Archives par mot-clé : mise à jour

Adobe, Cybersécurité, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Vie privée, Wordpress

Analyse Patch Tuesday de Mai 2015

Le Patch Tuesday de mai 2015 est plutôt consistant. En effet, Microsoft a publié 13 bulletins pour mai, ce qui porte à 53 le nombre de bulletins depuis le début de l’année, un nombre un peu supérieur à celui constaté ces cinq dernières années, 2015 était peut-être même l’année la plus active à ce jour en la matière. Notre suivi interne du nombre de vulnérabilités indique que plus de 140 bulletins ont été publiés depuis le début de l’année, également un autre nouveau record :

Nombre de bulletins Microsoft par an

Le principal patch du mois est MS15-043 pour Internet Explorer (IE). Il résout 22 vulnérabilités et expositions courantes (CVE) dont 14 classées comme critiques. Les CVE présentes dans IE permettent d’exécuter du code à distance (RCE) sur la machine ciblée en dirigeant la proie vers une page Web malveillante. Pour ce faire, l’attaquant dispose de tout un éventail de techniques dans leur son arsenal.

Il peut notamment :

  • Attaquer des logiciels couramment utilisés pour les blogs et les forums pour prendre le contrôle du site Web puis y insérer des liens vers des pages malveillantes. La campagne SoakSoak constitue un bon exemple de ces pratiques. De récentes vulnérabilités de cette classe ont été découvertes dans le moteur d’e-commerce Magento ainsi que dans le CMS WordPress.

  • Exploiter les services de fournisseurs de publicités en ligne pour insérer des liens malveillants qui seront automatiquement inclus dans des sites Web de confiance utilisant les services de ces fournisseurs, comme cela s’est encore produit récemment avec MadAdsMedia.

  • Utiliser l’empoisonnement des moteurs de recherche, une technique dérivée de l’optimisation pour les moteurs de recherche (SEO) pour attirer le trafic vers des sites spécifiques hébergeant ce contenu malveillant. Tous les sujets d’actualité sont bons : bébés royaux, accidents, événements sportifs récents, streaming gratuit, etc.

Les pirates ont à leur disposition de nombreux exploits destinés à tout un éventail de vulnérabilités et qu’ils adaptent à la machine ciblée. On peut avancer sans se tromper que leurs vecteurs d’attaque préférés sont notamment Internet Explorer, les vulnérabilités Windows natives et Adobe Flash, vecteurs pour lesquels sont diffusées des mises à jour mensuelles car plus de 20 vulnérabilités et expositions courantes affectent ces derniers chaque mois. Préparez-vous à installer ces mises à jour aussi rapidement que possible. Mais dans quel délai ? Le tout dernier rapport d’enquête sur les failles de données (VDBIR) publié par Verizon en avril 2015 indique que 50% des vulnérabilités récemment exploitées qu’ils ont identifiées l’ont été dans un délai de deux semaines.

Mais toutes ne sont pas exploitées. En fait, en 2014, seulement 5% de l’ensemble des vulnérabilités de type RCE au sein des logiciels Microsoft (voir leur présentation à RSA 2015) sont en fin de compte devenus des exploits fonctionnels :

La difficulté est de prédire quels sont ces 5%. Il est important de s’intéresser au passé pour voir ce qui a été attaqué et quelles vulnérabilités sont concernées par les packs d’exploits afin de se préparer en conséquence. US-CERT vient de publier une recommandation de 30 CVE fréquemment attaqués selon eux tandis que le BSI, l’Office fédéral allemand de la sécurité des technologies de l’information, agite aussi une liste des CVE à rechercher. Pour faire court, Windows, Internet Explorer, Adobe Flash, Java et Office figurent tout en haut de leur liste.

