difficile pour les chercheurs en sécurité De plus, Zeus tente maintenant d'exploiter les programmes de sécurité Verified by Visa et MasterCard SecureCode pour obtenir encore plus d'informations personnelles de ses victimes Référence 1 http wwwmicrosoftcom france technet security Bulletin MS10-042mspx http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0871 2 http wwwmicrosoftcom france technet security Bulletin MS10-043mspx http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0872 3 http wwwmicrosoftcom france technet security Bulletin MS10-044mspx http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0874 4 http wwwmicrosoftcom france technet security bulletin ms10-045mspx http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0873 5 http wwwmicrosoftcom technet security advisory 2286198mspx http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0894 6 http wwworaclecom technology deploy security critical-patch-updates cpujul2010html http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0883 7 http wwwh-onlinecom security news item Support-for-Windows-2000-and-Windows-XP-Service-Pack-2-expires-today-1037316html http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0869 8 http wwwh-onlinecom security news item Mozilla-disables-login-stealing-Firefox-add-on-1038441html http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0882 9 http wwwf-securecom weblog archives 00001987html http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0893 10 http wwwmicrosoftcom technet security bulletin ms10-042mspx http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0884 11 http wwwtheregistercouk 2010 07 13 zeus_goes_local http wwwscmagazineuscom zeus-now-spoofing-visa-mastercard-programs article 174635 http wwwxmcopartnerscom veille client indexxmco nv CXA-2010-0885 Id XMCO Partners CXA-2010-0915 Lien extranet XMCO Partners http xmcopartnerscom veille client indexxmco nv CXA-2010-0915 XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247937.shtmlhttp://www.secuobs.com/revue/news/247937.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine Avis d'expert Le CERT-XMCO recommande de mettre en place les solutions de contournement 1 proposées par Microsoft afin de se protéger contre l'exploitation distante de la faille permettant la compromission d'un système via le chargement par Windows de librairies malveillantes lors de l'ouverture d'un fichier Résumé des évènements majeurs - Vulnérabilités La faille 2 liée au chargement de librairies malveillantes lors de l'ouverture d'un fichier a fait beaucoup parler d'elle Cette vulnérabilité, qui avait fait sa première apparition publique la semaine dernière dans un bulletin de sécurité pour iTunes 3 , a rapidement pris de l'ampleur La faille de sécurité en question est liée au chargement automatique par Windows de librairies DLL dans le répertoire de travail local CWD lors du lancement d'une application Un pirate déposant dans un dossier quelconque local ou distant un fichier associé à une application vulnérable, ainsi qu'une librairie spécialement conçue peut compromettre le système d'un utilisateur simplement Pour cela, le pirate doit inciter la victime potentielle à ouvrir le fichier par exemple un fichier audio, vidéo, un document Office afin que l'application vulnérable soit lancée, et qu'elle charge automatiquement la librairie du pirate se trouvant dans le même répertoire L'ouverture de celle-ci permettra alors au pirate de compromettre le système de l'utilisateur, et d'obtenir les mêmes privilèges que ceux de la victime Tous les jours, de nouvelles preuves de concept sont disponibles pour les applications les plus courantes 4 Microsoft propose une solution de contournement 1 , mais a annoncé que l'ensemble des éditeurs devrait mettre à jours leurs logiciels vulnérables, puisque le comportement de Windows est standard, et commun à de nombreux autres systèmes d'exploitation Des chercheurs sont d'ailleurs parvenus à exploiter ce type de faille de sécurité sur des distributions Linux telles que Debian, Ubuntu