Résumé de la semaine 16 (du 16 au 22 avril)

Résumé de la semaine 16 (du 16 au 22 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour son navigateur Edge [1], par Oracle dans le cadre de son Critical Patch Update [2a][2b] (et en particulier pour Java [3a][3b]), par Laravel [4a][4b] ainsi que par Drupal [5] [6].

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO.

Élévation de privilèges via une vulnérabilité au sein de 7-Zip [7]

Ce code d’exploitation se présente sous la forme d’un fichier HTML. En faisant glisser un fichier `.7z` contenant ce code d’exploitation dans la zone de contenu de la fenêtre d’aide, un attaquant local est alors en mesure d’exécuter des commandes arbitraires. Aucun correctif n’est disponible.

Prise de contrôle du système via une vulnérabilité au sein de ZyXEL NWA1100-NH [8]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En ciblant un serveur vulnérable, un attaquant est en mesure d’exécuter des commandes arbitraires sur celui-ci. Un correctif est disponible.

Informations

Ransomware

REvil est-il de retour ? [9a][9b]

Figure emblématique du paysage des opérateurs de ransomware, le groupe REvil avait disparu de la circulation après que les autorités russes ont annoncé l’arrestation de 14 de ses membres clés en janvier 2022. Après 4 mois de silence et des épouvantails agités par d’autres groupes se faisant passer pour REvil, le gang russe fait à nouveau parler de lui.

Attaques

Le logiciel espion Pegasus exploite une nouvelle vulnérabilité « zero-click » impactant iMessage et les iPhones [10a][10b]

Une nouvelle campagne d’attaque a été identifiée par les chercheurs de Citizen Labs. Elle ciblait des personnalités catalanes. Les iPhones de journalistes, d’universitaires, d’activistes et de politiciens ont été infectés par le logiciel espion Pegasus, développé par la société NSO Group.

Okta publie ses conclusions sur l’attaque menée par Lapsus$ [11]

Le fournisseur de solutions de gestion d’identités et d’accès Okta a conclu mardi son enquête sur la compromission de son fournisseur de services Sitel fin janvier 2022.

Cybercriminalité

Découverte d’Industrial Spy, une nouvelle plateforme dédiée à la vente de données volées d’entreprises [12]

Des acteurs malveillants ont récemment ouvert Industrial Spy, une nouvelle plateforme dédiée à la vente de données volées à des entreprises. Industrial Spy se distingue des plateformes de ventes de données traditionnelles, car elle met d’abord en avant ses services à des entreprises désirant avoir accès à des secrets commerciaux, des données de fabrication, des rapports comptables et des bases de données clients de leurs concurrents.

Vulnérabilités

Une faille affectant le Windows Print Spooler et permettant une élévation de privilèges a été ajoutée à la liste des vulnérabilités les plus exploitées de la CISA [13a][13b][13c]

La US Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité, référencée CVE-2022-22718 affectant le Windows Print Spooler, à sa liste officielle des vulnérabilités les plus exploitées.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-1818
[2] CXN-2022-1894
[3] CXA-2022-1875
[4] CXA-2022-1917
[5] CXA-2022-1925
[6] CXA-2022-1924
[7] CXA-2022-1953
[8] CXA-2022-1961
[9] CXN-2022-1963
[10] CXN-2022-1844
[11] CXN-2022-1930
[12] CXN-2022-1899
[13] CXN-2022-1904


Arthur Gautier

Analyste CERT