Résumé exceptionnel de l’actualité du weekend

Résumé exceptionnel de l’actualité du weekend

Le weekend du 1er au 3 novembre a été riche en actualité. Les consultants du service de veille ont analysé et synthétisé ces faits marquants au sein de ce résumé exceptionnel.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.


Résultat de recherche d'images pour "chrome"2 vulnérabilités critiques corrigées au sein de Google Chrome [1]

Les vulnérabilités référencées CVE-2019-13720 et CVE-2019-13721 provenaient d’un accès à une zone mémoire après sa libération au sein des composants PDFium et audio. En incitant une victime à suivre un lien spécialement conçu, un attaquant était en mesure d’exécuter du code arbitraire sur le système afin d’en prendre le contrôle.
La vulnérabilité référencée CVE-2019-13720 a été observée dans le cadre d’attaque ciblée. Un code d’exploitation existe donc dans la nature.


Résultat de recherche d'images pour "clamAv"Une vulnérabilité critique au sein de l’antivirus ClamAV [2]

Une vulnérabilité a été découverte au sein de ClamAV. Son exploitation permet à un attaquant de prendre le contrôle du système.

La faille de sécurité, non référencée, provient d’une erreur au sein de l’analyseur de bytecode ClamBC. Un code d’exploitation [3] se présentant sous la forme d’un programme écrit en Python est disponible. En exécutant ce code, un attaquant peut générer un fichier spécifique afin de provoquer une exécution de code arbitraire par l’utilitaire.

Aucun correctif de sécurité n’est disponible à l’heure actuelle.

 


Une campagne d’attaques exploitant la vulnérabilité BlueKeep repérée [4]

Le chercheur en sécurité Kevin Beaumont a partagé une analyse du comportement de ses honeypots sur Twitter.  Celui-ci a notamment remarqué que l’ensemble de ses systèmes exposant un port RDP (Remote Desktop Services – TCP/3389) présentaient un comportement similaire : le Blue Screen of Death (ou BSOD), résultat d’un plantage du système.

Après avoir analysé les systèmes, le chercheur a pu découvrir des traces correspondant à une exploitation de BlueKeep (CVE-2019-0708[5], une vulnérabilité impactant le composant Remote Desktop Services et permettant d’exécuter du code arbitraire à distance sur le système, sans interaction de la part de l’utilisateur. Ces traces ressemblent fortement au module Metasploit existant pour cette vulnérabilité [6].

bluekeep

Les chercheurs de Kryptos Logic ont quant à eux publié une analyse détaillée de la mémoire des systèmes visés. Cette analyse montre le fonctionnement du code d’exploitation en conditions réelles ainsi que son objectif : le déploiement d’un logiciel minant de la cryptomonnaie (Monero). Cette analyse est disponible ici.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-4999 [2] CXA-2019-4991 [3] CXA-2019-5000 [4] CXN-2019-4990 [5] CXA-2019-2205  [6] CXA-2019-4056


Alexandre Padel