Résumé de la semaine #1 (du 30 décembre au 5 janvier)

Résumé de la semaine #1 (du 30 décembre au 5 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour Synology [1], McAfee [2] et Adobe Acrobat et Adobe Reader [3]. Ces vulnérabilités permettaient à un attaquant d’élever ses privilèges sur le système ainsi que d’en prendre le contrôle.

 

Code d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés.

Le premier permet d’exploiter une vulnérabilité provenant d’un défaut de vérification au sein de Microsoft Windows. Un attaquant local est en mesure de réaliser un déni de service voire de manipuler des données. Aucun correctif n’est disponible. [4]

Le second permet également d’exploiter une vulnérabilité affectant Microsoft Windows. Ce code d’exploitation permet à un attaquant local d’élever ses privilèges sur le système. Aucun correctif n’est disponible. [5]

Le troisième permet d’exploiter une vulnérabilité provenant d’un manque de contrôle au sein du logiciel Consul. Celui-ci permet à un attaquant distant de prendre le contrôle du système. Un correctif est disponible. [6]

Le quatrième permet également d’exploiter une vulnérabilité provenant d’un défaut de contrôle au sein du logiciel Consul. Celui-ci permet à un attaquant distant de prendre le contrôle du système. Un correctif est disponible. [7]

 

Informations

Vie privée

Abine, l’entreprise derrière le gestionnaire de mot de passe Blur et l’outil de protection de la vie privée DeleteMe a annoncé lundi avoir été victime d’une fuite de données, qui impactent presque 2,4 millions d’utilisateurs de Blur. Cette fuite aurait été découverte mi-décembre, par un chercheur en sécurité indépendant qui a découvert un serveur exposant un fichier contenant des informations relatives aux utilisateurs de Blur. Cette découverte a été la cause d’un audit de sécurité interne, qui visait à déterminer la taille de la fuite de données. [8]

Les données de près de 5 millions de passagers de la compagnie ferroviaire China Railway ont fuité depuis la plateforme officielle de réservation de billets de l’entreprise. Cette information provient d’un communiqué de la police de Beijing, selon lequel un suspect aurait déjà été arrêté. La plateforme de réservation, appelée « 12306 », est l’un des sites les plus visités du monde, particulièrement pendant le début de l’année, où des millions d’expatriés retournent en Chine pour célébrer le Nouvel An chinois auprès de leurs proches. [9]

Attaques

Un duo de hackers a annoncé avoir piraté des milliers d’objets connectés exposés à internet comme des appareils Chromecast, Smart TV ou Google Home pour jouer une vidéo poussant les utilisateurs à s’abonner à la chaine Youtube PewDiePie’s. Cette campagne de piratage se fait appeler CastHack. Cet évènement fait écho à ce qui s’est produit le mois dernier lorsque des milliers d’imprimantes ont été piratées pour s’abonner à cette même chaîne YouTube. Les utilisateurs peuvent se protéger en désactivant les services UPnP sur leur routeur, ou en faisant en sorte que le transfert de port ne s’effectue pas sur les ports 8008, 8009 ou 8443. [10]

Recherche

Un outil permet de déjouer la dernière version de ReCaptcha avec une précision de 91%. En avril 2017, la première version de unCaptcha était publiée. Celle-ci parvenait à déjouer l’outil ReCaptcha de Google avec une précision de 85 %. Depuis, Google a mis à jour son outil. En juin 2018, l’équipe de unCaptcha a publié la version 2 de son outil, qui permet, désormais, de déjouer le captcha dans 91 % des cas. [11]

Les systèmes biométriques de reconnaissance de veines moins efficaces que les empreintes digitales. Il semblerait que les dispositifs biométriques basés sur le réseau des veines de la main soient moins efficaces que ceux qui recourent aux empreintes digitales. C’est ce qu’ont découvert deux hackers grâce à une maquette à base de cire d’abeille. Leur travail a été présenté le 27 décembre au Chaos Communication Congress, à Leipzig en Allemagne. [12]

International

Le média Politico a récemment publié un article rapportant pour la première fois qu’un sous-traitant de la NSA, Harold Martin, est le principal suspect de l’affaire Shadow Brokers. Shadow Brokers est un groupe de pirates informatiques qui a diffusé en aout 2016 une série de programmes d’espionnage informatique. Harold Martin a été arrêté en aout 2016. La police a découvert plus de 50 téraoctets de données gouvernementales à son domicile, notamment des documents classifiés « Secret » et « Top Secret. Son procès est prévu pour juin 2019, près de trois ans après son arrestation. [13]

L’Union Européenne lance un programme de Bug Bounty sur plusieurs bibliothèques et logiciels Open Source. Depuis 2014 et la découverte de vulnérabilités au sein d’OpenSSL, de nombreux acteurs ont pris conscience de l’importance de la sécurité des composants Open Source. Depuis quelques années maintenant, on peut observer de plus en plus de projets et financements participatifs ou d’entreprises visant à financer des audits de sécurités. Cette initiative va être reconduite en 2019 par l’Union européenne sous forme de Bug Bounty et va concerner une quinzaine de composants Open Source. [14]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-0014
[2] CXA-2018-5321
[3] CXA-2019-0053
[4] CXA-2019-0009
[5] CXA-2019-0008
[6] CXA-2018-5323
[7] CXA-2018-5312
[8] CXN-2019-0048
[9] CXN-2019-0021
[10] CXN-2019-0020
[11] CXN-2019-0019
[12] CXN-2018-5317
[13] CXN-2019-0022
[14] CXN-2018-5320


Jean-Christophe Pellat

Cert-XMCO