Résumé de la semaine #10 (du 3 au 9 mars)

Résumé de la semaine #10 (du 3 au 9 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Google Chrome [1] et Android [2], par GitLab [3], par WordPress [4] et par Adobe pour Adobe ColdFusion [5]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Il est à noter que des campagnes d’attaques exploitant les vulnérabilités affectant Google Chrome et Adobe ColdFusion ont été détectées sur Internet.

Codes d’exploitation

5 codes d’exploitation ont été publiés cette semaine.

Splunk Enterprise [6]

Le premier code d’exploitation affecte Splunk Enterprise et permet à un attaquant distant ayant les droits d’administration sur Splunk de prendre le contrôle du système sous-jacent. Le code d’exploitation se matérialise sous la forme d’un code en Python. Un attaquant peut l’utiliser afin d’uploader une application Splunk spécifiquement forgée sur le serveur et de l’utiliser afin d’exécuter du code arbitraire. Aucun correctif n’est actuellement disponible.

Windows Server 2008/2008 R2 [7]

Le second code d’exploitation affecte Windows Server 2008 et Windows Server 2008 R2. Il permet à un attaquant d’élever ses privilèges sur le système. Le code d’exploitation se matérialise sous la forme d’un projet Microsoft Visual Studio. Un attaquant connecté au système peut exécuter le projet afin d’exploiter une erreur dans la gestion des objets en mémoire par le système d’exploitation et d’y élever ses privilèges. Un correctif est disponible.

Drupal [8]

Ce code d’exploitation affecte Drupal. Il est similaire à celui publié la semaine dernière. Cependant, il prend ici la forme d’un module pour le framework Metasploit, fournissant une solution « clé en main » aux attaquants. Un correctif est disponible.

WordPress [9]

Le quatrième code d’exploitation affecte WordPress et permet à un attaquant de manipuler des données et de prendre le contrôle du système. Le code d’exploitation se matérialise sous la forme d’un code en Javascript. Un attaquant avec les privilèges auteur peut créer un dossier arbitraire sur le système et y déposer une image forgée permettant d’exécuter du code arbitraire sur le système si celle-ci est utilisée dans un article. Un correctif est disponible.

Cisco Webex [10]

Le dernier code d’exploitation affecte l’application Cisco Webex Meetings Desktop App pour Windows. Il permet à un attaquant de prendre le contrôle du système. Le code d’exploitation se matérialise sous la forme d’un programme au format BAT. Un attaquant peut l’utiliser afin d’exploiter le mécanisme de mise à jour de l’application et charger une bibliothèque qu’il contrôle afin d’exécuter du code arbitraire avec les privilèges de l’utilisateur `SYSTEM`.

Informations

Vulnérabilité

Découverte de la vulnérabilité Spoiler affectant tous les processeurs Intel Core [11]

Une nouvelle vulnérabilité affectant les processeurs Intel Core a été découverte. Baptisée Spoiler, celle-ci est due à l’exécution spéculative, de même que Spectre et Meltdown. Exploiter cette vulnérabilité permet à un attaquant d’obtenir des informations sensibles pouvant faciliter d’autres attaques (comme Rowhammer). Selon les chercheurs, aucun correctif logiciel ne permettrait de résoudre le problème. Un article présentant des détails techniques sur cette vulnérabilité est disponible à l’adresse suivante : https://arxiv.org/pdf/1903.00446.pdf.

Fuites d’informations

Fuite des données de 5 millions d’utilisateurs du plus important annuaire téléphonique saoudien [12]

L’une des applications de communications les plus populaires en Arabie Saoudite, Dalil, exposait sur Internet une base de données MongoDB sans authentification. Cette base de données contenait les données collectées directement par l’application mobile (numéro de téléphone, IMEI, modèle de l’appareil, localisation, etc.) et les données récoltées lors de l’inscription (empreinte de mot de passe, adresse email, nom, prénom, etc.). Les chercheurs ont remonté l’existence de la base de données à Dalil, leur message est pour l’instant sans réponses.

Les données de la Dow Jones Watchlist ont été exposées [13]

Un chercheur en sécurité a découvert une instance Elasticsearch, exposée sans authentification. Celle-ci contenait une copie de la Dow Jones Watchlist, une base de données constituée par la société Dow Jones et dont l’accès est normalement payant. La base contenait plus de 2 millions d’entrées pour un total de plus de 4Go. Depuis, l’instance n’est plus accessible. L’exposition aurait été due à une erreur de configuration d’une instance AWS par un prestataire.

