** Mise à jour, 02/04/2007 ** Attention, l'utilisation de cette vulnérabilité s'est accrue pendant le weekend : "Toolkit" pour générer son exploit personnalisé, campagne de spams incluant un lien malicieux, ver cherchant à intégrer le code d'exploitation dans les pages Web, etc... (pour les abonnés, voir notre alerte). Microsoft, sur son blog sécurité, planifie la mise à disposition du correctif officiel pour demain, mardi 02 Avril 2007. Préparez les déploiements, c'est une vulnérabilité à corriger sans attendre ...

Une "0-day", décrite en détail dans Ref. Lexsi 8358, vient d'être mise au jour dans Microsoft Windows. Son exploitation permet à un attaquant distant d'exécuter du code arbitraire sur votre système par l'intermédiaire d'un fichier d'icône animé malicieux intégré dans une page Web ou un courriel.

D'après McAfee, cette vulnérabilité serait exploitée "dans la nature", d'autant plus facilement d'ailleurs que son exécution ne provoque apparemment aucun symptôme caractéristique.

TrendMicro a aussi reconnu l'existence de codes malveillants profitant de cette vulnérabilité.

A few days ago, the #Rock phishing group has -again- switched its geographical targets for the numerous domain names they used to host phishing websites.

After .hk (Hong-Kong), the favorite domain name extension is now ".fm", delegated to the federation of Micronesia Islands. Such move might well be used to evade LE investigations, but also to "test" the online longevity of the fake websites and the responsiveness of the various registries.

For example, these domains have been used by #rock since the begining of this week:

• chiblog.fm
• chisite.fm
• bestchi.fm
• chilive.fm
• sls.fm

Unfortunately for the security community, around 250 country-code Top Level Domain name are currently accredited...

We hope BRS Media -the American company in charge of the ".fm" extension- will be more responsible and sensitive to this issue than the previous one, HKDNR.

Il est amusant de noter que plusieurs noms de domaine "clés" en .li sont détenus par des individus aux multiples nationalités :

• whois.li : un Japonais
• domain.li : un Israëlien
• registry.li : un Chinois
• registrar.li : un Indien
• president.li : un Taïwanais
• ...

SWITCH, le registre en charge des domaines au sein de l'extension géographique du Liechstenstein (et de la Suisse) n'a pas jugé opportun de "réserver" des appellations comme a pu le décider l'AFNIC.

Encore plus fort, la société opérant le site www.domain.li offre des services d'enregistrement de noms de domaine dans de nombreuses extensions géographiques... mais pas en ".li" !

3 sites Web à priori identiques tentent de légitimer une soi-disant société "russe" baptisée RTSol (une vague de scam précédent l'intitulait RMSol). Celle-ci cherche en fait à s'attirer les services de mules, à la fois pour blanchir des fonds frauduleusement volés et transférer des "colis".

La logistique nécessaire à la vente de divers produits contrefaits (médicaments, luxe, logiciels...) représente une part importante de la cybercriminalité sur Internet. Cette activité se doit d'être le moins traçable possible, c'est pourquoi des "intermédiaires" sont constamment recherchés. Certains groupes de cybercriminalité n'hésitent d'ailleurs pas à "varier" leurs activités, du phishing à la pornographie en passant par la fraude au clic, etc...

En regardant de plus près ces 3 sites, on remarque un certain nombres d'incohérences et de coquilles. Exemple : comme sur la page d'accueil, les appellations RTSol ou RMSol sont utilisées maladroitement et indifféremment, notamment dans les <title> et les mentions de bas de page.

Mais plus étonnant encore, les erreurs ne sont pas identiques sur chacun des sites. Pourquoi n'utilisent-ils pas un seul et unique modèle ?

http://www.bestbusinez.com
http://www.beresilipo.com
http://rtsol-logistic.com

Sur la page de contact sont renseignés une adresse postale à Moscou, un téléphone correspondant à une ligne fixe située dans le Maryland et différents emails gratuits Yahoo. Sans commentaires.

