Une vulnérabilité 0day au sein d’Adobe Reader est activement exploitée sur Internet (bulletin de sécurité Adobe APSA10-02). Aucun correctif pour Adobe Acrobat ou Reader n’est actuellement disponible. Les éditeurs antivirus ont publié des signatures pour ces fichiers. Le CERT-XMCO recommande aux RSSI de s’assurer que leur passerelle antivirus scanne bien les fichiers PDF et que les signatures sont à jour (Symantec signature 20101.1.1.7 « Bloodhound.PDF!gen1 » ; McAfee signature 5.400.0.1158 « Exploit-PDF.ps.gen » ; TrendMicro signature 9.120.0.1004 « TROJ_PIDIEF.WM »).
* Résumé des évènements majeurs :
– Vulnérabilités :
À la suite de la découverte d’un PDF malveillant contenant un code d’exploitation, Adobe ainsi que plusieurs chercheurs ont émis une alerte de sécurité. En effet, cette faille permet de compromettre un système à distance via l’ouverture d’un PDF contenant une police de caractères spécialement conçue afin de corrompre le champ « uniqueName » d’une table « SING ». L’ouverture d’un tel document permet à un pirate de prendre le contrôle à distance d’un système. De plus, les recherches effectuées ont montré que l’attaque était complexe. Le document PDF contient plusieurs pages incluant un code d’exploitation propre à chaque version du logiciel. Par ailleurs, le fichier exécutable installé est signé numériquement avec la clef privée correspondant à un certificat appartenant à la banque américaine « Vantage Credit Union ».
Un code d’exploitation permettant d’exploiter une faille de sécurité présente dans les versions antérieures à l’Update 19 de Java 6 a été rendu public. La faille concerne la désérialisation d’un objet « RMIConnectionImpl » dans un contexte privilégié, afin de permettre à un attaquant de prendre le contrôle d’un système. La vulnérabilité nécessite qu’un pirate incite un internaute à visiter une page internet malveillante contenant un Applet Java spécialement conçu. Le CERT-XMCO recommande de mettre à jour la machine virtuelle Java.
Un chercheur a publié une preuve de concept relative à une vulnérabilité présente au sein d’Internet Explorer. Celle-ci permettra à un pirate d’accéder et de manipuler à distance des informations sensibles via l’utilisation de la directive CSS « @import ». La faille serait connue de Microsoft depuis 2008…
Plusieurs autres codes d’exploitation ont été rendus disponibles dans le cadre du mois des vulnérabilités Abysssec. Parmi les logiciels vulnérables ciblés, Movie Maker (MOAUB #04 / MS10-016), le codec MPEG-Layer 3 de Windows (MOAUB #05 / MS10-026), HP OpenView (MOAUB #06), Novell Netware FTP (MOAUB #07), MS Visio (MOAUB #08 / MS10-028), Firefox (MOAUB #09 / MFSA2010-30), MS Office Excel (MOAUB #10 / MS10-038), MS Office Word (MOAUB #11 / MS10-056) et enfin Adobe Reader (MOAUB #12 / APSB10-15). Le CERT-XMCO recommande l’installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.
– Correctifs :
Microsoft a annoncé que son prochain « Patch Tuesday » aura lieu le 14 septembre. Au programme, 9 bulletins de sécurité (4 critiques et 5 importants) concernant Windows et Office.
– Cybercriminalité / Attaques :
Des pirates ont mené une attaque assez ingénieuse en imitant les pages d’avertissement des navigateurs web afin de pousser les internautes à télécharger et à installer leurs malwares…
Un nouveau cheval de Troie ciblant la plateforme Androïd a été découvert. Celui-ci utilise les techniques SEO (Search Engine Optimization) afin d’apparaître dans les premiers résultats des moteurs de recherche.
Un ver se propageant via d’anciennes techniques a fait son apparition. Transmis par courriel/pourriel, il scanne le carnet d’adresses du système de la victime afin d’envoyer de nouveaux mails. Il se recopie aussi sur des partages distants, ainsi que sur des supports de stockages externes…
Alors que plusieurs serveurs C&C du botnet « Cutwail/Pushdo » avaient été fermés par les professionnels de la sécurité, 5000 pourriels provenant des zombies du botnet auraient été envoyés. Les pirates sont donc probablement déjà en train de le remettre sur pieds.
– Internationnal :
Une clef USB contenant plus de 2000 documents appartenant à un officier anglais a été retrouvée dans la rue. Les 4 Go de données non chiffrés contenant des informations sensibles concernant le terrorisme, la gestion de crise, ou encore une liste de noms et des grades des officiers anglais pourraient se retrouver entre de mauvaises mains…
– Entreprises :
NSS Labs, une société spécialisée dans la sécurité vient d’annoncer vouloir lancer un nouveau site de vente en ligne de code d’exploitation. Les chercheurs pourront ainsi mettre en vente leurs exploits, qui seront testés par NSS avant d’être mis à disposition des entreprises et autres acheteurs dont les identités seront préalablement validées. Seuls des codes permettant d’exploiter des failles de sécurité dont les correctifs ont été publiés seront mis en vente.
Enfin, XMCO a publié la semaine dernière le numéro 26 de l’ACTU-SECU. Au sommaire : 0day, ASPROX, exploitations massives, phishing, attaques ciblées : le retour en force des hackers …
Vous pouvez suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco