Une nouvelle vulnérabilité de type "0-day" a été découverte sur Microsoft PowerPoint (Réf Lexsi 7547).

A l'aide d'un document PowerPoint spécialement formé, il est possible d'exécuter arbitrairement du code. Particularité, la vulnérabilité concerne toutes les versions de PowerPoint, incluant celles pour le système d'exploitation Apple. Un exploit circule actuellement dans la nature : Soyez vigilant, et utiliser la visionneuse Microsoft PowerPoint pour ouvrir tout document suspicieux.

Le code d'exploitation est par ailleurs reconnu par plusieurs antivirus :
McAfee : Exploit-PPT.d
Microsoft : Win32/Controlppt.X

We received today in one of our spamtrap, a "interesting job opportunity" from Glaube investment Company. This representative scam has, like usually, been massively sent through botnets of infected home-user PCs (here Comcast) or blog and forum comment spam.

The spam has been personalized for each country where the guys need mules, particularly in Germany and France :

''Dear Sir, Madam,

Our investment company looking for partners from France for interesting work! We can offer you work with weekly salary about 2000-4000 EUR. All that you need have its internet, computer and 2-3 hours free time per day! You don't need have higher education, special skills, and don't need pay any money to start! Regards,

Holger Methe,
director Glaube Investment Company
To aplly, e-mail: glaubeinvestfr@aol.com"

Another email adress discovered in connection with this mule recruitment offer is : "glaubeinvestinc@aol.com".

The glaubeinvestment.com website looks indeed very professionnal. The funny part is the domain name is less than 2 weeks old (13/09/06), but according to this page, the company started in 2000 with a $30 millions capital !

Let's also remember "glaube" comes probably from the german verb glauben that means BELIEVE.

Are phishers just arrogant or looking for naïve preys?

Microsoft a publié en avance son bulletin de sécurité MS06-055 qui vient corriger la déjà célèbre faille VML (Ref Lexsi : 7520), qui a fait couler beaucoup d'encre. En effet, le nombre de sites Web malicieux proposant des chevaux de Troie et des sypwares qui s'installent automatiquement par le biais de cette vulnérabilité ne fait que s'accroître jour après jour.

Le 22 septembre, un groupe indépendant nommé le ZERT (Zeroday Emergency Response Team) a publié un correctif non-officiel pour la faille VML, mais ce dernier peut provoquer des disfonctionnements sur les systèmes. On ne peut donc qu'être satisfait de la publication hier par Microsoft du bulletin de sécurité MS06-055 proposant le correctif officiel.

Attention : Pour appliquer correctement le patch Microsoft, il est nécessaire de remettre "en état" la DLL incriminée, dans le cas où vous aviez appliqué la solution de contournement consistant à la désactiver, et également de désinstaller au préalable le correctif non-officiel du ZERT le cas échéant. Pour réactiver la DLL, il suffit de :

• Cliquer "Démarrer", "Exécuter", et taper "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", puis cliquer "OK".
• Une boîte de dialogue apparaît pour confirmer, cliquer à nouveau "OK" : La DLL est réactivée sur le système.
  

Il est toujours très amusant de tomber sur l'arborescence d'un site de phishing. Dans un certain nombre de cas, on a le plaisir de voir que l'individu n'est pas un geek absolu, passionné du shmoocon et des backrooms du blackhat
Tant que cette arborescence sera en ligne, je vous invite vivement à vous promener quelques minutes dans les pages loisirs de ce jeune homme qui, entre les photos de ses copains à la Mecque, les jeux crackés, les clés TPS et les photos pornos, monte des sites de phishing Paypal et WellsFargo...

Mais le plus drôle est quand même à la lecture de certains logs de victimes potentielles:

Thu Jun 08, 2006 7:31 pm
Login: mafiaalgeria@hotmail.com
Password: wachmonfrere
Name: saha
Last name: 08/12
Address: tu veux me voler mon paypal :D
City: grrrrr
CC Number: 4444441546546545
CVV2: 000
PIN:
SSN: 12313213131
Phone: 12132132132
196.29.43.210

We are pleased to release today our study on Internet Gambling Cybercrime, concluded in July 2006.

This study is currently in French and openly downloadable.

For english speaking readers that hate babelfish marmelade, here are the insights:

• we discovered 14k websites that propose Internet gambling services such as betting, casino or lottery
• offering breakdown is as follows: 31% only offer casino playing, 5% betting, 2% lottery, and 62% of websites provide multiple offerings (note that online lottery is mainly provided by email-hum...I mean spam)
• 2000 websites have puchased a gambling licence: 391 in Costa-Rica, 383 in Antigua, 331 in Kahnawake, 330 in Netherlands Antilles...
• the average net revenue per player is 40$/month

The study analyses the fraudulent modus operandi conducted by online gambling operators (spam, DNS hijacking, malware infection, unpaid gains, success rate manipulation, credit card theft, money laundering, IRS fraud...).

