Résumé de la semaine 10 (du 6 au 12 mars)

Résumé de la semaine 10 (du 6 au 12 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par F5 corrigeant 4 vulnérabilités critiques [1a][1b], par Microsoft lors de sa publication mensuelle du Patch Tuesday [2], par Apple pour son système d’exploitation macOS [3a][3b] et pour son navigateur Safari [4], et enfin par SAP [5].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés. Des correctifs sont disponibles.

Prise de contrôle du système via 2 vulnérabilités au sein de Microsoft Exchange [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. L’exécution de ce programme permet, en spécifiant une adresse email valide ainsi que l’adresse du serveur vulnérable, de déposer un webshell dans l’arborescence du service Web afin d’exécuter des commandes arbitraires en tant que NT AUTHORITY\SYSTEM.

Élévation de privilèges via une vulnérabilité au sein de Windows Server (1909) [7a][7b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En exécutant ce programme sur un système vulnérable, un attaquant est en mesure de prendre le contrôle de l’intégralité du système d’exploitation.

Prise de contrôle du système via une vulnérabilité au sein de VMWare vCenter [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby pour le framework Metasploit. En exécutant ce programme, un attaquant est alors en mesure de créer une archive .tar et de la télécharger sur le vCenter puis de l’extraire en effectuant une requête POST spécifiquement conçue vers l’URI /ui/vropspluginui/rest/services/uploadova.

Divulgation d’informations via une vulnérabilité au sein de Jira Server [9a][9b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme depuis son poste, un attaquant non authentifié est en mesure d’identifier des noms d’utilisateurs valides sur l’application depuis un dictionnaire dont il dispose.

Dommage non spécifié via une vulnérabilité au sein de GLPI [10]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. Cette requête est chargée du paramètre fromtype qui contient le nom d’une classe à instancier sur le serveur.

 

Informations

Vulnérabilités

La mise à jour de Microsoft Exchange peut s’installer sans corriger les vulnérabilités exploitées [11a][11b]

Les récentes mises à jour de sécurité de Microsoft Exchange présentent des problèmes lors de l’installation sur les serveurs où le contrôle des comptes d’utilisateurs est activé. Cet incident se produit lorsque certains fichiers ne sont pas mis à jour lors de l’installation manuelle des mises à jour. Le programme d’installation n’affiche pas d’erreur ni de message d’alerte pour avertir l’utilisateur que la mise à jour ne s’est pas installée correctement.

Investigation et détection de l’exploitation des vulnérabilités 0-day sur Exchange [12a][12b]

Le 2 mars 2021, Microsoft publiait un correctif remédiant à plusieurs vulnérabilités 0-day sur les serveurs Exchange. Ces vulnérabilités seraient exploitées par des groupes d’attaquants (HAFNIUM notamment) depuis janvier. Leur exploitation permet de déposer un webshell sur un serveur Exchange à distance et sans authentification afin d’en prendre le contrôle. FireEye a ainsi publié des « astuces » d’investigations permettant de détecter une éventuelle compromission.

Solutions de contournement des vulnérabilités impactant les serveurs Microsoft Exchange [13]

Le 2 mars 2021, 7 vulnérabilités impactant Microsoft Exchange ont été corrigées. Leur exploitation combinée permettait à un attaquant à distance et non authentifié de déposer un webshell sur un serveur Exchange afin d’en prendre le contrôle. Dans ce contexte, le CERT-XMCO recommande d’installer la dernière version de Microsoft Exchange. Cependant, dans le cas où l’installation de cette mise à jour n’est pas possible, Microsoft propose plusieurs solutions de contournement.

Phishing

Une campagne de phishing Office 365 utilise un faux Google reCAPTCHA pour tromper les internautes [14][14b][14c]

Une campagne de phishing est en cours depuis décembre 2020. Elle vise à voler les identifiants Office 365 d’employés provenant majoritairement des secteurs bancaire et informatique. Les profils sont des cadres seniors disposant d’un accès à des ressources hautement confidentielles et critiques. Les victimes reçoivent un email leur demandant de vérifier leurs identifiants à travers un lien malveillant. Selon certains scénarii, une pièce jointe malveillante est utilisée pour augmenter les chances de compromettre les identifiants de la victime.

Publication

L’entreprise PT Security publie un rapport sur l’évolution des techniques de détection des environnements « sandboxés » [15a][15b]

Le 18 février, l’entreprise PTSecurity a publié un article concernant l’évolution des techniques de détection d’environnement cloisonné (sandbox) par les malwares. Ces environnements sont généralement utilisés par les analystes afin d’étudier le comportement des codes malveillants dans un environnement maîtrisé. C’est pourquoi ces dernières années, les programmeurs de malware ont implémenté diverses mécaniques permettant de détecter ces environnements cloisonnés et d’empêcher l’exécution de leurs codes afin de pouvoir gagner du temps.

Fuite d’informations

Près de 2 millions d’identifiants de connexion de Français ont été divulgués [16]

Les identifiants de connexion de près de 2 millions de Français ont été divulgués publiquement sur Internet. Les mots de passe divulgués sont disponibles en clair, les rendant directement utilisables par un attaquant afin de mener à bien des attaques de type credential stuffing ou bien des attaques par ingénierie sociale. La source de cette fuite de données massive n’a pas été identifiée. Cependant, d’après une recherche menée par Zataz, 80% des informations de la base ont déjà été identifiés lors de précédentes fuites de données.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-1229
[2] CXN-2021-1197
[3] CXA-2021-1169
[4] CXA-2021-1178
[5] CXA-2021-1167
[6] CXA-2021-1230
[7] CXA-2021-1187
[8] CXA-2021-1152
[9] CXA-2021-1228
[10] CXA-2021-1124
[11] CXN-2021-1107
[12] CXN-2021-1114
[13] CXN-2021-1129
[14] CXN-2021-1173
[15] CXN-2021-1108
[16] CXN-2021-1109


Alexandre Padel