Archives de catégorie : Patch

Joomla, Logiciels, Mise à jour, Patch

Failles : Accès BDD et à gMail pour Joomla

Si votre site fonctionne sous Joomla 3.2.2, un conseil mettez à jour votre CMS vers la nouvelle version 3.2.3.  Joomla 3.2.3 a été publié, voilà quelques heures, pour permettre la correction de plus de 40 bugs et quatre vulnérabilités de sécurité. L’une des failles en question corrigé une injection SQL. Une vulnérabilité grave qui affecte les versions de 3.1.0 à 3.2.2. Pour rappel, une iSQL permet de mettre la main sur les bases de données qui font tourner un site web. Des données publiques et non publiques (emails, mots de passe, …)

Deux autres failles ont été corrigées, des XSS (Cross Site Scripting). Le dernier « bug » permettait des connexions non autorisées via l’authentification GMail. Vulnérabilité qui affecte les versions 2.5.8 à 3.2.2.

Une correction rapide est conseillée. Data Security Breach a pu constater l’utilisation, par des pirates, d’exploits visant ces failles et les CMS faillibles.

 

Cyber-attaque, Cybersécurité, Fuite de données, Leak, Mise à jour, Patch

Failles pour Internet Explorer et Chrome

Microsoft confronté à une faille dans ses navigateurs 9 et 10. Google en profite pour corriger 29 « bugs » pour Chrome. Les dernières attaques ayant visé des entreprises françaises et étrangères ont mis Microsoft en alerte. Les intrus ont exploité une faille 0Day pour lancer des codes malveillants à partir d’une vulnérabilité visant Internet Explorer 9 et 10. Comme l’indique le CERT FR, la faille permet l’exécution de code arbitraire à distance. Dans l’attente de la publication du correctif, il est recommandé d’appliquer le patch provisoire mis en ligne par Microsoft sur les navigateurs Internet Explorer à jour de leurs derniers correctifs de sécurité. Mission, bloquer la majorité des attaques connues ; de mettre à jour, lorsque cela est possible vers Internet Explorer version 11 (Sous Windows 8, seule la version pro 8.1 accepte IE 11) ; d’installer et de configurer l’outil de sécurité EMET sur les applications sensibles (dont Microsoft Internet Explorer) afin de limiter les risques connus d’exploitation.

Pour Chrome, Google a corrigé 29 possibilités pirates allant de l’exécution de code arbitraire à distance, de déni de service, de contournement de la politique de sécurité ou encore d’atteinte à la confidentialité des données. Bref, des failles très sérieuses qui touchent Google Chrome versions antérieures à 33.0.1750.117.

Mise à jour, Patch

Patch tuesday de février

Le contenu du Patch Tuesday de février, publié mardi dernier ne propose que cinq bulletins d’alertes. Deux des quatre bulletins de février sont classés comme « critiques », les deux autres ayant le statut « importants ». Le bulletin #1 résout directement une faille dans le système d’exploitation Windows et s’applique à la fois aux clients et aux serveurs sous Windows 7, 2008, 8 et RT. Windows XP et Vista ne sont pas concernés. Le bulletin #2 s’intéresse uniquement à l’aspect serveur de Microsoft Forefront Security, un outil anti-spam et anti-malware pour Microsoft Exchange Server.

Les bulletins #3 et #4 corrigent des vulnérabilités locales pour toutes les versions de Windows. Respectivement, une élévation de privilège et une vulnérabilité entraînant une divulgation d’information. Quant au bulletin #5, il résout un déni de service dans Windows 8. En plus de Microsoft, Adobe et Mozilla ont diffusé de nouvelles versions cette semaine.

Adobe a résolu une vulnérabilité Zero-Day dans Adobe Flash avec une mise à jour en mode console (APSB14-04). Cette dernière permet de résoudre une vulnérabilité (CVE-2014-0497) exploitée de manière aveugle. Les versions 12 et 11 de Flash sont touchées à la fois sur Windows et Mac OS X tandis que la version 11 de Flash est affectée sur la plate-forme Linux. Les utilisateurs de Google Chrome et de Microsoft Internet Explorer 10 et 11 ont automatiquement bénéficié de ces mises à jour via leurs navigateurs Web. Quant à ceux qui utilisent d’autres navigateurs tels que Safari sur Mac OS X, Firefox ou des versions antérieures d’IE, ils doivent mettre Flash à jour sur le système d’exploitation lui-même. Adobe remercie Kaspersky d’avoir découvert le problème et publié une analyse technique détaillée sur son blog.

