Résumé de la semaine 14 (du 28 mars au 3 avril)

Résumé de la semaine 14 (du 28 mars au 3 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Cette semaine est également sorti le numéro 53 de l’ActuSécu, que vous pouvez retrouver ici ! Au programme, cryptomineur Android et sécurité des environnements AWS.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Dell iDrac [1], HP Integrated Lights-Out (iLO) [2] [3] [4] [5], Google Chrome [6], Kubernetes [7], Elasticsearch [8] et Symfony [9a] [9b].
L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer des dommages allant d’un déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Des correctifs sont disponible pour les produits affectés.

Prise de contrôle du système via une vulnérabilité au sein du routeur D-Link DWL-2600AP [10]

Ce code d’exploitation se présente sous la forme d’un module pour l’outil Metasploit. Il permet d’injecter des commandes au sein des routes d’URL vulnérables configRestore et configServerIp, en utilisant des caractères spéciaux de l’interpréteur de commandes. Ce code nécessite la connaissance du mot de passe d’administration de l’équipement (dont la valeur est paramétrée à admin par défaut).

Élévation de privilèges via une vulnérabilité au sein de Windows [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En exécutant ce programme à l’encontre d’un serveur vulnérable, un attaquant est en mesure d’injecter des paquets compressés SMBv3 spécifiques lui permettant d’obtenir une invite de commandes administrateur via l’injection du processus cmd.exe dans le processus winlogon.exe.

Manipulation de données et contournement de sécurité via une vulnérabilité au sein d’IBM Planning Analytics [12]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. En exécutant ce programme, un attaquant est capable de réécrire les fichiers de configuration du serveur pour utiliser la méthode d’authentification propriétaire d’IBM CAM, permettant alors de s’authentifier comme administrateur. Enfin, le programme utilise un script TM1 afin d’injecter des commandes et obtenir un invité de commande en tant qu’administrateur sur le serveur.

 

Informations

Entreprise

3 nouvelles vulnérabilités ont été découvertes sur Zoom [13a] [13b]

Les services de vidéoconférences connaissent un pic d’utilisation dû à la généralisation du télétravail causée par la pandémie de Covid-19. L’application Zoom, déjà réputée pour sa faible sécurité, est victime de nouvelles failles critiques pouvant impacter la vie privée des utilisateurs. Au total, trois vulnérabilités ont été récemment découvertes sur Zoom : une sur le client Windows et les deux autres sur macOS.

Fuite d’informations

La chaîne d’hôtels internationale Marriott victime d’une seconde fuite de données impactant 5,2 millions de clients [14]

La chaîne d’hôtels internationale Marriott vient d’être victime d’une fuite de données impactant 5,2 millions de clients. C’est la deuxième fuite de données qu’a subie la compagnie ces dernières années.

Cybercriminalité

TrickBot utilise une application permettant de contourner l’authentification multifacteurs des banques en Allemagne [15]

Une application Android malveillante appelée TrickMo infecte les utilisateurs qui la téléchargent avec le cheval de Troie TrickBot. Cette application est conçue afin de dérober les codes d’autorisation des utilisateurs ayant installé l’application malveillante. L’Allemagne est la première victime de cette attaque concernant la fraude bancaire via TrickBot.

Le botnet Emotet se propage maintenant via les réseaux Wi-Fi [16]

Depuis 2014, le cheval de Troie bancaire Emotet sévissait en se propageant de deux manières. Il ciblait les réseaux filaires et se transmettait également par email. Une fois une victime infectée, il envoyait un email contenant sa charge virale à toute la liste de contacts de la victime et tentait également de se propager à d’autres appareils réseau sur le réseau local en testant des mots de passe par défaut ou en effectuant une attaque par force brute.

Juridique

Le gouvernement chinois propose un nouveau modèle d’Internet à l’Union Internationale des Télécommunications [17a] [17b]

L’Union Internationale des Télécommunications (UIT) a reçu en septembre une demande de la part de la Chine, proposant de repenser l’architecture d’Internet.
La Chine, avec ses plans de refonte, proclame que l’architecture actuelle d’Internet reposant sur le modèle TCP/IP est obsolète. Ces plans indiquent que le modèle actuel présente de nombreuses failles de sécurité et qu’il ne sera pas capable de supporter les innovations à venir comme l’arrivée massive d’équipements IOT ou l’avancée des communications spatioterrestres.

Le Conseil d’Etat rejette le principe d’un déréférencement mondial [18]

Le 27 mars 2020, le Conseil d’État a publié sa décision dans l’affaire opposant Google et la Commission Nationale de l’Informatique et des Libertés (CNIL). Il a été estimé que le droit au déréférencement doit s’appliquer sur le territoire européen uniquement. Ainsi, le Conseil d’État mets fin à un litige datant de 2016 et pour lequel Google s’était vu infliger une amende de 100 000 euros.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-1656
[2] CXN-2020-1655
[3] CXN-2020-1654
[4] CXN-2020-1648
[5] CXN-2020-1632
[6] CXN-2020-1618
[7] CXN-2020-1647
[8] CXN-2020-1627
[9] CXN-2020-1608
[10] CXN-2020-1649
[11] CXN-2020-1607
[12] CXN-2020-1602
[13] CXN-2020-1657
[14] CXN-2020-1638
[15] CXN-2020-1626
[16] CXN-2020-1609
[17] CXN-2020-1650
[18] CXN-2020-1633


Arthur Gautier