Mais revenons à notre Patch Tuesday si vous le voulez bien. Notre deuxième priorité est le bulletin MS15-044 qui résout deux vulnérabilités critiques au sein de polices de la bibliothèque GDI+ et qui affectent de nombreux produits Microsoft. Les pirates peuvent utiliser des pages Web ou des documents contenant des polices malveillantes pour exécuter du code à distance. Le déploiement de cette mise à jour de sécurité MS15-044 est hautement prioritaire.

Le bulletin MS15-046 est seulement classé comme important par Microsoft, mais il résout des vulnérabilités de format de fichier RCE à la fois dans Word et Excel que des pirates pourraient exploiter pour prendre le contrôle des machines de vos utilisateurs. Ces deux vulnérabilités ont pour vecteur d’attaque des documents attachés à un email envoyé au compte de messagerie de vos utilisateurs dans l’espoir que ces derniers ouvrent les pièces jointes. Et environ 10% des cibles les ouvrent selon des données de l’APWG (http://www.antiphishing.org) fournies dans le rapport VDBIR de Verizon.

À propos de vulnérabilités au sein de formats de fichiers entraînant une exécution RCE, Adobe diffuse également un patch ce mois-ci. Ce dernier résout des problèmes critiques dans Adobe Flash et Adobe Reader/Acrobat via les bulletins de sécurité APSB15-09 et APSB15-10. Pour Adobe Reader, le vecteur d’attaque est semblable au scénario Office décrit plus haut, à savoir qu’un pirate doit inciter un utilisateur à ouvrir un document PDF joint formaté de manière à exécuter l’exploit. Une fois installés sur la machine, les attaquants exploiteront ensuite une deuxième vulnérabilité pour obtenir des privilèges d’administration système, par exemple une vulnérabilité au niveau du noyau que Microsoft résout dans ses bulletins MS15-051 et MS15-052. Intégrez les deux bulletins à votre programme de patch critique.

Les autres bulletins de sécurité critiques concernent Journal Windows avec six vulnérabilités. Deux des vulnérabilités sont publiquement connues sans être pour autant exploitées. Corrigez rapidement et envisagez de désactiver l’application de prise de notes Journal Windows. Ne connaissant personne qui utilise cette application, je recommande donc de suivre la solution de contournement décrite dans l’avis de sécurité et de neutraliser la description du fichier « .jnl » pour contrer cette attaque et les prochaines à venir contre ce logiciel.

C’en est fini des bulletins de sécurité critiques pour mai. Les autres avis de sécurité concernent un certain nombre d’autres produits Microsoft parmi lesquels le logiciel serveur Sharepoint qui profite d’un patch pour une vulnérabilité de type RCE potentiel dans MS15-047.

Corrigez rapidement, d’ici deux semaines si vous le pouvez. (Par wkandek)

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Fin du support pour Windows Server 2003 : il faut agir d’urgence

3 commentaires

La fin est imminente: le support de Windows Server 2003 par Microsoft se terminera mi-2015. Par conséquent, les entreprises ne disposent plus que de 286 jours pour migrer vers un nouveau système d’exploitation de serveur et concevoir une infrastructure fiable pour l’avenir. transtec voit à cet égard principalement deux solutions envisageables : le remplacement physique des serveurs et la virtualisation.

À partir du 15 juillet 2015, Microsoft ne mettra plus à disposition de nouvelle mise à jour, ni de patchs de sécurité ou de hotfix, que ce soit pour les éditions de Windows Server 2003, Windows Server 2003 R2 ou pour Microsoft Small Business Server (SBS) 2003. Si une entreprise continue alors à miser sur ces systèmes d’exploitation, le risque de perte de données dues à des Hackers ou des virus est quasiment programmé d’avance.

