XMCO PARTNERS RSS

[VEILLE] [SECURITE] Avis d'expert : semaine du 30 ao�t au 5 septembre

Mon, 06 Sep 2010 18:51:32 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :

- Vulnérabilités :
Une faille de sécurité a été découverte au sein de l'ActiveX "QTPlugin.ocx" [1] fourni avec QuickTime. Un pirate peut compromettre un système vulnérable en incitant simplement un utilisateur à visiter une page internet spécialement conçue. Cette page devra contenir un paramètre appelé "_Marshaled_pUnk". Le CERT-XMCO recommande la plus grande prudence, étant donné qu'un exploit [2] est disponible sur internet. L'exploitation de la vulnérabilité permet de contourner les protections DEP et ASLR de Windows, via le chargement d'une librairie relative à Windows Live Messenger par Internet Explorer qui ne tire pas parti de ces protections.

Un an après une présentation qui avait eu lieu dans le cadre de la conférence HAR 2009, un chercheur a publié un code [3] permettant de retrouver le mot de passe des comptes administrateurs prédéfinis sur un routeur ou un switch à partir de son adresse MAC. Depuis un an, aucun des constructeurs n'avait réagi. Parmi les fabricants incriminés, on retrouve 3Com, Dell, SMC, Foundry ou encore EdgeCore.

- Logiciels :
Novell a publié un bulletin de sécurité [4] relatif à l'utilisation d'OpenSSH sur Netware. Ce bulletin précisait l'existence d'une faille de sécurité permettant de provoquer un déni de service à distance. Malheureusement, la faille de sécurité serait plus critique que prévu, et le chercheur qui avait découvert l'existence de cette vulnérabilité la fait savoir en publiant une démonstration, ainsi qu'une preuve de concept [5].

- Correctifs :
Après avoir proposé un outil et une solution de contournement pour la faille relative au chargement de librairie, Microsoft a proposé cette semaine un "Fix It" [6]. Cet outil permet, en quelques clics, de mettre en place les recommandations effectuées antérieurement, et pour lesquelles il était nécessaire d'installer un premier outil, puis de manipuler la base de registre. Cette simplification de la procédure permet à tous les utilisateurs de se protéger simplement contre une exploitation distante de la vulnérabilité.

- Cybercriminalité / Attaques :
Pour la seconde fois au cours du mois d'août, les pirates s'en sont pris à un fournisseur de service DNS. DtDNS [7], tout comme DnsMadeEasy [8], a subi des attaques en deni de service distribué. DnsMadeEasy a rapporté qu'un débit entrant de plus de 50Gbits/s avait saturé plusieurs liens entrants de 10 Gbits/s chacun...

- Recherche / Conférence :
De son côté, l'université américaine de Duke, sponsorisée par le RIPE [9], a voulu tester "dans la nature" une implémentation sécurisée du protocole BGP basé sur l'utilisation d'un attribut dit "transitif". Lors de l'émission des premières annonces BGP par le RIPE NCC, ce champ optionnel a provoqué une réaction en chaine causée par un bug au sein de certains routeurs cisco utilisant l'IOS [10]. Lors de la réception des annonces, les tables de routages ont été corrompues, et les routeurs ont envoyé des annonces invalides, provoquant ainsi de légères perturbations sur le réseau mondial.

- Internationnal :
Dans l'affaire opposant Research In Motion (RIM) au gouvernement indien, une nouvelle étape a été franchie. RIM a déposé un dossier de proposition au gouvernement indien qui est en train de l'étudier. Les Indiens [11] ont donc donné un répit de 60 jours à RIM, en demandant aux opérateurs de retarder la coupure des services de messagerie sécurisés utilisés par les smartphones canadiens.

- Entreprises
Une étude réalisée par Trend Micro [12] montre que les vols d'informations sensibles en entreprises sont pour la majorité des cas réalisés par des employés via des moyens basiques : clefs USB, mails... Il est donc le plus souvent difficile de s'en protéger sans que cela ne passe par une sensibilisation des employés aux risques personnels et professionnels encourus, aux recommandations...

De nombreuses opérations de rachat ont eu lieu : après McAfee, Intel [13] s'est offert la branche mobile de son concurrent Infineon. Le match entre Dell et HP s'est soldé par une victoire d'HP [14] qui rachète le spécialiste du stockage 3Par, Google [15] s'offre Angstro et SocialDeck, IBM [16] procède au rachat de Storewise, CA [17] à celui de Arcot et Citrix [18] à celui de VMLogix. Dans le même temps, AMD [19] a annoncé vouloir supprimer la marque ATI et Cisco [20] s'intéresserait à Skype. Par ses nombreux rachats, les entreprises montrent un intérêt particulier pour les domaines du stockage, du "cloud computing" et des réseaux sociaux.

Enfin, XMCO Partners a publié cette semaine le numéro 26 de l'ACTU-SECU [21]. Au sommaire : 0day, ASPROX, exploitations massives, phishing, attaques ciblées : le retour en force des hackers ...

Vous pouvez suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[XMCO] ACTUSECU n�26 : 0day, exploitations massives, phishing, attaques cibl�es�: le retour en force des hackers

Wed, 01 Sep 2010 15:21:56 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement à l'adresse suivante :
http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 26 "0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers " :

- ASPROX et 0day PDF : analyse des attaques

- Le coaching RSSI : quelques grammes d'opérationnels dans un monde de ...

- PCI-DSS : la sécurité des applications web

- Les conférences du moment : Blackhat Europe, Hackito, SSTIC

- L’actualité du moment : 0day Java, Microsoft Help Center, LNK, Tabnabbing, JBoss HEAD...

- Les blogs, les logiciels et les extensions sécurité...

Bonne lecture !!!

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 23 au 29 ao�t

Wed, 01 Sep 2010 11:47:29 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande de mettre en place les solutions de contournement [1] proposées par Microsoft afin de se protéger contre l'exploitation distante de la faille permettant la compromission d'un système via le chargement par Windows de librairies malveillantes lors de l'ouverture d'un fichier.

* Résumé des évènements majeurs :
- Vulnérabilités :
La faille [2] liée au chargement de librairies malveillantes lors de l'ouverture d'un fichier a fait beaucoup parler d'elle. Cette vulnérabilité, qui avait fait sa première apparition publique la semaine dernière dans un bulletin de sécurité pour iTunes [3], a rapidement pris de l'ampleur.
La faille de sécurité en question est liée au chargement automatique par Windows de librairies (DLL) dans le répertoire de travail local (CWD) lors du lancement d'une application. Un pirate déposant dans un dossier quelconque (local ou distant) un fichier associé à une application vulnérable, ainsi qu'une librairie spécialement conçue peut compromettre le système d'un utilisateur simplement. Pour cela, le pirate doit inciter la victime potentielle à ouvrir le fichier (par exemple un fichier audio, vidéo, un document Office...) afin que l'application vulnérable soit lancée, et qu'elle charge automatiquement la librairie du pirate se trouvant dans le même répertoire. L'ouverture de celle-ci permettra alors au pirate de compromettre le système de l'utilisateur, et d'obtenir les mêmes privilèges que ceux de la victime. Tous les jours, de nouvelles preuves de concept sont disponibles pour les applications les plus courantes [4]. Microsoft propose une solution de contournement [1], mais a annoncé que l'ensemble des éditeurs devrait mettre à jours leurs logiciels vulnérables, puisque le comportement de Windows est standard, et commun à de nombreux autres systèmes d'exploitation. Des chercheurs sont d'ailleurs parvenus à exploiter ce type de faille de sécurité sur des distributions Linux telles que Debian, Ubuntu ou encore Fedora [5].

- Logiciels / Correctifs :
Une étude [6] réalisée par l'équipe X-Force d'IBM présente des résultats inquiétants. Sur l'ensemble des vulnérabilités qui ont été rapportées aux éditeurs et recensées par IBM sur la première moitié de l'année 2010, pas moins d'une sur deux attend toujours la publication d'un correctif par son éditeur. Malgré les efforts de certains d'entre eux dans le domaine de la transparence et de la réactivité, il reste toujours de mauvais élèves chez les éditeurs... Adobe est particulièrement bien noté sur cette période, puisque seulement 3 % des vulnérabilités qui lui ont été rapportées ne sont pas encore corrigées. De leurs côtés, Google est de plus en plus surveillé par les chercheurs et prend ainsi la place d'HP dans le top 10 du nombre de failles par vendeurs. Apple, suivi par Microsoft, est en tête de ce même classement.

- Cybercriminalité / Attaques :
Deux ans après le drame du vol JK5022 à Madrid et selon le journal "El Pais" [7], un rapport interne de la compagnie aérienne Spanair a révélé qu'un virus aurait infecté un système de monitoring TOWS (TakeOff Warning System) pendant la période du crash. D'après certains spécialistes, il est possible que celui-ci soit au moins en partie responsable du crash de l'avion MD-82 de la compagnie espagnole qui avait couté la vie de 154 personnes.

Le Pentagone, relayé par de nombreux journalistes [8], a révélé cette semaine l'existence d'une attaque datant de 2008 menées contre le système d'informations militaire utilisé par les Amèricains. En pleine guerre en Irak et en Afghanistan, un support de stockage externe USB a été utilisé pour introduire un cheval de Troie. Celui-ci s'est propagé au sein de nombreuses zones du SI, y compris confidentielles, et aurait pu exfiltrer des données sensibles vers des ennemis. L'opération "Buckshot Yankee" a par la suite donné lieu à la mise en place d'une stratégie de sécurité drastique, interdisant par exemple l'utilisation des ports USB au sein du SI. Cette attaque a été présentée comme étant la plus importante en date ciblant les ordinateurs des militaires américains.

Le botnet YoyoDDoS [9], qui avait fait son apparition sur internet au mois de mars dernier, s’est fait remarquer. Pas moins de 180 attaques menées à l'encontre de sites marchands ou de sites de jeux en ligne ont été répertoriées. Plusieurs techniques sont utilisées par les pirates pour saturer les serveurs (flood HTTP, UDP, TCP, ICMP). Mis à part quelques serveurs américains, coréens et allemands, la majorité des cibles est chinoise (plus de 126 sur 180).

À peine deux mois après sont lancement, le système antipiratage de l'Androïd est déjà contourné [10]. Un développeur d'application a démontré qu'en décompilant "simplement" une application protégée, en modifiant une partie spécifique du code, puis en la recompilant, il est possible de cracker des applications "protégées"...

- Entreprises / Juridique :
Après la présentation réalisée par le chercheur Barnaby Jack il y a quelques semaines lors de la dernière conférence BlackHat qui se tenait à Las Vegas aux États-Unis, plusieurs fabricants de distributeurs automatiques de billets (Hantle et Triton) ont annoncé avoir corrigé les failles de sécurité découvertes par le chercheur [11]. Ceci est une bonne nouvelle, puisque d'après le chercheur, il était possible d'exploiter ce type de faille sur la quasi-totalité des modèles de distributeurs pour retirer de l'argent.

Visa a publié cette semaine, avec l'aide du SANS, un document [12] présentant 10 "best practices" disponibles pour les entreprises travaillant dans le domaine des applications de paiement en ligne. Celles-ci, qui sont déjà concernées par le standard PA-DSS (Payment Application Data Security Standard), voient donc apparaitre 10 nouveaux "coups de pouce" utilisés dans le cadre de ce type de développement nécessitant un certain niveau de sécurité.

Enfin, Dell et HP se disputent l'acquisition de la société 3Par [13], spécialisée dans le stockage et la gestion des données. La première offre de Dell valorisait à 18 dollars l'action 3Par, qui après plusieurs contre-offres est maintenant évaluée à 30 dollars par HP.

Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 16 au 22 ao�t

Mon, 23 Aug 2010 17:48:28 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande l'application du correctif cumulatif Adobe APSB-10-17 qui corrige la faille "/Launch" (CVE-2010-1240) des lecteurs PDF Adode Reader et Adobe Acrobat.

