Résumé de la semaine 18 (du 26 avril au 1er mai)

Résumé de la semaine 18 (du 26 avril au 1er mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Fortinet pour FortiMail [1], par VMware pour son hyperviseur VMware ESXi [2], par Adobe pour le CMS Magento [3], par Centreon pour son logiciel de supervision éponyme [4], par Google pour son navigateur Google Chrome [5], par Sophos pour ses pare-feux XG [6], par Microsoft pour Microsoft Office [7] et pour Samba [8a] [8b] [8c]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié.

Élévation de privilèges via une vulnérabilité au sein de Docker Desktop Community Edition [9]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. Lors de l’exécution du programme, un cheval de Troie nommé docker-credential-wincred.exe est placé au sein du répertoire %PROGRAMDATA%\DockerDesktop\version-bin\. Lorsqu’un administrateur s’authentifie ou utilise la commande docker login, le cheval de Troie s’exécutera alors avec les mêmes privilèges que ceux de l’administrateur de la machine. Un correctif est disponible.

 

Informations

Attaque

L’attaque Asnarök exploite actuellement une injection SQL sur les pare-feux Sophos XG [10a] [10b]

Le 22 avril dernier, le fabricant d’équipement réseau Sophos a reçu un rapport d’erreur en provenance d’un pare-feu Sophox XG. Ce rapport a permis à l’éditeur d’identifier une vulnérabilité au sein des pare-feux Sophos XG et une attaque en cours exploitant les appareils vulnérables exposés sur Internet.

Une campagne de cyberespionnage cachée dans Google Play depuis 5 ans [11]

Une mission d’espionnage a été détectée sur Google Play, APKpure et d’autres magasins d’applications. Supposément mise en place par le groupe OceanLotus (une organisation cybercriminelle vietnamienne), cette campagne visait principalement les utilisateurs du sud-est de l’Asie et aurait débuté il y a 5 ans.

La prise de contrôle de deux sous-domaines de la plateforme Microsoft Teams permettait de voler des sessions via le partage d’un GIF [12]

En ces temps de confinement où les plateformes d’échanges professionnelles telles que Microsoft Teams sont devenues plébiscitées, la société cyberark a mené des recherches et a permis d’identifier un moyen d’accéder illégitimement au compte d’un utilisateur simplement via l’envoi d’un GIF.

Le gouvernement chinois victime d’une attaque de cyberespionnage menée par le groupe vietnamien APT32 pendant la crise du COVID-19 [13]

Entre janvier et avril 2020 au moins, le groupe cybercriminel vietnamien APT32 a mené des campagnes d’intrusion à l’encontre du gouvernement de la province de Wuhan et du ministère de gestion d’urgence chinois. D’après le groupe de recherche de FireEye, ces attaques auraient pour but de récupérer des informations sur la crise du COVID-19. Ces attaques seraient principalement des attaques de phishing afin de récupérer des informations sensibles.

Fuite d’informations

Un site Web lié au RGPD exposait un répertoire Git contenant des données sensibles [14]

Des chercheurs de la société Pentest Partners ont découvert qu’un site Web proposant des conseils de mise en conformité vis-à-vis du RGPD exposait des données sensibles. Le site Web exposait un répertoire .git, contenant tout l’historique des modifications sur les fichiers du site.

Ransomware

Les développeurs du ransomware Shade mettent fin à leurs activités et publient 750 000 clés de déchiffrement [15a] [15b]

Les développeurs du ransomware Shade (aussi connu sous les noms de Troldesh et Encoder.858) ont annoncé mettre un terme à leurs activités. Ils ont publié environ 750 000 clés et des instructions permettant aux victimes du ransomware de déchiffrer leurs fichiers gratuitement, et espèrent que les éditeurs d’antivirus pourront s’en servir pour proposer des outils de déchiffrement simples à utiliser pour le grand public. Ils ont également annoncé avoir irrémédiablement détruit les données liées à leurs activités, notamment le code source du malware.

Vulnérabilité

Plusieurs vulnérabilités découvertes dans différentes extensions WordPress [16a] [16b]

Des chercheurs ont récemment découvert que certaines extensions WordPress étaient vulnérables à une ancienne vulnérabilité présente sur un code PHP permettant de dupliquer des pages. Ce code PHP, qui date de 2013, a donné naissance à 3 extensions : Duplicate Page (2016), WP Post Page Clone (2016) et Duplicate Page and Post (2017).

Prise de contrôle du système et contournement de sécurité via 2 vulnérabilités au sein d’Internet Explorer [17a] [17b]

2 vulnérabilités ont été découvertes au sein d’Internet Explorer. Les vulnérabilités proviennent d’erreurs non spécifiées au sein de la gestion de la mémoire. En incitant sa victime à visiter une page Web spécifiquement conçue, un attaquant va télécharger une bibliothèque spécifiquement conçue sur le système de l’utilisateur qui va être chargée en mémoire afin de :

  • contourner la sandbox dans laquelle s’exécute le navigateur ;
  • exécuter du code arbitraire à distance avec les privilèges de l’utilisateur.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-2164
[2] CXA-2020-2225
[3] CXA-2020-2207
[4] CXA-2020-2182
[5] CXA-2020-2179
[6] CXA-2020-2154
[7] CXA-2020-2150
[8] CXA-2020-2222
[9] CXA-2020-2159
[10] CXN-2020-2153
[11] CXN-2020-2218
[12] CXN-2020-2161
[13] CXN-2020-2134
[14] CXN-2020-2165
[15] CXN-2020-2203
[16] CXN-2020-2180
[17] CXA-2020-2228


Arthur Gautier