ou encore Fedora 5 - Logiciels Correctifs Une étude 6 réalisée par l'équipe X-Force d'IBM présente des résultats inquiétants Sur l'ensemble des vulnérabilités qui ont été rapportées aux éditeurs et recensées par IBM sur la première moitié de l'année 2010, pas moins d'une sur deux attend toujours la publication d'un correctif par son éditeur Malgré les efforts de certains d'entre eux dans le domaine de la transparence et de la réactivité, il reste toujours de mauvais élèves chez les éditeurs Adobe est particulièrement bien noté sur cette période, puisque seulement 3 pourcents des vulnérabilités qui lui ont été rapportées ne sont pas encore corrigées De leurs côtés, Google est de plus en plus surveillé par les chercheurs et prend ainsi la place d'HP dans le top 10 du nombre de failles par vendeurs Apple, suivi par Microsoft, est en tête de ce même classement - Cybercriminalité Attaques Deux ans après le drame du vol JK5022 à Madrid et selon le journal El Pais 7 , un rapport interne de la compagnie aérienne Spanair a révélé qu'un virus aurait infecté un système de monitoring TOWS TakeOff Warning System pendant la période du crash D'après certains spécialistes, il est possible que celui-ci soit au moins en partie responsable du crash de l'avion MD-82 de la compagnie espagnole qui avait couté la vie de 154 personnes Le Pentagone, relayé par de nombreux journalistes 8 , a révélé cette semaine l'existence d'une attaque datant de 2008 menées contre le système d'informations militaire utilisé par les Amèricains En pleine guerre en Irak et en Afghanistan, un support de stockage externe USB a été utilisé pour introduire un cheval de Troie Celui-ci s'est propagé au sein de nombreuses zones du SI, y compris confidentielles, et aurait pu exfiltrer des données sensibles vers des ennemis L'opération Buckshot Yankee a par la suite donné lieu à la mise en place d'une stratégie de sécurité drastique, interdisant par exemple l'utilisation des ports USB au sein du SI Cette attaque a été présentée comme étant la plus importante en date ciblant les ordinateurs des militaires américains Le botnet YoyoDDoS 9 , qui avait fait son apparition sur internet au mois de mars dernier, sest fait remarquer Pas moins de 180 attaques menées à l'encontre de sites marchands ou de sites de jeux en ligne ont été répertoriées Plusieurs techniques sont utilisées par les pirates pour saturer les serveurs flood HTTP, UDP, TCP, ICMP Mis à part quelques serveurs américains, coréens et allemands, la majorité des cibles est chinoise plus de 126 sur 180 À peine deux mois après sont lancement, le système antipiratage de l'Androïd est déjà contourné 10 Un développeur d'application a démontré qu'en décompilant simplement une application protégée, en modifiant une partie spécifique du code, puis en la recompilant, il est possible de cracker des applications protégées - Entreprises Juridique Après la présentation réalisée par le chercheur Barnaby Jack il y a quelques semaines lors de la dernière conférence BlackHat qui se tenait à Las Vegas aux États-Unis, plusieurs fabricants de distributeurs automatiques de billets Hantle et Triton ont annoncé avoir corrigé les failles de sécurité découvertes par le chercheur 11 Ceci est une bonne nouvelle, puisque d'après le chercheur, il était possible d'exploiter ce type de faille sur la quasi-totalité des modèles de distributeurs pour retirer de l'argent Visa a publié cette semaine, avec l'aide du SANS, un document 12 présentant 10 best practices disponibles pour les entreprises travaillant dans le domaine des applications de paiement en ligne Celles-ci, qui sont déjà concernées par le standard PA-DSS Payment Application Data Security Standard , voient donc apparaitre 10 nouveaux coups de pouce utilisés dans le cadre de ce type de développement nécessitant un certain niveau de sécurité Enfin, Dell et HP se disputent l'acquisition de la société 3Par 13 , spécialisée dans le stockage et la gestion des données La première offre de Dell valorisait à 18 dollars l'action 3Par, qui après plusieurs contre-offres est maintenant évaluée à 30 dollars par HP Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter http twittercom certxmco XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCO Partners, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247936.shtmlhttp://www.secuobs.com/revue/news/247936.