Ce même recruteur de mule a également posté d'autres annonces de ce type, mais sans les liens vers l'un des faux sites. Avec au passage une jolie faute de langue anglaise :

Hello
My name is Daniel, I'd like to suggest you partnership. We do have a great opportunity for you to make some additional money. Do you need additional income? We can help you with it.
You will need to spend just a couple hours a day or even less to earn $300-$500 a weak.
You will deal with business correspondence at your own home.
Our requirements:
- Good internet access and the ability to check and reply to e-mails 3-5 times a day.
- 2-3 hours of free time a day to receive and ship packages.
- Good communication skills
- Reliability and responsibility
- Age from 25 to 55

Are you interested? Please contact me at USADeliveryGMBH@gmx.net or (240) 764-4940 & I will provide you with detailed information.
Not interested? Simply delete this message.
With my best wishes
Daniel Borishevich.
USA Delivery G.M.B.H.
+1(240)764-4940
USADeliveryGMBH@gmx.net

Un évènement de taille, assez rare, et qui va soulager l'équipe de Veille Technologique Sécurité du CERT-LEXSI : Il n'y aura pas de "Black Tuesday" au mois de Mars, entendez par là pas de nouveaux correctifs de sécurité pour les produits Microsoft !

Les supputations sur l'origine de ce non évènement vont bon train : pas de failles non corrigées dans la nature touchant des produits Microsoft (mais que dire alors de la vulnérabilité Ref. Lexsi 8234 ou encore Ref. Lexsi 8266 ?), ou alors ... "dépassement de capacité" de travail pour les développeurs de Microsoft, suite aux nouvelles modalités 2007 du changement d'heure (DST) prévu aux USA.

En effet ce changement d'heure - qui ne concerne que les Etats-Unis d'Amérique et le Canada - entraine sur son passage tout un lot de bugs plus ou moins sympathiques dans une ribambelle de produits : les pare-feux Watchguard, qui doivent être rebootés si on "bidouille" la date et l'heure des logs, les téléphones VoIP Cisco, qui prennent une heure de retard, ou encore les sauvegardes planifiées de Symantec Backup Exec, qui se feront une heure plus tôt ... quoi que vous fassiez !

Bref, une pensée aux administrateurs d'outre-atlantique qui vont devoir résoudre toutes les conséquences de cette mesure à vertu écologique.

Le site XSSED, à l'instar de Zone-H pour les défacements, recense des failles XSS (Cross-Site Scripting) confirmées impactant les sites Web. Un certain "takethis" a ainsi transmis le 7 mars dernier des failles identifiées pour chacun des sites de TF1, France2 et Canal+.

Simple coïncidence ou souci de ne pas faire de discrimination ?

Toujours est-il qu'aucun site Web n'est véritablement à l'abri de ce type de risques. Une section du site XSSED regroupe par ailleurs les XSS détectés sur les sites "spéciaux" (sites gouvernementaux ou très visibles : kaspersky.fr, mcdonalds.fr, msn.co.uk, shop.vodafone.co.uk par exemple...).

Plusieurs autres sites Web (notamment allemands) s'attachent à référencer depuis quelques mois les sites de banques au sein desquels existent ces types de failles. Dans la majorité des cas, les opérateurs de ces sites signalent aux banques impactées leurs découvertes avant de les diffuser publiquement. Mais des outils automatiques sont nombreux pour permettre à des individus plus malveillants d'identifier leurs propres failles ou d'exploiter celles "publiques" que les grandes banques mettent parfois des mois à corriger.

Le risque est en effet grand pour ces sites bancaires, car l'essor des attaques de phishing utilisant des XSS pour rediriger l'internaute vers une fausse page de connexion est régulièrement pronostiqué. Pourtant, très peu de cas concrets confirmés implémentant cette technique existent à ce jour.

Le célèbre outil de Blog amélioré WordPress vient de connaitre une des situations les plus embarrassantes pour un éditeur : se faire pirater son serveur de téléchargement.

En effet, comme indiqué dans notre alerte, certaines des archives de WordPress version 2.1.1 (c'est à dire de la dernière version stable proposée au téléchargement) contenaient une porte dérobée permettant d'envoyer et d'exécuter des scripts sur le serveur compromis. L'éditeur a bien réagi en communiquant rapidement sur l'incident et en proposant une nouvelle version estampillée 2.1.2, exempte de tout code malveillant.

Pour information, le découvreur de la vulnérabilité publie les détails de la très simple porte dérobée intégrée au code compromis.

David gave me some stats on the *unique* phishing URLs we browse every day. I do now understand why David keeps begging for new servers:

Out of the 15k or so phishing sites discovered every day, about half of these are URLs sent by #rock. You probably think: this is industry! Right, but these figures mostly reflect that some phishing groups haved used dynamic URLs for months (a bunch of semi-dynamic subdomains for #rock).

Stats on unique phishing URLs are not stats on unique phishing domains. Evaluating the latter probably requires downsizing numbers by 3 or 4.