 » C’est justement dans de nombreuses petites et moyennes entreprises que Windows Server 2003 continue à être utilisé. C’est là qu’il est extrêmement urgent d’agir, ne fût-ce que pour respecter les exigences légales et réglementaires, les directives de conformité et les règles internes de sécurité « , explique Michael Hohl, responsable  » Datacenter Solutions  » de la société transtec.  » Presque 300 jours pour introduire un système d’exploitation actualisé semblent certes représenter beaucoup de temps, mais  même Microsoft part du principe que la durée moyenne d’une migration est supérieure à
200 jours. « 

De manière générale, il y a une chose qu’on ne peut pas perdre de vue, c’est que dans la migration, il ne s’agit pas seulement du remplacement d’un système d’exploitation. Le paysage des applications est au moins tout aussi complexe et problématique, car celles-ci ne sont souvent pas compatibles 64 bits et fréquemment, les éditeurs de logiciels ne proposent plus aucune assistance.

Concrètement, transtec voit pour les entreprises deux solutions possibles pour introduire un système d’exploitation actualisé : l’acquisition de nouveaux matériels ou la mise en oeuvre d’une virtualisation des serveurs. transtec propose des solutions adaptées aux deux variantes: d’une part des serveurs complètement intégrés en tant que solution autonome, se composant du matériel et des logiciels sous licence OEM, et d’autre part des bundles hyper-V préconfigurés.

Selon transtec, un système d’exploitation actuel tel que Windows Server 2012 R2 offre de nombreux avantages auxquels les entreprises ne devraient plus renoncer à l’avenir. transtec cite à cet égard :

– la construction aisée d’un serveur de fichiers scale-out de haute performance et d’une grande fiabilité avec les fonctionnalités natives de Windows.
– la possibilité de réalisation d’une solution étendue Terminal Server l’hyperviseur  » hyper-V  » offrant des fonctionnalités de haut niveau est gratuitement inclus dans le prix de la licence
– l’évolution facile vers un cluster de haute disponibilité.
– la possibilité d’intégrer des machines virtuelles avec des systèmes d’exploitation Linux.
– l’automatisation des travaux de maintenance grâce aux outils intégrés
– l’intégration dans des outils d’administration comme Microsoft System Center.

Sans oublier qu’une entreprise avec un nouveau système d’exploitation est parfaitement préparée pour une mise en oeuvre future de modèles Cloud, par exemple d’un Cloud hybride, avec utilisation d’un Cloud privé dans son propre Datacenter et d’un Cloud public.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Oracle, Patch

Grosses mises à jour Microsoft et Adobe

Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.

Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.

Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.

Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.

Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.

Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.

Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)

Logiciels, Mise à jour, Oracle, Patch

104 vulnérabilités corrigées pour Oracle

Le géant américain de la base de données, Oracle, vient de corriger 104 vulnérabilités dans ses logiciels. La dernière mise à jour de sécurité visant les produits Oracle n’aura pas fait dans la demi-mesure. Pas moins de 104 failles, dont certaines critiques, ont été colmatées pour Java SE, Virtual Box, Oracle Fusion, Oracle iLearning, Oracle Siebel CRM, MySQL… 37 patchs, dont 4 critiques, s’attaquent à des problèmes dans Java SE. MySQL se voit gratifié de la correction de deux vulnérabilités critiques. La version Windows permet à un pirate de compromettre l’ensemble du système attaqué. Il faut cependant que le malveillant soit authentifié. Autant dire que les mises à jour sont obligatoires. Il est bon de rappeler l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille est découverte. « Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement. » indique la CNIL.

Cyber-attaque, Entreprise, Leak, Mise à jour, Patch

Windows XP sera-t-il la nouvelle aire de jeu des cybercriminels à compter du 8 avril 2014 ?

A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…

Qu’elles soient petites, moyennes ou grandes entreprises, issues du secteur bancaire, industriel ou tertiaire, le 8 avril 2014 préoccupe un certain nombre d’organisations car la fin du support de Windows XP n’est pas qu’une simple question de migration vers un nouveau système d’exploitation. D’autres contraintes comme le coût ou bien l’interruption de services liés à cette migration peuvent être des éléments critiques à prendre en compte pour certaines entreprises.