* Résumé des évènements majeurs :
- Vulnérabilités :
Cette semaine, plusieurs failles de sécurité importantes ont été rendues publiques. Les systèmes d'exploitation de Microsoft sont vulnérables à une attaque appelée "DLL hijacking". À la suite de la correction par Apple, la semaine dernière, d'une faille de sécurité présente dans iTunes [1] et annoncée dans un bulletin de sécurité de la société AcrosSecurity [2], HD Moore a publié certaines informations permettant d'étendre la portée de cette faille à de très nombreuses autres applications utilisées sur Windows [3]. Des informations supplémentaires devraient être disponibles en début de semaine. En incitant un utilisateur à ouvrir un fichier spécialement conçu hébergé sur un partage distant (WebDAV, SMB, ...), un pirate est en mesure de forcer un programme tiers à charger certaines librairies malveillantes présentes sur le partage, permettant ainsi la compromission distante du système.
De son côté, Tavis Ormandy a publié des informations ainsi qu'une preuve de concept relative à une vulnérabilité au sein de la fonction "win32k!GreStretchBltInternal()" [4] de la librairie GDI (Graphics Device Interface) de Windows permettant de provoquer un déni de service, voire de compromettre un système.

Par ailleurs, une élévation de privilèges sur FreeBSD était exploitable localement. La faille de sécurité était liée à une mauvaise gestion du drapeau de lecture-seule par la fonction "mbufs()" [5]. Deux [6] preuves [7] de concept sont disponibles sur Internet.

Enfin, la faille de sécurité affectant Coldfusion [8] corrigée la semaine dernière par Adobe dans le bulletin APSB10-18 se trouve être plus importante que ce qui n'avait été annoncé par l'éditeur. Une preuve de concept [9] a ainsi fait son apparition sur Internet. Celle-ci permet à un pirate d'obtenir des informations sensibles comme des mots de passe via l'envoi d'une requête HTTP spécialement conçue. Grâce à ce mot de passe, l'attaquant peut ensuite prendre le contrôle du serveur en y déposant un script CFM malicieux via l'interface d'administration qui lui permettrait d'exécuter des commandes sur le système sous-jacent.

- Logiciels/ Correctifs :
Adobe a publié le correctif APSB10-17 [10] pour Reader et Acrobat. Celui-ci corrige la faille "/Launch" [11] référencée CVE-2010-1240 [12] pour laquelle le correctif APSB10-15 [13] (inefficace [14]) avait déjà été publié. D'autres vulnérabilités ont été corrigées : le lecteur Flash embarqué dans ces logiciels a également été mis à jour, près d'une semaine après que le bulletin APSB10-16 [15] ait été publié, alors même que Google avait publié dans la journée une nouvelle version de son navigateur Google Chrome [16] intégrant la mise à jour de Flash.

- Cybercriminalité / Attaques :
L'un des plus imposants forums au monde, 4Chan [17], s'est vu utiliser comme vecteur de propagation de malware. Le site, qui ne nécessitait aucune authentification pour écrire un message, a vu apparaitre une grande quantité de posts contenant des images au format PNG. Des messages accompagnaient ces images, afin de pousser les utilisateurs à exécuter le malware sur leur système. Les équipes responsables du forum ont réagi en supprimant les messages incriminés, et en indiquant aux utilisateurs la démarche à suivre pour ne pas devenir à son tour une victime.

Un autre malware a fait son apparition. Celui-ci copie l'interface de Windows Update [18] afin d'inciter les utilisateurs à installer un cheval de Troie sur leur PC, permettant ainsi aux pirates d'installer de nombreux autres programmes malveillants.

Les smartphones utilisant Androïd sont une fois de plus la cible d'un programme malveillant. En effet, des chercheurs ont découvert que le logiciel "Tap Snake" [19] transmettait les coordonnées GPS de ses utilisateurs afin de rendre possible leur suivi. L'application a été par la suite supprimée de l'App Store de Google.

Un nouveau botnet a fait son apparition. "dd_ssh" [20] exploite une faille présente dans les vieilles versions de PhpMyAdmin afin de compromettre des serveurs, puis de les utiliser pour mener des attaques de force brute sur des serveurs SSH.

- Entreprises / Juridique :
Deux annonces ont secoué le petit monde des géants de l'informatique. Le fondeur Intel [21] a annoncé le rachat de l'éditeur de solution antivirale McAfee [22] pour plus de 7 milliards de dollars. De son côté, HP [23] a acquis Fortify. Des consolidations qui vont probablement faire évoluer le paysage de la sécurité dans le monde de l'entreprise.

Oracle a de son côté déposé une plainte [24] devant les tribunaux contre Google accusant le géant de la recherche d'avoir enfreint un certain nombre de brevets liés à Java dans le cadre du projet Dalvik, une réimplémentation de la machine virtuelle Java pour Androïd.

Enfin, le PCI Council a présenté un document de travail [25] au sein duquel des premières informations sur la version 2 du PCI DSS sont fournies. Cette nouvelle version du standard n'apporte pas de réelle modification par rapport à la version actuelle. Le PCI DSS, qui sera plus aligné avec le PA-DSS, mettra l'accent sur l'établissement du périmètre ainsi que sur la gestion des logs et validera dans certaines conditions, l'utilisation d'une approche basée sur les risques. Néanmoins, ce document ne parle pas du tout de "Tokenization" ni de chiffrement.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 9 au 15 ao�t

Mon, 16 Aug 2010 17:44:02 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Semaine chargée pour les professionnels de la sécurité avec la sortie conjointe de 14 bulletins Microsoft dans le cadre de son "Patch Tuesday", ainsi que de 3 bulletins Adobe.
Les logiciels Microsoft ciblés sont Windows (toutes versions), Internet Explorer, SilverLight et enfin Office. De son côté, Adobe a publié des bulletins concernant le lecteur Flash, le Flash Media Server et enfin le serveur d'applications Coldfusion. La criticité de tous ces bulletins varie entre "critique" et "important".
Le CERT-XMCO recommande dans un cas général de débuter par les bulletins MS10-053 (notamment pour Internet Explorer 6), MS10-052 (codec MPEG Layer-3), MS10-055 (codec Cinepack), MS10-056 (Office Word), MS10-060 (SilverLight) et enfin le APSB10-16 (Flash).

* Résumé des évènements majeurs :
- Vulnérabilités / Correctifs:
Microsoft [1], ainsi qu'Adobe [2] ont tous les deux publié de nombreux correctifs au cours de la semaine. Le nombre (36 bulletins MS et 3 Adobe) et la criticité relative des vulnérabilités corrigées étant trop importants, nous vous recommandons de vous référer à ces pages (MS [3], Adobe [4]) pour plus d'informations.

Quelques heures après qu'Adobe ait corrigé son Flash Player, Google a réagi en proposant une nouvelle version de Chrome embarquant le dernier correctif [5]. De son côté, Adobe n'a toujours pas publié de nouvelle version pour ses nombreux logiciels intégrant le plug-in...

Quelques jours après que des pirates aient mis en ligne un site [6] permettant de "jailbreaker" très simplement son iPhone, Apple a réagi en proposant une version corrigée de son iOS 4 [7]. Néanmoins, pas de correctif pour les autres versions du système d'exploitation de la marque à la pomme...

- Logiciels :
Firefox 4 sera doté d'un système de mises à jour automatiques [8]. Pour garantir un niveau de sécurité élevé, Mozilla a décidé de suivre une politique de mise à jour semblable à celle de Google vis-à-vis de Chrome. Pour les mises à jour mineures (comprendre de sécurité), FF4 téléchargera et installera seul le correctif, sans rien demander à l'utilisateur. Néanmoins, une confirmation sera demandée à l'internaute lors de l'installation d'une mise à jour majeure (changement de fonctionnalités). Fonctionnalité intéressante pour les particuliers, mais pour les entreprises... ?

- Cybercriminalité / Attaques :
D'après Verizon [9] et les services secrets américains, près d'une attaque informatique sur deux bénéficierait d'une complicité interne. Toujours d'après le même rapport, seulement 4 % des attaques nécessiteraient la mise en place de solution technique coûteuse...

Vladislav Anatolievich Horohorin, soupçonné d'être "BadB", a été arrêté à l'aéroport de Nice alors qu'il s'apprêtait à prendre un vol pour Moscou [10]. L'homme serait le pirate fondateur de l'ex-communauté "CarderPlanet", et serait toujours actif dans la vente de données bancaires volées. Il attend actuellement son extradition vers les États-Unis, où il risquerait une peine de 12 ans de prison et 500 000 $ d'amende.
Dans le même temps, Sergei Tsurikov, un jeune estonien de 26 ans, a lui déjà été extradé vers les USA où il sera jugé pour plusieurs chefs d'inculpation, dont la fraude informatique et l'usurpation d'identité aggravée [11]. L'homme est en effet accusé d'avoir participé au vol de 9 M$, ainsi qu'à celui des données personnelles de plus de 1,5 million de personnes dans le cadre du piratage de RBS WorldPay en 2008. Il risque de plusieurs années de prison, et jusqu'à 3,5 millions de dollars d'amende.

- Recherche / Conférence :
Dans le cadre de la conférence USENIX, un chercheur a présenté son travail sur un nouveau type d'attaque par canaux auxiliaires. En écoutant "simplement" le son émis par une vielle imprimante matricielle, il est possible de découvrir le contenu du texte imprimé [12]. D'après lui, il est techniquement envisageable de mener le même type d'attaque sur des imprimantes à jet d'encre, même si lui n'a pas réussi.

- Internationnal :
Après avoir été bloqués pour une courte durée en Arabie Saoudite [13], les systèmes de communication de BlackBerry ont été réactivés [14]. Il semblerait que RIM est accepté d'installer des serveurs directement dans le pays afin de les placer sous juridiction locale. L'Inde, qui était aussi en pourparler avec BlackBerry, a fait savoir qu'elle était aussi prête à procéder au blocage des communications entre les smartphones canadiens [15].

L'Allemagne, a aussi émis une recommandation négative envers RIM, en recommandant à ses ministres et aux personnels des ministères de ne pas utiliser de smartphones tels que le BlackBerry ou encore l'iPhone pour des raisons de sécurité [16]. Le BSI (Bureau Fédéral pour la Sécurité de l'Information équivalent à l'ANSSI française) conseille d'utiliser le SiMKo 2 conçu par T-Systems. Ce smartphone est exclusivement vendu aux agences gouvernementales et a été approuvé par le BSI pour gérer des données confidentielles. L'Allemagne rejoint donc la France qui avait émis une telle recommandation en 2007.

De son côté, le Royaume-Uni vient de faire savoir qu'une mise à jour généralisée d'Internet Explorer était inutile, et trop couteuse en temps et en argent. IE6 semblerait amplement suffisant pour l'usage dont il est actuellement fait d'un navigateur internet par un fonctionnaire anglais [17]. D'après les services informatiques anglais, l'utilisation d'un pare-feu et d'un antivirus (à jour tout de même) suffirait amplement à protéger les fonctionnaires anglais. Pourtant, même Microsoft, qui travaille actuellement sur la version 9 du navigateur, reconnait qu'utiliser IE6 est dangereux.

- Entreprises / Juridique :
Dans un procès opposant l'ARJEL à sept fournisseurs d'accès à internet, le tribunal de grande instance de Paris a condamné les FAI à bloquer par tous les moyens l'accès à certains sites de jeux non homologués par l'Autorité de Régulation des Jeux en Ligne [18]. Ce jugement pourrait ouvrir la voie à de nombreux débordement. Les coûts de blocage sont actuellement supportés uniquement par les FAI. La mise en place de solution de filtrage telle que la DPI, évoquée au cours du procès, pourrait venir alourdir cette facture...

Après avoir été racheté par eBay, puis partiellement cédé à un groupe d'entrepreneurs, Skype a annoncé sa prochaine introduction en bourse [19].

