Résumé de la semaine 15 (du 10 au 16 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1] (notamment les correctifs pour les dernières versions de Windows et de Windows Server en raison d’une vulnérabilité actuellement exploitée sur Internet et pour Exchange [2] puisque 2 vulnérabilités permettant d’exécuter du code arbitraire sans authentification ont été corrigées), par SAP [3], par Google pour son navigateur Google Chrome [4] ainsi que par GitLab [5].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Parmi eux, seul un dispose d’un correctif pour l’ensemble des produits affectés.

Divulgation d’informations via une vulnérabilité au sein de Prestashop [6]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. En exécutant le programme avec les paramètres adéquats, un attaquant distant est alors en mesure d’accéder, au moins, à des informations sensibles de la base de données (par défaut, le résultat de la fonction SQL USER). Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein des navigateurs basés sur Chromium [7]

Ce code d’exploitation se présente sous la forme d’un script écrit en JavaScript. En incitant un utilisateur à afficher une page HTML contenant ce code, un attaquant est alors en mesure de provoquer un dépassement de tampon en mémoire afin d’exécuter des commandes arbitraires. Un correctif est disponible pour certains navigateurs (Chromium, Google Chrome), mais pas encore pour tous.

Prise de contrôle du système via une vulnérabilité au sein de Google Chrome [8]

Ce code d’exploitation se présente sous la forme d’une page web HTML. En incitant sa victime à visiter cette page web spécifiquement conçue, ce dernier est en mesure d’exécuter un programme sur le système de sa victime (ici, notepad.exe). Cette vulnérabilité impacte également les autres navigateurs basés sur Chromium. Un correctif est disponible pour Chromium, mais pas encore pour les autres navigateurs.

 

Informations

Annonce

La plateforme Zerodium décide de tripler les récompenses pour les vulnérabilités impactant WordPress et ayant une haute criticité [9a] [9b]

Zerodium est une plateforme de Bug Bounty qui se spécialise dans la découverte de failles dites 0-day, ou de failles catégorisées comme critiques, proposant de hautes récompenses pour l’obtention exclusive de ces vulnérabilités. L’entreprise a récemment annoncé dans un tweet avoir triplé (temporairement) la récompense concernant les vulnérabilités permettant une exécution de code distante et non authentifiée sur WordPress, élevant la récompense à un montant total de 300 000$.

Vie Privée

Google inclut des millions d’utilisateurs sans leur consentement à FLoC, une fonctionnalité créée pour remplacer les cookies tiers [10]

Google, ayant décidé de ne plus supporter les cookies tiers d’ici fin 2022, a lancé en mars 2020, son programme FLoC, visant à les remplacer. Les reproches faits à Google concernent majoritairement la manière dont ce lancement a été effectué. Google a inclus de facto 5% de ses utilisateurs (soit à peu près 100 millions) dans ce programme sans qu’ils en soient informés ou qu’ils puissent refuser.

Recherche

Les vulnérabilités NAME:WRECK concernent des centaines de millions de serveurs et d’équipements connectés [11a] [11b] [11c] [11d]

Des chercheurs de la société ForeScout ont récemment publié un article détaillant les vulnérabilités NAME:WRECK. Les vulnérabilités NAME:WRECK concernent la façon dont les bibliothèques logicielles traitent le protocole DNS, et plus particulièrement la « compression des messages » qui permet de limiter la taille des réponses DNS en éliminant les doublons.

Juridique

Le FBI a obtenu le droit de supprimer des malwares déployés sur des serveurs Exchange compromis sans l’accord de leurs propriétaires [12a] [12b]

Dans une décision de justice récente, un tribunal américain a autorisé le FBI à effectuer des opérations de suppression de malware sur des serveurs localisés aux États-Unis, sans demander l’autorisation aux propriétaires des serveurs. Cette nouveauté juridique a lieu dans le contexte de la vulnérabilité ProxyLogon et de son exploitation par des attaquants.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-1754
[2] CXA-2021-1693
[3] CXA-2021-1730
[4] CXA-2021-1761
[5] CXA-2021-1755
[6] CXA-2021-1662
[7] CXA-2021-1687
[8] CXA-2021-1774
[9] CXN-2021-1670
[10] CXN-2021-1689
[11] CXN-2021-1743
[12] CXN-2021-1779

Arthur Gautier

Découvrir d'autres articles