avril, 2013

Microsoft émet à nouveau son alerte 13- 036 accompagnée d’un correctif colmatant une inconsistance dans le noyau de Windows et pouvant donner accès à une élévation de privilège. Une première alerte avait fait l’objet d’une annonce dans la Kbase sous la référence KB2823324, et se voit, pour l’occasion, réémise sous l’immatriculation KB2840149. La criticité serait, estime l’éditeur, très variable selon la génération de noyau utilisée, les systèmes de la génération Windows XP/2003 Server étant les plus exposés.

Quelques jours après un correctif massif, et selon une annonce d’Adam Gowdiak sur la liste F.D., les plugins JRE, le JDK et le serveur JRE seraient frappés d’inconsistances situées dans l’API Reflexion. Pas de détail technique, mais l’assurance qu’une preuve de faisabilité a été communiquée à l’éditeur.

Un « insider » travaillant pour l’agence Reuters est accusé d’avoir facilité une attaque informatique visant le journal L.A. Times dévoile l’Associated Press. Journalisme militant ou hacktivisme ?

Pour les fans de Darren Kitchen et de Shannon Morse : l’équipe de Hack5 a consacré son émission 1408 à la découverte de Kali Linux, le successeur de Backtrack, la suite tests de pénétration en « live CD »

CA Technologies confirmait, à l’occasion de sa grand-messe CA-World, l’acquisition de Layer7, entreprise spécialisée dans la gestion, le suivi, le déploiement et la sécurisation des API. Les interfaces de programmation (boîtes à outils qui servent généralement à expédier des requêtes vers des programmes de traitement ou bases de données) sont souvent le seul moyen d’accéder à des « boîtes noires » logicielles très propriétaires. C’est la partie publique d’une application qui évite à l’éditeur d’avoir à rendre publique tout ou partie de son application. Ainsi les API « Mapi » de Microsoft qui donnent accès aux bases de messagerie Exchange.
Mais tout le monde ne s’appelle pas Microsoft et ne possède pas les effectifs et les moyens d’entretenir et suivre la vie de ses propres API. Un aspect sécurité que ne peuvent ignorer les auteurs d’applications métier qui font force usage d’API pour pouvoir se connecter aux logiciels génériques : SGBD, outils financiers, moteurs de traitement d’information Internet etc. C’est à ce stade qu’intervient Layer7.
On notera qu’une semaine avant l’annonce de CA Technologies, Intel avait annoncé son intention d’acquérir Mashery, également acteur connu sur le marché de la gestion des API.

Encore quelques milliers de victimes frappées par un malencontreux mécanisme de détection par signature : Malwarebyte, éditeur d’antivirus, a diffusé une mise à jour (immatriculée v2013.04.15.12) prenant des portions de code Windows pour un virus Trojan-Downloader-ED. Les systèmes ainsi « protégés » sont soit devenus instables, soit sont incapables de démarrer. Les plates excuses de l’éditeur ainsi que les méthodes de réparation sont à lire sur le site de l’éditeur. Malwarebyte, qui tient un rôle relativement important dans le secteur de l’antivirus gratuit, venait à peine d’amorcer une campagne de commercialisation de sa gamme d’outils destinés aux professionnels et aux entreprises.

L’agence Reuters rapporte la condamnation à un an de prison, de Cody Andrew Kretsinger, 25 ans, citoyen US habitant dans l’Illinois. Kretsinger, membre du groupe de crackers Lulzsec, avait plaidé coupable dans le procès du hack du réseau de Sony Picture Entertainement en 2011 et la diffusion d’informations internes (un millions de comptes utilisateurs) sur le réseau public, notamment via Pastebin. Rappelons que le hack avait exploité une faille SQL connue, et qu’il est difficile de déterminer, sur les 600 000 $ de dommages déplorés par la partie adverse, la part liée à la négligence des équipes de sécurité de Sony.

Kretsinger aurait été arrêté, explique la dépêche Reuters, grâce à la dénonciation d’un autre membre de Lulzsec, Hector Xavier Monsegur alias Sabu, qui risque 124 ans de privation de liberté selon la loi des Etats-Unis. Un comparse de l’équipe, Raynaldo Rivera, alias « neurone », est en attente de jugement, tandis qu’en Grande Bretagne, un cracker répondant au surnom de « kayla » vient également de plaider coupable dans la double affaire du hack Sony-Nintendo. Aucun de ces « dangereux cyberterroristes » n’avait plus de 24 ans au moment des faits

La police Japonaise demande aux ISP Nippons de bloquer le trafic Tor, nous apprend Parity News. Prétexte invoqué : l’usage de l’Onion Router par des truands… bien entendu.

Le nombre de téléchargements d’applications infectées par Badnews oscillerait entre 2 et 9 millions (sic), et il aura fallu un certain temps, sinon un temps certain, avant que Google décide de bloquer la diffusion de ces appliquettes dangereuses. Une lenteur de réaction peut-être, explique Mark Rodgers du blog Lookout, en raison du fait que Badnews restait discret et inactif durant une période assez longue avant de frapper.

Déguisé en application publicitaire, ce malware était en fait un Bot capable à son tour de récupérer d’autres « charges utiles », et notamment un automate d’appel vers des numéros surtaxés. Pour échapper aux risques d’un filtrage sélectif, Badnews a su se faire diffuser caché dans une multitude de logiciels différents : jeux, fonds d’écran, recettes de cuisine, utilitaire de gestion de téléphone, canal d’information en continu, fil de « citations célèbres », appliquette « rose » et autres inutilités. Comment les développeurs de ces applications ont pu, à l’insu de leur plein gré, intégrer un tel virus sans se douter du moindre risque ? Difficile de savoir. Rogers pense que chacun d’entre eux croyait ajouter un module d’application de diffusion publicitaire rémunéré. La collecte des informations et le pilotage des appareils zombifiés étaient assurés par trois centres de commande, l’un en Russie, l’autre en Ukraine, le troisième en Allemagne. Ces trois C&C seraient d’ailleurs toujours en service.

La chasse aux vulnérabilités affectant les routeurs grand-public et SMB est le sport favori de tout chercheur sécurité en quête d’une invitation pour une conférence sécurité. ISE, consultant US situé à Baltimore, a fait les choses en grand en se lançant dans une grande campagne de fuzzing visant plus d’une douzaine d’équipements d’entrée de gamme (Linksys, Belkin, Netgear, Verizon, Dlink etc.). Malgré une annonce présentée sur un ton relativement fracassant, il faut reconnaître que les risques de pénétration à distance sans authentification préalable sont assez faibles. En revanche, une fois un usager logué, il peut se livrer à quelques beaux exploits « for fun and profit », cela va sans dire. 28 CVE ont ainsi été constatés exploitables : Beaucoup de CRSS et XSS, plusieurs de ces attaques étant accompagnées d’un PoC publié par ISE pour au moins 8 des modèles cités.