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 26 juillet au 1 aout 2010

Thu, 05 Aug 2010 14:44:56 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

*Avis d'expert :
Plusieurs de nos clients nous ont fait part de tentatives d'exploitation par des malwares de la famille "W32.Changeup" de la faille de sécurité liée aux raccourcis de type LNK sous Windows. Le CERT-XMCO réitère donc sa préconisation et recommande aux entreprises comme aux particuliers de rester vigilants sur l'exploitation éventuelle de cette vulnérabilité.
Pour rappel, cette faille de sécurité de type 0-day est particulièrement importante, puisqu'il suffit que l'utilisateur explore un dossier local (clef USB, etc.), ou distant (partage réseau, WebDAV, etc.) contenant un fichier de raccourci malveillant, pour que sa machine soit compromise. Par ailleurs, des codes d'exploitation sont disponibles publiquement sur internet.
Microsoft propose le correctif MS10-046 disponible pour les systèmes actuellement supportés, ainsi que deux solutions de contournements. Cependant, la mise en place de ces solutions de contournement provoque des effets de bords (désactivation de l'affichage des icônes des raccourcis) rendant difficile l'utilisation de Windows. Certains éditeurs de solution antivirale ont aussi proposé leur solution de protection.
Pour le CERT-XMCO, aucune solution viable sur le long terme n'est actuellement disponible pour les systèmes non supportés (Windows 2000 SP4 et Windows XP SP2 entre autres). Le CERT-XMCO recommande donc a tous les utilisateurs de Windows XP SP2 de passer à Windows XP SP3 toujours supporté et pour lequel un correctif est disponible.

* Résumé des évènements majeurs :
- Vulnérabilités :
La faille de sécurité liée au fichier de raccourci LNK [1], présente au sein des systèmes d'exploitation Microsoft a continué de faire parler d'elle. Des malwares exploitant cette faille ont été observés dans la nature [2]. En attendant un correctif officiel de la part de Microsoft, et en plus d'offrir la détection de ces fichiers malveillants, certains éditeurs de solutions antivirales tels que Sophos [3] ou G-Data [4] ont proposé des outils permettant de protéger un système vulnérable contre une exploitation de cette vulnérabilité.

Les éditeurs des navigateurs web Firefox [5], Chrome [6], Safari [7] ont respectivement mis à jour leurs logiciels, afin de combler plusieurs failles de sécurité permettant d'aller jusqu'à compromettre le système d'un internaute.

- Logiciels :
Deux applications, respectivement disponibles pour iPhone et pour Androïd sur les AppStore d'Apple et de Google, ont été identifiées comme suspectes. En effet, l'application financière "Citi Mobile App" [8] disponible pour iPhone a été mise à jour à la suite de la découverte de la divulgation (en clair) par l'application de certaines informations bancaires (numéro de compte, codes d'accès, etc.) lors d'une synchronisation avec iTunes. De son côté, "Jackeey Wallpaper" [9] a été montrée du doigt comme étant à l'origine de l'envoi de très nombreuses informations personnelles sur des serveurs en Chine, alors même que cela n'est en aucun cas nécessaire pour le bon fonctionnement de l'application (gestion des fonds d'écran).

- Cybercriminalité/Attaques :
Dans le cadre de la dernière édition de la conférence BlackHat, le chercheur Barnaby Jack a enfin pu présenter son travail de recherche sur les distributeurs automatiques de billets. Celle-ci a été l'occasion pour lui de divulguer certains détails sur les vulnérabilités découvertes, ainsi que de réaliser une démonstration. Il a ainsi pu démontrer qu'il était possible de récupérer de l'argent via une attaque réussie [10].

Toujours dans le cadre de la BlackHat (ainsi que dans celui de la DEFCON), un chercheur de la société AirTight a présenté son travail sur le WPA2. En menant une attaque surnommée "WPA Hole 196" [11], celui-ci serait en mesure de contourner le mécanisme de chiffrement après s'être authentifié sur le réseau. L'exploitation de cette faille de sécurité permettrait à un utilisateur légitime de récupérer, voire de modifier (??) les données échangées par d'autres personnes.

Par ailleurs, le créateur du botnet Mariposa, un jeune homme de 23 ans connu sous le pseudonyme "Iserdo", a été arrêté en Slovénie avec deux autres suspects [12]. Pour rappel, ce botnet comptait jusqu'à 13 millions de zombies. Le FBI, la Guardia Civil, ainsi que la police slovène continuent d'enquêter sur cette affaire.

Enfin, un chercheur voulant mettre en exergue l'importance de la gestion par les utilisateurs de leurs données personnelles sur Facebook a rendu publique une liste contenant le nom associé à l'identifiant unique et à l'URL de prés d'un compte Facebook sur cinq [13].

- Entreprises :
Adobe et Microsoft ont annoncé un partenariat [14]. Afin de ne pas avoir à réinventer la roue, Adobe entre dès à présent dans le programme "MAPP" (Microsoft Active Protection Program) de Microsoft. Ce programme permettra à de nombreux professionnels de la sécurité d'obtenir avant leur publication, des informations sur les mises à jour des logiciels Adobe.

Juniper a annoncé procéder au rachat de la société SMobile Systems [15], spécialisée dans le développement de logiciels de sécurité pour smartphones et tablets, pour un montant de 70 millions de dollars. Cette acquisition permettra à l'éditeur d'élargir le spectre de sa solution JunOS Pulse à destination des smartphones, tablets, netbooks et autres ordinateurs portable ; en ajoutant la protection des appareils fonctionnant sous Androïd, Apple iOS, Symbian, BlackBerry et Windows Mobile des virus, spyware et autres menaces, ainsi qu'en fournissant un moyen de contrôle parental.

Enfin, après que Mozilla et Google aient annoncé l'augmentation des primes décernée aux chercheurs pour la découverte de faille de sécurité dans leurs logiciels, certains géants tels que Microsoft ont fait savoir qu'une telle politique ne correspondait pas avec leur façon de récompenser les chercheurs [16]. Ainsi, Apple, Adobe, Oracle ou encore Microsoft refusent de rémunérer les chercheurs "à la vulnérabilité".

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 19 au 25 juillet 2010

Mon, 02 Aug 2010 14:33:10 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Résumé des évènements majeurs :
- Vulnérabilités :
Microsoft a mis à jour son avis de sécurité [1] concernant la vulnérabilité non corrigée liée aux raccourcis. Microsoft considère désormais que celle-ci est exploitable à partir de sites web, et même par le biais de documents pouvant contenir des raccourcis, tels que des documents de la suite Microsoft Office.

Mozilla a mis à jour plusieurs de ses produits (Firefox 3.6.7 et 3.5.11, Seamonkey 2.0.6 et Thunderbird 3.0.6 et 3.1.1), corrigeant par la même occasion de nombreuses vulnérabilités [2].

Une vulnérabilité a été identifiée dans Safari [3] et permet à un attaquant de voler des informations sensibles contenues dans le carnet d'adresses, par la simple visite d'un site web malveillant/compromis. Néanmoins, celle-ci est facilement contournable en désactivant le remplissage automatique des formulaires (activé par défaut).

HP a également corrigé une vulnérabilité importante [4] dans OpenView Node Manager et qui permettait à un attaquant de prendre le contrôle d'une machine à distance.

- Logiciels :
Afin d'encourager les chercheurs à faire le bon choix, Mozilla a décidé d'augmenter la récompense attribuée lors de la découverte de vulnérabilité [5]. Cette somme passe désormais de 500 $ à 3000 $ maximum.
Google a emboîté le pas à Mozilla [6], et augmente également la prime maximale. Celle-ci passe de 1337 $ à 3133,7 $. Google ne manque pas de conserver au passage son jeu de mots sur "leet".

Adobe a annoncé que la prochaine version de son lecteur PDF Adobe Reader inclura une fonctionnalité avancée et appelée "Protected Mode" [7]. Cette dernière sera en fait similaire aux sandbox intégrées au navigateur web Google Chrome ou encore à la suite bureautique Office 2010 et permettra donc de prévenir les actions dangereuses sur le système.

- Cybercriminalité/Attaques :
La dernière étude de Sophos [8] montre que les États-Unis restent numéro un des pays relayeurs de spam, la France quant à elle est 6ème du classement. Au niveau continental, c'est dorénavant l'Europe qui domine devant l'Asie.

Pour rester dans le domaine des pourriels, une campagne cible actuellement les clients du site Amazon [9] et vise à compromettre le système des victimes.

Des cartes mères de serveurs Dell contenaient un malware connu sous le nom de code "W32.Spybot" [10]. D'après Dell, le problème serait actuellement réglé.

Enfin, le centre de recherche de l'éditeur antivirus AVG vient de rendre publique une étude concernant le pack d'exploitation Eleonore. Cette étude [11] publie des résultats impressionnants : 10 % des victimes visitant les pages infectées par ce pack d'exploitation se ferait compromettre. Ce ne sont pas moins de 165 domaines compromis qui avec leurs 12 millions de visiteurs auraient infecté 1,2 million d'ordinateurs.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[XMCO] [AVIS EXPERT] Avis d'expert : semaine du 12 au 18 juillet 2010

Thu, 22 Jul 2010 16:35:21 GMT+1

Information	Valeur
Titre	Avis d'expert : semaine du 12 au 18 juillet 2010
Date	22 Juillet 2010
Criticité	Urgente
Description	Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine: Avis d'expert : Après la publication d'une vulnérabilité critique au sein de Windows Shell, le CERT-XMCO recommande aux entreprises et aux particuliers de rester vigilants sur l'exploitation éventuelle de cette vulnérabilité. Cette vulnérabilité 0-day est particulièrement importante, car il suffit que l'utilisateur explore un dossier local (clef usb, etc...), ou distant (partage réseau, WebDAV, etc...) et contenant le fichier de raccourci malveillant pour que sa machine soit compromise. De plus, des codes d'exploitation sont disponibles publiquement sur internet. Microsoft a proposé deux solutions de contournements. Cependant, la mise en place de ces solutions provoque des effets de bords (désactivation de l'affichage des icônes des raccourcis) rendant difficile l'utilisation de Windows. Pour le CERT-XMCO, aucune solution viable n'est envisageable avant la publication du correctif prévu en août. Résumé des évènements majeurs : - Vulnérabilités: Cette semaine a été marquée par la publication mensuelle des bulletins Microsoft. 4 bulletins ont été émis, dont 2 corrigeant des vulnérabilités divulguées publiquement relatives au centre d'aide et de support (MS10-042)[1] et au pilote d'affichage canonique (MS10-043)[2]. Toutes les vulnérabilités permettaient de compromettre une machine [3][4]. Outre ce "Patch Tuesday" classique, une vulnérabilité 0-day a été dévoilée et est liée au traitement des fichiers de raccourci (fichier LNK ou PIF) [5]. Celle-ci est particulièrement importante, car elle affecte l'ensemble des systèmes d'exploitation Windows et ne nécessite que la navigation dans un dossier (local ou distant) contenant le fichier malveillant pour que la machine soit compromise. En outre, des preuves de concept et des codes d'exploitation sont déjà disponibles sur internet. En attendant la publication d'un correctif, Microsoft offre deux méthodes de contournement, une permettant de bloquer toute exploitation de la faille (désactivation des icônes de raccourcis), et une autre permettant de bloquer les exploitations à distance (désactivation du "WebClient"). Microsoft conseille également de bloquer le téléchargement des fichiers LNK et PIF depuis internet en configurant de manière appropriée la passerelle internet. Cette semaine a également été la semaine de la publication trimestrielle des bulletins Oracle (CPUJUL2010) [6]. Ce ne sont pas moins de 59 vulnérabilités qui ont été corrigées dans l'ensemble des produits Oracle et anciens produits Sun. - Logiciels: La fin du support de Windows XP SP2 et Windows 2000 est désormais officielle [7]. Microsoft ne publiera ainsi plus de correctif de sécurité pour ces versions de Windows, incluant également les logiciels publiés sur ces plateformes tels qu'Internet Explorer, Media Player ou encore Outlook Express. Il est fortement recommandé de migrer les stations de travail encore sous Windows XP SP2 vers Windows XP SP3 qui sera lui supporté jusqu'en 2014. Mozilla lutte contre les add-ons non sécurisés, en supprimant et en bloquant le plug-in "Mozilla Sniffer" qui contenait un code capable de voler les identifiants de connexion soumis par l'utilisateur [8]. Plus de 1800 personnes avaient installé ce plug-in. - Cybercriminalité/Attaques: La vulnérabilité liée aux fichiers LNK est déjà exploitée par des virus. Le premier du genre se nomme "Stuxnet" et a cible des entreprises utilisant des systèmes SCADA [9]. Microsoft a recensé près de 25 000 tentatives d'exploitation de la faille liée au centre d'aide et de support de Windows, faille qui est désormais comblée (MS10-042) [10]. Le malware Zeus/Zbot est toujours actif et a été mis à jour par ces concepteurs [11]. Cette nouvelle variante est désormais plus sélective dans les banques visées, en ne se concentrant que sur 4 pays (Etats-Unis, Royaume-Uni, Espagne et Allemagne), et se dote de fonctionnalités rendant son analyse plus difficile pour les chercheurs en sécurité. De plus, Zeus tente maintenant d'exploiter les programmes de sécurité "Verified by Visa" et "MasterCard SecureCode" pour obtenir encore plus d'informations personnelles de ses victimes.
Référence	[1] http://www.microsoft.com/france/technet/security/Bulletin/MS10-042.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0871 [2] http://www.microsoft.com/france/technet/security/Bulletin/MS10-043.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0872 [3] http://www.microsoft.com/france/technet/security/Bulletin/MS10-044.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0874 [4] http://www.microsoft.com/france/technet/security/bulletin/ms10-045.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0873 [5] http://www.microsoft.com/technet/security/advisory/2286198.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0894 [6] http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0883 [7] http://www.h-online.com/security/news/item/Support-for-Windows-2000-and-Windows-XP-Service-Pack-2-expires-today-1037316.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0869 [8] http://www.h-online.com/security/news/item/Mozilla-disables-login-stealing-Firefox-add-on-1038441.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0882 [9] http://www.f-secure.com/weblog/archives/00001987.html http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0893 [10] http://www.microsoft.com/technet/security/bulletin/ms10-042.mspx http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0884 [11] http://www.theregister.co.uk/2010/07/13/zeus_goes_local/ http://www.scmagazineus.com/zeus-now-spoofing-visa-mastercard-programs/article/174635/ http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0885
Id XMCO Partners	CXA-2010-0915
Lien extranet XMCO Partners	http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0915

