Résumé de la semaine 20 (du 10 au 16 mai)

Résumé de la semaine 20 (du 10 au 16 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour ses systèmes [1], par Adobe pour Adobe Acrobat et Adobe Reader [2] ainsi que par SAP [3]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 4 codes d’exploitations ont été publiés par le CERT-XMCO. Des correctifs sont disponibles pour chacune des vulnérabilités.

Windows 10 [4]

Ce code d’exploitation est un module pour le framework offensif Metasploit. En exécutant ce module sur un système vulnérable, un attaquant local peut exécuter des commandes avec les privilèges NT AUTHORITY/SYSTEM.

Oracle WebLogic [5]

Ce code d’exploitation est un programme en Java. Un attaquant distant peut, grâce à ce code d’exploitation, exécuter du code arbitraire sur un serveur vulnérable.

SolarWinds MSP PME [6]

Ce code d’exploitation prend la forme d’un fichier XML. En modifiant le fichier CacheService.xml sur le serveur et en déposant le fichier XML sur un serveur web, un attaquant peut exécuter du code arbitraire sur le serveur.

macOS [7a] [7b]

Enfin, le dernier code d’exploitation est un script Python. Un attaquant local exécutant ce script sur un système vulnérable va créer une tâche planifiée contrôlée par l’attaquant et qui sera exécutée avec les privilèges root.

 

Informations

Vulnérabilité

Une vulnérabilité critique affectant les forums vBulletin a été corrigée [8]

Les responsables du projet vBulletin ont récemment annoncé une mise à jour comportant un important correctif de sécurité, mais sans révéler d’informations sur la vulnérabilité sous-jacente, référencée CVE-2020-12720. Depuis, le chercheur ayant découvert cette vulnérabilité a publié quelques détails : la vulnérabilité serait une injection SQL sans authentification préalable permettant d’élever ses privilèges et d’exécuter du code arbitraire en tant qu’administrateur.

Recherche

Un chercheur publie une démonstration de prise de contrôle à distance du téléphone Samsung [9]

Mateusz Jurczyk, chercheur au Google Project Zero, a récemment publié une vidéo faisant la démonstration d’une prise de contrôle à distance d’un smartphone Samsung. Tous les téléphones Samsung vendus depuis 2014 seraient vulnérables. Dans la vidéo de démonstration, l’attaquant accède aux photos prises par l’appareil, à l’historique des SMS, à la liste des contacts du téléphone et lance le programme de calculatrice.

Création d’un outil pour auditer les espaces de travail Slack [10a] [10b]

Slack Watchman est une application créée par un chercheur en cybersécurité afin d’auditer les espaces de travail Slack et rechercher des informations sensibles publiées dans des canaux publics. Ces informations sont ensuite renvoyées sous forme de fichiers CSV. Slack Watchman utilise l’API Slack pour interroger l’espace de travail.

La sécurité de Thunderbolt de nouveau remise en question suite à la découverte de 7 nouvelles vulnérabilités (Thunderspy) [11a] [11b]

Le chercheur en sécurité Björn Ruytenberg a découvert 7 nouvelles vulnérabilités affectant Thunderbolt baptisées Thunderspy. Ces vulnérabilités permettraient à un attaquant d’extraire et de dérober des données avec un accès physique à un appareil allumé et supportant les interfaces Thunderbolt.

Fuite d’informations

Le groupe ShinyHunters met en vente les bases de données utilisateurs de 10 entreprises sur le Dark Web [12]

La semaine dernière, un groupe de pirate nommé « ShinyHunters » s’est introduit dans le réseau d’une dizaine d’entreprises pour dérober leurs bases de données. Tout a commencé par l’entreprise Tokopedia, le magasin en ligne le plus populaire d’Indonésie. Voyant que la vente des données de Tokopedia était très rentable, ShinyHunters s’est attaqué à 10 autres entreprises dans les jours qui ont suivi.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-2497
[2] CXA-2020-2503
[3] CXA-2020-2542
[4] CXA-2020-2453
[5] CXA-2020-2455
[6] CXA-2020-2462
[7] CXA-2020-2498
[8] CXN-2020-2499
[9] CXN-2020-2419
[10] CXN-2020-2425
[11] CXN-2020-2433
[12] CXN-2020-2500


Arthur Gautier