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chère lectrice, cher lecteur, Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement à l'adresse suivante http wwwxmcopartnerscom actualite-securite-vulnerabilite-frhtml Au sommaire du numéro 26 0day, exploitations massives, phishing, attaques ciblées le retour en force des hackers - ASPROX et 0day PDF analyse des attaques - Le coaching RSSI quelques grammes d'opérationnels dans un monde de - PCI-DSS la sécurité des applications web - Les conférences du moment Blackhat Europe, Hackito, SSTIC - Lactualité du moment 0day Java, Microsoft Help Center, LNK, Tabnabbing, JBoss HEAD - Les blogs, les logiciels et les extensions sécurité Bonne lecture XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCO Partners, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247935.shtmlhttp://www.secuobs.com/revue/news/247935.shtml Secuobs.com : 2010-09-17 02:03:28 - XMCO PARTNERS RSS - Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine Avis d'expert Une vulnérabilité 0day au sein d'Adobe Reader est activement exploitée sur Internet bulletin de sécurité Adobe APSA10-02 1 Aucun correctif pour Adobe Acrobat ou Reader n'est actuellement disponible Les éditeurs antivirus ont publié des signatures pour ces fichiers Le CERT-XMCO recommande aux RSSI de s'assurer que leur passerelle antivirus scanne bien les fichiers PDF et que les signatures sont à jour Symantec signature 20101117 BloodhoundPDF gen1 McAfee signature 540001158 Exploit-PDFpsgen TrendMicro signature 912001004 TROJ_PIDIEFWM Résumé des évènements majeurs - Vulnérabilités À la suite de la découverte 2 d'un PDF malveillant contenant un code d'exploitation, Adobe ainsi que plusieurs chercheurs ont émis une alerte de sécurité 3 En effet, cette faille permet de compromettre un système à distance via l'ouverture d'un PDF contenant une police de caractères spécialement conçue afin de corrompre le champ uniqueName d'une table SING L'ouverture d'un tel document permet à un pirate de prendre le contrôle à distance d'un système De plus, les recherches effectuées ont montré que l'attaque était complexe Le document PDF contient plusieurs pages incluant un code d'exploitation propre à chaque version du logiciel Par ailleurs, le fichier exécutable installé est signé numériquement 4 avec la clef privée correspondant à un certificat appartenant à la banque américaine Vantage Credit Union Un code d'exploitation 5 permettant d'exploiter une faille de sécurité 6 présente dans les versions antérieures à l'Update 19 de Java 6 a été rendu public La faille concerne la désérialisation d'un objet RMIConnectionImpl dans un contexte privilégié, afin de permettre à un attaquant de prendre le contrôle d'un système La vulnérabilité nécessite qu'un pirate incite un internaute à visiter une page internet malveillante contenant un Applet Java spécialement conçu Le CERT-XMCO recommande de mettre à jour la machine virtuelle Java 7 Un chercheur a publié une preuve de concept relative à une vulnérabilité 8 présente au sein d'Internet Explorer Celle-ci permettra à un pirate d'accéder et de manipuler à distance des informations sensibles via l'utilisation de la directive CSS import La faille serait connue de Microsoft depuis 2008 Plusieurs autres codes d'exploitation ont été rendus disponibles dans le cadre du mois des vulnérabilités Abysssec Parmi les logiciels vulnérables ciblés, Movie Maker MOAUB 04 9 MS10-016 10 , le codec MPEG-Layer 3 de Windows MOAUB 05 11 MS10-026 12 , HP OpenView MOAUB 06 13 , Novell Netware FTP MOAUB 07 14 , MS Visio MOAUB 08 15 MS10-028 16 , Firefox MOAUB 09 17 MFSA2010-30 18 , MS Office Excel MOAUB 10 19 MS10-038 20 , MS Office Word MOAUB 11 21 MS10-056 22 et