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert : semaine du 5 au 11 juillet 2010

Tue, 13 Jul 2010 14:03:00 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine:

* Résumé des évènements majeurs :
-Vulnérabilité :
Cette semaine a été marquée par la divulgation de deux vulnérabilités 0-day affectant des produits Microsoft.
La première vulnérabilité provient plus précisément de la fonction "NtUserCheckAccessForIntegrityLevel()", et permettrait à un attaquant local d'élever ses privilèges sur Windows Vista et Windows Server 2008 [1].
La seconde vulnérabilité provient de la fonction "UpdateFrameTitleForDocument()", et permettrait de compromettre un système Windows 2000 SP4 et Windows XP SP2/SP3. Pour le moment, seul le produit PowerZip a été identifié comme vecteur d'attaque possible [2].

-Recherche :
Suite aux représailles contre Tavis Ormandy, un groupe de chercheurs en sécurité anonyme a décidé de former le "Microsoft-Spurned Researcher Collective" reprenant les initiales "MSRC" du "Microsoft Security Response Center". Ce groupe de chercheurs, dont les identités ne sont pas connues, dévoilera les vulnérabilités en suivant le "full disclosure". Le "Microsoft-Spurned Researcher Collective" est ainsi à l'origine de la divulgation de la première vulnérabilité 0-day présentée ci-dessus [3].

Une équipe, menée par Sean O'Neil, serait parvenue à découvrir l'algorithme de chiffrement personnalisé utilisé par Skype pour protéger les communications de ses utilisateurs [4].

-Cybercriminalité/Attaques :
Des pirates ont exploité une vulnérabilité de XSS permanent au sein de Youtube et touchant la partie des commentaires. Les attaques n'étaient heureusement pas des plus dangereuses, affichage de pop-up et redirection vers des sites pour adultes. De plus, Google n'a pas tardé à réagir en corrigeant la faille deux heures seulement après avoir été informé de cette vulnérabilité [5].

De nombreux comptes iTunes ont été piratés. Le but des pirates était de s'enrichir en achetant leurs propres applications par le biais des comptes compromis [6].

Le site thepiratebay.org a également été attaqué. Le pirate a ainsi pu récupérer près de 4 millions de logins et mots de passe via une faille d'injection SQL [7].

Enfin, un nouveau malware a fait son apparition sur Symbian S60. Ce dernier se matérialiserait sous la forme d'une application baptisée "ZvirOK" et enverrait des SMS vers des numéros surtaxés [8].

[VEILLE] [SECURITE] Avis d'expert - Semaine du 28 juin au 4 juillet 2010

Wed, 07 Jul 2010 13:56:32 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Le CERT-XMCO recommande aux entreprises et aux particuliers d'ajouter des clés de registres pour parer aux attaques Microsoft (faille CVE-2010-1885 connue sous le nom de "Faille du Centre d'Aide et de Support") et Adobe (CVE-2010-1240 connue sous le nom de "/Launch") qui sont virulentes en ce moment. Aucun correctif n'est actuellement efficace contre ces attaques, c'est pourquoi la mise en place d'une solution de contournement basée sur des clés de registre est recommandée.
- Pour pallier à la faille Adobe CVE-2010-1240/APSA10-01, définissez les paramètres suivants : "HKEY_CURRENT_USERSoftwareAdobeAcrobat Reader9.0Originals : bAllowOpenFile=0, bSecureOpenFile=1"
- Pour pallier à la faille Microsoft CVE-2010-1885/KB2219475, supprimez (après un backup), la clé "HKEY_CLASSES_ROOTHCP". Notez cependant que cette dernière solution altère le fonctionnement du panneau de contrôle et n'est donc pas sans conséquence.

* Résumé des évènements majeurs :
* Vulnérabilité :
Cette semaine, le bulletin de sécurité APSB10-15 [1] a été publié par Adobe. Les nouvelles versions 9.3.3 et 8.2.3 (Acrobat Reader et Adobe Reader) corrigent de nombreuses failles de sécurité, dont la vulnérabilité liée à l'utilisation de Flash dans les fichiers PDF référencée CVE-2010-1297 [2], et qui avait fait l'objet de l'alerte APSA10-01 [3] publiée au début du mois de juin ainsi que la faille "/Launch" référencée CVE-2010-1240 [4].

Malheureusement, la faille liée à la commande "/Launch" n'a pas été intégralement corrigée, puisque des chercheurs ont découvert des méthodes de contournement. L'utilisation de simples guillemets autour de la commande à exécuter (cmd.exe par exemple) rend le correctif inefficace [5]. Le CERT-XMCO recommande donc de mettre en place la solution de contournement proposée il y a quelques mois par Adobe.

De son côté, Microsoft a alerté ses clients sur l'exploitation massive [6] au cours des deux dernières semaines de la faille de sécurité référencée KB2219475 [7](CVE-2010-1885 [8]) présente au sein du centre d'aide et de support. Malgré l'absence de correctif, le CERT-XMCO rappelle à tous les clients de Microsoft qu'il existe une solution de contournement à mettre en place temporairement jusqu'à la publication d'un correctif [9].

* Entreprise/juridique :
Un banquier brésilien inculpé dans plusieurs affaires pourrait être prochainement relaxé [10]. Celui-ci aurait chiffré le contenu de son ordinateur avec le logiciel TrueCrypt. L'absence de texte de loi obligeant les citoyens brésiliens à fournir leur mot de passe a forcé les experts brésiliens, puis ceux du FBI à travailler sur le disque dur pendant près de 12 mois en vain.

Le Cert-IST a publié cette semaine les supports de présentation [11] qui ont eu lieu dans le cadre de son Forum annuel. Le thème de celui-ci était "Incidents de sécurité : Responsabilités et moyens d'actions de l'entreprise".

* Logiciels :
Google a publié cette semaine les premières versions de son navigateur incorporant un lecteur PDF [12]. Après avoir annoncé l'intégration d'un plug-in Flash [13] , et avoir opté pour le blocage des plug-ins vulnérables [14], Google veut faire de son navigateur une référence en matière de sécurité pour les internautes.
Néanmoins, tout n'est pas rose dans l'univers Google. Après avoir découvert l'existence de moyens techniques permettant au moteur de recherche de supprimer certaines applications utilisées sur Androïd, un chercheur à mener une étude sur deux types de messages pouvant être envoyés afin d'installer ou de supprimer une application sur ce type de smartphones [15]. Cette étude démontre l'existence de faille de sécurité dans l'implémentation de ces fonctions, pouvant être exploitée par des pirates afin de compromettre le système d'un smartphone. Dans le pire des cas, un pirate pourrait donc utiliser pour désinstaller une application de tout un parc de mobile équipé d'Androïd, voir transformer ce parc en un nouveau botnet en y installant un malware...

* Cybercriminalité/Attaques :
Enfin, côté cybercriminalité, deux botnets ont fait parler d'eux cette semaine. Kraken est revenu sur le devant de la scène plus d'un an après son démantèlement [16]. Asprox, quant à lui, se voit de plus en plus perfectionné, avec des fonctions avancées de détections et d'exploitation de faille de type "injection SQL" [17]. Comme souvent, ces réseaux de machines zombies servent principalement à envoyer de très nombreux pourriels.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 21 au 27 juin 2010

Mon, 28 Jun 2010 18:50:59 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert & Résumé des évènements majeurs :
Cette semaine a été particulièrement calme. Peu de vulnérabilités importantes ont été corrigées. VMware [1] a publié une mise à jour pour ESX 3.5. Firefox [2] et Opera [3] ont également mis à disposition une nouvelle version de leur navigateur.

L'arrivée de l'IOS 4 [4] et du nouvel iPhone ont éclipsé la mise à jour de l'anti-malware intégré sur Mac OSX [5].

Enfin, une étude publiée par SMobile Systems a montré que plus de 20 % des applications distribuées sur l'Android Market permettrait à des personnes tierces d'accéder à des informations personnelles [6].

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 14 au 20 juin 2010

Mon, 21 Jun 2010 17:48:57 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine a été marquée par l'annonce d'une faille de sécurité critique au sein du centre d'aide et de support de Windows et de l'exploit associé. Par ailleurs, les attaques exploitant la faille du lecteur Flash, corrigé récemment, s'intensifient. Le CERT-XMCO recommande d'appliquer rapidement les solutions proposées par Microsoft afin de parer contre les attaques en cours et de mettre à jour le lecteur Flash.

* Résumé des évènements majeurs :
- Vulnérabilité :
Cette semaine, SAP et Apple ont publié des bulletins de sécurité. En utilisant certaines commandes spéciales envoyées au serveur Telnet, un pirate pouvait contourner certaines restrictions de sécurité au sein de la distribution Java embarquée avec les logiciels SAP Enterprise Portal, SAP NetWeaver ou encore SAP Web Application Server [1]. De son côté, Apple a publié des correctifs pour Mac OS X [2] ainsi que pour iTunes [3]. On notera par ailleurs que la version mise à jour par Apple du lecteur Flash reste vulnérable [4].

De son côté, un chercheur travaillant pour Google a publié des détails ainsi qu'un code d'exploitation relatif à une vulnérabilité critique [5] référencée CVE-2010-1885 [6], présente au sein du centre d'aide et de support de Windows XP et Windows Serveur 2003. Cette annonce a soulevé beaucoup de polémique [7] ; entre autres à cause du délai de 5 jours (seulement) laissé à Microsoft pour réagir entre l'annonce privée et l'annonce publique. De nombreux éditeurs [8] et journalistes [9] se sont (probablement injustement [10]) indignés du non-respect du principe de "responsible-disclosure". La faille de sécurité est liée à un manque de validation de certaines entrées par le gestionnaire de protocole "hcp", et permet de compromettre un système Windows. Le code d'exploitation fourni à titre de démonstration a rapidement été repris au sein de framework d'exploitation [11]. Les pirates ont de leur côté lancé des attaques massives de cette faille sur Internet [12]. Le CERT-XMCO recommande donc à tous les utilisateurs la plus grande prudence lors de la visite de site internet peu sûr, ainsi que l'application de la solution de contournement proposée par Microsoft [13].

Par ailleurs, la vulnérabilité référencée CVE-2010-1297 [14], récemment corrigée par Adobe au sein du Flash Player (voir APSB10-14) est en cours d'exploitation par les pirates. L'exploitation de cette faille permet à un pirate de compromettre un système via la simple visite d'une page malveillante par un internaute.