Nous vous invitons à installer cette mise à jour aussi vite que possible. Adobe Flash est massivement installé et utilisé sur la plupart des pages Web pour fournir du contenu actif pour les vidéos et les jeux. Il est difficile de restreindre son utilisation et inutile d’imaginer que les utilisateurs puissent empêcher une attaque intégrée à une page Web bien connue et de confiance.

Mozilla a publié la version 27 de Firefox, un navigateur Web très populaire qui représente environ 23% de parts de marché d’après les statistiques collectées par BrowserCheck, notre outil gratuit de sécurisation des navigateurs Web. Mozilla a corrigé treize vulnérabilités. Cinq d’entre elles étaient considérées comme « critiques », c’est-à-dire qu’un pirate pouvait les utiliser pour prendre le contrôle de la machine ciblée. En règle générale, ce type d’attaque se produit via un site Web contrôlé par le pirate. Le site en question est soit lui-même victime de l’attaquant qui a tendu un piège aux visiteurs lambda du site, soit spécifiquement configuré pour utiliser la technique de l’empoisonnement des moteurs de recherche (SEO) qui attire les internautes sur le site compromis. Le bulletin MFSA2014-08 qui corrige l’une des cinq vulnérabilités dont le statut est critique décrit le modus operandi. Pour exploiter la faille, le pirate doit envoyer des images au navigateur Web avec certaines violations de format pour générer une erreur de traitement et exécuter ainsi le code dans le navigateur. Ce patch a permis de corriger le traitement de l’image au sein de Firefox.

Là encore, si vous utilisez ce navigateur, nous vous recommandons d’installer la toute dernière version de Firefox aussi vite que possible. (Par Qualys)

Drupal, Logiciels, Mise à jour, Patch, Wordpress

Faille dans Drupal et le théme OptimizePress de WordPress

Une vulnérabilité « hautement » critique a été identifiée dans le module OpenID utilisé par Drupal. La faille affecte les versions 6.x et 7.x de cet outil web. La vulnérabilité permet à un internaute malveillant de compromettre des comptes, y compris le compte de l’administrateur (Admin). Une autre faille de sécurité, «bypass acces » a été révélée. Elle est codifée comme étant modérément critique. Un pirate peut cependant accéder à certains contenus. Ces vulnérabilités ont été corrigées dans la dernière version de Drupal 6.30 et 7.26.

Pendant ce temps, du côté de chez WordPress, une vulnérabilité a été reperé dans OptimizePress. Un pirates pourrait s’en servir pour piéger des milliers de sites Web utilisateurs du CMS WordPress. C’est Sucuri qui a mis la main sur le problème. La vulnérabilité en question est cachée dans le code php situé à l’adresse lib/admin/media-upload.php. Un internaute malveillant peut télécharger n’importe quel type de documents dabs le dossier wp-content/uploads/optpress/images_comingsoon ». Autant dire qu’une fausse page, un logiciel malveillant pourraient permettre une attaque, par rebond, via le site ainsi exploité. Sucuri a détecté plus de 2000 sites Web sous OptimizePress. Des espaces qui ont été compromis par un iframe pirate qui téléchargé sur le poste informatique des visiteurs un logiciel espion. Près de 75% des sites infectés ont déjà été mis à l’index par Google. Le moteur de recherche les considérant, dorénavant, comme dangereux. Bref, une mise à jour s’impose.

Cybersécurité, Mise à jour, Patch

Patch Day : Java, Adobe Reader et Flash, Microsoft Word

Un commentaire

Microsoft vient de diffuser son premier Patch Tuesday de l’année. Et même si l’éditeur ne publie que quatre mises à jour, les administrateurs informatiques auront du pain sur la planche avec les nouveaux correctifs publiés par Adobe et Oracle.

En effet, comme le rappel Wolfgang Kandek, CTO de Qualys, Oracle résout 144 vulnérabilités avec sa dernière mise à jour de patchs critiques (CPU) de janvier 2014, soit un nouveau record pour Oracle. La plupart des vulnérabilités se trouvent dans la version de Java 7, sachant que Java v6 est déjà en fin de vie. La mise à jour 51 de la version de Java 7 fournit 34 correctifs pour des vulnérabilités exploitables à distance. La note « 10 », soit la plus élevée sur l’échelle du système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System), est attribuée aux plus critiques d’entre elles.

