Résumé de la semaine 11 (du 7 au 13 mars)

Résumé de la semaine 11 (du 7 au 13 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Windows [1] [2], Gitlab [3], Joomla! [4a] [4b] [4c] [4d] [4e] [4f] et Firefox [5].
L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Des correctifs sont disponibles pour chacune des vulnérabilités.

Prise de contrôle du système via une vulnérabilité au sein d’Oracle WebLogic Server [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Java. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure d’exécuter du code à distance.

Prise de contrôle du système via une vulnérabilité au sein de Google Chrome [7]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. En incitant sa victime à ouvrir une page HTML spécialement conçue, un attaquant est capable d’exécuter un code arbitraire sur le système.

Prise de contrôle du système via une vulnérabilité au sein de Google Chrome [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby pour le framework offensif Metasploit. En incitant sa victime à ouvrir une page HTML spécialement conçue, un attaquant est alors en mesure d’exécuter du code arbitraire sur le système.

Prise de contrôle du système via une vulnérabilité au sein d’OpenSMTPd [9]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. En exécutant ce module contre un serveur vulnérable, un attaquant est alors en mesure d’exécuter du code arbitraire.

 

Informations

Botnet

Microsoft perturbe Necurs, le plus grand réseau criminel en ligne du monde [10]

Le 10 mars 2020, Microsoft et ses partenaires ont réussi à perturber grâce à un effort commun, le botnet (réseau de robots informatique) Necurs. L’un des plus prolifiques aujourd’hui.
Ce robot aurait infecté environ 9 millions de machines à travers le monde. Cette avancée est le fruit de 8 ans de recherches. Ces résultats empêchent aujourd’hui les pirates d’utiliser l’ensemble des fonctionnalités de ces robots.

Vulnérabilité

NordVPN corrige silencieusement une vulnérabilité permettant d’accéder à des données clientes via une requête HTTP non authentifiée [11]

Une vulnérabilité au sein des plateformes de paiement NordVPN permettait de récupérer des informations sur les utilisateurs via une simple requête HTTP POST non authentifiée. Il était ainsi possible de récupérer les adresses email, la méthode de paiement, la devise, le montant ou encore le contenu du panier de l’utilisateur.

Malware

Plus d’un milliard d’appareils Android seraient menacés par des logiciels malveillants [12]

Selon Google et le magazine en ligne britannique Which?, deux utilisateurs sur cinq d’Android dans le monde ne reçoivent peut-être plus les mises à jour.
Cela représenterait un vivier potentiel de pas moins d’un milliard de terminaux mobiles et de tablettes à pirater pour les attaquants. L’obsolescence n’est pas le seul facteur puisque certains modèles sont encore en vente en ligne sur certaines plateformes de type Amazon.

Le malware de vol de données FormBook surf sur les craintes liées au Coronavirus [13]

Une nouvelle campagne de phishing prétendant avoir des informations sur le Coronavirus (COVID-19) a été identifiée. Les emails se font passer pour des bulletins d’information de l’Organisation mondiale de la santé et visent à déployer le virus FormBook, un malware spécialisé dans le vol de données.

Hardware

Les puces Intel victime d’une nouvelle faille prétendument incorrigible [14]

C’est une annonce qui devrait faire trembler l’ensemble du secteur informatique puisqu’elle concerne quasiment la totalité des puces produites par Intel ces 5 dernières années à l’exception de la nouvelle génération “Ice Lake”.
Il s’agit d’une vulnérabilité baptisée “Curveball” (CVE-2019-0090) découverte par des chercheurs de Positive Technologies.
La vulnérabilité ne peut être exploitée uniquement si l’attaquant à un accès physique au matériel. “L’attaque apparait de base comme quelque chose de très compliqué” selon les propos d’Intel. La faille ne serait pas applicable sur un parc de machines professionnelles qui disposent d’une puce dédiée au chiffrement : le TPM (Trusted Platform Module).

TRRespass : une nouvelle variation de l’attaque RowHammer permettant de manipuler la mémoire [15]

Un article du 10 mars 2020 publié sous le nom de TRRespass : Exploiting the Many Sides of Target Row Refresh annonce que certains modules DDR4 Dynamic Random Access Memory (DRAM, Mémoire vive dynamique) seraient vulnérables à un nouveau genre d’attaque. Ceci malgré l’idée que ces composants étaient immunisés contre les attaques de type RowHammer.
Les problèmes causés par RowHammer résultent d’une interaction électromagnétique non volontaire ni prévisible entre deux cellules de mémoire qui sont physiquement proches l’une de l’autre.

PCI DSS

Le PCI Council reporte l’expiration des terminaux de paiement PTS POI v3 à l’année prochaine [16]

Le Conseil des normes de sécurité PCI a publié un bulletin annonçant le report d’un an de la date d’expiration des terminaux de paiement PTS POI v3 (PIN Transaction Security Point-of-Interaction version 3) à cause de perturbations des chaines d’approvisionnement liées à l’épidémie de Covid-19.

Cybercriminalité

De nombreux groupes d’attaquants soutenus par des états sont en train de pirater des serveurs Microsoft Exchange [17]

De nombreux groupes d’attaquants sponsorisés par des états sont actuellement en train d’exploiter la vulnérabilité référencée CVE-2020-0688 pour prendre le contrôle de serveurs Microsoft Exchange. Les premières tentatives d’exploitation ont été détectées vendredi dernier par la société anglaise Volexity spécialisée en sécurité informatique.
La vulnérabilité a été corrigée dans le Patch Tuesday de février 2020. Après deux semaines durant lesquelles il ne s’est rien passé, trois preuves de concept ont été publiées sur Github et un module Metasploit a vu le jour.

Fuite d’informations

Virgin Media confirme une fuite de données impactant 900 000 personnes [18]

Une erreur de configuration aurait laissé une base de données appartenant à Virgin Media accessible pendant 10 mois. Cette base de données contenait des informations de clients et de clients prospectifs de la société.

Cloud/SaaS

Des centaines de sous-domaines Microsoft pourraient être facilement piratés [19]

Des chercheurs en sécurité ont identifié plus de 670 sous-domaines de grandes organisations qui pourraient être piratés. Alors que quelques sous-domaines de microsoft.com avaient déjà été piratés, c’est au tour de skype.com, visualstudio.com et windows.com de connaître le même problème.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-1300
[2] CXN-2020-1325
[3] CXN-2020-1322
[4] CXN-2020-1312
[5] CXN-2020-1299
[6] CXN-2020-1228
[7] CXN-2020-1227
[8] CXN-2020-1254
[9] CXN-2020-1219
[10] CXN-2020-1323
[11] CXN-2020-1317
[12] CXN-2020-1289
[13] CXN-2020-1255
[14] CXN-2020-1245
[15] CXN-2020-1292
[16] CXN-2020-1276
[17] CXN-2020-1238
[18] CXN-2020-1218
[19] CXN-2020-1217


Arthur Gautier