Alerte sur un ver Solaris d’origine française

Le 11 février dernier, le SANS Institute annonçait la découverte d’une vulnérabilité dans le démon « telnetd » sur Solaris 10 et 11. Elle fait référence à l’identifiant CVE-2007-0882.

Cette vulnérabilité permet à un attaquant distant de se connecter sans mot de passe sur les plates-formes Solaris vulnérables. Même si la connexion directe sous le compte "root" est interdite (c'est le cas par défaut), un attaquant utilisant cette vulnérabilité pourrait, selon les spécialistes, prendre le contrôle total de la plate-forme vulnérable.

La méthode d'exploitation étant triviale et largement discutée dans des listes de diffusion publiques, le CERT-IST a émis une alerte dans les jours qui suivirent.

Aujourd'hui, un ver Solaris semble en cours de mise au point. L’alerte a été donnée hier par Arbor Networks après qu’ils aient constaté un trafic anormal sur le port 23.

 

Un whois sur ces 2 adresses IP nous indique une origine française. Raison de plus d’être attentif et d’appliquer les patchs mis à disposition par Sun.

La mort d'Internet avant 10 ans ? La résurrection ensuite !

J’ai été surpris, il y a 8 jours de cela, lorsque j’ai lu les déclarations de Vinton Cerf après sa participation à un débat lors du dernier forum économique à Davos.
Il a été fréquemment cité (ici ou là) pour avoir annoncé qu’entre 100 et 150 millions de machines connectées à INTERNET étaient aujourd’hui infectées par un programme malveillant de type robot ; un programme permettant une prise de contrôle à distance de machines vulnérables afin de former divers réseaux d’attaques et ainsi  faciliter des activités de chantage, d’extorsion, de détournements financiers, etc.

Ce n’est pas le chiffre par lui-même qui m’a étonné, je pense qu’il est exact, mais c’est le fait que Vinton Cerf, ou les journalistes qui l’on repris, aient indiqué que ce chiffre équivalait à ¼ des machines connectées. Je m'en suis expliqué sur le blog de McAfee; je pense qu’il s’agit simplement d’un 10ème. C’est beaucoup, j’en conviens, mais cela minimise l’aspect catastrophique lié à l’annonce. 10%, c’est d’ailleurs le chiffre annoncé sur le blog du Forum Economique lui-même.

Aujourd’hui, cette annonce est reprise et complétée par une prédiction : Vinton Cerf annonce la mort d’Internet dans 10 ans.

Je ne partage pas cet avis. Je crois qu’Internet va évoluer et sera simplement différent. Les internautes utiliseront des outils de navigation mieux sécurisés qu’aujourd’hui.
Pour le moment, c’est l’internaute qui s’occupe de la sécurité de son poste (ou qui ne s’en occupe pas…).
Demain la sécurité se fera de manière plus transparente pour l’utilisateur. Sa sécurité sera prise en charge en amont de son ordinateur personnel. Cela posera sans doute d’autres problèmes en terme d’indépendance et de liberté, mais c’est un autre débat.
Les attaques sont de plus en plus sophistiquées. Certains individus peuvent avoir la tentation de vouloir déstabiliser un état en s’attaquant à Internet. Le réseau pourrait ainsi, et à un instant donné, être fortement perturbé en terme de disponibilité. Mais, même si ce type d’attaque existe – et nous en avons encore eu la preuve hier suite à une attaque en provenance de Corée du Sud - les orientations en matière de cybercriminalité vont plutôt dans le sens d’actions discrètes et ciblées et non pas dans le sens d’actions d’éclat et de blocage.

Les attaques se complexifient et se professionnalisent, mais les sociétés de sécurité mettent elles aussi en place de nouvelles parades et ont de nouveaux moyens plus rapides et plus efficaces qu’hier. Il y a eu de fortes avancées en matière de technologie ces dernières années. Les équipes également se renforcent. Je suis l’un des membres fondateurs du groupe de recherche pour McAfee. En 1995, nous n’étions qu’une dizaine disséminée aux 4 coins du globe, aujourd’hui nous sommes plus de 80, et ce constat est valable pour tous nos concurrents.
C’est l’éternel jeu du chat et de la souris. Ici la souris cours de plus en plus vite, mais le chat aussi. D’ailleurs, ces temps ci, le chat rattrape parfois la souris.