En 2013, Java fut l’un des logiciels les plus attaqués et cela va continuer en raison d’une politique de mise à jour pas assez énergique. L’installation d’un logiciel malveillant sur la page d’accueil du site Yahoo via des publicités par des pirates qui ont profité d’une vulnérabilité Java sur des PC d’utilisateurs affectés a d’ailleurs récemment fait La Une. Commencez par résoudre cette vulnérabilité et si vous rencontrez de la résistance pour mettre à jour Java, demandez-vous pourquoi ces machines ne peuvent pas exécuter cette toute dernière version de Java.

Adobe diffuse deux mises à jour qui sont toutes les deux critiques car elles concernent l’exécution de codes à distance et une prise de contrôle total du système ciblé. APSB14-01 est une mise à jour pour Adobe Acrobat et Reader avec un vecteur d’attaque sous la forme d’un fichier PDF. Quant à la mise à jour APSB14-02 pour Adobe Flash, elle traite les vecteurs d’attaque typiques sur des pages Web et des documents malveillants via des objets Flash intégrés. Ces deux packages Adobe devraient figurer en tête de liste de vos mises à jour. Les utilisateurs de Google Chrome et d’Internet Explorer 10 et 11 n’ont pas à se préoccuper de la mise à jour de Flash. En effet, cette dernière sera installée via les mécanismes de mise à jour automatique de ces navigateurs.

Microsoft publie quatre bulletins qui sont tous classés comme « Importants » en termes de sévérité.MS14-001 résout une vulnérabilité dans le format de fichier Microsoft Word qui peut être exploitée pour exécuter des codes à distance sur le système affecté lors de l’ouverture d’un fichier malveillant. Il s’agit de la vulnérabilité la plus importante à résoudre. Elle concerne toutes les versions de Microsoft Word sous Windows 2003, 2007, 2010 et 2013, ainsi que les visionneuses de documents Word. Les utilisateurs de Mac OS X ne sont pas concernés.MS14-002 est un patch pour la vulnérabilité Zero Day signalée le mois dernier et présente dans Windows XP et 2003. S’agissant d’une escalade locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine en tant qu’utilisateur standard et qui a besoin d’obtenir des droits administratifs.Microsoft a reconnu son existence pour la première fois le 27 novembre 2013 dans l’avis de sécurité KB2914486. L’éditeur a expliqué que cette vulnérabilité était utilisée pour un petit nombre d’attaques ciblées qui exploitent une vulnérabilité corrigée dans Adobe Reader (APSB13-15 depuis mai 2013) comme moyen de transmission. Les autres bulletins, à savoir MS14-003 et MS14-004, traitent une vulnérabilité au sein du noyau Windows ainsi qu’un état de Déni de Service dans le progiciel d’ERP Microsoft Dynamics AX.

En résumé, voici notre liste de priorités pour ce mois-ci : Java, Adobe Reader et Flash, Microsoft Word ainsi que la vulnérabilité Zero-Day.

À propos, d’autres vulnérabilités traitées dans la version CPU d’Oracle vous concernent si vous utilisez les logiciels Oracle suivants :

  • MySQL contient 18 vulnérabilités, dont trois exploitables à distance et auxquelles a été attribuée la note CVSS maximum de « 10 ».
  • Solaris fait l’objet de 11 correctifs, dont un lié à une attaque à distance. La note CVSS maximum est de « 7,2. »
  • Les solutions logicielles Oracle Virtualization, dont la célèbre VirtualBox, contiennent neuf vulnérabilités, dont quatre exploitables à distance et avec une note CVSS maximum de « 6,2 ».

  • Quant au SGBDR Oracle lui–même, il contient cinq vulnérabilités, dont une exploitable à distance. »

Arnaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Fausses clés de licence ADOBE

Un pirate exploite la base de données piratée à ADOBE pour inciter les clients à télécharger une fausse licence, mais virus. Il fallait un peu s’en douter. Diffuser la base de données volées à ADOBE, BDD comprenant des millions d’emails, ne pouvait qu’attirer les pirates et autres escrocs. Le dernier en date, son courriel a été detecté fin décembre, incite les clients ADOBE à télécharger une nouvelle clé d’activation pour leurs logiciels (Photoshop, Premiére, …) Bien entendu, la pseudo nouvelle clé n’est rien d’autre qu’un code malveillant, un logiciel espion.

