Publié le 28 Novembre 2010

viruspc

 

Découverte d'une faille sur les systèmes de Microsoft qui donnerait les privilèges de la machine en contournant l'UAC.


C'est sur son blog que Prevx, société de sécurité informatique, signale la découverte d'une faille 0 Day (faille rendue publique sur Internet). Jugée importante, elle concerne les systèmes Windows XP, Vista et Windows 7 (32 et 64 bits).

Cette faille de type "buffer overflow" (dépassement de mémoire tampon) concerne le pilote de périphérique win32k.sys, qui correspond au noyau du sous-système Windows.

Elle est considérée comme dangereuse car, elle contourne l’UAC (User Account Control), la fenêtre d'avertissement qui demande à l'utilisateur de confirmer une action susceptible d’altérer la sécurité du système Windows, ainsi tous les comptes sont concernés du compte administrateur au compte avec aux droits limités comme les comptes utilisateurs classiques.

 uac seven

 

Pour obtenir les privilèges de la machine, il faut que le malware soit présent sur la machine de la victime, par contre si un cybercriminel exploite cette faille, il pourrait ainsi obtenir les privilèges de la machine et en prendre le contrôle pour installer du code malveillant.

Prévenu de la faille, Microsoft via son équipe de sécurité a réagi sur Twitter, en indiquant travailler sur cette vulnérabilité sans préciser pour

l'instant si une mise à jour est prévue dans les prochains jours.

Dans l'attente d'une correction, faites attention aux alertes ou téléchargements d'aspect suspects.

Ci-dessous, une démonstration de l'exploitation de la faille réalisée par Sophos : 

 

 

Autre démonstration réalisée par Prevx

 

 

 Source : Prevx - Sophos - Microsoft

 

Voir les commentaires

Rédigé par Cybersecurite

Publié dans #Failles Sécurité

Repost 0

Publié le 27 Novembre 2010

piratage

 

L'éditeur en sécurité informatique, G Data SecurityLabs, émet une alerte sur un nouveau cheval de Troie : Ares.

Son mode de fonctionnement ressemble à un autre célèbre cheval de Troie, Zeus, qui a fait parler de lui à maintes reprises, mais Ares se place en digne successeur ce qui en fait un malware redoutable.

Il faut noter la fascination que portent les cybercriminels pour la mythologie grecque…

Le directeur du G Data SecurityLabs, Ralf Benzmüller déclare qu'"Ares permet des infections par simple navigation sur des sites Internet infectés. Il dispose de beaucoup de variantes et peut être utilisé dans pratiquement tout type d’attaque. Le vol de données bancaires ne sera malheureusement pas la seule activité de ce code."

Disponible à la vente sur Internet, ne doutons pas que les cybercriminels aillent se l'accaparer pour lancer de multiples attaques sur le net, de par sa modularité, les pirates pourront ainsi diffuser et modifier le code selon leurs cibles.

Il est accompagné d’un SDK complet. Et comme bon nombre de menaces, elle est accompagnée d’un véritable « business model ».

C'est-à-dire que pour tout nouveau malware utilisant Ares et vendu sur le marché, un droit de licence sera payé à son créateur. Le code Ares pour une utilisation immédiate coûte 6 000 dollars. Mais un « starter pack» peut également être acheté pour 850 dollars. Il permet d’intégrer des modules en fonction des besoins.

 

ares

 

L'interface de contrôle d’Ares

Ares étant disponible depuis quelques jours sur les marchés parallèles, il est fort à parier que ce code nuisible et ses variantes devraient rapidement se diffuser sur Internet.

Source : G-data

Articles similaires

- Tonnerre de Zeus - le botnet qui fait trembler Internet

- Malware Zeus : un botnet à l'origine d'une attaque informatique

Voir les commentaires

Rédigé par Cybersecurite

Publié dans #Menaces Informatiques

Repost 0

Publié le 27 Novembre 2010

Top 5 des menaces de G-Data

 

 

Après la domination de ces derniers mois, des malwares au format .PDF, voici le retour des failles Java.
c'est l'annonce faite par l'éditeur en sécurité informatique G Data Software AG.

Une nouvelle cible pour les pirates informatiques, piégé les internautes via des applets java de certains sites web, afin de

contrôler des ordinateurs à distance.

D'après son classement

En 1ère position : Java.Trojan.Exploit.Bytverify.N
Il exploite une vulnérabilité dans le vérificateur de code de Java,
La technique utilisée le "drive by download", la victime ouvre une page web infectée pour télécharger et installer à son

insu, un cheval de Troie, ce dernier permettra à une personne malveillante de prendre le contrôle de son ordinateur.
> Il est vivement recommandé de mettre à jour les programmes utilisant le langage Java

En 2ème positions : le ver Worm.Autorun.VHG
Son moyen de propagation, l'utilisation de la fonction Autorun de Windows, qui se trouve sur des supports amovibles comme les

clés USB infectés, disques dus externes.
> Avant l’exécution ou le transfert de fichiers infectés se trouvant sur les disques amovibles, faites une analyse avec un

antivirus mis à jour.

