Cette semaine, le CERT-XMCO porte votre attention sur le malware Stuxnet qui fait beaucoup parler de lui ces derniers temps. Le virus pourrait avoir été développé pour infecter, voire saboter un complexe nucléaire iranien. L’utilisation de quatre vulnérabilités 0day ciblant les systèmes d’exploitation Windows, ainsi que de nombreux autres détails techniques prouvent que ce malware aurait été développé par des professionnels dans un but précis (comme pour l’attaque Aurora).
* Résumé des évènements majeurs :
– Vulnérabilités :
À la suite de la révélation de la faille de sécurité au sein de l’implémentation de l’algorithme de chiffrement AES dans le framework ASP.Net, Microsoft a publié le bulletin KB2416728 présentant entre autres une solution de contournement.
– Exploits :
Un code permettant d’exploiter la faille de sécurité corrigée MS10-061 dans le cadre du dernier « Patch Tuesday » a été rendu disponible sur Internet. Celui-ci permet d’ajouter une tache planifiée via une faille présente au sein du service spooleur d’impression de Windows afin de prendre le contrôle d’un système vulnérable.
Dans le cadre du projet MOAUB (Month Of Abyssec Undisclosed Mugs), Abyssec a continué de publier plusieurs preuves de concept. Parmi les logiciels ciblés : QuickTime (MOAUB #18), Novell iPrint (MOAUB #19), Java (MOAUB #20, Excel (MOAUB #21 / MS10-038), Shockwave (MOAUB #22), Adobe Reader et Flash Player (MOAUB #23, APSB10-14 et APSB10-15), Excel (MOAUB #24 / MS10-038), le codec MPEG Layer-3 de Windows (MOAUB #24 / MS10-052), Firefox (MOAUB #25 / MFSA 2010-39) et enfin le codec Cinepak de Microsoft (MOAUB #26 / MS10-055). Le CERT-XMCO recommande l’installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.
– Correctifs :
Cisco a publié 6 bulletins [A][B][C][D][E][F] cette semaine, corrigeant plusieurs failles de l’IOS liées à l’utilisation des protocoles SIP, H.323, H.225.0, IGMPv3…
Apple a publié un correctif pour le 0day « _Marshaled_pUnk » qui affectait l’ActiveX « QTPlugin.ocx » fourni avec QuickTime.
Adobe a publié le bulletin de sécurité APSB10-22 proposant un correctif pour son logiciel Flash Player pour la faille présentée dans l’alerte APSA10-03. Cette faille de sécurité serait exploitée sur internet. Le CERT-XMCO recommande l’installation de ce correctif dans les plus brefs délais.
– Cybercriminalité / Attaques :
Une vulnérabilité de type « Cross-Site Scripting » (XSS) a été exploitée par un ver pour se répandre de façon très rapide au sein du réseau social Twitter. Celle-ci avait déjà été corrigée, mais est réapparue de façon inexpliquée lors d’une mise à jour du site.
Stuxnet, un malware connu pour exploiter quatre 0days au sein de Windows serait suspecté d’avoir été développé pour infecter et détruire un système de contrôle utilisé dans le complexe nucléaire Iranien Bushehr.
Plusieurs attaques de déni de service distribué ont eu lieu cette semaine contre les associations en charge de la défense des intérêts des majors (RIAA, MPAA,BPI…). Ces attaques de DDoS font suite à des actions similaires entreprises par la société indienne Aiplex contre plusieurs sites de téléchargement. Aiplex aurait ainsi été engagé par une trentaine de maisons de disque pour prendre en charge le repérage, l’avertissement et la mise en place de la sanction envers les pirates et leurs sites de « partage »…
Baptisé « Infostealer.Nimkey » par Symantec, un malware spécialisé dans le vol de clés privées vise les certificats numériques au format PKCS#12.
– Conférence / Recherche :
Dans le cadre de la première conférence internationale organisée par et pour Interpol, l’un des hauts responsables de l’organisation a révélé que son identité avait été usurpée sur le réseau social Facebook afin de mener des attaques d’ingénierie sociale pour obtenir des informations relatives à une opération internationale. D’après Interpol, le vol d’identité serait devenu l’une des menaces les plus sérieuses à l’heure actuelle.
Alors même que la carte d’identité électronique allemande (eID) est sur le point d’être rendue disponible aux citoyens allemands, le Chaos Computer Club (CCC) a présenté à la télévision cette semaine l’exploitation de faille de sécurité permettant de contrôler une eID. Néanmoins, le BSI, qui a bien noté ces remarques, pense que le système est suffisamment sécurisé tel qu’il est actuellement. Par ailleurs, et toujours selon la BSI, cette solution serait, dans tous les cas, nettement plus sécurisée que l’ancienne qui était basée sur un couple identifiant/mot de passe…
– Internationnal :
Dans le même temps, plusieurs acteurs allemands de l’Internet ont mis en place un organisme permettant de lutter contre la prolifération des botnets. Différentes solutions sont évoquées : la mise en place d’une assistance téléphonique, la mise à disposition d’outils permettant de nettoyer son système, ainsi que la surveillance de certains flux réseau des internautes typiquement caractéristiques des zombies.
En France, l’initiative SignalSpam a vu sa plateforme mise à jour. L’initiative qui a pour but de lutter contre les spammeurs propose maintenant deux petits programmes simplifiant la signalisation des pourriels depuis Outlook et Thunderbird.
– Entreprises :
Google est en train de migrer vers une authentification dite « forte ». Les internautes voulant accéder à leur compte Google Apps se verront demander une information supplémentaire lors de leur authentification. Google enverra un SMS contenant un mot de passe temporaire nécessaire pour se connecter au service.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité sur le compte Twitter du CERT-XMCO :
http://twitter.com/certxmco