Prenons l’exemple du secteur bancaire. 95% des distributeurs automatiques de billets (DAB) dans le monde reposent actuellement sur des ordinateurs fonctionnant sous Windows XP. Outre la nécessité d’une interruption de services pour réaliser cette migration, ces ordinateurs ne tolèrent en général pas une version plus récente de Windows. Dans ce cas de figure, impossible de migrer sans changer l’ensemble du matériel informatique et engendrer un coût non négligeable pour les entreprises. Idem pour les environnements industriels dits SCADA comportant des applications métiers spécifiques créées depuis des dizaines d’années et difficiles à migrer.

Une des alternatives envisagées par ces entreprises est de ne rien faire. Seront-elles donc plus vulnérables ? N’en soyez pas si certain ! Il est fréquent qu’une organisation n’effectue pas les correctifs disponibles de l’OS pour éviter toute interruption de leurs services.  En effet, pour ces organisations, l’interruption de services n’est pas uniquement liée à la migration vers un nouvel OS mais est également nécessaire pour toute mise à jour de n’importe quel système d’exploitation. Ces entreprises seront donc autant vulnérables qu’aujourd’hui puisque sans ces correctifs, elles ne sont pas protégées des vulnérabilités actuelles. A l’inverse, d’autres entreprises ont l’habitude de mettre à jour automatiquement leur système d’exploitation, dans ce  cas, elles deviendront plus vulnérables qu’aujourd’hui puisqu’elles ne bénéficieront plus de protection actualisées.

Pour ce qui est des DAB, rassurez-vous, ces distributeurs ne sont pas directement connectés à Internet. Donc le seul moyen pour un cybercriminel de les cibler est d’intervenir sur la machine elle-même (comme par exemple : y introduire un cheval de Troie par le biais d’une clé USB qu’il connecterait au distributeur). Une opération très peu probable car risquée pour les cybercriminels.

Vous l’aurez donc compris la clé pour rester sous Windows XP est de ne pas être connecter à Internet. Sans quoi, il est recommandé de migrer vers un autre système d’exploitation car on peut s’attendre à une recrudescence d’attaques ciblant les prochaines vulnérabilités XP visant à extraire des informations sensibles (informations concurrentielles, numéros de cartes de crédit …). – Par Guillaume Lovet, expert en cybercriminalité au sein de l’équipe FortiGuard Labs de Fortinet.

Cybersécurité, Mise à jour, Patch

Patch Day : Java, Adobe Reader et Flash, Microsoft Word

Un commentaire

Microsoft vient de diffuser son premier Patch Tuesday de l’année. Et même si l’éditeur ne publie que quatre mises à jour, les administrateurs informatiques auront du pain sur la planche avec les nouveaux correctifs publiés par Adobe et Oracle.

En effet, comme le rappel Wolfgang Kandek, CTO de Qualys, Oracle résout 144 vulnérabilités avec sa dernière mise à jour de patchs critiques (CPU) de janvier 2014, soit un nouveau record pour Oracle. La plupart des vulnérabilités se trouvent dans la version de Java 7, sachant que Java v6 est déjà en fin de vie. La mise à jour 51 de la version de Java 7 fournit 34 correctifs pour des vulnérabilités exploitables à distance. La note « 10 », soit la plus élevée sur l’échelle du système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System), est attribuée aux plus critiques d’entre elles.

En 2013, Java fut l’un des logiciels les plus attaqués et cela va continuer en raison d’une politique de mise à jour pas assez énergique. L’installation d’un logiciel malveillant sur la page d’accueil du site Yahoo via des publicités par des pirates qui ont profité d’une vulnérabilité Java sur des PC d’utilisateurs affectés a d’ailleurs récemment fait La Une. Commencez par résoudre cette vulnérabilité et si vous rencontrez de la résistance pour mettre à jour Java, demandez-vous pourquoi ces machines ne peuvent pas exécuter cette toute dernière version de Java.