Following our investigations in this area, we estimate that a thousand of gambling websites are directly operated by criminal groups. These groups are commonly involved in different areas such as porn/pedo contents, phishing, credit card theft, extorsion, scams in general and online gambling services (mainly used for infection and laundering).

Online gambling is a 15b$ market, already 10% of the overall gaming market. And this has become the playfield for scammers.

Illegal to provide gambling services?

Yes for 99% of the websites we discovered, mainly because you may have to ban visitors from Germany, US, Japan, Spain, France...almost from any country.

But don't be disappointed, there is a whole industry to help you if you still think that's a good business: offshore companies and banking accounts, nominees, one-click software applications to run your business. You can even buy an anonymous gambling licence in Costa-Rica for 10k$. If you have success, you even can run for an IPO on stock exchanges. Financial analysts say "well there is a legal risk... but look at revenues !".
We're just at the begininng of the fight and some CEOs have been arrested this month: Sportingbet or Bwin for example.

Some have also taken radical measures, such as the Italian AAMS (Amministrazione Autonoma dei Monopoli di Stato) that forced Italian operators to ban access to 600 gambling websites. For each italian that accesses one of these sites, telecom operators can receive a fine of 180.000$.

Et de quatre ! Hier, après la 0-day sur les documents Word (Ref Lexsi : 7451), celle d'Internet Explorer sur daxctle.ocx (Ref Lexsi : 7507), celle sur PowerPoint (Ref Lexsi : 7521), voici la dernière en date impactant Internet Explorer VML (Ref Lexsi : 7520).

Sunbelt a annoncé sur son blog l'apparition dans la nature d'un exploit concernant Internet Explorer 6 sous Windows XP. Cette 0-day exploite un dépassement de tampon dans la pile associé à une méthode VML (Vector Markup Language).
Le VML est un standard définissant les vecteurs graphiques dans XML.

L'exploit était chargé depuis http://www.insorg.org/demo.php, qui détecte les versions d'OS et de navigateurs des internautes. Ensuite, ceux ci sont redirigés vers un exploit connu selon leurs configurations (la plupart sont des vulnérabilités corrigées).
Seuls les possesseurs d'Internet Explorer 6 et Windows XP SP2 seront redirigés vers la page http://www.insorg.org/()/counter.cgi?type=MS06-XMLNS qui exploite cette 0-day.
Finalement des malwares sont téléchargés depuis la page http://www.insorg.org/botnet/in.php, qui téléchargent alors des chevaux de Troie (Win32:Agent-BND(trj) et Win32:Zlob-A0(trj)) depuis http://www.drabland.net.

Cet exploit est maintenant détecté par certains éditeurs anti-virus (Trojan.Vimalov (Symantec), EXPL_EXECOD.A (TrendMicro), Exploit-VMLFill (McAfee), Exploit:HTML/Levem.C (Microsoft)).

Notre équipe a étudié l'exploit et identifié la DLL vgx.dll comme étant responsable de cette vulnérabilité. Il est recommandé de désactiver cette DLL en question ainsi :
regsvr32 -u "%ProgramFiles%\CommonFiles\Microsoft Shared\VGX\vgx.dll"

Microsoft a publié un bulletin de sécurité (Microsoft Security Advisory (925568)) concernant cette vulnérabilité. Un correctif serait sur le point d'être finalisé et serait disponible lors du prochain Patch-D le 10 octobre 2006 au plus tard.

D'après McAfee, le service Google Analytics, permettant d'obtenir gratuitement des statistiques de fréquentation des sites Internet, a été détourné par un opérateur de botnet afin de recenser les machines compromises à sa disposition et d'en obtenir la répartition géographique. Les balises Google Analytics, prenant la forme d'un code javascript devant être intégré au site web surveillé, ont été dans ce cas détournées pour être incluses dans le virus Opanki.

Il s'agit d'une innovation certaine, par rapport à des virus tels que VisualBriz qui offraient des consoles d'administration centrales, véritables centres de contrôle permettant au botmaster de recenser ses victimes en temps réel au moyen d'un site web. Ces consoles d'administration, souvent mal (voire pas du tout) sécurisées, permettaient à des organismes de lutte contre la fraude de surveiller la propagation du virus et d'étudier les moyens techniques à disposition du botmaster ; ce nouveau procédé, s'il venait à se généraliser, compliquerait davantage le travail de surveillance des plateformes virales et entraverait les démarches d'alerte visant à obtenir la fermeture de ces centres de contrôle.