Enfin, une campagne massive de distribution de pourriels tente d'inciter les utilisateurs de Skype à visiter une page Internet malveillante [15]. Celle-ci exploite une faille de sécurité au sein du plug-in "EasyBits Extras Manager" utilisé par Skype. La faille est utilisée afin d'installer des malwares sur le système des utilisateurs crédules. Le CERT-XMCO recommande donc à tous les internautes la plus grande prudence lors de l'ouverture d'emails contenant des liens vers des sites internet.

- Cybercriminalité/Attaques :
Les campagnes de SPAM s'intensifient ces derniers jours. Les pirates utilisent Skype, Facebook, Twitter et les sujets d'actualité (Coupe du Monde) afin de diriger les internautes vers des sites hébergeant des kits d'exploitation de vulnérabilités [16].

Une porte dérobée a été découverte au sein du serveur IRC Open Source UnrealIRCd. Celle-ci aurait été insérée par des pirates au sein de l'archive "Unreal3.2.8.1.tar.gz" [17]. En envoyant des chaines de caractères préfixées de "AB;", les pirates étaient en mesure d'exécuter des commandes sur le système, sans que cela ne nécessite d'authentification préalable. Les autres versions n'auraient pas été ciblées.

- Entreprise/juridique :
AT&T a subi les foudres des journalistes. Des données sensibles telles que des adresses de courriel, ou encore des numéros permettant de retrouver facilement l'identifiant unique IMSI de chaque client ont pu être obtenus depuis le site ayant servi à vendre les derniers iPads ainsi que les iPhone 4 [18]. Ces deux erreurs se sont produites coup sur coup, au cours des deux dernières semaines.

Orange, qui proposait un service de sécurisation censé empêcher le téléchargement illégal P2P, a été contraint de le retirer de la vente. Des pirates ont en effet été capables de mener une étude approfondie du logiciel utilisé par les clients [19], ainsi que de l'infrastructure en place. Un serveur central contenant des nombreuses informations personnelles a pu être compromis [20]. Par ailleurs, les nombreuses failles de sécurité existantes au sein du logiciel ont obligé l'opérateur à retirer son service de la vente [21]. En effet, il aurait été simple pour un pirate ayant compromis l'infrastructure du système de le transformer en un botnet...

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 7 au 13 juin 2010

Tue, 15 Jun 2010 15:21:37 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, le CERT-XMCO retient 4 évènements majeurs :
- Adobe a corrigé 32 vulnérabilités au sein de Flash Player dont la vulnérabilité critique "0-day" référencée CVE-2010-1297 ;
- Tavis Ormandy, chercheur chez Google, a découvert une vulnérabilité critique au sein de Windows (gestion des URL "hcp://") et publié un code d'exploitation fonctionnel ;
- La publication de 10 correctifs Microsoft (Excel, Office, Noyau Windows, SharePoint, .NET, IIS, Internet Explorer...);
- Le SSTIC 2010 a tenu ses promesses avec des présentations toujours aussi intéressantes.

Le CERT-XMCO recommande vivement de mettre à jour Flash Player afin de parer les exploitations massives menées depuis quelques jours par des groupes de pirates.

* Résumé des évènements majeurs :
- Vulnérabilité :
Plusieurs correctifs critiques ont été publiés cette semaine.
Suite à l'exploitation d'une vulnérabilité critique [1] découverte au sein d'Adobe Reader, Acrobat et Flash Player, Adobe a publié le bulletin APSB10-14 [2]. Le lecteur Flash Player a été mis à jour, mais la vulnérabilité référencée CVE-2010-1297 [3] reste exploitable au sein des visionneuses PDF qui devraient également être mises à jour à la fin du mois de juin. Le CERT-XMCO recommande de rester vigilant lors de l'ouverture de fichiers PDF provenant de sources douteuses et incite les entreprises ainsi que les particuliers à mettre à jour rapidement Flash Player vers la version 10.1.53.64.

Le "Black tuesday" du mois de juin [4] a permis de corriger un grand nombre de vulnérabilités au sein des logiciels Microsoft avec la sortie de 10 correctifs. Le CERT-XMCO conseille d'installer les correctifs MS10-034 [5] (kill-bits), MS10-035 [6] (Internet Explorer) et MS10-033 [7] (Windows Media) qui corrigent des vulnérabilités exploitables principalement sur des postes de travail.

- Conférences :
La conférence annuelle du SSTIC s'est déroulée du 9 au 11 juin dans la bonne humeur. Comme chaque année les conférences concernaient la sécurité de domaines variés (santé, cyberdéfense, hardware, GSM...) et étaient très intéressantes [8]. Un compte rendu de ces conférences sera présent dans le prochain numéro de l'ActuSécu.

- Cybercriminalité/attaques :
Une attaque massive a été menée en fin de semaine à l'encontre des serveurs web IIS/ASP [9]. Plus de 100 000 sites différents ont ainsi été compromis via une attaque d'injection SQL. Les pirates ont ainsi inséré une iframe pointant vers le site "http://ww.robint.us/u.js".

La faille Java "Launch()" corrigée en avril [10] revient sur le devant de la scène. De nombreux applets malicieux exploitant la vulnérabilité référencée CVE-2010-0886 [11] ont été identifiés sur plusieurs sites malveillants.

Les attaques de phishing/spam se sont amplifiées cette semaine. Twitter a été la première cible. Des millions d'emails d'alerte sur des attaques de force brute ont été envoyés à de nombreux utilisateurs de ce site de microblogging afin d'inciter à installer un logiciel de sécurité qui s'avère être un cheval de Troie. Les spammeurs continuent d'inonder nos boîtes aux lettres d'emails contenant des liens vers des sites d'achat de médicaments.

- Entreprise/juridique :
Après la sortie de l'iPad, A&T a colmaté une brèche ayant permis la fuite de plus de 114 000 adresses emails d'utilisateurs du produit d'Apple [12].

Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 31 mai au 6 juin 2010

Tue, 08 Jun 2010 17:50:01 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, Adobe a publié un bulletin d'alerte (0-day) pour son lecteur Flash et la suite Acrobat. Cette faille est actuellement exploitée sur Internet. Par ailleurs, une preuve de concept illustrant l'exploitation d'une faille Java liée au parseur MIDI a été publiée alors même que celle-ci a été récemment corrigée dans l'un des derniers bulletins de sécurité (JDK/JRE 6 Update 19) d'Oracle.
Le CERT-XMCO retient par ailleurs 3 évènements majeurs :
- La publication des correctifs Microsoft prévue le 9 juin ;
- La mise en accusation de plusieurs cybercriminels aux États-Unis ;
- Enfin, la mise à disposition gratuitement de l'application iCERT-XMCO durant le mois de juin.

* Résumé des évènements majeurs :
- Vulnérabilité :
Cette semaine, Microsoft a annoncé la publication de 10 bulletins de sécurité dans le cadre de son "Patch Tuesday" du mois de juin [1]. Six d'entre eux (dont deux "critiques") concernent Windows, deux autres bulletins jugés "importants" concernent Office, et un autre affectant simultanément Windows et Office est également jugé "important". Enfin, un dernier bulletin "critique" concerne Internet Explorer. Dans le lot, deux vulnérabilités publiques (XSS dans Sharepoint [2], et fuite d'information via Internet Explorer [3]) seront corrigées.

De son côté, Adobe a publié en fin de semaine une alerte (APSA10-01) [4] pour ses logiciels Flash Player, Adobe Reader et Adobe Acrobat. L'exploitation d'une faille de sécurité au sein du lecteur Flash permet à des pirates de compromettre un système. D'après Adobe, cette faille serait massivement exploitée par les cybercriminels. D'après la société VUPEN, la faille de sécurité (0-day) aurait été découverte il y a 6 mois par l'un de ses chercheurs qui aurait immédiatement alerté l'éditeur américain. Un délai de correction surement trop long pour un logiciel aussi critique... Néanmoins, aucun exploit n'a été rendu public pour le moment.

De son côté, un chercheur a publié une preuve de concept [5] permettant d'exploiter une des failles présentées dans le bulletin de sécurité d'Oracle du mois de mars (Update 19 de Java JRE/JDK 6) [5bis]. La faille en question affecte le parseur MIDI. L'exploit se présente sous la forme d'un applet Java et est donc exploitable sur tous les navigateurs dotés du plug-in Java, et ce, indépendamment du système d'exploitation. Le CERT-XMCO recommande donc à tous les utilisateurs d'installer la dernière version de Java (JRE/JDK 6 Upade 20) [5ter] si cela n'a pas déjà été fait.

- Cybercriminalité/attaques :
Les premiers rootkits pour Androïd ont été diffusés [6]. L'envoi d'un simple SMS ou un appel téléphonique permettrait à un pirate d'obtenir discrètement un accès à distance à un smartphone. D'autre part, après HTC, c'est au tour de Samsung de livrer des cartes mémoire avec un malware embarqué. La société s'est excusée, et a précisé que seul le marché allemand aurait été touché...

- Entreprise/juridique :
Avec l'objectif d'augmenter son niveau de sécurité, Google a annoncé migrer son environnement de travail Microsoft vers un environnement Apple/Unix [7]. Depuis janvier, les nouvelles recrues du géant de la recherche se verraient offrir le choix entre un poste Apple équipé de Mac OS X, et un PC équipé d'un système GNU/Linux. Microsoft a vivement réagi à cette annonce en donnant sa vision de l'attaque "Aurora" et des sécurités actuellement intégrées à son environnement de travail [8].

Dans le même temps, Microsoft a annoncé avoir aidé le département de la justice américain ainsi que le FBI à réunir des preuves permettant de mettre en place un mandat d'accusation contre trois cybercriminels pour avoir participé à une attaque massive [9]. Parmi ces trois personnes, deux sont de nationalité américaine. La troisième est suédoise. Le QG serait lui situé en Ukraine. Cet exemple montre bien le niveau auquel il faut travailler pour s'attaquer aux cybercriminels : multiples nationalités, multiples lieux de résidence, multiples juridictions, multiples lieux d'action et de modes opératoires... Travailler au seul niveau national pour lutter contre la cybercriminalité est simplement impossible.

Enfin, XMCO Partners souhaite rappeler que son application de veille pour iPhone iCERT-XMCO est disponible gratuitement sur l'App Store [10] d'Apple pendant le mois de juin. Cette application vous permettra de suivre de manière régulière la publication de nouvelles vulnérabilités logicielles, les alertes, les attaques ainsi que plus largement l'actualité de la sécurité informatique.
N'hésitez pas à nous faire parvenir vos commentaires et vos suggestions pour les prochaines mises à jour !

Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[XMCO] Suivez gratuitement l'actualit� de la s�curit� informatique sur votre iPhone avec iCERT-XMCO

Fri, 04 Jun 2010 10:41:53 GMT+1

L'application iPhone iCERT-XMCO développée par les consultants du cabinet XMCO Partners devient gratuite pendant une durée limitée.
Du 1er juin au 1er juillet, vous pourrez télécharger notre application gratuitement en recherchant "XMCO" sur l'App Store, ou depuis le lien suivant :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&ign-mpt=uo=6#

Suivez l'actualité de la sécurité informatique en restant informé des attaques informatiques du moment et des plus récentes découvertes de vulnérabilités des systèmes informatiques.

N'hésitez pas à nous faire parvenir vos commentaires et vos suggestions pour les prochaines mises à jour !

Suivez le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 24 au 30 mai 2010

Mon, 31 May 2010 17:53:30 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, Oracle, VMware et Adobe ont publié de nouveaux correctifs.
D'autre part, le CERT-XMCO retient 3 évènements majeurs :
- La découverte d'une nouvelle méthode permettant de faire de "l'hameçonnage" (phishing) grâce aux onglets des navigateurs (Firefox, Safari, IE...) ;
- Le vol de millions d'identifiants (jeux en ligne et skyblogs) ;
- L'annonce par Microsoft de la mise en place de deux nouveaux programmes visant à aider les États à protéger leurs Systèmes d'Informations.

* Résumé des évènements majeurs :
- Vulnérabilité :
Cette semaine, Oracle, VMware et Adobe ont tous les trois publié des bulletins de sécurité.
Les exécutables "tar" et "cpio" sont mis à jour [1] au sein de Solaris afin de corriger une faille de sécurité importante permettant de prendre le contrôle d'un système.
VMware ESX(i) a également été mis à jours après [2] la découverte de multiples failles de sécurité.
Enfin, une nouvelle version d'Adobe Photoshop CS4 a été publiée par Adobe à la suite de la découverte de faille de sécurité critique [3] dans la gestion de certains types de fichiers. Nous attirons votre attention sur le fait que des preuves de concept permettant de compromettre un système ont été rendues publiques.

