Résumé de la semaine 22 (du 28 mai au 3 juin)

Résumé de la semaine 22 (du 28 mai au 3 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour GitLab [1], Microsoft Edge [2a] [2b] [2c], Firefox [3] et Thunderbird [4].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

 

Informations

Vulnérabilités

Prise de contrôle du système et divulgation d’informations via une vulnérabilité au sein d’Horde Webmail [5]

La faille de sécurité référencée CVE-2022-30287 provient d’un manque de vérification sur le type d’une variable fournie par un utilisateur lors de la recherche d’un carnet d’adresses. Un attaquant peut exploiter cette vulnérabilité en incitant sa victime à ouvrir un email spécifiquement conçu afin d’exécuter du code arbitraire sur le système et de récupérer les identifiants webmail de la victime.

Découverte d’une vulnérabilité 0-day permettant d’exécuter du code arbitraire au sein de Microsoft Office [6a] [6b]

Le 29 mai 2022, le chercheur Kevin Beaumont, a baptisé la nouvelle vulnérabilité impactant Microsoft Office « Follina ». Il a également indiqué que l’exploit fonctionne même lorsque les macros d’Office (traditionnellement utilisées pour exécuter des logiciels malveillants) sont désactivées.

Volexity publie l’analyse technique d’un cas d’exploitation d’une vulnérabilité au sein de Confluence Server [7a] [7b] [7c] [7d]

Le rapport indique que la compromission des serveurs était due à l’exploitation d’une vulnérabilité 0-day permettant à l’attaquant d’exécuter du code à distance. Après avoir été informé de cette découverte, Atlassian a confirmé la vulnérabilité et l’a référencée en tant que CVE-2022-26134.

Publication

La CISA et le FBI publient une note d’information sur le groupe d’extorsion de données Karakurt [8]

D’après plusieurs chercheurs, Karakurt serait lié à Conti, dans le cadre de la réorganisation de ce dernier. La note rapporte que le groupe est spécialisé dans le vol de données, sans procéder au chiffrement des systèmes de ses victimes. Plus de 40 organisations victimes de tentatives de piratage entre septembre et novembre 2021 ont été identifiées.

Conflit Ukraine

Le site « saverudata.online » affiche des données personnelles de plus de 8 millions de personnes résidant en Russie [9a] [9b] [9c] [9d] [9e] [9f] [9g] [9h]

Créé en mars 2022, le site met à disposition une grande quantité de données personnelles sur des personnes résidant en Russie. Les motivations de son créateur restent difficiles à discerner.

International

Pourquoi la Chine commence-t-elle à communiquer sur des hackers américains ? [10]

Depuis le début de l’année, le ministère des affaires étrangères chinois a plusieurs fois accusé les États-Unis d’espionnage, alors que les prises de paroles à ce sujet étaient auparavant très rares. Les raisons de ce changement d’attitude sont variées.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-2692
[2] CXA-2022-2688
[3] CXA-2022-2673
[4] CXA-2022-2663
[5] CXA-2022-2694
[6] CXN-2022-2632
[7] CXN-2022-2713
[8] CXN-2022-2686
[9] CXN-2022-2660
[10] CXN-2022-2649


Mathieu Claverie