Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour le Patch Tuesday [1] (dont le correctif pour SMBleed [2]), par Adobe pour Flash Player [3], par SAP [4], par Gitlab [5], par Docker [6], ainsi que par Apache pour les serveurs Tomcat [7a] [7b] [7c]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié. Un correctif est disponible.

Microsoft Windows [8a] [8b]

Ce code d’exploitation impacte les systèmes d’exploitation Windows et se présente sous la forme d’un programme en C++. Il permet à un attaquant de déplacer arbitrairement une bibliothèque dynamique afin d’obtenir une invite de commandes avec les privilèges NT AUTHORITÉSYSTÈME

Informations

Attaques

CallStranger : exfiltration de données, déni de service et scan de port via une vulnérabilité du protocole UPnP affectant des milliards d’appareils [9a] [9b]

Une vulnérabilité critique réside dans le protocole UPnP (Universal Plug and Play) affectant la majorité des appareils de l’Internet des objets (IoT). Cette faille de sécurité référencée CVE-2020-12695 est causée par une erreur dans la fonction UPnP SUBSCRIBE et permet à un attaquant d’effectuer une attaque de type SSRF.

Vulnérabilités

Un défaut de configuration trivial identifié sur de nombreuses instances Service Now permettant d’importantes fuites de données [10]

Un chercheur en cybersécurité a pu identifier que l’accès aux pages du module de Knowledge Base de Service Now ne nécessitait pas toujours une authentification. Ainsi, il lui a été possible d’accéder à des données via une simple requête HTTP GET.

Publication d’une nouvelle vulnérabilité liée à l’exécution spéculative sur les processeurs Intel : CrossTalk [11a] [11b]

Des chercheurs ont récemment publié le résultat de leurs recherches portant sur une nouvelle vulnérabilité (CVE-2020-0543) baptisée CrossTalk affectant les processeurs Intel. À l’instar des vulnérabilités Meltdown et Spectre, celle-ci repose sur l’exécution spéculative et permet dans certaines conditions d’exfiltrer des données depuis la mémoire d’autres processus.

Une élévation de privilège se cachait dans les Group Policies de Windows depuis plus d’une décennie [12a] [12b]

Un chercheur de la société CyberArk a récemment publié l’analyse d’une vulnérabilité découverte dans le mécanisme de mise à jour des Group Policies de Windows. Cette vulnérabilité (CVE-2020-1317) permet à n’importe quel utilisateur rattaché à un domaine d’obtenir des privilèges d’administrateur local sur sa machine.

Piratage

Un compte de la société Coincheck sur un service d’enregistrement de noms de domaine a été compromis [13a] [13b]

Le 31 mai 2019, un attaquant a réussi à prendre le contrôle d’un compte appartenant à la société sur le service d’enregistrement de noms de domaine Onamae. Selon le chercheur en sécurité Masafumi Negishi, l’attaquant a utilisé le compte compromis pour modifier l’adresse du serveur DNS faisant autorité sur le nom de domaine coincheck[.]com (plateforme d’échange de cryptomonnaies), afin de rediriger les requêtes DNS vers un serveur sous son contrôle.

Malware

Une campagne d’attaque en cours ciblant des serveurs Linux et Windows grâce à un malware en Go [14] [14b]

Un chercheur de la société Akamai a récemment publié une analyse d’un malware dont le nom de code est Stealthworker. La particularité de Stealthworker est d’être basé sur du code malveillant écrit en Go. Il cible les serveurs qui exposent des services et plateformes communes, tels que SSH, FTP, MySQL, WordPress ou Magento.

Juridique

Facebook entre en justice pour empêcher des escrocs d’usurper l’identité d’Instagram et de sites WhatsApp [15]

Dans un procès intenté lundi 8 juin 2020 devant un tribunal de Virginie, la société a poursuivi 12 sites Web enregistrés par Compsys Domain Solutions Private Ltd., un service de proxy indien. Avec des noms comme InstagramHijack[.]com, Videocall-WhatsApp[.]com et Facebook-Verify-Inc[.]com, les sites étaient destinés à tromper les utilisateurs.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXN-2020-3043
[2] CXA-2020-3037
[3] CXA-2020-3026
[4] CXA-2020-3012
[5] CXA-2020-3060
[6] CXA-2020-2986
[7] CXA-2020-2985
[8] CXA-2020-3080
[9] CXN-2020-2991
[10] CXN-2020-2977
[11] CXN-2020-3030
[12] CXN-2020-3066
[13] CXN-2020-2962
[14] CXN-2020-2989
[15] CXN-2020-3006