Par ailleurs, un chercheur aurait découvert une faille de sécurité [4] au sein de l'iPhone 3GS. Une connexion USB établie entre un iPhone et un système d'exploitation Ubuntu 10.4 permettrait de contourner le code de verrouillage et ainsi d'accéder en lecture/écriture à certains dossiers.

Un développeur de la société Mozilla a présenté une nouvelle technique permettant de mener des campagnes de phishing [5]. Cette attaque repose sur une mauvaise gestion des évènements JavaScript lors du changement d'onglets au sein des navigateurs (Firefox, Safari, IE8...). En contrôlant un site web, un pirate peut facilement piéger un utilisateur peu attentif et ainsi mener une attaque de phishing.

Parallèlement, un autre chercheur a rendu publique une preuve de concept [6] permettant à un pirate d'obtenir des informations personnelles via l'exploitation d'une faille dans le moteur javascript de Firefox.

- Cybercriminalité/Attaques :
Skyrock a annoncé la perte de plus de 32 millions de mots de passe [7]. Un pirate aurait exploité une faille de sécurité afin de mettre la main sur une base de données contenant les identifiants des blogs "SkyBlog". Dans le même registre, une autre base de plus de 17 Go d'identifiants de jeux en ligne a été découverte par Symantec. L'utilisation conjointe du malware "Infostealer.Gampass" et "Trojan.Loginck" aurait permis de dérober 44 millions de comptes pouvant être revendus jusqu'à 10 euros sur les marchés "underground" [8].

- Entreprise/juridique :
Un responsable de Microsoft annonçait le lancement, dès cet été, de deux nouveaux programmes visant à aider les états à protéger leurs systèmes d'informations [9]. DISP (Defensive Information Sharing Program) permettra aux organismes étatiques d'accéder à des informations relatives aux vulnérabilités traitées par Microsoft avant la publication des correctifs. Quant au CIPP (Critical Infrastructure Partner Program), il permettra aux états d'obtenir des conseils personnalisés dans le domaine de la sécurisation des infrastructures critiques.

Après Symantec et Oracle, c'est au tour de McAfee d'annoncer le rachat vers la fin du mois de juin de Trust Digital [10]. Cette société, spécialisée dans la gestion d'un parc de smartphone, permettra à l'éditeur de solutions antivirales d'étendre la couverture offerte par ePolicy Orchestrator.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 17 au 23 mai 2010

Tue, 25 May 2010 15:42:17 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, le CERT-XMCO retient 3 évènements majeurs :
- La publication d'un bulletin Microsoft à la suite de la découverte d'une vulnérabilité critique au sein de Windows 7 et de Windows 2008 ;
- Le verdict rendu par un tribunal allemand au regard de la sécurisation des points d'accès WiFi personnel ;
- Et, la fermeture de deux hébergeurs russe et américain reconnus pour leur laxisme dans la lutte contre les cybercriminels.

* Résumé des évènements majeurs :
Près d'une semaine après le dernier "patch tuesday", Microsoft vient de publier un nouveau bulletin (KB2028859) [1]. Une vulnérabilité pour le moment non spécifiée a été découverte au sein du pilote "Canonical Display" [2] et permet de compromettre, à distance, un système Windows 7 (64 bits) et Windows 2008 R2 (64 bits et Itaninum). Microsoft affirme que cette vulnérabilité est difficilement exploitable, mais recommande néanmoins la désactivation de "Aero".

Le secteur de la sécurité des systèmes d'information est en cours de réorganisation. Après le rachat par Symantec, il y a quelques semaines, de PGP Corporation et de GuardianEdge [3] ; c'est au tour d'une partie de l'activité de Verisign [4] de tomber dans le giron de l'éditeur américain de solutions antivirales. De son côté, Oracle a annoncé le rachat au cours du mois de juin de Secerno [5], une société spécialisée dans la sécurité des bases de données.

Côté cybercriminalité, le forum allemand "carders.cc", dédié aux pirates, a été attaqué [6]. Les auteurs ont publié l'ensemble des failles de sécurité qu'ils ont pu observer et exploiter [7].
Par ailleurs, deux hébergeurs plus que conciliants avec l'activité des cybercriminels ont été déconnectés d'Internet. En effet, le Russe PROXIEZ-NET [8] et l'Américain 3FN.net [9] ont été reconnus par de nombreux professionnels comme étant liés à des activités malveillantes (hébergement de serveur de contrôle de botnet, de serveur utilisé pour réaliser des attaques, de contenu malveillant, relais de distribution de pourriels...). Leur déconnexion, aussi insignifiante qu'elle soit au niveau global, reste un signe encourageant de la part des autorités.

Dans le même temps, la Cour Fédérale allemande rend les utilisateurs finaux responsables de la sécurisation des points d'accès WiFi [10]. Cette nouvelle jurisprudence impose aux particuliers de "sécuriser" leurs points d'accès par l'utilisation d'une clef de chiffrement lors de l'installation (WEP, WPA...). Les points d'accès ouverts sont désormais interdits sous peine d'amende. Avec l'évolution des techniques d'attaque et l'utilisation de protocole obsolète (WEP), il est évident qu'une telle protection n'est pas suffisante sur le long terme...

Enfin, après l'apparition, la semaine précédente d'un nouveau type de botnet basé sur l'utilisation de serveur web, un kit de création de botnet clef en main a été découvert [11]. Celui-ci utilise le service gratuit Twitter pour contrôler les ordinateurs compromis. Un pirate peut donc faire effectuer à ses zombies de nombreuses commandes en utilisant un simple téléphone équipé d'un client Twitter...

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 10 au 16 mai 2010

Wed, 19 May 2010 12:00:09 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, une nouvelle vulnérabilité critique (0-day) affectant Safari [1] a été publiée. Le code d'exploitation étant disponible sur Internet, le CERT-XMCO recommande aux utilisateurs de Safari de ne pas visiter de sites provenant de sources douteuses, voire d'utiliser un navigateur alternatif dans l'attente d'un correctif.
Deux autres évènements majeurs ont également retenu notre attention :
- La publication par Microsoft et Adobe des bulletins de sécurité du mois de mai ;
- Et la publication des résultats alarmistes du concours PWN2KILL sur l'état des lieux des antivirus.

* Résumé des évènements majeurs :
Dans le cadre du "patch tuesday" du mois de mai [2], Microsoft a corrigé deux vulnérabilités critiques affectant les clients de messagerie Outlook Express/Windows Mail [3] (MS10-030) et l'interpréteur VBScript pour Applications (VBA) [4] (MS10-031) principalement utilisé au sein de la suite Office. L'exploitation de la première faille de sécurité nécessite qu'un pirate incite un utilisateur à utiliser un serveur de messagerie malicieux (modification de la configuration). Quant à la seconde, celle-ci requiert qu'un utilisateur ouvre un fichier contenant une macro spécialement conçue. Dans les deux cas, l'exploitation de la vulnérabilité est jugée complexe par Microsoft. Le CERT-XMCO recommande néanmoins l'application des correctifs.

De son côté, Adobe a publié deux bulletins de sécurité corrigeant de nombreuses failles de sécurité au sein de du serveur Coldfusion [5] (APSB10-11) et du lecteur Shockwave [6] (APSB10-12).

Le projet "Month of PHP Bugs" [7] poursuit sa lancée en révélant chaque jour de nouvelles vulnérabilités au sein de l'interpréteur PHP et des applications codées dans le même langage. Près d'une vingtaine de vulnérabilités plus ou moins critiques ont déjà été présentées.

Dans le cadre de la conférence iAWACS 2010 [8], le concours PWN2KILL [9] a été l'occasion de tester la protection offerte par quinze antivirus. Sur sept virus "home made", un seul a été détecté par l'ensemble des solutions de protection. Les six autres ont tous réussi à infecter au moins 12 systèmes Windows 7 protégés par un antivirus différent.
Ces résultats démontrent, une nouvelle fois, les limites des antivirus actuels.
Les éditeurs de solutions devraient faire évoluer leurs logiciels pour ne pas rester cantonnés à des méthodes de détections relativement bien connues des pirates, et facilement contournables. En effet, les sept équipes étaient principalement constituées d'élèves de l'ESIEA, école qui organisait la conférence et le concours.
De leur côté, les chercheurs de la société Matousec ont publié une analyse [10] sur l'utilisation par les antivirus de "hooks" sur le système d'exploitation pour mettre en place leur solution de protection. D'après ces chercheurs, les implémentations seraient relativement vulnérables à une attaque durant laquelle l'échantillon de code scanné serait remplacé par un échantillon malveillant juste après la vérification. Le fruit de ces recherches semble faire polémique dans le monde de la sécurité. En effet, il semblerait que cette technique appelée TOCTOU [11] (Time Of Check to Time Of Use) avait été publiée en 2003 dans les listes de diffusion de sécurité.

L'accès à Internet en Allemagne et en Autriche a été fortement perturbé au cours de la semaine dernière. Durant environ une heure, une panne de quatre serveurs DNS responsables des domaines ".DE" et ".AT" a gêné la résolution des noms de ces domaines. De nombreux sites et services ont été affectés. Ce genre d'événement montre bien la faiblesse du système DNS actuel sur lequel repose Internet.

Enfin, un nouveau type de botnet [12] constitué uniquement de serveurs a été découvert. Contrairement à de simples ordinateurs personnels, les serveurs disposent généralement d'une bande passante importante ce qui réduit le nombre de zombies pour mener une attaque de DDOS.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 3 au 9 mai 2010

Wed, 12 May 2010 00:45:30 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, aucune nouvelle vulnérabilité critique n'a été publiée. Le CERT-XMCO retient cependant 3 évènements majeurs :
- La publication annoncée par Microsoft de deux bulletins de sécurité pour le 11 mai [1].
- La mise à jour du lecteur de PDF Foxit [2] pour corriger la vulnérabilité PDF "/Launch" fortement exploitée au cours des dernières semaines [3][4].
- La publication de méthodes d'exploitation de la vulnérabilité permettant de contourner l'authentification JBoss [5]. Il est fort possible que celle-ci soit prochainement exploitée pour contourner les interfaces d'administration JMX-console et WEB-console exposée sur internet. Le CERT-XMCO recommande donc aux administrateurs de vérifier la configuration de leurs serveurs JBoss afin d'imposer l'authentification pour les différents verbes HTTP (dont HEAD).

* Résumé des évènements majeurs :
Dans le cadre du "patch tuesday" du mois d'avril, Microsoft a corrigé trois vulnérabilités importantes sans avoir averti ses clients. D'après les recherches effectuées par CORE Security, les correctifs MS10-024 [6] et MS10-028 [7] cacheraient des modifications réalisées sur Visio et le service SMTP de Windows. Microsoft a aussi annoncé la correction d'une faille de sécurité au sein de Windows et d'une autre au sein de l'interpréteur Visual Basic dans le cadre du "patch tuesday" du 11 mai [1]. Ces vulnérabilités sont jugées critiques.

Par ailleurs, Microsoft annonce qu'il ne proposera pas (tout de suite) de correctif pour la vulnérabilité de "Cross Site Scripting" révélée récemment dans SharePoint [8]. Seule une solution de contournement a été publiée [9]. Enfin, le CERT-XMCO rappelle que Microsoft arrêtera le support de Windows 2000 et de Windows XP SP2 à partir du 13 juillet prochain [1].

Côté postes de travail, l'éditeur du lecteur de PDF Foxit a publié la version 3.3 de Foxit Reader [2]. Cette version offre un nouveau composant appelé "Secure Trust Manager". Celui-ci permet de gérer finement les actions autorisées. Par défaut, le support de la commande "/Launch" est désactivé pour protéger les utilisateurs contre une exploitation de la faille découverte par le chercheur Didier Stevens [10].

