Résumé de la semaine 1 (du 1 au 7 janvier)

Résumé de la semaine 1 (du 1 au 7 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Android [1], Google Chrome [2], Apache Struts [3] et VMware ESXi [4]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Juridique

La Commission Fédérale du Commerce va sanctionner les entreprises qui ne cherchent pas à corriger la faille Log4j [5a] [5b] [5c] [5d]

Le 4 janvier 2022, la Commission Fédérale du Commerce (FTC) a annoncé qu’elle va désormais sanctionner les organisations américaines qui ne prennent pas des mesures appropriées pour corriger la vulnérabilité Log4j. De fait, la FTC estime qu’un tel comportement risque de conduire au vol massif de données des consommateurs américains, lors d’une cyberattaque contre une organisation n’ayant pas mis en place de contre-mesures. Or, la protection des données personnelles est au fondement du FTC Act, lui-même étant l’acte fondateur de la Commission.

Cybercriminalité

Un promoteur immobilier français victime d’une fraude au président à 33 millions d’euros [6a] [6b]

D’après le Parisien, l’entreprise en immobilier Sefri-Cime s’est fait voler un total de 33 millions d’euros suite à une arnaque de type fraude au président réalisée en décembre 2021. Plus spécifiquement, les attaquants ont utilisé de fausses adresses email et ont mené leur opération en deux temps :

  • Un premier attaquant se fait passer pour le président de l’entreprise puis prend contact avec une comptable, lui révélant qu’une introduction en Bourse est imminente et que, dans ce cadre, elle doit réaliser des opérations secrètes ;
  • Un second intervient en tant qu’avocat du cabinet d’audit KPMG et pousse la comptable à transférer de l’argent vers des comptes situés en Hongrie, en Croatie et en Grèce.

Malware

Le rootkit Purple Fox usurperait l’application Telegram dans de nouvelles campagnes d’attaques [7]

Les experts de l’entreprise israélienne Minerva Labs ont identifié une campagne d’attaque visant à installer le malware Purple Fox. Les acteurs cibleraient les personnes souhaitant installer l’application de discussion en peer to peer Telegram. Pour ce faire, les attaquants passeraient par un script intitulé Telegram Desktop.exe contenant l’exécutable légitime Telegram et un fichier malveillant intitulé TextInputh.exe.

Hardware

Une zone tampon des disques SSD peut être utilisée pour injecter du code malveillant indétectable [8]

Des chercheurs coréens ont développé des techniques d’attaques inédites, exploitant une spécificité de conception des disques durs SSD. Pour optimiser leurs performances, la société Micron Technology a développé une technologie, appelée flex capacity. Celle-ci permet d’ajuster automatiquement l’espace brut du disque et celui alloué à l’utilisateur, par le biais d’une zone tampon appelée over-provisioning prenant entre 7% et 25% de la taille totale du disque. N’ayant pas vocation à être utilisée directement, cette zone est inaccessible par le système d’exploitation et tous les logiciels y figurant, dont les antivirus. Un premier type d’attaque consiste à cibler une zone de données invalide, située entre la zone utilisable et celle d’over-provisioning. Pour économiser des ressources, les fabricants de SSD n’effacent pas cette zone invalide, et laissent les deux autres zones susmentionnées écrire par-dessus lorsqu’elles nécessitent l’espace.

Entreprise

Un bug similaire à celui de l’an 2000 empêche les serveurs Exchange on-premise d’envoyer des emails [9a] [9b] [9c] [9d]

Un bug dans le moteur d’analyse anti-malware FIP-FS empêche depuis le 1er janvier 2022 les serveurs Microsoft Exchange d’envoyer des emails. D’après le chercheur en sécurité Joseph Roosen, l’erreur provient de l’utilisation d’une variable signée int32 pour stocker la valeur d’une date. Ce genre de variable a pour valeur maximale 2 147 483 647 or, les dates en 2022 ont pour valeur minimum 2 201 010 001. La valeur maximale de la variable int32 est donc systématiquement dépassée , ce qui provoque une erreur lors de l’analyse de FIP-FS, empêchant les emails d’être envoyés.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-0036
[2] CXA-2022-0034
[3] CXA-2022-0011
[4] CXA-2022-0035
[5] CXN-2022-0040
[6] CXN-2022-0033
[7] CXN-2022-0022
[8] CXN-2022-0010
[9] CXN-2022-0021


Marc Lambertz

Analyste CERT-XMCO