A la 3ème place : JS:Pdfka-OE
Cet exploit utilise les vulnérabilités du code JavaScript dans les documents au format PDF.
En exécutant un fichier infecté, un pirate peut accéder à l’ordinateur de sa victime.
> Le conseil c'est d'éviter d'ouvrir un document reçu d'une personne inconnue ou de télécharger un lecteur PDF alternatif

En 4ème place : WMA:Wimad
Ce parasite concerne les personnes qui téléchargent de faux fichiers audio WMA (fake), puis incite la victime à installer un

codec vidéo, contenant un cheval de Troie prêt à infecter son ordinateur.
> N'accepter aucin téléchargement de codec sur des sites douteux

En 5ème place : Application.Keygen.BI
On trouve ce parasite dans les générateurs de clé disponibles en téléchargement sur les réseaux de P2P et les sites pirates.
Ces générateurs des clés déverrouillent des logiciels payants.
> Le téléchargement de ce type de programme est illégal, éviter de les utiliser pour ne pas infecter son ordinateur

 gdata


Source : G-Data

Voir les commentaires

Rédigé par Cybersecurite

Publié dans #Menaces Informatiques

Repost 0

Publié le 11 Novembre 2010

profil fb

 

Pour éviter les abus diffusés sur les réseaux sociaux lors de soirées un peu trop arrosées, une société a développé un add-on, Sobriety Test, pour vérifier l’état de sobriété des internautes.

Vie privée sur les réseaux sociaux...

Il est vrai qu'il est facile d'exposer sa vie privée sur les réseaux sociaux, mais attention de ne pas tomber dans un excès d'intimité dans un moment de relâchement. Surtout qu'avec l'explosion de ces réseaux communautaires, les entreprises prennent l'habitude avant de recruter, de regarder de plus près si des postulants ne s'exposent pas trop sur la toile.

Fort de ce constat, une société de sécurité informatique, Webroot, a pensé aux internautes qui, après une nuit bien arrosée, se laissent aller à divulguer trop d'informations personnelles sur les réseaux sociaux : mur FaceBook - Myspace - Tweet sur Twitter - vidéo sur YouTube, commentaire de blog sur Tumblr ou laisser des photos sur Flickr.

Mais le lendemain, avec des idées plus claires, l'internaute risque de regretter d'avoir dévoilé sa vie nocturne sur le net avec des conséquences embarrassantes ou délicates qui peuvent porter préjudice à nos proches ou amis.

Pour éviter ce genre de maladresse, existe-t-il des solutions.

... Des parades pour se protéger ?

- Pour les réseaux Sociaux

Webroot propose d'installer son éthylotest 2.0, un add-on pour les navigateurs Firefox, Chrome ou Safari, baptisé "Test de sobriété pour réseaux sociaux", dont la fonction est de bloquer l'accès à certains réseaux.

Une fois installé, le paramétrage est très simple, il suffit de sélectionner les réseaux sociaux les plus utilisés puis interdire une plage horaire.

Si l'internaute ivre décide de se connecter sur la plage horaire, il doit passer un examen de coordination soit :
- garder un curseur au centre d’un cercle en mouvement,
- écrire l’alphabet à l’envers en moins de 60 secondes.
- ou identifier correctement une série de lumières clignotantes.

En cas d'échec, l’internaute se voit refuser l’accès et un message s’affiche sur son mur : "trop intoxiqué pour poster dans l’immédiat". Voilà comment naît une réputation  virtuelle.

 

sobrietytest

 

 Cet outil n'a rien de sécuritaire, car la personne éméchée peut désinstaller l'add-on et poster ces commentaires, mais cela peut être une bonne mesure pour protéger ses contacts et d'éviter une dérive que l'on risque de regretter par la suite.


Vous pouvez voir un aperçu sur cette Vidéo (en anglais)

 

 

 - Pour les E-mail
Google propose un outil équivalent pour les utilisateurs de sa messagerie Gmail, Mail Goggles, ces derniers doivent résoudre cinq problèmes mathématiques en moins d’une minute avant d'envoyer leur mail.

Vidéo de démonstration : Mail Goggles

- Pour les SMS
Les utilisateurs d'iPhone et de certains modèles Nokia ont une application du même genre, SMS Undo, elle permet de retarder l'expédition du message, la personne peut régler le temps d'envoie entre 5 et 30 secondes pour relire son message.

Une autre application pour Android existe : Drunkblocker

Amis internautes, à bon entendeur, faire la fête ou délirer en ligne il faut choisir.