Deux ans après la première édition, le mois des bogues PHP est de retour sur le site php-security.org [11]. Chaque jour, différentes failles de sécurité et des preuves de concept sont présentées, celles-ci affectent l'interpréteur PHP mais également des applications reposant sur l'interpréteur. Des conseils sont également proposés pour aider les développeurs à développer de manière sécurisée

Le navigateur Opera a été mis à jour en version 10.53 après la révélation de l'existence d'une faille de sécurité critique d'après l'éditeur [12].

Enfin, il y a quelques semaines, une faille de sécurité liée à la configuration de JBoss (jmx et web consoles) avait été corrigée par Red Hat [5]. Cette dernière et toujours présente dans la configuration par défaut du serveur JBoss. En utilisant certains types de requêtes HTTP comme HEAD, il était possible de contourner le processus d'authentification utilisé par les applications. Des outils exploitant cette vulnérabilité ont été mis à jour [13] et pourraient être massivement utilisés sur Internet.
Le CERT-XMCO recommande de vérifier rapidement la configuration de son serveur (web.xml).

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCO Partners, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert - Semaine du 26 avril au 2 mai 2010

Mon, 03 May 2010 16:41:02 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, aucune nouvelle vulnérabilité critique n'a été publiée. Le CERT-XMCO retient cependant trois évènements principaux.
Microsoft a publié une seconde version du correctif MS10-025 qui corrige une vulnérabilité de Windows Media Unicast Service sur Windows 2000 SP4. Parallèlement, une vulnérabilité de "Cross Site Scripting" a été identifiée au sein de SharePoint.
Enfin, une campagne de distribution de pourriels de grande envergure distribue un PDF malicieux tirant parti de la faille "/Launch". Le CERT-XMCO recommande aux utilisateurs de rester vigilants et de ne pas ouvrir les pièces jointes en provenance de sources douteuses.

* Résumé des évènements majeurs :
Microsoft a mis à jour le correctif MS10-025 pour les systèmes Windows 2000 SP4 uniquement. En effet, lors de sa première publication, le correctif n'était pas efficace. Microsoft avait donc décidé de le retirer afin de le mettre à jour. Même si le composant vulnérable n'est pas installé par défaut, nous attirons votre attention sur le fait qu'un code d'exploitation a été rendu public. Il est donc nécessaire d'installer le correctif si le service Windows Media Unicast est utilisé.

Après un an et demi d'accalmie, un nouveau malware semblable à ceux de la famille Storm vient d'être identifié sur Internet. Cette nouvelle mouture serait moins virulente. Cependant, nous vous rappelons qu'en son temps, le botnet "Storm Worm" était responsable de près de 20% de l'émission des pourriels et était constitué de plus d'un million de machines infectées.

De son côté, le botnet Zeus continue d'évoluer. Les dernières versions du malware exploitent la récente vulnérabilité "/Launch" du lecteur PDF d'Adobe et de Foxit. De plus, de nouvelles fonctionnalités ont été mises en oeuvre pour complexifier la détection du malware telles que la génération de noms de fichiers aléatoires et l'infection de nouveaux processus système.

Parallèlement, une campagne de distribution massive de spam exploite également la faille "/Launch". Un mail provenant d'une adresse du type "operator@MON_ENTREPRISE.com" ou encore "alert@MON_ENTREPRISE.com" est envoyé afin de prévenir les victimes d'un changement de configuration des paramètres de messagerie (POP et SMTP). L'ouverture de la pièce jointe "doc.pdf" incluse au sein de cet email et la validation de la boite de dialogue affichée permet de compromettre un système Windows.

Enfin, un pirate russe aurait mis la main sur plus de 1,5 million de comptes Facebook et aurait procédé à leur vente au détail sur Internet.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 19 au 25 avril 2010

Mon, 26 Apr 2010 17:35:49 GMT+1

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d'expert :
Cette semaine, l'actualité de la sécurité informatique a été calme : pas de nouveaux "0-day" ou d'attaques massives.
La menace la plus importante du moment demeure l'exploitation d'une faille de sécurité d'un plugin JAVA pour Internet Explorer par l'intermédiaire de sites web compromis ou hébergés par des pirates.
Pour se protéger de ces attaques, le CERT-XMCO recommande la mise à jour des machines virtuelles JAVA à la version 6 Update 20 ou la désactivation par GPO de l'ActiveX "Java Deployment Toolkit".

* Résumé des évènements majeurs :
Quelques jours après la découverte d'une vulnérabilité critique et la publication d'un correctif par Oracle (Java 6 Update 20), la vulnérabilité du plug-in Java a été largement exploitée cette semaine. Des sites tels que "songlyrics.com" auraient été compromis par des pirates (russes ?). La mise à jour d'Oracle prenant surtout en compte Internet Explorer, la fondation Mozilla a vivement réagi en bloquant les versions vulnérables du plug-in "Java Deployement Toolkit" dans son navigateur.

Par ailleurs, l'attaque surnommée "Aurora" fait encore parler d'elle. Le New York Times a ainsi publié de nouvelles informations à son sujet. Les pirates à l'origine de l'attaque auraient ciblé le SSO de Google baptisé Gaïa. Ces derniers auraient dérobé une partie de son code (si ce n'est la totalité) et auraient pu potentiellement insérer des portes dérobées. Google, ainsi que nombre d'experts sécurité prennent ce risque au sérieux, puisque les pirates pourraient potentiellement accéder aux informations privées de millions d'utilisateurs. Néanmoins, aucune information n'a été reconnue publiquement par Google qui aurait par ailleurs élevé le niveau de sécurité de certaines parties de son infrastructure.

Après avoir mis à jour sa base de signature vers la version "DAT 5958", les antivirus McAfee utilisés sur les systèmes Windows XP SP3 ont confondu l'exécutable système "scvhost.exe" avec le virus référencé "W32/Wecorl.a", le plaçant ainsi par mesure préventive en quarantaine. L'absence de cet exécutable indispensable au fonctionnement de Windows a provoqué de nombreux problèmes aussi bien dans le monde de l'entreprise que chez les particuliers.

Tout comme les récentes éruptions volcaniques, les termes "DAT", "5958", ou encore "McAfee" ont été utilisés par les pirates dans le cadre de campagne de pollution des moteurs de recherche qui dirigeaient ainsi les utilisateurs vers des sites hébergeant des malwares.

Les smartphones sont à la mode, et les pirates le savent. Un malware se faisant passer pour un outil de "jailbreak" d'iPhone a ainsi été découvert. D'autre part, des vulnérabilités critiques ont été découvertes au sein de Palm WebOS. Le simple envoi de SMS permettait de modifier la configuration du téléphone (ouverture d'un site internet, lancement d'un téléchargement, installation d'un certificat racine, désactivation de l'interface sans fil...).

Enfin, Microsoft retire le correctif MS10-025 qui ne corrigeait pas la vulnérabilité présente au sein de Windows Media Services. Une nouvelle version du correctif devrait être publiée cette semaine.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 12 au 18 avril 2010

Mon, 19 Apr 2010 17:02:48 GMT+1

Chaque semaine, les consultants du service de veille analysent les faits marquants de la semaine :

Oracle a publié la mise à jour trimestrielle "cpuapr2010" et la version 6u20 de Java SE à la suite de la découverte d'une vulnérabilité majeure au sein de Java Web Start. En effet, une faille de sécurité critique de JAVA est actuellement exploitée sur Internet. L'exploitation de la faille nécessite la visite par une victime d'une page web malicieuse. Oracle a réagi en publiant l'Update 20 (JRE/JDK) de Java SE 6 et en bloquant l'ActiveX "Java Deployment Toolkit" vulnérable au sein d'Internet Explorer.
La faille reste toujours exploitable sur les navigateurs alternatifs si les plug-ins Java ne sont pas désactivés.

Dans le cadre de son "Patch Tuesday", Microsoft a publié 11 correctifs résolvant 25 failles de sécurité. L'application de ces correctifs est bien sûr de rigueur, en particulier pour le correctif MS10-022 relatif à une attaque via Internet Explorer et VBscript.

De son côté, Apple a publié un correctif pour la faille de sécurité critique liée à l'utilisation de police de caractère spécialement conçue. Cette faille avait été utilisée par Charlie Miller pour remporter un prix lors du concours Pwn2Own qui a eu lieu au début du mois de mars.

Des pirates se sont attaqués à de nombreux blogs utilisant le moteur WordPress. L'attaque se base sur le fait que le fichier "wp-config.php" est en lecture pour tout le monde dans un contexte d'hébergement mutualisé, ainsi qu'il contient le mot de passe de la base de données en clair.

Enfin, la faille PDF relative à la commande "/Launch", corrigée la semaine dernière par Adobe dans son lecteur, est activement exploitée afin d'augmenter le nombre de machines zombies du botnet ZeuS.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 5 au 11 avril 2010

Mon, 12 Apr 2010 13:29:38 GMT+1

Chaque semaine, les consultants du service de veille analysent les faits marquants de la semaine :

Cette semaine, un débat entre experts laissait penser que Firefox pouvait contenir des certificats racines "piratés". Ce débat était finalement inutile puisqu'il s'agissait en fait d'un certificat RSA qui n'était simplement plus utilisé.

Des pirates se sont payés (en toute légitimité commerciale), les services de publicité des moteurs de recherche de Microsoft (Bing) et Yahoo! pour proposer aux utilisateurs des liens vers sites malveillants lorsque ceux-ci effectuaient des recherches sur le mot clé "advertising". Est-ce que les moteurs de recherche doivent s'assurer de l'intention des annonceurs ?

Suite à la découverte de la vulnérabilité permettant le lancement de programme depuis un fichier PDF (CVE-2009-4764 et CVE-2010-1240), Adobe a proposé une solution de contournement : désactiver la fonctionnalité incriminée "Allow opening of non-PDF file attachments with external applications" dans la catégorie "Trust Manager" des préférences.

Tandis que 11 correctifs de sécurité Windows sont prévus pour ce mardi, Microsoft annonce que XP SP2 et Windows 2000 ne seront plus supportés à partir du 13 juillet.

Enfin, le CERT XMCO publie ICERT-XMCO : une application iPhone permettant de suivre l'actualité de la sécurité (failles, alerte, info), ainsi que l'ActuSécu nº 25.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [iCERT-XMCO] Sortie de l'application iPhone/iPod Touch iCERT-XMCO permettant de suivre l'actualit� de la s�curit� informatique

Thu, 08 Apr 2010 12:19:06 GMT+1

Le cabinet XMCO Partners vient de publier une application disponible sur l'App Store d'Apple pour tous les possesseurs d'iPhone ou d'iPod touch.

Baptisée iCERT-XMCO, cette application permet de suivre facilement l'actualité de la sécurité informatique depuis leur téléphone. Grâce à une interface intuitive, le lecteur pourra retrouver les différentes informations telles que l'actualité de la sécurité (informations, virus, attaques...), les vulnérabilités logicielles ou encore les alertes du moment.

Cette première version (v1.1) n'est qu'un début. D'autres versions suivront prochainement pour simplifier l'utilisation de l'application et apporter de nouvelles fonctionnalités.

Note : les informations accessibles via l'application correspondent uniquement à une partie du travail effectué par la cellule de Veille du cabinet XMCO Partners. L'abonnement à ce service permet d'accéder à des informations ainsi qu'à des services supplémentaires. Pour toute demande d'informations supplémentaires, veuillez contacter veille_secu@xmcopartners.com

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 29 mars au 4 avril 2010

Tue, 06 Apr 2010 14:52:49 GMT+1

Suite aux attaques massives basées sur une vulnérabilité 0-days Internet Explorer (CVE-2010-0806), Microsoft publie un correctif "hors cycle" (MS10-018) affectant toutes les versions de son navigateur.

Plusieurs vulnérabilités critiques sont corrigées dans la machine virtuelle JAVA (JRE et JDK).

Une société américaine ECMC (spécialisée dans le crédit pour étudiants) annonce avoir perdu un support amovible contenant les données personnelles de plus de 3 millions de ses clients.

Côté cybercriminalité, un hacker surnommé TJX reçoit une peine de 20 ans de prison pour des actes de piratage de données.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 22 au 28 mars 2010

Mon, 29 Mar 2010 14:33:28 GMT+1

Cette semaine, plusieurs vulnérabilités importantes ont été publiées. Cisco a mis à jour son système IOS afin de se prémunir contre l'exploitation de 7 nouvelles vulnérabilités et a modifié son calendrier afin de publier les correctifs IOS le dernier mercredi de mars et septembre.