Adobe diffuse deux mises à jour qui sont toutes les deux critiques car elles concernent l’exécution de codes à distance et une prise de contrôle total du système ciblé. APSB14-01 est une mise à jour pour Adobe Acrobat et Reader avec un vecteur d’attaque sous la forme d’un fichier PDF. Quant à la mise à jour APSB14-02 pour Adobe Flash, elle traite les vecteurs d’attaque typiques sur des pages Web et des documents malveillants via des objets Flash intégrés. Ces deux packages Adobe devraient figurer en tête de liste de vos mises à jour. Les utilisateurs de Google Chrome et d’Internet Explorer 10 et 11 n’ont pas à se préoccuper de la mise à jour de Flash. En effet, cette dernière sera installée via les mécanismes de mise à jour automatique de ces navigateurs.

Microsoft publie quatre bulletins qui sont tous classés comme « Importants » en termes de sévérité.MS14-001 résout une vulnérabilité dans le format de fichier Microsoft Word qui peut être exploitée pour exécuter des codes à distance sur le système affecté lors de l’ouverture d’un fichier malveillant. Il s’agit de la vulnérabilité la plus importante à résoudre. Elle concerne toutes les versions de Microsoft Word sous Windows 2003, 2007, 2010 et 2013, ainsi que les visionneuses de documents Word. Les utilisateurs de Mac OS X ne sont pas concernés.MS14-002 est un patch pour la vulnérabilité Zero Day signalée le mois dernier et présente dans Windows XP et 2003. S’agissant d’une escalade locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine en tant qu’utilisateur standard et qui a besoin d’obtenir des droits administratifs.Microsoft a reconnu son existence pour la première fois le 27 novembre 2013 dans l’avis de sécurité KB2914486. L’éditeur a expliqué que cette vulnérabilité était utilisée pour un petit nombre d’attaques ciblées qui exploitent une vulnérabilité corrigée dans Adobe Reader (APSB13-15 depuis mai 2013) comme moyen de transmission. Les autres bulletins, à savoir MS14-003 et MS14-004, traitent une vulnérabilité au sein du noyau Windows ainsi qu’un état de Déni de Service dans le progiciel d’ERP Microsoft Dynamics AX.

En résumé, voici notre liste de priorités pour ce mois-ci : Java, Adobe Reader et Flash, Microsoft Word ainsi que la vulnérabilité Zero-Day.

À propos, d’autres vulnérabilités traitées dans la version CPU d’Oracle vous concernent si vous utilisez les logiciels Oracle suivants :

  • MySQL contient 18 vulnérabilités, dont trois exploitables à distance et auxquelles a été attribuée la note CVSS maximum de « 10 ».
  • Solaris fait l’objet de 11 correctifs, dont un lié à une attaque à distance. La note CVSS maximum est de « 7,2. »
  • Les solutions logicielles Oracle Virtualization, dont la célèbre VirtualBox, contiennent neuf vulnérabilités, dont quatre exploitables à distance et avec une note CVSS maximum de « 6,2 ».

  • Quant au SGBDR Oracle lui–même, il contient cinq vulnérabilités, dont une exploitable à distance. »

Cyber-attaque, Cybersécurité, Mise à jour, Patch

Une étude révèle l’augmentation fulgurante des attaques via Java sur les 12 derniers mois

Le nombre d’attaques exploitant des failles Java entre septembre 2012 et août 2013 a atteint 14,1 millions, un chiffre supérieur d’un tiers à celui observé au cours de la même période en 2011-2012, selon l’étude Kaspersky Lab Java under attack – the evolution of exploits in 2012-2013. 1 210 000 sources d’attaques distinctes ont été identifiées dans 95 pays.

Les « Exploits » sont des programmes malveillants conçus pour tirer parti des vulnérabilités des logiciels légitimes et pénétrer dans les ordinateurs des utilisateurs. Leur nature furtive les rend d’autant plus dangereuses. Lorsqu’un ordinateur utilise des versions vulnérables de logiciels, il suffit de visite une page Web infectée ou d’ouvrir un fichier contenant du code malveillant pour déclencher l’infection. Les cibles les plus fréquemment attaquées sont Oracle Java, Adobe Flash Player et Adobe Reader. L’étude de Kaspersky Lab indique, l’an passé, Java est devenu la cible privilégiée des cybercriminels.

