http://hostma.com/announcements.php Sat, 13 Feb 2010 23:14:34 CET http://hostma.com/announcements.php?id=6 Sat, 13 Feb 2010 00:00:00 CET RESUME : Dix-neuf nouveaux défauts de sécurité ont été identifiés dans Windows et certains de ses composants (Paint, Server Message Block, Shell Handler, ActiveX, TCP/IP, DirectShow). L'exploitation des failles les plus sévères peut permettre à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime via une page web ou une image piégée, ou encore via une attaque conduite par le réseau informatique. LOGICIEL(S) CONCERNE(S) : Microsoft Windows 7 Microsoft Windows Vista Microsoft Windows XP Microsoft Windows 2000 Microsoft Windows 2008 Microsoft Windows 2003 RISQUE : Critique CORRECTIF : Les utilisateurs concernés doivent appliquer dès que possible le correctif correspondant à leur version de Windows via le service WindowsUpdate (en français) ou le site de l'éditeur, afin de prévenir toute exploitation malveillante. http://hostma.com/announcements.php?id=12 Sat, 13 Feb 2010 00:00:00 CET Un chercheur de la société Acunetix propose une technique permettant l'exécution de code Javascript/PHP via l'inclusion de fichiers XSL dans un script PHP vulnérable. Avec cette méthode, il est également possible de lire des fichiers arbitraires .Bogdan Calin, un chercheur en sécurité travaillant pour la société Acunetix ( lien ), vient de publier un article portant sur une vulnérabilité qu’il décrit comme une inclusion à distance de fichiers XSL ( Extensible Stylesheet Language - lien ), une technique qu’il a pu être amené à découvrir lors d'un audit de sécurité réalisé sur un code développé à l’aide du langage PHP ( Hypertext Preprocessor - lien ). A savoir que ce langage supporte les transformations XSL en utilisant la classe XSLTProcessor ( lien ) et plus particulièrement l’importation XSL via la méthode XSLTProcessor->ImportStylesheet() ( lien ). Plus concrètement, le code PHP disponible dans l’article doit charger un document donné au format XML ( Extensible Markup Language - lien ) et lui faire subir différentes transformations à travers un traitement contrôlé depuis un fichier XSL ; c'est ce fichier XSL qui contient initialement les règles de transformation nécessaires au traitement des données. Bogdan Calin a en fait simplement modifié un code qui provenait à la base d’une page PHP reposant sur la méthode XSLTProcessor::transformToXML ( lien ) afin de pouvoir y inclure les éléments nécessaires à l'exploitabilité de la vulnérabilité dont il est ici question. Cette vulnérabilité intervient lorsque le fichier XSL est chargé dans le processus de traitement depuis une source extérieure, qui peut alors s’avérer être contrôlée par un attaquant. Dans l’exemple fourni, cet attaquant peut spécifier l’emplacement d'un fichier XSL à charger via une valeur spécifique qui sera fixée puis passée vers le script de traitement à l'aide d'un paramètre de formulaire. Le passage des données malicieuses est ici effectué en utilisant l'exploitation classique de la méthode GET des formulaires. Dans ce contexte, il est donc possible d'inclure un fichier XSL en manipulant une URL avec une valeur pointant vers un fichier stocké sur un site Web distant. Contrairement à la méthode POST qui envoie les données sans les passer dans l’URL d’appel au script de traitement, la méthode GET passe ces données directement dans l’URL en séparant l’adresse (du script) et les données via un point d’interrogation. Cette vulnérabilité pourrait tout d’abord permettre à un attaquant de conduire des attaques de type Cross Site Scripting XSS ( lien ). Un exemple de fichier XSL permettant d’exécuter du code Javascript ( lien ) est fourni en tant que Preuve de Concept ( PoC - lien ) dans l’article. Via l’exploitation de cette vulnérabilité, il est également possible d’envisager l’exécution de code PHP à la seule condition que la fonction registerPHPFunctions ( lien ) soit activée. La classe XSLTProcessor propose en effet la fonction registerPHPFunctions afin d’autoriser l’utilisation des différentes fonctions du langage PHP en tant que fonctions XSLT, celles-ci seront directement embarquées à l’intérieur des feuilles de style XSL. Le fichier XSL, permettant l’exécution de code PHP, est lui aussi fourni en exemple dans l'article écrit par Bogdan Calin. Il existe une troisième exploitation permettant de lire des fichiers arbitraires. Cependant des restrictions sont de mises, il n’est possible de lire dans leur entièreté que les données des fichiers formatés en HTML ( Hypertext Markup Language - lien ). Néanmoins, on peut lire la première ligne de n’importe quel autre type de fichier, ce qui peut s’avérer intéressant pour un « .htpasswd » ( voir notre dossier - lien ) contenant les informations de connexion aux services fournis par un serveur Apache ( lien ) et demandant une authentification via un « .htaccess ». Un exemple de fichier XSL est là aussi mis à disposition afin de s’assurer de la faisabilité de l’exploitation. Comme on peut le constater dans l’exemple donné, XSLTProcessor::transformToXML trouve initialement des erreurs dans la première ligne du fichier ciblé, mais il l'affiche tout de même dans sa globalité. Afin de se protéger des différents impacts liés à cette vulnérabilité d’inclusion de fichiers XSL, il est impérativement nécessaire de s’assurer du fait que le fichier XSL à traiter n’est pas issu d’une source pouvant être manipulée facilement par un attaquant aux intentions malveillantes. Une solution intermédiaire, pour s’assurer de la bonne provenance du fichier XSL, pourrait consister en la mise en place préalable d’un système de restriction via une liste de filtrage portant sur les noms des fichiers acceptables dont on souhaite à l’avenir autoriser le chargement au sein du processus du traitement. Il est par ailleurs possible pour les développeurs de tester l’exploitabilité d’une application particulière, face aux risques que représente cette vulnérabilité, en utilisant la version gratuite du scanner ( lien ) de vulnérabilités Web de la société Acunetix Source : Security Bloggers Network & Acunetix Blog ( lien ). http://hostma.com/announcements.php?id=9 Sat, 13 Feb 2010 00:00:00 CET Présentation : Zeus targeting government and military workers Date 12 Fevrier 2010 Gravité Elevée Description L'un des botnet les plus redoutables de ces dernières années, Zeus, continue de faire parler de lui. D'un côté, une nouvelle campagne d'infection vise cette fois-ci les personnes travaillant au gouvernement et dans des départements militaires aux États-Unis ainsi qu'au Royaume-Uni. Le cheval de Troie est envoyé à travers des mails prétendant provenir de l'U.S. National Intelligence Council . Les ... - Vulnérabilités http://hostma.com/announcements.php?id=10 Sat, 13 Feb 2010 00:00:00 CET Résumé : Une équipe de chercheurs israéliens a publié une attaque contre l’algorithme de chiffrement KASUMI ou A5/3, qui est utilisé par les téléphones mobiles de 3ème génération .Alors que l’algorithme A5/1 est probablement déchiffrable depuis un moment par des techniques utilisées dans des cercles restreints, et de manière publique depuis quelques mois, notamment suite aux travaux de Karsten Nohl présentés lors du 26C3, c’est au tour de A5/3, utilisé par les mobiles 3G, de se voir fragilisé. Une équipe de chercheurs du Weizmann Institute of Science (Rehovot, Israel), composée de Orr Dunkelman, Nathan Keller et Adi Shamir, a publié un article décrivant une attaque sur KASUMI, autre nom de A5/3. Cet algorithme est dérivé d’un autre cryptosystème, MISTY, qui a été volontairement affaibli pour des soucis de performance. Il est implémenté dans 40% des terminaux mobiles en circulation, mais encore peu utilisé par les opérateurs. L’attaque mise au point par les chercheurs est une variante de la technique « Boomerang » présentée par David Wagner en 1999. Elle a été dénommée « Sandwich Attack ». Elle est rendue possible par la méthode de génération de clés apparentées (related keys) de KASUMI. Un léger changement de cette méthode peut d’ailleurs rendre l’attaque inopérante. Il est donc possible de déchiffrer des données chiffrées avec A5/3 avec une probabilité d’environ 75%, pour une quantité de données recueillie de 1 Go. Sur une machine standard, l’attaque prend moins de 2 heures. Il est cependant peu probable de pouvoir atteindre la quantité de données nécessaire avec une simple conversation téléphonique (mais les usages multimédias se développent, de même que la bande passante des réseaux mobiles). Les chercheurs précisent par ailleurs que leur découverte peut ne pas être applicable en pratique aux réseaux de téléphonie.  http://hostma.com/announcements.php?id=11 Sat, 13 Feb 2010 00:00:00 CET Pas de répit pour la Saint Valentin et ceux qui cherchent le grand amour sur Internet le fournisseur de logiciel de sécurité PC Tools met en garde les internautes contre un nouveau robot en ligne de type botnet . Ce robot Flirt Bot s'attaque aux personnes qui flirtent via les messageries instantanées. PC Tools a obtenu une copie d'une conversation MSN d'une victime baptisée Marie la victime ne veut pas révéler son identité où le Flirt Bot s'est mis en relation avec elle sur son compte ... http://hostma.com/announcements.php?id=2 Fri, 12 Feb 2010 00:00:00 CET Une faille est identifiée dans le composant DatsoGallery, elle pourrait être exploitée afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires. Cette faille est confirmée dans la version 1.6 et les versions antérieures sont surement aussi concernées. Nous vous conseillons la plus grande prudence sur l'utilisation de ce composant dans l'attente d'une mise à jour par l'éditeur . http://hostma.com/announcements.php?id=4 Fri, 12 Feb 2010 00:00:00 CET Virus is a computer program that copies itself into the host computer without the user’s permission. It then reproduces itself and spreads on other computers via. A removable medium, Internet or any other source and infects several other computers. Viruses are erroneously termed as malwares, worms, Top Viruses of 2009 : Based on Ranking  Rank 1: Win32/Conficker This virus is a network worm and exploits the RPC sub-system vulnerability present in the Microsoft Windows operating system, allowing an attacker to remotely attack a computer without valid user credentials. Win32/Conficker infects the computer using unsecured folders, removable medium or by making use of Autorun facility enabled by default in windows. This threat contacts other domain names to download additional malicious code. To avoid this threat, end users must update their system with the patch already available since October. Rank 2: INF/Autorun This is the most common threat that infects a PC by creating an autorun.inf file. The file contains information about programs meant to run automatically when removable devices are connected to the computer. End users must disable the Autorun feature enabled by default in windows. Since, use of removable devices is very popular, you can clearly see the reason why this threat has a rank of 2. Rank 3: Win32/PSW.OnLineGames This threat belongs to a family of Trojans that is meant to cause harm to game players by stealing their user credentials and other personal or financial information. This information is then sent to the intruder’s PC. Game players must remain alert as this threat has been found in large volumes. Rank 4: Win32/Agent Win32/Agent is a major threat to several end users as it copies itself into the temporary locations and steals information from the infected PC. This malicious code adds entries into the registry, creating several files at different places in the system folder, allowing it to run on every startup. This way complete information is gathered about the infected PC and then transferred to the intruder’s PC. As a protection measure, use a good anti-malware, disable Autorun facility in windows and do not click or open any unknown files. Rank 5: Win32/FlyStudio This threat is designed to modify the settings of victim’s internet browser by modifying the search queries and directing the user to advertisements. This threat seems to target the people of China. However, its presence has been reported in other regions like North America. It seems that the malicious code has been deployed by another family of malwares.Rank 6: INF/Conficker INF/Conficker exploits the host computer by making use of the Autorun feature enabled by default in windows to spread later versions of this threat. As mentioned earlier, end users must disable the Autorun feature. Rank 7: Win32/Pacex.Gen This threat designates a wide range of malwares that makes use of an obfuscation layer to steal passwords and other information from the infected PC. The ".Gen" suffix means generic i.e. the threat contains other variants with similar characteristics. However, other malwares may not share the same base code, but they do make use of the same obfuscation technique to infect the host computer. Rank 8: WMA/TrojanDownloader.GetCodec This threat as the suffix .GetCode suggests modifies the audio files present on the system to .wma format and adds a URL header that points to the location of the new codec. In this manner, the host computer is forced to download the new codec and along with the new codec several other malicious codes are also downloaded. This means that the end user will download the new codec, believing that something new might happen, whereas, the malicious code runs in the background causing harm to the host computer. At present, there is no way to verify the authenticity of the codec being downloaded as a new enhancement or a Trojan horse, users must avoid downloading new codecs unless downloading from a trusted website. Unnecessary downloading of codecs should also be avoided.  Rank 9: Win32/Qhost This threat copy itself to the System32 folder of the windows directory giving control of the computer to the attacker. The attacker then modifies the DNS settings redirecting the computer to other domains. This is done to compromise the infected machine from downloading any updates and redirect any attempts made to a website that downloads other malicious files on the victim’s computer. Rank 10: Win32/Autorun As discussed earlier, threats with the name “Autorun” make use of the Autorun.inf file to infect the victim’s computer. The only solution is to disable the Autorun facility enabled by default in windows.