Mac OS X : de plus en plus vulnérable ?

Les dernières semaines n’ont pas été les meilleurs pour la réputation d’invulnérabilité de Mac.

F-Secure a mis en évidence l’existence d’un Trojan visant les systèmes Mac. Une Backdoor est déployée pendant qu’un PDF est ouvert afin de détourner l’attention de l’utilisateur final.

L’éditeur de logiciel de sécurité pour Mac, Intego, a lui trouvé un Cheval de Troie se prétendant être un installateur d’Adobe Flash Player, bien que Mac OS X Lion n’intègre pas de Flash Player.La faute provient des paramètres par défaut de Mac OS X, Safari considère que les packages d’installation sont sûrs (extensions.phg ou .mpky) et les exécutent aussitôt le téléchargement terminé. Si le Cheval de Troie réussi à s’installer, il va alors tenter de fermer certaines applications de sécurité, supprimer son package d’installation et injecter le code malveillant dans le système.

Le chercheur en sécurité Patrick Dunstan a, pour sa part, expliqué comment les mots de passe Mac OS X peuvent-être modifiés sans  effort. Ceci est rendu possible par le fait qu’un utilisateur sans privilège « root » puisse extraire les données directement à partir des services d’annuaire. Ces services ne nécessitent pas l’authentification des utilisateurs lors de l’exécution d’un changement de mot de passe.

On ne peut pas réellement penser que Mac OS X a beaucoup plus de failles qu’auparavant, seulement, on s’aperçoit qu’il y a un accroissement de l’intérêt d’étudier la sécurité de Mac OS et ses vulnérabilités. Aussi bien de la part des chercheurs que des hackers.

A l’avenir, il sera sans doute plus commun de trouver un logiciel Anti-Virus installé sur les systèmes Apple.

Défacement massif

Basée en Californie, le fournisseur d’hébergement web InMotion a subi une attaque qui a abouti à la compromission de milliers de pages d’accueil hébergées sur ses infrastructures. Le premier effet visible était le défacement des sites internet présents sur les serveurs. Les visiteurs des sites concernés se sont aperçus que des malwares étaient détectés par leur Anti-Virus. Du code JavaScript était présent dans les fichiers index corrompus.

Dans un post laissé sur le forum d’InMotion, le pirate Tiher-M @ te » prétend avoir compromis plus de 700 000 sites en une seule fois.

Ce qui est sûr,  c’est le risque collectif d’une infrastructure partagée. De manière plus générale, on retrouve une problématique d’une infrastructure hébergée chez un prestataire et partagée avec d’autres. Lorsque le prestataire est impacté par un sinistre, plusieurs organismes sont touchés en même temps.

La bête se réveille

Les deux chercheurs ayant découvert une faille  mettant en périple le chiffrement SSL/TLS qui est largement utilisé pour garantir la confidentialité et l’intégralité des données échangées sur internet, ont mis le doigt sur une vulnérabilité veille de plus de six ans.

Thai Duong et Juliano Rizzo ont démontré la fiabilité de leur exploit lors de la conférence sur la sécurité, Black Hat Ekoparty.

La version 1.1 du protocole de chiffrement n’est a priori pas concernée par l’exploit, mais la majorité des sites web, VPN et services de messagerie instantanée utilisent encore la version 1.0 en raison de sa forte inter-compatibilité.

La Bête, BEAST en anglais pour Browser Exploit Against SSL/TLS, décrypte les requêtes http sécurisées entre le navigateur et le serveur. L’exploit est un script Java qui utilise une faille lorsque le chiffrement se fait par blocs plutôt que par flux.

Jusqu’à présent, les responsables d’infrastructures ne souhaitaient par utiliser la dernière version du protocole. Par soucis de compatibilité…oui mais si toutes les organisations évoluaient ensembles, il n’y aurait pas de problème d’incompatibilité. La version 1.0 est la plus répandue alors qu’une autre version, non concernée par la faille déjà identifiée en 2004 mais avec un risque jugé faible, est déjà sortie depuis longtemps.

Windows annonce déjà être en train de travailler sur patch correctif.