Source : Webroot

 

Voir les commentaires

Rédigé par Cybersecurite

Publié dans #Réseaux Sociaux

Repost 0

Publié le 4 Novembre 2010

ie

 

Le centre technique de Microsoft émet un bulletin d'alerte concernant le navigateur Internet Explorer version 6, 7 et 8, suite à la découverte d'une nouvelle vulnérabilité jugée comme critique.

Microsoft, ainsi que la firme Symantec, préviennent que des attaques ciblées exploitent cette faille.

Son déroulement est classique, l'internaute reçoit un mail contenant un lien qui pointe vers une page web frauduleuse, cela permet d'installer à l'insu de la victime des logiciels malveillant pour pouvoir contrôler son ordinateur à distance grâce à une porte dérobée (backdoor)

Pour l'instant, aucun correctif n'est proposé, dans l'attente d'un patch, les internautes peuvent :

- Activer pour Internet Explorer 7, la protection DEP (Data Execution Prevention)
Vous pouvez installer le Fix de Microsoft

- Vérifier sur la version 8, que la protection DEP soit active (normalement elle est active par défaut)

A noter que la version 9 (bêta) n'est pas touchée par cette faille

- Autre solution de secours, l'internaute peut placer le niveau de sécurité du navigateur à "haute" pour la zone Internet
Allez dans Menu Outils / Options Internet - Onglet Sécurité


Source : Microsoft - Symantec

 

Voir les commentaires

Rédigé par Cybersecurite

Publié dans #Navigateur

Repost 0

Publié le 2 Novembre 2010

Tonnerre de Zeus - le botnet qui fait trembler Internet

 

 Pour rappel, Zeus est considéré comme l'une des plus grandes menaces informatiques, son code est programmé pour récupérer les données bancaires ainsi que les identifiants des internautes toutes plates-formes confondues : pc, Mac, Playstation et même Nintendo Wili.

Une classification a été établie sur 200 pays les plus touchés :

- L'Egypte avec 19 % des ordinateurs zombis
- le Mexique (15 %),
- l’Arabie Saoudite (13 %),
- la Turquie (12 %)
- et les États-Unis (11 %).

Pourtant un réseau de pirates, basé en Europe de l'est avec des botnets au Royaume-Uni, ont été arrêtés par la justice américaine, grâce à une coopération internationale du FBI, de l'Ukraine, du Royaume-Uni et les Pays-Bas. Ils auraient utilisé le cheval de Troie Zeus pour pirater des comptes bancaires américains, en utilisant toujours la même technique : le spam massif.
L'internaute en cliquant sur un lien dans un courrier électronique frauduleux, installait à son insu Zeus qui permettait aux pirates de récupérer les numéros de compte bancaire, mot de passe ainsi que d'autres données personnelles, qui sont ensuite envoyées sur un serveur auquel le pirate accède au compte bancaire de la victime de façon anonyme pour effectuer un transfert d’argent, vers d'autres comptes bancaires.

À peine ce réseau démantelé, qu'un autre groupe de pirates informatiques lançaient des attaques sur des comptes du service financier Charles Schwab en utilisant les comptes du réseau social LinkedIn via un faux message de rappel avec des liens frauduleux vers des sites malveillants.

Mais le célèbre malware "ZEUS" fait toujours parler de lui, après les PC, voici qu'il s'attaque aux téléphones mobiles sous le nom de "ZITMO" (Zeus In The Mobile). Sa cible actuelle, les mobiles pour détourner des opérations bancaires en ligne.

C'est la société Fortinet, spécialiste de la sécurité réseau, qui rappelle que de plus en plus les banques utilisent la technique du SMS pour confirmer l'identité d'un client sur Internet.
Si un client fait une transaction bancaire en ligne via son ordinateur, en utilisant le site internet de sa banque, il risque fort de se faire dépouiller son compte.

Dans un premier temps, le malware intercepte les logins (Nom utilisateur et mot de passe) en utilisant le module PC de Zeus

Ensuite il récupère le numéro de téléphone en injectant un faux formulaire dans le navigateur
Après notre cher Zeus/Zitmo entre en action, en s'introduisant dans le téléphone mobile, il intercepte le code du SMS, pour installer un "certificat", qui contient Zitmo, le module mobile de Zeus.
Ainsi, les cybercriminels peuvent agir aisément sur les transactions effectuées à partir du PC de la victime et vidée son compte bancaire ou fait d'autres transactions.

Malgré ces arrestations, il existera toujours un groupe qui prendra le relais pour mener d'autres attaques, ce cheval de Troie est en évolution constant, l'attaque sur les mobiles est un exemple.

De plus avec une commercialisation, estimée à plusieurs milliers de dollars, la menace du botnet Zeus peut devenir un outil destructeur difficilement arrêtable pour toutes formes d'institutions : banques, entreprises... On s'aperçoit que Zeus risque d'avoir encore un bel avenir numérique devant lui.

 

Voir les commentaires

Rédigé par Cybersecurite

Publié dans #Attaques Informatiques

Repost 0