Source : http://www.avertlabs.com/research/blog/?p=89

One of the world largest commercial satellite communications services provider, Intelsat, has shutdown the primary satellite link for Zimbabwe's state communications company (TelOne) for non-payment. It has affected most of the ISPs in the country and resulted in very slow Internet connections.
Intelsat was an intergovernmental consortium created in 1964 who became a private company in 2001. It was sold in 2004 to 4 private equity firms. As the entry in Wikipedia reminds us: "Intelsat maintains it corporate headquarters in Bermuda, with a majority of staff and satellite functions — administrative headquarters — located at the Intelsat Global Services Corporation offices in Washington, DC. This arrangement allows the company to lobby politicians in Washington while filing tax from Bermuda". The company is actually merging with another satellite communications provider giant : PanAmSat.

TelOne's debts reach $700.000, and the whole country is running out of money. Furthermore, the EASSy (East African Submarine Sytem) project is having troubles to find its way into completion. This project is supposed to enhance Africa's connecting capabilities through a 9,900km undersea fibre optic cable. But only 7 out of 23 governments signed a protocol allowing this project to go further. At first, the connection was to be operationnal in middle of 2007, but Africans will have to wait at least 2008 and maybe longer. Some players (particularly South Africa's telecom provider Telkom) threaten to stop theirs investments.

This shutdown in Zimbabwe could potentially endanger a lot of local ISPs, NGOs or businesses who actively rely on Internet. But the average Zimbabwean is even more affected by the recent bread scarcity , the regular food, hard currency, gasoline and essential imports shortages, and the soaring inflation hitting Robert Mugabe's country.

Hier, une vulnérabilité "0-day" pour Internet Explorer concernant une nouvelle fois les ActiveX a été publiée. Elle permettrait d'exécuter du code sur le système d'une machine consultant une page web contenant un appel à l'objet COM DirectAnimation.PathControl et utilisant la méthode KeyFrame.

La publication faite sur http://www.xsec.org/ met à disposition un code qui ne fonctionne que pour la version chinoise de XP SP2 et Internet Explorer 6.0 SP1. Malgré tout, à cette heure ci, l'exploit a été adapté aux autres langues mais aucun d'eux n'a encore été dévoilé publiquement.

Cette faille arrive après toute une série de vulnérabilitées plus ou moins graves qui ont été publiées tout au long du mois de juillet sous l'impulsion de H.D Moore et de son pari de publier une vulnérabilité par jour sur son blog.

A la fin du mois de juillet, il avait mis à disposition son outil de fuzzing aux internautes (tests automatiques à la recherche de vulnérabilités) Axman.
Microsoft a publié un bulletin d'alerte dans lequel il est précisé comment désactiver ce contrôle ActiveX dans la base de registre.

Cette vulnérabilité est répertoriée sous la référence Lexsi 7507 [Abonnes].

As explained in this recent blog entry, the ISP constituency group of the Generic Name Supporting Organization, - one of the main ICANN constituent - is having hard times with the cybersquatters. One of their domain names, www.ispcp.org, has been recently "snapped" by VirtualClicks. The website is parked since then on a GoDaddy's ad portal and that one is for sure highly profitable.
But it’s not the first time such troubles hit ICANN’s bodies. A sub-entity of the GNSO ("NCC") lost some years ago "icann-ncc.org", the domain managing their mailing list.
Such as any other well-known organization ICANN has always been heavily cybersquatted : icannonline.org, wwwicann.org, icann-usa.com, myicann.com, icannagency.com…

I'm sure that won't drive ICANN start dealing with domain tasting or cybersquatting issues. But it might be interesting to see their arguments in a dispute resolution proceeding :->

La console Sony PSP très en vogue en ce moment retient beaucoup l'attention des petits bricoleurs. Nombreux sont ceux qui se sont attelés dès la sortie de la console à "hacker" le firmware pour y installer des "homebrews", comprenez des logiciels maisons. Des lecteurs MP3 "persos", en passant par des émulateurs de SuperNintendo ou Sega, ou des lecteurs d'images ISO, ces exploits ont pû se faire premièrement via une faille dans le système de sauvegarde du jeu GTA.

Depuis, les firmwares de Sony se sont succédés à un rythme effréné pour contrer les pirates, mais une nouvelle vulnérabilité apparue au mois d'août permet de contourner à nouveau les systèmes de protection.

Cette vulnérabilité répertoriée sous la référence Lexsi 7476 [Abonnes] permet d'exploiter une image Tiff spécialement forgée afin de provoquer un dépassement de tampon. Un exploit appliqué sur la console a été diffusé pendant les vacances de Juillet - Aout, permettant d'afficher un message sur la PSP lors de la visualisation de cette image Tiff via la PSP.

Voici donc un petit clip vidéo qui montre l'exploit "HelloWorld", permettant d'exécuter du code dans le noyau et d'afficher du texte via une image Tiff :

Comme chaque mois, le géant de Redmond a annoncé la publication imminente (prévue le 12 Septembre) des bulletins de sécurité mensuels.

Au menu, deux vulnérabilités estimées "importantes" sur Windows et une vulnérabilité critique sur Office; vraisemblablement ciblant la faille impactant Word 2000, actuellement exploitée activement. Le mois de Septembre parait donc bien calme en comparaison du mois précédent qui rappelons le, avait vu la publication de douze bulletins de sécurité dont huit traitant des vulnérabilités critiques.

L'annonce de la publication des bulletins de sécurité Microsoft est disponible à l'adresse suivante : http://www.microsoft.com/technet/security/bulletin/advance.mspx

La version RC1 de Windows Vista est maintenant disponible en téléchargement pour tous les internautes.


Téléchargez Windows Vista RC1

La nouveau système de Microsoft est dans les starting blocks et est disponible en éditions 32 et 64 bits et comme rien n'arrive pour rien, Microsoft vient d'annoncer les prix du nouveau système, allant de 400$ pour la version "Ultimate" (version la plus complète) à 200$ pour la version "Basic".

A coeur vaillant rien d'impossible; Prévoyez une bonne partition pour les 2,5Go de la version 32bits. Mais avant tout, il faut savoir que cette version sera très gourmande et ne fonctionnera pas sur le plupart des postes de travail "lambda". Microsoft fournit la configuration minimale à prévoir pour espérer apercevoir le nouveau système graphique Windows Aero.

Concrêtement, prévoyez un minimun de 128Mo de mémoire vidéo, d'un processeur graphique de classe DirectX 9, d'1Go de RAM, quelques Go de disque dur et d'une grande chance pour que vos périphériques soient reconnus. Vous pouvez tester votre configuration avec un outil fournit par la firme ici.

Attention... La distribution des clés pour Vista qui s'effectuait via ce site semble rencontrer quelques problèmes d'approvisionnement...

Avec cette nouvelle monture, Symantec va t-il rééditer ses critiques virulentes concernant la sécurité de Vista ?
Pour rappel, au mois d'août, le centre de recherche de Symantec avait publié un rapport sur une troisième faille critique dans le système (Rapport Symantec). Symantec dénonçait aussi la technologie PatchGuard, qui risquait de diminuer le niveau d'intégration des logiciels antivirus tiers.

Parmis les failles relevées, il faut rappeler que Microsoft avait publié des correctifs pour Vista concernant les bulletins de sécurité Microsoft MS06-042 et MS06-051, chose inhabituelle pour un système en version bêta (Voir Ref Lexsi : 7354 et 7348).

Par ailleurs, lors de la conférence Black Hat, Joanna Rutkowska avait démontré la possibilité d'installer un rootkit, malgré les mesures de sécurité mises en place par Microsoft. Ce rootkit tire parti de la technologie de virtualisation Pacifica présente sur certains processeurs AMD. Malgré la vérification des signatures numériques des composants chargés par le noyau, il est possible d'outre passer ce code simplement.

Finalement, cela fait une actualité assez chargée pour un système en version Beta !

The team of CERT-LEXSI includes engineers & analysts from the vulnerabilities and the cybercrime departments of LEXSI, located in Paris.

As we uncover unusual patterns or knock-knock to furtive underground doors or interesting flaws we plan to raise the questions here. No live comments here unfortunatly but give us your smart feedbacks on :

C'est avec un grand plaisir que nous vous proposons désormais notre éclairage sur les événements de sécurité informatique.

L'équipe du CERT-LEXSI regroupe les intervenants de veille technologique sécurité et de lutte contre la cybercriminalité de LEXSI, le Laboratoire d'EXpertise en Sécurité Informatique.

Au quotidien, et selon l'actualité, nous allons apporter par le biais de ce blog notre éclairage sur les évements de sécurité informatique. Nous espérons que nos colonnes vous satisferont, et vous pouvez à tout moment nous contacter à l'adresse suivante :