EzPublish a également mis à jour son CMS, vulnérable aux attaques d'injection SQL en aveugle.

Comme chaque année, le concours "Pwn2Own" a permis aux chercheurs de briller en exploitant des vulnérabilités "0-day" sur les principaux navigateurs du marché, mais également sur l'iPhone au centre de toutes les attentions.

Les cybercriminels ont diffusé une nouvelle version de Zbot qui vise les clients de banques et d'institutions financières européennes (Italie, Royaume-Uni, Allemagne et France) mais également un nouveau ver pour les plateformes Symbian/OS. Baptisé "MerogoSMS", cette application malicieuse utilise des SMS pour se propager et contacter des numéros surtaxés.

Enfin, le sénat vient de voter une nouvelle loi relative à la protection de la vie privée. Toutes les entreprises manipulant des données personnelles devront désormais désigner un correspondant "informatique et libertés" et communiquer avec la CNIL en cas d'intrusion informatique.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 15 au 21 mars 2010

Mon, 22 Mar 2010 13:41:08 GMT+1

Suite à l'annonce d'une vulnérabilité "0-day" affectant Internet Explorer, Microsoft a publié un correctif temporaire. Pendant le même temps, une preuve de concept exploitant une vulnérabilité liée à la gestion des fichiers d'aide au format ".CHM" a été publiée.

Virtual PC et Virtual Server sont également affectés par une vulnérabilité permettant d'interagir avec la mémoire des systèmes d'exploitation "invités". Ce problème reconnu par Microsoft ne sera pas corrigé.

Enfin, une autre preuve de concept a été publiée, simplifiant l'exploitation de la faille liée au support du format "TIFF". Cette vulnérabilité référencée CVE-2010-0188 a néanmoins été corrigée récemment par Adobe avec le bulletin APSB10-007.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 8 au 14 mars 2010

Tue, 16 Mar 2010 11:17:27 GMT+1

Microsoft n'a publié que deux correctifs dans le cadre du "patch tuesday", pour Excel et Movie Maker alors qu'une vulnérabilité "0-day" affectant Internet Explorer et un code d'exploitation ont été diffusés sur la toile. Cette vulnérabilité, activement exploitée, a tout de même été reconnue par Microsoft (bulletin KB981374).

Parallèlement, une attaque de grande ampleur a été menée par un groupe de pirates par l'intermédiaire de fichiers PDF exploitant la vulnérabilité CVE-2010-0188 corrigée depuis peu par Adobe (APSB10-07).

Enfin, deux produits grand public (HTC Magic vendu par Vodafone, ainsi qu'un chargeur de piles USB Energizer) ont été commercialisés en incluant les malwares Mariposa, Conficker ou Lineage. Ces derniers étaient automatiquement exécutés lors de l'installation des logiciels en question.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 1 au 7 mars 2010

Mon, 08 Mar 2010 13:55:49 GMT+1

Semaine chargée pour les cyberpirates et Microsoft.

Après la fermeture de nombreux noms de domaine associés au botnet "Waledac" par Microsoft, les autorités américaines et espagnoles se sont attaquées aux dirigeants de "Mariposa", un réseau de zombies estimé à plus de 13 millions de machines.

Le géant de Redmond a publié la mise à jour du correctif MS10-015 dont la distribution avait été suspendue à la suite d'apparitions d'écran bleu. D'autre part, Microsoft prévoit de sortir deux correctifs pour Windows et Office dans le "patch tuesday" du 9 mars.

Toujours chez Microsoft, plusieurs "0-day" ont été diffusés cette semaine. Une première vulnérabilité reconnue par l'éditeur touche Internet Explorer. Cette dernière permet à un pirate de prendre le contrôle d'un système distant par le biais d'une page Web chargeant automatiquement un fichier d'aide ".HLP". Enfin, une vulnérabilité de type XSS affectant Sharepoint 2007 ainsi qu'une preuve de concept pour Windows Media Player ont été rendues publiques.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 22 au 28 f�vrier 2010

Thu, 04 Mar 2010 11:55:34 GMT+1

Firefox serait sous le coup d'une vulnérabilité "0-day" non publiquement divulguée. CANVAS a mis à disposition de ses clients uniquement le code permettant l'exploitation de la faille, qui n'a donc pas été portée à la connaissance des développeurs du navigateur.
Il est possible que Mozilla ne puisse pas fournir rapidement de correctif sans information supplémentaire de la part des chercheurs.

Côté cybercriminalité, plusieurs serveurs web étatiques de la Colombie ont été compromis puis utilisés pour héberger discrètement des scripts participant à une attaque web à grande échelle.

Après l'apparition du botnet "Kneber" au cours de la semaine précédente, le botnet "Chuck Norris" arrive tout droit d'Italie afin de compromettre les modems ADSL et les routeurs faiblement sécurisés (mots de passe standards ou faibles). Chuck Norris est capable de réaliser des DDoS et de participer à des campagnes de phishing.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 15 au 21 f�vrier 2010

Tue, 23 Feb 2010 18:04:43 GMT+1

Adobe se trouve contraint de corriger une faille de sécurité qu'il avait précédemment niée dans son "Downloader".

Côté cybercriminalité, un nouveau botnet appelé "Kneber" ayant beaucoup de similitudes avec le botnet "Zeus" est apparu. Les auteurs du rootkit "TDL3" causant les écrans bleu suite à l'installation du correctif MS10-015 corrigent leur malware avec beaucoup de réactivité.

Une campagne de spam "bienveillante" et de grande envergure propose, au nom de Microsoft, de désinfecter les ordinateurs du ver "conficker", moyennant l'installation du cheval de Troie Win32:Bredolab-CC (Avast), Generic Dropper.lr (McAfee) ou encore Mal/EncPk-KW (Sophos).

Enfin, Firefox, le célèbre navigateur Open-Source de la fondation Mozilla serait sous le coup d'un "0 day" développé par les chercheurs de la société Intevydis et disponible dans la solution propriétaire VulnDisco complémentaire du framework CANVAS d'Imunity.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[VEILLE] [SECURITE] Avis d'expert Semaine du 8 au 14 f�vrier 2010

Thu, 18 Feb 2010 11:23:12 GMT+1

Microsoft a publié 13 correctifs permettant de résoudre, entres autres, une faille permettant de devenir Administrateur local de son poste et une autre aille assez proche de celle exploitée par Conficker.
Côté cybercriminalité, alors que des pirates volaient des millions en crédits carbone, les autorités chinoises ont fermé un des plus gros sites de hackers du pays.

Enfin, le chercheur Ross Andersona démontré qu'il était possible d'utiliser une carte de crédit à puce sans connaitre son code PIN du fait d'une faille du protocole EMV et d'un manque de contrôle des banques.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTU-SECU] PCI-DSS, les vuln�rabilit�s SSL et la s�curit� des iPhone jailbreak�s (ActuS�cu XMCO n�24)

Wed, 13 Jan 2010 14:08:33 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO disponible en téléchargement ici : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 24 "Les vulnérabilités SSL, la sécurité des iPhones jailbreakés et le PCI-DSS " :

- Le PCI-DSS et les entreprises françaises

- La sécurité des iPhones jailbreakés

- Les vulnérabilités SSL de ces derniers mois

- L'actualité du mois : Les conférences sécurité, les correctifs et 0-day Microsoft, l'attaque EvilMaid, les attaques de Phishing

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Les attaques 2.0 : Koobface et Gumblar (ActuS�cu XMCO n�23)

Fri, 09 Oct 2009 10:26:11 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 23 "Koobface, Gumblar, Slowloris, Antisec: quand les pirates passent à l'action " :

- Revue des nouveautés présentées dans les conférences sécurité Blackhat et SSTIC

- L'attaque Internet Gumblar et les redirections JS

- Le ver Koobface : le ver social de FaceBook

- L'attaque Déni de Service Slowloris contre Apache

- L'actualité du mois : l'exploit Microsoft IIS FTP, Coldfusion NullByte, 0-days SSH antisec et un Trojan Skype.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Le vol d'identit� et Conficker (ActuS�cu XMCO n�22)

Wed, 18 Mar 2009 10:59:42 GMT+1

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Federal Trojan et ClickJacking (ActuS�cu XMCO n�21)

Thu, 23 Oct 2008 10:47:00 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

Au sommaire du numéro 21 "Federal Trojan et ClickJacking" :

- Federal Trojan : les écoutes et les perquisitions numériques à distance

- Le ClickJacking : une attaque aussi simple qu'efficace

- Le SurfJacking : l'exploitation des cookies non sécurisés

- Les fake antivirus, les exploits ActiveX, la faille dans le routage BGP

- Les blogs sécurité du mois : l'avis et la vie des experts sécurité

XMCO interviendra sous la forme d'un retour d'expériences dans le cadre de l'événement "La sécurité dans le secteur de la banque et assurance" du salon InfoSecurity. Frédéric Charpentier présentera plusieurs cas réels de hacking au cours desquels nous sommes intervenus en tant qu'experts. Les détails techniques des actes de piratages seront analysés et commentés. Les participants découvriront alors des situations réelles, bien loin des mythes entretenus. Notre intervention aura lieu à 11h45, le mercredi 19 novembre.(lien suivant).

Demandez dès aujourd'hui votre badge gratuit à l'adresse suivante : http://www.infosecurity.com.fr/FR/badge?ref=XMCW

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] UPNP, un protocole dangereux ? (ActuS�cu XMCO n�20)

Fri, 18 Jul 2008 10:48:00 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actu-secu/XMCO-ActuSecu-20-UPNP.pdf

Au sommaire du numéro 20 "UPNP, un protocole dangereux ? " :
- Hacking UPNP : Les faiblesses du protocole Plug and Play
- Les attaques UPNP/CSRF : Le vecteur d'attaque Flash sur les routeurs ADSL
- L'actualité du mois : La vulnérabilité des DNS de Dan Kaminsky, la faille OpenSSL, root exploit sur Mac OSX, virus sur Mac OS, GPCode...
- Outils : Flying Bit, Keepas, TrueCrypt, Axban

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] Sp�cial Blackhat 2008 (ActuS�cu XMCO n�19)

Wed, 14 May 2008 16:58:10 GMT+1

Chère lectrice, cher lecteur,

Notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actu-secu/XMCO-ActuSecu-19-Blackhat.pdf

Au sommaire du numéro 19 "Spécial Blackhat 2008" :
- Dossier Blackhat 2008 : Présentation des sujets (Cracking GSM, Bad sushi, client side security...)
- La mort des CAPTCHA : Comment les pirates arrivent-ils à les casser ?
- L'actualité du mois : Les vulnérabilités MS08-021 (GDI), Massive Injection SQL sur IIS ASP, prédiction des clefs WEP/WPA, attaque CSRF dans uTorrent...
- Outils : Les extensions Firefox utiles : Firebug, Web Developer, BugMeNot, SwitchProxy

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61

[PUBLICATION] [ACTUSECU] L'anonymat : Le c�t� obscur de l'Internet (ActuS�cu XMCO n�18)

Wed, 14 May 2008 16:53:56 GMT+1

Chère lectrice, cher lecteur,

Après une forte charge de travail occasionnée par les nombreux audits et tests d'intrusion de fin d'année, notre cabinet est heureux de vous présenter le nouveau numéro de l'ActuSécu XMCO en téléchargement ici : http://www.xmcopartners.com/actu-secu/XMCO-ActuSecu-Janvier2008.pdf

Au sommaire du numéro 18 "Le côté obscur de l'Internet" :
- Retour sur le Hack Of The Year : TOR, votre meilleur ennemi.
- Les hébergeurs Bullet Proof : les pirates passent à l'Offshore.
- Les Fast-Flux Networks : Comment remonter à la source des attaques ?
- Les vulnérabilités du mois : l'exploit MS08-001 IGMPv3, la faille de l'iPhone, le virus Symbian Beselo et le MBR Rootkit.

XMCO Partners diffuse gratuitement certains de ses bulletins de veille Sécurité. Pour toute question sur le service complet de veille XMCOPARTNERS, consultez nous:

	http://www.xmcopartners.com/veille-fr.html
	01 47 34 68 61