1 Activité en cours
1.1 Incidents traités
1.1.1 Modifications de page web
Le CERTA a récemment traité deux cas de modifications de page web :
- Dans le premier cas, la faille exploitée n'est pas connue. Plusieurs pages d'accueil de sites web hébergés sur la même machine ont été modifiées, mais l'attaque ne s'est pas limitée à ces actions puisqu'un intrus a ajouté un proxy pour faire de l'irc (bouncer).
- Dans le second cas, la faille exploitée est probablement une vulnérabilité d'un forum phpBB qui n'était pas mis à jour.
1.1.2 Mise en liste noire
Un de nos correspondants nous a informés que ses serveurs de messagerie avaient été mis en liste noire (blacklist) par un organisme suite à l'infection de quelques postes par un code malveillant qui émettaient des messages non sollicités (spams). L'organisme gérant la liste noire exige qu'un montant d'au moins 50 dollars soit versé à une association caritative avant de retirer qui que ce soit de cette liste. Le CERTA traite actuellement cet incident. Si vous avez aussi été mis en liste noire, veuillez nous contacter afin que nous vous aidions à en sortir.
1.1.3 Fichier au format WMF malveillant
Un de nos correspondants nous a signalés l'infection de quelques postes sous Windows suite à l'exploitation de la vulnérabilité décrite dans l'alerte CERTA-2005-ALE-019. Il s'agit pour le moment du premier cas porté à notre connaissance. Nous rappelons que Microsoft a mis à disposition un correctif concernant cette vulnérabilité (voir avis CERTA-2006-AVI-011). Toutefois, ce correctif ne résoud pas tous les problèmes liés aux fichiers au format WMF. Il subsiste quelques vulnérabilités qui sont connues et ont été rendues publiques, mais selon Microsoft, l'impact de celles-ci se limitent à des problèmes de stabilité d'application (voir le message posté sur http://blogs.technet.com/msrc/archive/2006/01/09/417198.aspx).
1.1.4 Infections par Sober
Le CERTA a été informé de multiples infections par le ver Sober. L'activité liée à ce ver se caractérise par de nombreuses tentatives vers les sites :
- people.freenet.de
- scifi.pages.at
- free.pages.at
- home.pages.at
- home.arcor.de
Recommandation :
L'examen des journaux des éventuels proxies permet de découvrir facilement ces infections. Le but des connexions vers les sites mentionnées ci-dessus est de télécharger des exécutables. Les machines infectées peuvent donc par la suite adopter un comportement imprévisible.
2 Correctifs de Microsoft
En marge du correctif concernant les fichiers WMF, Microsoft a émis deux bulletins ce mois-ci concernant des failles critiques relatives à l'affichage des polices web et au format TNEF dans les messages. Cette dernière (avis CERTA-2006-AVI-018) peut faire l'objet d'un ver. Il est important d'appliquer ces correctifs (conformément à votre politique de sécurité).