L’étude s’appuie sur des données recueillies auprès d’utilisateurs de produits Kaspersky à travers le monde ayant accepté de fournir des informations au réseau Kaspersky Security Network. Parmi les 14,1 millions d’attaques détectées qui exploitent des failles Java, la plupart d’entre elles l’ont été au cours des six derniers mois de la période étudiée, soit plus de 8,54 millions d’attaques entre mars et août 2013, un chiffre en hausse de 52,7% par rapport au semestre précédent.

Pour les particuliers, l’installation des dernières mises à jour des logiciels constitue rarement une priorité, ce qui fait le jeu des cybercriminels. Selon l’étude, la majorité des utilisateurs continuent de travailler avec une version vulnérable de Java pendant six semaines après la diffusion d’une mise à jour. Environ 50% de l’ensemble des attaques ont exploité au maximum six familles de vulnérabilités Java.

Environ 80% des utilisateurs attaqués se trouvent dans 10 pays, au premier rang desquels arrivent les Etats-Unis, la Russie et l’Allemagne. En l’espace de 12 mois, les produits de Kaspersky Lab ont protégé plus de 3,75 millions d’utilisateurs dans le monde contre des attaques Java. Le Canada, les Etats-Unis, l’Allemagne et le Brésil ont connu les plus fortes progressions du nombre d’attaques. En un an, chaque utilisateur a été confronté en moyenne à 3,72 attaques. Cette moyenne est passée de 3,29, entre septembre 2012 et février 2013, à 4,15 entre mars et août 2013, soit une augmentation de 26,1%.

Le nombre élevé d’attaques exploitant des failles Java n’est guère surprenant : au cours des 12 mois sur lesquels a porté l’étude de Kaspersky Lab, 161 vulnérabilités de ce type ont été identifiées. En comparaison, de septembre 2011 à août 2012, ce sont 51 d’entre elles qui avaient été rendues publiques. Six des nouvelles failles repérées ont été qualifiées de critiques, c’est-à-dire très dangereuses. Or ces six vulnérabilités ont été les plus activement utilisées dans les attaques lancées par des cybercriminels.

« Java est victime de son succès », commente à DataSecurityBreach.fr Vyacheslav Zakorzhevsky, chef du groupe d’étude des vulnérabilités chez Kaspersky Lab. « Les cybercriminels savent qu’ils ont tout intérêt à concentrer leurs efforts sur la recherche d’une faille dans Java afin de pouvoir s’attaquer à des millions d’ordinateurs simultanément, plutôt que d’exploiter des vulnérabilités dans des logiciels moins répandus, ne leur permettant d’infecter qu’un nombre restreint de machines. »

Nous vous indiquions, il y a peu, comment de fausses alertes java étaient diffusées, sur Internet. Une méthode radicale pour piéger les internautes.

Logiciels, Mise à jour, Patch

Pensez à vos mises à jour

Mardi 17 septembre, une nouvelle vulnérabilité zero-day affectant toutes les versions d’Internet Explorer a été annoncée par Microsoft. Cette vulnérabilité peut corrompre la mémoire de manière à permettre aux attaquants d’exécuter des codes arbitraires. L’attaque fonctionne en attirant des utilisateurs vers des sites conçus pour l’occasion et qui abrite cette vulnérabilité dirigée contre Internet Explorer. Jusqu’à présent, cette vulnérabilité a été utilisée dans un nombre limité d’attaques ciblées. Microsoft a pris connaissance de cette vulnérabilité et a posté une alerte sur le sujet. L’éditeur n’a pas encore distribué de patch, mais a fourni une solution  temporaire – cf. “Fix It” – qui devrait servir jusqu’à ce qu’une mise à jour en matière de sécurité soit disponible. (Symantec)