enfin Adobe Reader MOAUB 12 23 APSB10-15 24 Le CERT-XMCO recommande l'installation de tous les correctifs disponibles pour ces anciennes failles de sécurité - Correctifs Microsoft a annoncé 25 que son prochain Patch Tuesday aura lieu le 14 septembre Au programme, 9 bulletins de sécurité 4 critiques et 5 importants concernant Windows et Office - Cybercriminalité Attaques Des pirates ont mené une attaque 26 assez ingénieuse en imitant les pages d'avertissement des navigateurs web afin de pousser les internautes à télécharger et à installer leurs malwares Un nouveau cheval de Troie 27 ciblant la plateforme Androïd a été découvert Celui-ci utilise les techniques SEO Search Engine Optimization afin d'apparaître dans les premiers résultats des moteurs de recherche Un ver se propageant via d'anciennes techniques 28 a fait son apparition Transmis par courriel pourriel, il scanne le carnet d'adresses du système de la victime afin d'envoyer de nouveaux mails Il se recopie aussi sur des partages distants, ainsi que sur des supports de stockages externes Alors que plusieurs serveurs C C du botnet Cutwail Pushdo avaient été fermés par les professionnels de la sécurité, 5000 pourriels provenant des zombies du botnet auraient été envoyés 29 Les pirates sont donc probablement déjà en train de le remettre sur pieds - Internationnal Une clef USB 30 contenant plus de 2000 documents appartenant à un officier anglais a été retrouvée dans la rue Les 4 Go de données non chiffrés contenant des informations sensibles concernant le terrorisme, la gestion de crise, ou encore une liste de noms et des grades des officiers anglais pourraient se retrouver entre de mauvaises mains - Entreprises NSS Labs, une société spécialisée dans la sécurité vient d'annoncer vouloir lancer un nouveau site de vente en ligne de code d'exploitation 31 Les chercheurs pourront ainsi mettre en vente leurs exploits, qui seront testés par NSS avant d'être mis à disposition des entreprises et autres acheteurs dont les identités seront préalablement validées Seuls des codes permettant d'exploiter des failles de sécurité dont les correctifs ont été publiés seront mis en vente Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter http twittercom certxmco 1 https certxmcofr veille client indexxmco nv CXA-2010-1147 http wwwadobecom support security advisories apsa10-02html http cvemitreorg cgi-bin cvenamecgi name CVE-2010-2883 https certxmcofr veille client indexxmco nv CXA-2010-1151 https wwwmetasploitcom redmine projects framework repository entry modules exploits windows fileformat adobe_cooltype_singrb 2 https certxmcofr veille client indexxmco nv CXA-2010-1147 http contagiodumpblogspotcom 2010 09 cve-david-leadbetters-one-point-lessonhtml 3 https certxmcofr veille client indexxmco nv CXA-2010-1147 http wwwadobecom support security advisories apsa10-02html http cvemitreorg cgi-bin cvenamecgi name CVE-2010-2883 4 https certxmcofr veille client indexxmco nv CXA-2010-1160 http wwwsecurelistcom en blog 2287 Adobe_Reader_zero_day_attack_now_with_stolen_certificate 5 https certxmcofr veille client indexxmco nv CXA-2010-1162 http wwwmetasploitcom redmine projects framework repository revisions 10255 6 https certxmcofr veille client indexxmco nv CXA-2010-0388 http cvemitreorg cgi-bin cvenamecgi name CVE-2010-0094 7 http javasuncom javase downloads indexjsp 8 https certxmcofr veille client indexxmco nv CXA-2010-1141 https certxmcofr veille client indexxmco nv CXA-2010-1142 http archivesneohapsiscom archives fulldisclosure 2010-09 0066html 9 https certxmcofr veille client indexxmco nv CXA-2010-1138 ms10-016 target '_blank'http wwwexploit-dbcom movie-maker-remote-code-execution-ms10-016 http wwwexploit-dbcom exploits 14886 10 https certxmcofr veille client indexxmco nv CXA-2010-0286 http wwwmicrosoftcom technet security bulletin ms10-016mspx http cvemitreorg cgi-bin cvenamecgi name CVE-2010- 0265 11 https certxmcofr veille client indexxmco nv CXA-2010-1137 http wwwexploit-dbcom moaub-5-microsoft-mpeg-layer-3-audio-stack-based-overflow