Annonce

Le W3C adopte officiellement le standard WebAuthn pour remplacer les mots de passe [14]

Le World Wide Web Consortium (W3C) a annoncé que la spécification Web Authentication (WebAuthn) était désormais un standard Web officiel. Ce nouveau standard permet de remplacer le mot de passe par une authentification biométrique, l’utilisation d’un appareil mobile ou une clé USB sécurisée. L’objectif de ce nouveau standard : apporter une solution contre le vol de mot passe, le phishing et les attaques par rejeu.

Recherche

Les dix images Docker les plus utilisées contiennent au moins 30 vulnérabilités chacune [15]

La société Snyk, éditrice du scanner de vulnérabilités éponyme, a publié son rapport sur l’état de la sécurité dans les logiciels libres. Ce rapport présente un constat grave sur les images Docker les plus populaires : celles-ci sont toutes vulnérables. Après investigations, il s’avère que le problème provient des bibliothèques du système d’exploitation hébergeant l’image. Bien souvent obsolètes, elles présentent un grand nombre de vulnérabilités. Il suffirait donc d’utiliser des versions plus récentes (et mises à jour) des systèmes d’exploitation.

Attaque

Des conteneurs Docker vulnérables exploités pour miner du Monero [16]

Des chercheurs de la société Imperva ont découvert des conteneurs Docker exposés sur Internet avaient été compromis. En utilisant le moteur de recherche Shodan, les chercheurs ont découvert près de 4 000 systèmes exposant une API Docker. En utilisant cette API, il est possible de lister les images Docker disponibles. Environ 400 systèmes contenaient une image ayant pour but de miner du Monero, des images probablement déployées par des attaquants. Les chercheurs indiquent également qu’un attaquant ayant la possibilité de déployer des images sur un système pourrait provoquer des dommages bien plus graves que déployer un mineur de cryptomonnaies.

Vie privée

Les enregistrements des caméras embarquées de la police allemande stockés sur des serveurs Amazon [17]

De plus en plus de villes en Europe équipent leur effectif de police de caméras embarquées. Elles permettent en effet de garder des traces objectives des actions et interactions des policiers. Bien entendu, il est nécessaire que ces vidéos soient sauvegardés de façon sécurisée. À ce but, le ministère de l’Intérieur allemand a choisi de confier ses vidéos à Amazon, qui est le seul prestataire certifié par l’Office fédéral de la sécurité des technologies de l’information. Cette décision a créé une levée de boucliers de l’opposition, qui signale que confier ces données à une société privée présente un risque majeur. Pour le moment, le ministère de l’Intérieur continue à défendre ses positions.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] https://leportail.xmco.fr/watch/advisory/CXA-2019-1028
[2] https://leportail.xmco.fr/watch/advisory/CXA-2019-1061
[3] https://leportail.xmco.fr/watch/advisory/CXA-2019-1050
[4] https://leportail.xmco.fr/watch/advisory/CXA-2019-1027
[5] https://leportail.xmco.fr/watch/advisory/CXA-2019-1003
[6] https://leportail.xmco.fr/watch/advisory/CXA-2019-1054
[7] https://leportail.xmco.fr/watch/advisory/CXA-2019-1043
[8] https://leportail.xmco.fr/watch/advisory/CXA-2019-1060
[9] https://leportail.xmco.fr/watch/advisory/CXA-2019-1024
[10] https://leportail.xmco.fr/watch/advisory/CXA-2019-1002
[11] https://leportail.xmco.fr/watch/advisory/CXN-2019-1084
[12] https://leportail.xmco.fr/watch/advisory/CXN-2019-1055
[13] https://leportail.xmco.fr/watch/advisory/CXN-2019-1015
[14] https://leportail.xmco.fr/watch/advisory/CXN-2019-1030
[15] https://leportail.xmco.fr/watch/advisory/CXN-2019-0997
[16] https://leportail.xmco.fr/watch/advisory/CXN-2019-1034
[17] https://leportail.xmco.fr/watch/advisory/CXN-2019-1044


Arthur Gautier