Pour rappel, le 3 octobre dernier, Adobe a détecté sur son réseau des attaques informatiques (d’idiotes injections SQL) portant sur l’accès illégal à une base de données de sauvegarde contenant des identifiants Adobe et des mots de passe cryptés, ainsi que sur la suppression de cette base. « Nous vous informons que votre identifiant Adobe figurait dans cette base mais pas votre mot de passe actuel.  Par conséquent, nous n’avons pas réinitialisé votre mot de passe » explique dans son courriel de décembre, l’entreprise américaine.  La base de données piratée provenait d’un système de sauvegarde qui contenait de nombreuses entrées obsolètes et était destiné à être mis hors service. Le système Adobe d’authentification des enregistrements, qui pratique le hachage et le salage des mots de passe des clients, n’était pas la source de la base de données volée. Adobe conseille à ses clients de changer leurs mots de passe, sur les autres sites, dans le cas ou l’internaute aurait utilisé le même que chez ADOBE.

 

Cyber-attaque, Logiciels, Mise à jour, Patch

IP Board Forums attaqué par un exploit

Un exploit Kit du nom de DotkaChe s’attaque à l’outil web IP Board Forums. Un kit pirate, baptisé exploit kit DotkaChef, ou encore DotCache, DotCacheF, a été découvert, fin décembre. Il cible les sites Internet qui exploitent IP Board Forums. L’attaque a été découverte par Chris Wakelin de la société Kahu sécurité. Les cybercriminels auraient exploité une vieille faille PHP (CVE-2012-5692) affectant IPB 3.3.4 et anciennes versions. Une fois le site compromis, DotKaChef est téléchargé sur le site Internet de la victime dans un dossier au nom aléatoire. Vous pouvez trouver les détails techniques sur le site de Kabu Sécurity.

Apache, Cybersécurité, Fuite de données, Paiement en ligne, Patch, Sauvegarde

Malware pour les serveurs IIS

Un code malveillant capable de subtiliser mots de passe et informations bancaires via des serveurs IIS infiltrés. La société Trustwave, spécialiste en sécurité informatique, a lancé une alerte, mi décembre, concernant une découverte assez troublante. Une nouvelle attaque sournoise, via un malware, vise les serveurs IIS.

Baptisé ISN, le « machin » vise les machines Microsoft IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit. Le code malveillant, une fois installé, intercepte les requêtes POST http qu’il sauvegarde dans un fichier que le pirate peut consulter, à distance. Autant dire que les informations collectées peuvent faire de gros dégâts.

Comme le rappel Developpez, le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair. Au moment de l’alerte, seulement 9 antivirus sur 49 avaient detecté l’outil pirate qui installait ISN. Fin décembre, 31 sur 49.

Cybersécurité, Emploi, Mise à jour, Patch

QUOTIUM et l’ESIEA annoncent un partenariat dans le développement sécurisé

L’éditeur de logiciel QUOTIUM (Euronext QTE) a révolutionné la façon dont les applications sont sécurisées. Pionnière de la technologie IAST « Interactive Application Security Testing », sa solution de sécurité SEEKER, permet d’analyser le code applicatif pendant l’exécution d’une attaque malveillante et les conséquences de celle-ci sur les flux de données utilisateur. La technologie de Seeker est unique car elle permet d’avoir une vision réelle de l’état de sécurité d’une application et de ses risques métiers. Pour chaque faille de sécurité détectée, Seeker propose un correctif à appliquer sur les lignes de codes vulnérables accompagné d’une explication technique détaillée incluant la vidéo de l’attaque sur l’application testée.

Créée il y a 55 ans, l’ESIEA est une grande école d’ingénieurs en sciences et technologies du numérique qui délivre un diplôme habilité par la Commission des Titres d’Ingénieur (CTI) et propose deux Mastères Spécialisés en sécurité informatique (Bac +6) sur ses campus de Paris et Laval.

Parmi ses cursus, l’ESIEA propose un Mastère International « Network and Information Security (N&IS) » qui profite directement du résultat des travaux de l’un des 4 laboratoires de l’école. Ce laboratoire de cryptologie et virologies opérationnelles (CVO²) effectue des recherches fondamentales sous tutelle du Ministère français de la Défense dans les domaines des cyber-attaques, de la sécurité des systèmes et de l’information et des architectures de sécurité réseau.

Dans ce contexte, afin de former les étudiants aux problématiques de développement sécurisé, l’ESIEA s’est rapprochée de la société QUOTIUM pour initier un partenariat stratégique autour de leur technologie phare, le logiciel SEEKER spécialisé dans l’analyse de vulnérabilités des applications web. Concrètement, les étudiants du mastère spécialisé N&IS de l’ESIEA exploiteront une plateforme SEEKER réseau dédiée, dans le cadre de la formation au développement sécurisé et aux techniques d’audit. Il est envisagé à terme d’organiser une certification de nos étudiants vis-à-vis de la technologie SEEKER. Cette plateforme sera aussi utilisée dans le cadre des travaux de R&D du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA, avec une première utilisation dans le cadre du projet DAVFI.