http wwwexploit-dbcom exploits 14895 12 https certxmcofr veille client indexxmco nv CXA-2010-0449 http wwwmicrosoftcom technet security Bulletin MS10-026mspx http wwwcvemitreorg cgi-bin cvenamecgi name CVE-2010-0480 13 https certxmcofr veille client indexxmco nv CXA-2010-1144 http wwwexploit-dbcom moaub-6-hp-openview-nnm-webappmon-exe-execvp_nc-remote-code-execution http wwwexploit-dbcom exploits 14916 14 https certxmcofr veille client indexxmco nv CXA-2010-1146 https certxmcofr veille client indexxmco nv CXA-2010-1145 http wwwexploit-dbcom moaub-7-novell-netware-nwftpd-rmdrnfrdele-argument-parsing-buffer-overflow http wwwexploit-dbcom exploits 14928 15 https certxmcofr veille client indexxmco nv CXA-2010-1161 http wwwexploit-dbcom moaub-8-microsoft-office-visio-dxf-file-stack-overflow http wwwexploit-dbcom exploits 14944 16 https certxmcofr veille client indexxmco nv CXA-2010-0447 https certxmcofr veille client indexxmco nv CXA-2010-0550 http wwwmicrosoftcom france technet security bulletin MS10-028mspx http cvemitreorg cgi-bin cvenamecgi name CVE-2010-1681 http cvemitreorg cgi-bin cvenamecgi name CVE-2010-0254 http cvemitreorg cgi-bin cvenamecgi name CVE-2010-0256 17 https certxmcofr veille client indexxmco nv CXA-2010-1158 http wwwexploit-dbcom moaub-9-mozilla-firefox-xslt-sort-remote-code-execution-vulnerability http wwwexploit-dbcom exploits 14949 18 https certxmcofr veille client indexxmco nv CXA-2010-0788 http wwwmozillaorg security announce 2010 mfsa2010-30html http cvemitreorg cgi-bin cvenamecgi name CVE-2010-1199 19 https certxmcofr veille client indexxmco nv CXA-2010-1169 http wwwexploit-dbcom moaub-10-excel-rtd-memory-corruption http wwwexploit-dbcom exploits 14966 2Ø https certxmcofr veille client indexxmco nv CXA-2010-0721 http wwwmicrosoftcom technet security bulletin ms10-038mspx http cvemitreorg cgi-bin cvenamecgi name CVE-2010-1246 21 https certxmcofr veille client indexxmco nv CXA-2010-1176 http wwwexploit-dbcom moaub11-microsoft-office-word-sprmcmajority-buffer-overflow http wwwexploit-dbcom exploits 14971 22 https certxmcofr veille client indexxmco nv CXA-2010-1015 http wwwmicrosoftcom technet security bulletin MS10-056mspx http cvemitreorg cgi-bin cvenamecgi name CVE-2010-1900 23 https certxmcofr veille client indexxmco nv CXA-2010-1177 http wwwexploit-dbcom moaub12-adobe-acrobat-and-reader-pushstring-memory-corruption http wwwexploit-dbcom exploits 14982 24 https certxmcofr veille client indexxmco nv CXA-2010-0823 http wwwadobecom support security bulletins apsb10-15html http cvemitreorg cgi-bin cvenamecgi name CVE-2010-2201 25 https certxmcofr veille client indexxmco nv CXA-2010-1167 http wwwmicrosoftcom technet security bulletin ms10-sepmspx 26 https certxmcofr veille client indexxmco nv CXA-2010-1132 http blogstechnetcom b mmpc archive 2010 09 01 rogue-msil-zeven-wants-a-piece-of-the-microsoft-security-essentials-pieaspx 27 https certxmcofr veille client indexxmco nv CXA-2010-1157 http wwwnet-securityorg malware_newsphp id 1460 28 https certxmcofr veille client indexxmco nv CXA-2010-1172 http threatpostcom en_us blogs new-email-worm-turns-back-clock-virus-attacks-090910 29 https certxmcofr veille client indexxmco nv CXA-2010-1156 http blogtrendmicrocom pushdo-takedown-damages-botnet http blogtrendmicrocom new-fake-facebook-spam-waves-send-through-cutwailpushdo-botnet 3Ø https certxmcofr veille client indexxmco nv CXA-2010-1139 http wwwdailystarcouk news view 152395 Manchester-Police-dump-terror-secrets-in-the-street 31 https certxmcofr veille client indexxmco nv CXA-2010-1174 http wwwforbescom forbes 2010 0927 technology-internet-hackers-nasdaq-nss-digital-arms-dealerhtml XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité Pour toute question sur le service complet de veille XMCO Partners, consultez nous Internet http wwwxmcopartnerscom veille-frhtml Telephone 01 47 34 68 61 --------------------------------------------------------------------- http://www.secuobs.com/revue/news/247934.shtmlhttp://www.secuobs.com/revue/news/247934.shtml