As some of you may have noticed, Wednesday night the #Rock phishing group decided to explore new geographical horizons by targeting a French bank. We have been following the guys from this group, which is probably why it made me shiver when I discovered they are back in the scope - this time unfortunately going after one of my clients. (We detected and stroke back on their last attack 4 months ago, when the Rock'ers targeted the US-based retail branch of a European bank).

For the ones who have never heard of #rock, this cybercriminal group constitutes of a dozen of cronies with solid long-term experience in the phishing business, creative minds, polymorphic technical skills and strong personal bonds – all the ingredients to make a stable and efficient group. We estimate that #rock generates between 30 and 50% of all phishing websites launched in 2006. #Rock emails represent about 0.1%+ of the total 20 billion daily email traffic circulating on the web. So they send about *20 million* emails a day. No more, no less.

The #rock’ers often inaugurate new rogue techniques, such as for instance the RSA token MitM attack, and possess what may be considered the most advanced of the existing industrial-level infrastructures for multi-target phishing attacks. The most annoying part when dealing with #rock phishing schemes is that they use multiple phishing pages' kits, and can literally create *hundreds* of new domains and name servers *every single day* to host their fraudulent content.

Up until recently, #rock mostly targetted Nordea, BB&T, FithThird, NAB and Sparkasse banks. Yesterday, they integrated to their wishlist a small branch of a French bank, in the Cantal region. The question is how the hack did some guys in Moscow find out there was some "cheesy" business to run over there?

(Cantal is also the name of a famous cheese produced in this region)

Since the first attack of the Cantal branch, we have discovered about 30 new mirrors of the phishing website that we are to be taken down beore the fraudsters launch a new phishing spam compaign. The current phishing campaign advances at the pace of approximately 2 new phishing websites *per hour*. It takes a mere mouse click for the #rock’ers to register new domains, set new DNS servers and change hosting location for their phishing farmstead

Hopefully, when you're stuck in a middle of long-standing war, there's some times reasons to laugh and relax a bit.
For example, one of the DNS server used is z1.fernieflyfishing.info
Less funny was the reply I got last night after sending a takedown notice to one of the operators in Turkey:

abuse@ttnet.net.tr on 3/1/2007 23:12

The message could not be delivered because the recipient's mailbox is full.

Turkish operators seem to be badly unprepared to deal with phishing...

Après le mois des bogues dans les navigateurs Web, dans les noyaux de systèmes d'exploitation et dans les applications Apple, voici le début du mois des bogues PHP. C'est le projet Hardened-PHP, mené par Stefan Esser, qui en est l'initiateur. Pour mémoire, Stefan Esser s'était retiré au mois de décembre du PHP Security Response Team, équipe de sécurité officielle du projet PHP, qu'il avait créée quelques années auparavant. La raison invoquée de son départ est le manque de considération par l'équipe PHP des problématiques de sécurité (voir le billet à ce sujet sur son blog).

Contrairement aux initiatives précédentes, le mois des bogues PHP ne se limite pas à une vulnérabilité par jour. Ainsi, alors que nous n'en sommes qu'au deuxième jour, cinq failles sont déjà présentées.

Source : le mois des bogues PHP

Le port UDP/1026 est traditionnellement utilisé en entreprise pour transmettre des messages par le biais du protocole Mailslot. Mais aujourd'hui, il est surtout utilisé par certaines sociétés à des fins publicitaires, c'est à dire à du spam. En effet, l'envoi d'un message sur ce port provoque, à condition qu'il ne soit bloqué par aucun pare-feu et que le service "Affichage des messages" soit actif, l'affichage d'une fenêtre avec un message vous invitant la plupart du temps à aller télécharger un logiciel ... empêchant justement l'apparition de ce genre de fenêtres intempestives.

Depuis quelques jours, nous notons sur nos sondes une recrudescence de paquet arrivant sur ce port. Le message, déjà rencontré auparavant, se présente sous la forme d'un bulletin de sécurité Windows indiquant qu'une faille a été découverte sur plusieurs versions de Windows et que notre système est vulnérable. Il nous invite alors à nous rendre sur le site http://www.patchupdate.info/ afin de télécharger un correctif.

La page en question reprend étrangement les couleurs bleu et blanc et la mise en page d'un (presque) vrai bulletin Microsoft. Le seul lien de la page nous emmène alors vers un site de vente en ligne où est indiqué, tout de même, qu'il faut s'acquitter de 19.95 $ pour télécharger un logiciel censé bloquer ces pop-up !

A noter que cette recrudescence, bien qu'ayant peu d'impact pour la majorité des utilisateurs à notre époque, apparait aussi dans l'outil de monitoring du SANS Institute.