Le choix de QUOTIUM par l’ESIEA s’explique notamment par la qualité technique de la solution SEEKER et sa facilité d’intégration dans les processus de développement.

Cyber-attaque, Cybersécurité, Mise à jour, Patch

Une étude révèle l’augmentation fulgurante des attaques via Java sur les 12 derniers mois

Le nombre d’attaques exploitant des failles Java entre septembre 2012 et août 2013 a atteint 14,1 millions, un chiffre supérieur d’un tiers à celui observé au cours de la même période en 2011-2012, selon l’étude Kaspersky Lab Java under attack – the evolution of exploits in 2012-2013. 1 210 000 sources d’attaques distinctes ont été identifiées dans 95 pays.

Les « Exploits » sont des programmes malveillants conçus pour tirer parti des vulnérabilités des logiciels légitimes et pénétrer dans les ordinateurs des utilisateurs. Leur nature furtive les rend d’autant plus dangereuses. Lorsqu’un ordinateur utilise des versions vulnérables de logiciels, il suffit de visite une page Web infectée ou d’ouvrir un fichier contenant du code malveillant pour déclencher l’infection. Les cibles les plus fréquemment attaquées sont Oracle Java, Adobe Flash Player et Adobe Reader. L’étude de Kaspersky Lab indique, l’an passé, Java est devenu la cible privilégiée des cybercriminels.

L’étude s’appuie sur des données recueillies auprès d’utilisateurs de produits Kaspersky à travers le monde ayant accepté de fournir des informations au réseau Kaspersky Security Network. Parmi les 14,1 millions d’attaques détectées qui exploitent des failles Java, la plupart d’entre elles l’ont été au cours des six derniers mois de la période étudiée, soit plus de 8,54 millions d’attaques entre mars et août 2013, un chiffre en hausse de 52,7% par rapport au semestre précédent.

Pour les particuliers, l’installation des dernières mises à jour des logiciels constitue rarement une priorité, ce qui fait le jeu des cybercriminels. Selon l’étude, la majorité des utilisateurs continuent de travailler avec une version vulnérable de Java pendant six semaines après la diffusion d’une mise à jour. Environ 50% de l’ensemble des attaques ont exploité au maximum six familles de vulnérabilités Java.

Environ 80% des utilisateurs attaqués se trouvent dans 10 pays, au premier rang desquels arrivent les Etats-Unis, la Russie et l’Allemagne. En l’espace de 12 mois, les produits de Kaspersky Lab ont protégé plus de 3,75 millions d’utilisateurs dans le monde contre des attaques Java. Le Canada, les Etats-Unis, l’Allemagne et le Brésil ont connu les plus fortes progressions du nombre d’attaques. En un an, chaque utilisateur a été confronté en moyenne à 3,72 attaques. Cette moyenne est passée de 3,29, entre septembre 2012 et février 2013, à 4,15 entre mars et août 2013, soit une augmentation de 26,1%.

Le nombre élevé d’attaques exploitant des failles Java n’est guère surprenant : au cours des 12 mois sur lesquels a porté l’étude de Kaspersky Lab, 161 vulnérabilités de ce type ont été identifiées. En comparaison, de septembre 2011 à août 2012, ce sont 51 d’entre elles qui avaient été rendues publiques. Six des nouvelles failles repérées ont été qualifiées de critiques, c’est-à-dire très dangereuses. Or ces six vulnérabilités ont été les plus activement utilisées dans les attaques lancées par des cybercriminels.

« Java est victime de son succès », commente à DataSecurityBreach.fr Vyacheslav Zakorzhevsky, chef du groupe d’étude des vulnérabilités chez Kaspersky Lab. « Les cybercriminels savent qu’ils ont tout intérêt à concentrer leurs efforts sur la recherche d’une faille dans Java afin de pouvoir s’attaquer à des millions d’ordinateurs simultanément, plutôt que d’exploiter des vulnérabilités dans des logiciels moins répandus, ne leur permettant d’infecter qu’un nombre restreint de machines. »

Nous vous indiquions, il y a peu, comment de fausses alertes java étaient diffusées, sur Internet. Une méthode radicale pour piéger les internautes.