Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour ses produits [1] (notamment deux vulnérabilités impactant NTLM et permettant de contourner l’authentification) ainsi que par SAP [2]. Des correctifs notables ont également été publiés par Adobe pour Adobe ColdFusion [3] et Adobe FlashPlayer [4] ainsi que par Google pour son navigateur Google Chrome [5] et par Cisco pour Cisco IOS XE [6]. Ces vulnérabilités permettaient notamment à un attaquant de contourner des restrictions de sécurité et de prendre le contrôle des systèmes sous-jacents.

Code d’exploitation

Cette semaine, un code d’exploitation a été publié.

Microsoft Windows [7]

Ce code d’exploitation impacte Microsoft Windows et le protocole NTLM. Il se matérialise sous la forme d’un script en Python rédigé pour le framework Impacket. En exécutant ce script, un attaquant était en mesure de retirer le destinataire dans les paquets de type NTLMSSP_CHALLENGE et de contourner l’authentification SMB. Un correctif de sécurité est disponible.

Informations

Phishing

Deux outils automatisent le phishing sur des sites utilisant l’authentification à double facteur [8]

Au cours de la conférence Hack in the Box (à Amsterdam, en mai 2019), deux chercheurs ont présenté les outils Muraena et NecroBrowser. Muraena permet d’intercepter les requêtes envoyées par un utilisateur contenant un jeton d’authentification à double facteur. Suite à ça, l’outil transmet le cookie de session à NecroBrowser qui va l’utiliser pour réaliser des actions à l’insu de l’utilisateur. Toutes les implémentations de l’authentification à facteurs multiples ne sont pas affectées. Seules le sont celles qui reposent sur un mot de passe et un token à renseigner dans un formulaire sur le site. Les tokens matériels ne sont donc pas vulnérables à cette attaque.

Attaques

Le NCSC-FI constate plusieurs cas d’exploitation de la vulnérabilité Exim (CVE-2019-10149) [9]

Le NCSC-FI (National Cyber Security Centre Finland) a signalé avoir reçu plusieurs rapports d’attaques tirant parti de la vulnérabilité Exim. Ces attaquants auraient ciblé des systèmes cPanel exposés via l’exploitation de la vulnérabilité du serveur de messagerie Exim inclus dans le logiciel.

Le botnet GoldBrute vise les serveurs RDP à travers des attaques par énumération exhaustive [10]

Suite à la sortie de la vulnérabilité désormais connue sous le nom de BlueKeep  une recrudescence des attaques sur le protocole RDP a été observée. Parmi ces attaques, le botnet GoldBrute utilise des techniques d’énumération exhaustives pour compromettre les serveurs exposés. Il est essentiel de ne pas exposer ce service critique sur Internet sans protections.

Rappel de l’ANSSI concernant une campagne d’attaque visant Microsoft Sharepoint [11]

Le 29 mai, l’ANSSI a publié une alerte concernant une campagne d’attaque en cours tirant parti de la vulnérabilité CVE-2019-0604 impactant Microsoft Sharepoint (et corrigée dans le Patch Tuesday de février 2019). Le CERT-XMCO avait également publié un bulletin lors de la découverte des premières traces d’exploitation. L’ANSSI a contacté le réseau InterCERT-FR afin de rappeler que cette vulnérabilité critique est exploitable sans authentification et qu’elle permet d’exécuter du code arbitraire, afin de prendre le contrôle du serveur sous-jacent à distance.

Fuite d’informations

Fuite de données chez TechData, 264 Go de données de paiements clientes exposés [12]

Tech Data est une entreprise d’infrastructure informatique faisant partie du prestigieux groupe Fortune 500. D’après leur équipe, c’est un serveur de gestion des journaux qui est à l’origine de la fuite et aurait permis l’exposition de 264 Go de données. Les informations exposées contenaient des clés privées d’API, des informations bancaires et de paiements, des noms d’utilisateurs, des mots de passe non chiffrés ainsi que des informations sur les processus des systèmes internes des clients des TechData et des versions SAP. De plus, des informations permettant d’identifier clairement des employés étaient disponibles telles que leur nom complet, qualification du poste, adresses email et physiques ainsi que numéro de téléphone et de fax.

Vie privée

MS Celeb, une énorme base de données de reconnaissance faciale retirée par Microsoft [13]

MS Celeb, une base d’entrainement de système de reconnaissance utilisé dans le cadre d’un projet d’IA visant à reconnaître des célébrités a été retirée par Microsoft. En effet, d’après un article du New York Times posté en avril, celle-ci aurait été utilisée par le gouvernement chinois pour suivre et contrôler 11 millions d’Ouïghours, une minorité majoritairement musulmane. La technologie recherchait les Ouïghours en fonction de leur apparence et surveillait leurs déplacements via leurs images récupérées sur Internet sous licence Creative Commons sans leur consentement.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXN-2019-2667
[2] CXA-2019-2672
[3] CXA-2019-2662
[4] CXA-2019-2649
[5] CXA-2019-2707
[6] CXA-2019-2678
[7] CXA-2019-2711
[8] CXN-2019-2685
[9] CXN-2019-2675
[10] CXN-2019-2633
[11] CXN-2019-2636
[12] CXN-2019-2610
[13] CXN-2019-2616