MySQL.com piraté

Le site internet de la célèbre base de données a été compromis et a diffusé des codes malveillants. Les visiteurs pouvaient repartir du site en étant infectés par le pack d’exploits BlackHole. Ce dernier profitant des failles du navigateur Internet Explorer, des fichiers PDF, de plug-in  Java, etc.

Il s’agit de la deuxième attaque connue envers MySQL.com cette année, la première exploitait une faille d’injection…SQL.

Cette attaque intervient peu de temps après que le site internet  d’un autre géant de l’Open-Source, Linux.com, se fasse compromettre.

Des milliers d’ordinateurs infectés en Ex-URSS

Les chercheurs de Trend Micro ont découvert une série d’attaques à grande échelle qui aurait compromis près de 1500 machines réparties dans une soixantaine de pays. Surnommé Lurid, cette attaque a ciblé principalement la Russie, le Kazakhstan, l’Ukraine et plusieurs autres pays de l’ex-URSS

Dans le lot des victimes, on peut y retrouver des ministères, des missions diplomatiques et même des organismes gouvernementaux en lien avec des agences spatiales.

La campagne d’attaque a requis plus de 300 malwares. Les assaillants se sont servis d’un réseau contenant 15 noms de domaines et 10 adresses IP active pour maintenir le contrôle sur le déroulement des opérations.

Lurid a exploité des failles d’Adobe Reader et utilisé des fichiers .rar contenant des économiseurs d’écran malveillant. La plupart des failles étaient connues mais les machines n’étaient pas à jour. L’utilisation de failles « 0-day » ont été réservé pour les ordinateurs les plus résistants.

Ce sont essentiellement des listes d’annuaires qui ont été volées, c’est ce qui est le plus probable car de nombreux fichiers .xls ont transités durant l’attaque.

L’industrie de la défense japonnaise attaquée

Le journal Yomiuri déclare que le réseau informatique de Mitsubishi Heavy Industries a été piraté.

On est à mesure de penser que l’industrie de défense du Japon était clairement visée puisque l’entreprise fabrique des missiles, des sous-marins et des composants pour les usines nucléaires du pays.

Il semblerait que plus de 80 machines ont été infectées par des malwares aussi bien au siège de la compagnie que  les usines et centres de R&D.

Des données auraient été dérobées par les attaquants mais Mitsubishi ne confirme pas ces faits.

Un cyber-criminel Russe a réussi à dérober 3.2 millions de dollars à de grandes sociétés américaines

Selon Trend Micro le Hacker dénommé «le soldat » a utilisé divers toolkits dont SpyEye et Zeus ainsi que des exploits utilisés pour la prise en main du Search Engine Optimization de Blackhat.

Entre Janvier  et Juillet 2011 ce sont plus de 25000 systèmes qui ont été compromis, basés pour l’essentiel aux Etats-Unis mais également dans 90 autres pays.

Outre la somme d’argent volée, des données personnelles ont aussi été récupérées en provenance du gouvernement, de l’armée, des banques…

Cette attaque a été facilitée par le fait que les machines Windows attaquées n’étaient pas à jour.

Faille dans MS Office 2007 et 2010

MS Office est vulnérable à une exécution à distance de code malveillant. Les attaquants peuvent exploiter la faille en invitant l’utilisateur à ouvrir un document Word.

Il est recommandé de mettre à jour la suite bureautique, de surveiller son réseau afin de détecter les activités malveillantes et de ne pas ouvrir de fichier sans s’assurer de sa provenance.

Le BIOS infecté

Des chercheurs en Sécurité ont récemment découvert des rootkits visant à infecter le BIOS.

Mebroni, c’est son nom, se greffe dans les BIOS Award (cartes-mères de Phoenix Technologies). Il peut ainsi infecter le système à chaque redémarrage (même lorsqu’on remplace le disque dur).  Il permet par la suite de télécharger un cheval de Troie. On peut même l’utiliser avec d’autres BIOS, la différence est qu’il passera l’étape de la greffe et infectera directement le MBR (Master Boot Record) de la machine.

Difficile à détecter et en proie d’être compatible aux autres BIOS, ce type d’infection à sans doute de belles perspectives car avec cette technique, le nettoyage par l’antivirus n’est valable que jusqu’au redémarrage du système.