Résumé de la semaine 18 (du 1er au 7 mai)

Résumé de la semaine 18 (du 1er au 7 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Exim [1], pour les VPN Pulse Connect Secure [2a][2b], par Centreon [3], par Stormshield pour Stormshield Network Security [4], par Google pour son système d’exploitation Android [5] et par Apple pour ses systèmes macOS [6] et iOS [7][8].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Élévation de privilèges via 4 vulnérabilités au sein d’Exim [9]

Ces 4 preuves de concept (PoC) sont écrites en Bash. En exécutant des suites de commandes spécifiquement conçues, un attaquant local disposant d’un compte utilisateur est alors en mesure de réaliser une élévation de privilèges afin d’obtenir les privilèges root.

Prise de contrôle du système via une vulnérabilité au sein de Microsoft Exchange (2021-Apr) [10a][10b]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. Un attaquant ayant connaissance d’identifiants valides et de l’adresse du serveur peut exécuter ce script afin d’envoyer une requête spécifiquement conçue au serveur, contenant des commandes définies par l’attaquant, qui sera ensuite désérialisée avant que son contenu soit exécuté.

Prise de contrôle du système via une vulnérabilité au sein de Google Chrome [11]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. L’exécution de ce code génère un reverse shell qui permet à un attaquant d’exécuter du code arbitraire dans le contexte du processus V8 (le moteur de rendu JavaScript).

Élévation de privilèges et manipulation de données via une vulnérabilité au sein de Moodle [12]

Ce code d’exploitation se présente sous la forme d’un programme écrit en JavaScript. En injectant ce code JavaScript au sein de la page /userpix/ et en incitant un administrateur de la plateforme à visiter cette page, un attaquant disposant d’un compte student pouvait voir son compte ajouté au groupe administrator.

Informations

Attaque

De nouvelles attaques sur les processeurs Intel mettent en lumière des défauts sur les correctifs apportés à la faille Spectre [13]

La faille Spectre est une faille présente dans les processeurs Intel découverte en 2019 qui permettait à un attaquant d’accéder à des informations sensibles traitées par le processeur. Des correctifs ont été déployés régulièrement depuis, et certains encore récemment. Cependant, une nouvelle attaque récemment découverte remet en question l’efficacité de la totalité des correctifs appliqués jusqu’ici.

Malware

Le secteur de la défense russe visé par une APT chinoise [14a][14b][14c]

L’équipe de recherche Cybereason Nocturnus Team a traqué les évolutions récentes de l’outil offensif RoyalRoad, connu également sous le nom 8.t Dropper/RTF exploit builder. Cet outil est devenu au fil des ans un élément récurrent de l’arsenal d’acteurs chinois, et est principalement employé pour des attaques de phishing ciblé (spear phishing).

Étude de l’évolution d’un des malwares bancaires les plus sophistiqués [15a][15b]

RM3 est un variant appartenant à la famille des malwares bancaires Gozi. Apparu en 2017, le variant RM3 comporte certaines modifications majeures par rapport aux variants connus du malware. Les actions de surveillances menées sur RM3 suggèrent que les acteurs à l’origine de ce malware évoluent vers une stratégie plus basée sur des ransomwares.

Fuite d’informations

De nombreuses applications mobiles divulguent des clés d’accès à des ressources AWS [16]

Une étude a montré que plus de 40 applications cumulant plus de 100 millions de téléchargements à travers le monde divulguent des clés d’accès à des ressources AWS. Cette étude a été menée à l’aide du moteur de recherche BeVigil. Ce dernier permet d’effectuer des recherches sur la sécurité d’applications mobiles avant de les installer.

Annonce

Github va revoir sa politique d’hébergement des codes d’exploitation sur sa plateforme au vu du scandale ProxyLogon [17]

La plateforme d’hébergement Github a décidé, suite à l’utilisation de sa plateforme par des attaquants, de pouvoir intervenir sur le contenu hébergé dans le cas où il servirait à l’exploitation de vulnérabilités par des attaquants. Cela pourrait inclure des travaux de recherches légitimes en cybersécurité.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-2121
[2] CXA-2021-2116
[3] CXA-2021-2094
[4] CXA-2021-2141
[5] CXA-2021-2107
[6] CXA-2021-2118
[7] CXA-2021-2113
[8] CXA-2021-2112
[9] CXA-2021-2124
[10] CXA-2021-2110
[11] CXA-2021-2095
[12] CXA-2021-2080
[13] CXN-2021-2153
[14] CXN-2021-2114
[15] CXN-2021-2191
[16] CXN-2021-2155
[17] CXN-2021-2091


Alexandre Padel