Après qu’un premier malware exploitant la faille référencée CVE-2012-0003 ait été découvert, des chercheurs ont publié un code d’exploitation permettant de tirer parti de la vulnérabilité. Celui-ci permet de prendre le contrôle d’un système Windows à distance en incitant un internaute à visiter une page web spécialement conçue. Le CERT-XMCO recommande donc l’installation du correctif MS12-004 publié par Microsoft.
Par ailleurs, le serveur Telnetd utilisé au sein de Cisco IronPort étant vulnérable à la faille découverte récemment au sein de FreeBSD, Cisco a publié un bulletin de sécurité demandant à ses clients de désactiver le support de Telnet au sein des produits vulnérables. Le CERT-XMCO recommande de migrer vers l’utilisation d’un protocole plus sûr, tel que SSH.
Résumé des évènements majeurs
Vulnérabilités :
Plusieurs vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le serveur Apache HTTPd, Cisco IronPort ainsi que le noyau Linux. Le CERT-XMCO recommande tout particulièrement la désactivation du service Telnet sur Cisco IronPort. Une faille de sécurité au sein de celui-ci peut en effet être exploitée afin de prendre le contrôle du système à distance.
Correctifs :
De nombreux correctifs ont été publiés. Ceux-ci concernent Solaris (Tomcat, ProFTPd, GlassFish), HP-UX (OpenSSL, Java), IBM DB2 Accessories Suite et SolidDB, RSA enVision, EMC Networker, Joomla!, Trend Micro DataArmor et DriveArmor, Symantec Altiris IT Management Suite et pcAnywhere, Opera et Google Chrome, SAP Netweaver, et enfin le framework Apache Struts.
Exploit :
Plusieurs preuves de concept ont été divulguées cette semaine, permettant d’élever ses privilèges via une vulnérabilité au sein du noyau Linux, ainsi que de prendre le contrôle d’un système via des failles au sein du framework Struts et Windows Media. Le CERT-XMCO recommande en particulier l’installation du correctif MS12-004 qui corrige la faille présente au sein de Windows. Pour rappel, celle-ci peut être exploitée à distance via un contrôle ActiveX présent au sein d’Internet Explorer.
Conférence / Recherche :
TrendMicro aurait découvert un premier code malveillant exploitant la faille de sécurité référencée CVE-2012-0003, récemment corrigée par Microsoft dans le bulletin MS12-004. Le code en question permet de générer une page Internet permettant de forcer le chargement d’un fichier malveillant par le contrôle ActiveX Windows Media, afin d’installer sur le système de la victime un logiciel malveillant. Un code d’exploitation a enfin aussi été publié sur Internet.
Avec la prolifération des malwares, un nouveau type de code malveillant vient de faire son apparition : les « Frankenwares« . En réalité, il s’agit d’une nouvelle appellation plutôt que d’un nouveau type de malware. Ce terme désigne en effet le résultat de la contamination d’un exécutable malveillant par un autre code malveillant, produisant ainsi un nouveau malware affublé de l’ensemble des fonctionnalités de deux autres malwares pris séparément.
Cybercriminalité / Attaques :
Selon Microsoft, l’un des pirates se cachant derrière Kelihos travaillerait pour un éditeur de solution de sécurité. Cependant, Krebs semble émettre quelques doutes sur les informations révélées par Microsoft.
Entreprise :
Symantec soulève de nouvelles interrogations quant au vol du code source de pcAnywhere. Selon la société, le code source de cette solution n’aurait jamais été transmis à l’Inde qui était à priori la cible de l’attaque des pirates ayant publié le code source. Comment celle-ci a-t-elle pu avoir ces données en sa possession ? Par ailleurs, comment la société n’a-t-elle pas pu découvrir le vol de données lors de l’analyse de l’attaque qu’elle a subie il y a 6 ans, alors que Symantec a été en mesure de la confirmer ce mois-ci en étudiant les mêmes traces ? Enfin, Symantec est revenu sur certaines de ses déclarations et recommande de ne plus utiliser certains de ses logiciels tels que pcAnywhere.
Juridique :
Les entreprises européennes seront bientôt soumises à une législation restrictive en matière de vie privée.
Vie Privée :
L’opérateur de téléphonie mobile anglais O2 aurait révélé les numéros de téléphone des abonnés aux sites internet visités depuis leur mobile. Il semblera que l’opérateur a cependant corrigé ce problème.
XMCO a publié récemment le numéro 30 de l’ActuSécu, intitulé « Cybercriminalité : Scam et kits d’exploitation« . Au sommaire : scams, kits d’exploitation, Apache Killer, FTP et Telnet sous FreeBSD, DrDOS, et comme toujours… les blogs, les logiciels et nos Twitter favoris ! https://www.xmco.fr/actusecu.html
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO