24 novembre 2008
Vulnérabilité de sécurité dans Gmail
Un certain Brandon fait état sur Geek Condition d'une preuve de concept relative à une vulnérabilité de sécurité dans Gmail. Une histoire de filtres créés à l'insu de l'utilisateur et potentiellement malveillants.
Sans donner tous les détails, Brandon explique : " Lorsque
vous créez un filtre dans votre compte Gmail, une requête est envoyée
aux serveurs Google. Cette requête se présente sous la forme d'une URL
avec plusieurs variables qui pour des raisons de sécurité, ne sont pas
affichées par votre navigateur. Avec Firefox et l'extension Live HTTP
Headers, vous pouvez voir ces variables qui sont envoyées depuis votre
navigateur vers les serveurs Google ".
Identifier la
variable équivalente au nom d'utilisateur n'est à priori pas très
complexe, reste à l'attaquant à l'obtenir ce qui est plus difficile
mais pas impossible selon Brandon via la visite d'un site Web piégé pour finalement dérober le cookie Gmail.
En résumé, tout commence par la visite d'un site Web malicieux, tout en
étant connecté à son compte Gmail. In fine, ce site peut créer un filtre
Gmail qui redirige les e-mails vers un compte différent. Une solution
simple de prévention est donc de ne pas consulter de sites non sûrs et
pour être pleinement serein, d'aller jeter de temps en temps un coup
d'oeil du côté des filtres afin de vérifier qu'aucune nouvelle entrée
suspecte n'a été créée.
Brandon recommande également aux utilisateurs Firefox le recours à l'extension NoScript
qui ajoute une couche de sécurité supplémentaire, et souhaite que
Google fasse le choix d'une variable trop bavarde expirant après chaque
requête et non après chaque session. Ce n'est pas la première fois qu'une telle vulnérabilité
est signalée pour Gmail mais au-delà du webmail de Google, ce type de
problème concerne tous les sites utilisant des cookies pour
authentifier les requêtes.
(Source: generation-nt.com)
28 octobre 2008
Une faille patchée chez Yahoo! HotJobs
La société Netcraft vient de révéler hier que le site de recherche
d'emploi de Yahoo, Yahoo! HotJobs, est vulnérable à une faille qui a
été exploitée via une attaque de phishing, donnant accès à des comptes
utilisateurs.
Cette attaque permet au pirate de récupérer les données
utilisateurs des usagers de ce service de recherche et de proposition
d'emplois. Yahoo a réagi rapidement et assure désormais que la faille a
été patchée.
(Source: journaldunet.com)
27 octobre 2008
Vulnérabilité Google Chrome
Preuve de concept
à l'appui, le chercheur, Liu Die Yu, qui travaille pour TopsecTianRongXin à Pékin,
démontre comment une URL peut être forcée dans la barre d'adresse même
si le navigateur n'est pas en train de charger cette URL.
L'adresse
réelle de la page potentiellement malveillante est cachée.
Cette vulnérabilité peut être exploitée via une fonction JavaScript
spécialement conçue et présente un risque au niveau d'attaques de phishing.
Google a confirmé être au courant de cette vulnérabilité qui sera
comblée dans la prochaine mise à jour à destination des utilisateurs
finaux, tandis que les développeurs peuvent avoir la primeur d'une version non vulnérable.
Google Chrome est toujours en version bêta et uniquement proposé sous environnement Windows.
(Source: generation-nt.com)
25 octobre 2008
Une vulnérabilité dans windows exploité par des pirates
Une vulnérabilité critique est en ce moment
exploitée par des pirates. Les petits malins jouent avec une faille de
Windows… même si l’OS a reçu sa rustine du matin.
D’après Websense, c’est tout à fait normal. Des exploits se diffusent en ce moment permettant d’utiliser une vulnérabilité annoncée comme critique par la firme de Redmond (MS08-067).
Bilan, les pirates ont codé un machin qui n’est reconnu que par 25 % des 36 antivirus du marché.
L’exploit permet d’installer un logiciel espion (Gimmiv) via un ver. A la différence d’un virus, le ver n’a besoin d’aucune action de l’internaute ciblé.
Une solution de secours est proposée. Il faut couper les connexions aux ports 139 et 445 avec votre firewall. Mais dans un même temps vous ne pourrez plus rien partager (imprimante, dossier, …)
(Source: theinquirer.fr)
17 octobre 2008
2 Failles dans le noyau Windows
SkyRecon Systems, premier éditeur de solutions de sécurité intelligente du poste de travail, annonce que ses équipes de Recherche et Développement ont récemment identifié deux vulnérabilités dans le noyau Windows – CVE-2008-2252 et CVE-2008-3464 – toutes les deux situées dans de multiples versions des systèmes d’exploitation Microsoft Windows.
Le noyau Microsoft Windows est une interface virtuelle entre le hardware et le système d’exploitation, opérant un contrôle des multiples composants systèmes, de la gestion des processus et de la mémoire. Certains des composants systèmes existent au sein de l’espace noyau, fournissant un accès direct à d’autres fonctions du noyau au travers du système d’exploitation. Compromettre le noyau via l’un de ses composants systèmes pourrait exposer le système à d’autres dangers, comme l’installation d’un rootkit. Ceci pourrait conduire au détournement ou la prise de contrôle à distance du poste de travail.
« Ce sont deux vulnérabilités importantes qui ont été identifiées par les équipes de Recherche et Développement de SkyRecon et récemment corrigées, » déclare Thomas Garnier de l’équipe R&D de SkyRecon Systems. « Lors de nos recherches continues portant sur la sécurité du noyau Windows, nous avons détecté deux failles importantes pouvant être utilisées afin d’acquérir des privilèges élevés dans les composants systèmes compromis, donnant ainsi accès à chaque composant du système d’exploitation, qu’il soit matériel ou logiciel. »
Les deux vulnérabilités – CVE-2008-2252 et CVE-2008-3464 – affectent le noyau des versions 32-bits, 64-bits et Itanium des systèmes d’exploitation Windows suivants : Windows XP Professionnel, Windows Server 2000 et Windows Server 2003. La faille CVE-2008-2252 affecte également Windows Vista. CVE-2008-2252 est située dans le module graphique du noyau. La faille CVE-2008-3464 est située dans le gestionnaire réseau du noyau. Si ces vulnérabilités sont exploitées, chacune d’entre elles pourrait permettre une élévation locale des privilèges et, à terme, compromettre le système.
Pour obtenir plus d’informations sur ces vulnérabilités et sur le Bulletin de Sécurité Microsoft, consultez:
-- Microsoft Security Bulletin MS08-061 – Vulnérabilité de niveau important découverte par Thomas Garnier, SkyRecon Systems
-- Microsoft Security Bulletin MS08-066 – Vulnérabilité de niveau important découverte par Fabien Le Mentec, SkyRecon Systems
(Source: skyrecon.com)
02 octobre 2008
Le King ressuscité via un passport éléctronique !
Un expert hollandais a inséré l'identité d'Elvis Presley dans un passeport.
L'expert en sécurité Jeroen van Beek vient de sortir un ensemble
d'outils de développement logiciel afin d'insérer de fausses
informations dans les composants sans contacts des passeports. Dans une vidéo, Jeroen van Beek montre comment un scanner radio de l'aéroport
d'Amsterdam lit un passeport où se trouvent des informations décrivant
Elvis Presley et sa photo.
Le certificat numérique qui signe le passeport appartient au pays qui
délivre le passeport. Les systèmes électroniques sont censés vérifier
ce certificat. Tous les pays devraient avoir installé leur certificat
au niveau du répertoire des clé publiques PKD (Public Key Directory),
une base de données.
Mais pour l'heure, seulement dix des 50 pays supposés le faire, ont
accepté de faire l'opération et 5 seulement ont « nourri » la base de
données. Ainsi, si le faux passeport est passé en Hollande, c'est parce
que le pays n'utilise pas la base PKD.
(Source: securite.reseaux-telecoms.net)
Une faille dans Facebook corrigé
A partir d’une adresse officielle Facebook.com, un pirate pouvait intercepter les identifiants de connexion de n’importe quel membre.
Un white hat français est à l’origine de la découverte. “La faille est toute bête, mais très efficace, reconnait Thibaut L., la faute à un bug officiel Facebook“.
Tout débute par une adresse Internet officielle du géant de la relation sur Internet. Une url de type facebook.com/x/.
Cette adresse provoquait une redirection vers l’espace numérique de son choix. Il suffisait à un pirate de coupler cette url avec une action malveillante.
L’escroc pouvait donc intercepter les identifiants de connexion, l’ip, voir proposer d’installer un logiciel piégé aux couleurs du réseau social. Les possibilités ne sont limitées que par le niveau de nuisance du pirate.
La cible devait cliquer sur le lien officiel piégé pour être réorienter vers les mauvais dessins du pirate.
Facebook a corrigé sa faille lors de la mise en ligne de sa nouvelle version. L’attaque pouvait être exploitée à partir du lien http://www.facebook.com/#//
(Source: theinquirer.fr)
01 octobre 2008
Une faille chez Yahoo!
D’après Holden Karau, les mots de passe permettant d’accéder à Yahoo
Mail par le client Zimbra searaient envoyés sur Internet en clair.
Comme il l’écrit sur son blog, H. Karau dit qu’il est tombé dans la faille durant le Yahoo Hack Day de l’Université de Waterloo.
Les serveurs Yahoo imap employés par le Yahoo Desktop ne supportent pas le SSL et les mots de passe sont envoyés tels quels, dit-il.
Ce qui signifie que ceux qui utilisent Zimbra pour accéder à Yahoo mail devraient cesser immédiatement et changer leur mot de passe, surtout s’ils ont surfé sans fil, prévient H. Karau.
Holden Karau a informé Yahoo du problème au cours de sa présentation, mais personne n’a semblé s’en préoccuper.
Un porte-Zimbra a dit que le problème avait été isolé dans le code et qu’un bandage était prévu à la prochaine visite médicale. Yahoo a dit qu’ils regarderont ça de plus près maintenant que la faille a été rendue publique.
(Source: theinquirer.fr)
29 septembre 2008
Des pirates à l'affut d'Adobe Flash Server
Plusieurs distributeurs de vidéo à la demande, tels que Amazon, CBS.com
ou NBC.com utilisent le logiciel Adobe Flash Server afin d'encoder
leurs films au format Flash pour les proposer ensuite aux Internautes
via une formule de souscription. Cependant, le logiciel ne chiffre pas
la vidéo et ne se contente que de proposer des boutons de lecture. Aussi, afin d'accélérer le téléchargement flux de
lecture, Adobe a choisi de ne pas sécuriser la connexion entre le
logiciel et l'utilisateur.
Face à ce problème, Adobe a déployé au début du mois une mise à jour du
lecteur afin de corriger la faille et, selon un porte-parole, la
société aurait mis en place une technologie de chiffrage afin d'enrayer
l'enregistrement des flux au travers du lecteur d'Adobe.
Pourtant,
selon Reuters, certains outils permettant de capturer le flux vidéo,
tel que le logiciel Replay Media Catcher de Applian Technologies,
fonctionnent toujours. Bill Dettering, PDG de Applian affirme: « le flux d'Adobe n'est pas réellement sécurisé. Au sein du logiciel, l'une de leurs erreurs est que l'on peut capturer les flux.
». En plus d'enregistrer le film, le logiciel propose aussi de séparer
les publicités dans un dossier distinct afin d'éviter toute coupure
indésirable.
Certains pirates ont concentré leurs efforts sur une faille de sécurité du serveur d'Adobe Flash afin de capturer le flux de lecture des films.
Selon
l'analyste James McQuivey du cabinet Forrester Research « pour
la plupart des utilisateurs, c'est trop compliqué, les gens
veulent du contenu que l'on peut trouver facilement et regarder
simplement ». Mais ce n'est pas l'avis de tout le monde. Reuters
rapporte les propos de Brian Baker, directeur de Widevine, une
plateforme permettant de proposer plusieurs formats d'encodage pour les
services de VoD : "le problème fondamental c'est que le manque de technologie d'Adobe ne permet pas de garantir le modèle économique actuel."
(Source: clubic.com)
18 septembre 2008
Du clickjacking pour Adobe
Après qu'Adobe Systems le leur ait demandé, deux hackers ont décidé de
ne pas effectuer la présentation technique dans laquelle ils allaient
montrer comment prendre la main sur le navigateur web d'un internaute,
via une attaque de type « clickjacking ».
Les deux experts, Robert Hansen et Jeremiah Grossman, devaient
s'exprimer la semaine prochaine, lors de la conférence OWASP (Open Web
Application Security Project) à New York. Mais le programme qu'ils ont
développé pour prouver leurs dires mettait en évidence une faille d'un
des produits d'Adobe. Après une semaine de négociations avec Adobe, ils
ont finalement décidé vendredi 12 septembre dernier de ne pas faire
leur présentation. Bien qu'ils pensent que la faille découverte
provienne de la manière dont les navigateurs web sont conçus, Adobe les
a convaincu de patienter jusqu'à ce qu'il puisse proposer un correctif.
Dans une attaque par « clickjacking », on amène la victime à cliquer
sur des liens dangereux sans qu'elle s'en aperçoive. Il s'agit d'une
attaque connue depuis des années, sans qu'elle ait été considérée comme
étant spécialement dangereuse. Elle peut servir par exemple pour de la
publicité en ligne, de la fraude ou augmenter le taux de pages vues sur
un site web.
Mais les deux experts en sécurité se sont rendus compte que les dangers étaient plus élevés que prévu. "Si on peut contrôler là où vous cliquez, jusqu'où peut-on aller ?
interroge Jeremiah Grossman. Selon Tom Brennan, organisateur de la
conférence OWASP, ce qu'il a vu de la démonstration des deux experts
prouvait que l'on pouvait le contrôle complet du PC de la victime.
Quant aux deux experts, ils déclarent qu'ils n'ont pas subi de pression
de la part d'Adobe. Lundi, dans la soirée, Adobe a remercié les deux
experts et indiqué que la société était en train de chercher un
correctif. Robert Hansen et Jeremiah Grossman indiquent que Microsoft
devrait également proposer un correctif lié au même bug pour internet
explorer.
(Source: securite.reseaux-telecoms.net)