Résumé de la semaine #20 (du 12 au 17 mai)

Résumé de la semaine #20 (du 12 au 17 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday [1], en particulier pour le service Remote Desktop Services de Microsoft Windows, dont une vulnérabilité permettant de prendre le contrôle du système. Microsoft prévoit des campagnes d’exploitation massives [2].

Par ailleurs, nous recommandons également l’application des correctifs publiés par Cisco pour plusieurs produits [3][4][5], par Adobe pour Flash Player [6], par SAP [7], par Siemens pour Scalance [8] et SISHIP [9] par Apple pour iOS [10], Safari [11] et macOS [12], par Linux pour le noyau Linux [13] et par VMware [14] pour plusieurs de leurs produits. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Code d’exploitation

Cette semaine, un code d’exploitation a été publié.

Schneider Electric U.Motion Builder [15]

Le code d’exploitation impacte Schneider Electric U.Motion Builder. L’exploitation de cette faille permet de manipuler des données, voire de prendre le contrôle du système. Ce code d’exploitation se présente sous la forme d’une requête POST. En visitant une URL spécialement conçue, un attaquant est en mesure d’exécuter du code arbitraire sur le système.

 

 

Informations

Vulnérabilités

Une vulnérabilité affectant WhatsApp pourrait avoir été exploitée pour injecter un logiciel espion [16]

Les équipes maintenant l’application de messagerie WhatsApp ont découvert une vulnérabilité dont l’exploitation pourrait avoir permis d’installer un logiciel espion sur les appareils affectés. Le logiciel espion pouvait être installé sur l’appareil ciblé via un simple appel, sans que la victime n’y réponde.

Découverte de 4 vulnérabilités « MDS » affectant les processeurs Intel permettant d’accéder à des données sensibles [17]

Des chercheurs ont découvert 4 vulnérabilités affectant les processeurs Intel, dont l’exploitation permettrait à un attaquant d’accéder à des données sensibles. Elles ont été regroupées sous le nom de MDS (pour Microarchitectural Data Sampling).

Une vulnérabilité Microsoft Sharepoint a été exploitée sur Internet [18]

Une vulnérabilité critique au sein de la plateforme de collaboration Microsoft Sharepoint a été exploitée sur Internet dans le but de délivrer un malware. D’après Microsoft, il s’agit d’une vulnérabilité qui permet l’exécution de commandes à distance via un défaut de vérification de source d’un paquet applicatif. Un attaquant non authentifié peut exploiter la vulnérabilité.

 

Cybercriminalité

Le magazine Forbes infecté par le groupe de cybercriminels Magecart [19]

Le 14 mai 2019, Bad Packets Report, un groupe d’analystes de menaces a publié un tweet sur leur compte officiel démontrant que le magazine Forbe (forbesmagazine.com) a été victime d’une intrusion et infecté par le groupe de cybercriminels Magecart.

Un ransomware chiffre 80% des données d’un négociant pétrolier français [20]

La plus importante société de Creuse, Picoty SA, négociant en produits pétroliers et en énergie a été la cible samedi 11 mai d’une attaque par ransomware. Conséquence : plusieurs stations essence du réseau Avia sont bloquées depuis plusieurs jours.

 

Vie privée

460 000 comptes en ligne de Uniqlo dérobés par des attaquants [21]

L’entreprise Uniqlo a annoncé que 460 000 comptes clients en ligne ont été dérobés entre le 23 avril et le 10 mai 2019. Une authentification non autorisée a été enregistrée le 10 mai et a permis aux attaquants d’accéder aux données clientes. Même si des informations sur des cartes de crédit ont pu être parcourues, l’entreprise assure qu’il n’y a eu aucune fuite d’information concernant les codes de sécurité des cartes bancaires.

Les applications préinstallées sur les téléphones Android peuvent représenter un risque en termes de sécurité et de vie privée [22]

D’après un article écrit en partenariat avec des chercheurs d’Université américaine et espagnole, les applications embarquées par défaut dans les téléphones Android représenteraient un risque au niveau sécurité et vie privée.

 

International

Retour sur l’arrestation des espions chinois ayant ciblé Safran [23]

La Chine est accusée depuis des années d’avoir régulièrement recours à l’espionnage industriel pour rattraper son retard technologique sur l’occident. Deux agents rattachés au Ministère chinois de la Sécurité de l’État (MSE) ainsi que 6 pirates auraient tenté de dérober des informations confidentielles à une dizaine d’entreprises de l’industrie aéronautique.

Les pays du G7 vont simuler une cyberattaque transfrontalière le mois prochain en France [24]

Les puissances industrielles occidentales vont pour la première fois simuler une cyberattaque transfrontalière sur le secteur financier. L’exercice, organisé par la banque centrale française sous la présidence de la France au G7, utilisera un scénario basé sur l’infection par un malware d’un composant utilisé par le secteur financier.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-2128
[2] CXA-2019-2127
[3] CXA-2019-2123
[4] CXA-2019-2084
[5] CXA-2019-2146
[6] CXN-2019-2107
[7] CXN-2019-2092
[8] CXN-2019-2097
[9] CXN-2019-2112
[10] CXN-2019-2113
[11] CXN-2019-2094
[12] CXN-2019-2096
[13] CXN-2019-2091


Jean-Christophe Pellat

Cert-XMCO