Nous pourrions aussi parler de menaces cyber-terroristes. Selon le code pénal français, les actes de terrorisme ont pour but de troubler gravement l’ordre public par l’intimidation ou la terreur. « Faire tomber Internet » n’est pas de l’ordre de la terreur mais de celui de la déstabilisation. Les cyber-terroristes préfèrent utiliser Internet comme moyen de liaison, moyen de propagande, moyen de financement, renseignement d’opération et présélection de cibles. Là aussi, restons zen !

Vinton Cerf annonce la mort d’Internet dans 10 ans ; il indique parallèlement que 99% des applications liées à la toile n'ont pas encore été inventées... A croire qu’il croit – après sa mort - à la résurrection d’Internet.

Difficile début d’année pour la suite Office

Le 3 février dernier, le Sans Internet Storm Center a mis à jour son tableau relatif aux vulnérabilités Microsoft non patchées.

Cette mise à jour m’a donné l’idée de reprendre pour vous l’ensemble des attaques « 0-day » ciblant la suite Office ou certains de ses composants. En effet, elles se sont multipliées depuis un an. Il ne s’agit pas ici de preuve par l’exemple ou de simple exploit. On parle d’attaque « 0-day » lorsqu’une vulnérabilité non encore corrigée a été rencontrée dans la nature (« in-the-wild ») et a donc été utilisée à des fins clairement malveillantes.

Voici, dans le tableau ci-dessous, un résumé de la situation pour les failles qui sont, à ce jour et selon mes informations, utilisées comme moyen d’attaque.

Intitulé	Date	CVE	PATCH
Vulnerability in Microsoft Office Could Allow Remote Code Execution	02-FEB-2007	CVE-2007-0671	Non
Microsoft Word 2000 Unspecified Code Execution Vulnerability	17-JAN-2007	CVE-2007-0515	Non
Microsoft Word Document Handling Memory Corruption and Code Execution Vulnerability	12-DEC-2006	CVE-2006-6561	Non
Microsoft Word Unspecified Code Execution Vulnerability	10-DEC-2006	CVE-2006-6456	Non
Vulnerability in Microsoft Word Could Allow Remote Code Execution	05-DEC-2006	CVE-2006-5994	Non
Microsoft PowerPoint Presentation Handling Remote Code Execution Vulnerability	12-OCT-2006	CVE-2006-5296	Non
Vulnerability in PowerPoint Could Allow Remote Code Execution	27-SEP-2006	CVE-2006-4694	MS06-058
Vulnerability in Word Could Allow Remote Code Execution	01-SEP-2006	CVE-2006-4534	MS06-060
Microsoft Visual Basic for Applications Buffer Overflow	07-AUG-2006	CVE-2006-3649	MS06-047
Microsoft PowerPoint Code Execution	12-JUL-2006	CVE-2006-3590	MS06-048
Microsoft Excel Multiple Code Execution	16-JUN-2006	CVE-2006-3059	MS06-037
Excel Malformed STYLE Record Vulnerability	14-JUN-2006	CVE-2006-3431	MS06-059
Microsoft Word Malformed Object Pointer	18-MAY-2006	CVE-2006-2492	MS06-027

En 2006, d’autres menaces ont affectées la suite Office. Ce second tableau liste d’autres vulnérabilités qui pourraient s’ajouter aux précédentes mais pour lesquelles je n’ai pas de certitude quant à leur exploitation malveillante avant la mise à disposition du correctif.

La consigne est donc plus que jamais à la prudence lorsque l’on reçoit par e-mail ou par tout autre source un document dont l’origine peut nous apparaître douteuse.

Toute information complémentaire de la par des lecteurs de ce blog est la bienvenue.

Intitulé	Date	CVE	PATCH
Microsoft Office Word Malformed Chart Code Execution Vulnerability	Juillet 2006	CVE-2006-3650	MS06-062
Microsoft PowerPoint Memory Corruption Vulnerability - powerpnt.exe	Juillet 2006	CVE-2006-3660	Non
Microsoft PowerPoint Memory Corruption Vulnerability - memory corruption	Juillet 2006	CVE-2006-3656	Non
Microsoft PowerPoint Memory Corruption Vulnerability - mso.dll	Juillet 2006	CVE-2006-3655	Non
Microsoft Office Excel File Format DATETIME Record Parsing Vulnerability	Mai 2006	CVE-2006-2387	MS06-059
Microsoft Office String and Property Parsing Vulnerability	Mars 2006	CVE-2006-1540	MS06-038