Résumé de la semaine 25 (du 16 au 22 juin)

Résumé de la semaine 25 (du 16 au 22 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Firefox [1] [2] et par Oracle pour ses produits Oracle WebLogic Server [3] et Oracle VM [4]. La faille de sécurité référencée CVE-2019-11707 de Firefox a notamment été exploitée lors d’attaques visant les détenteurs de crypto-monnaies. Ces vulnérabilités permettaient à un attaquant de provoquer un déni de service, de contourner des restrictions de sécurité voire de prendre le contrôle d’un système.

Des correctifs notables ont également été publiés par Linux pour son noyau [5]. En exploitant les vulnérabilités référencées, un attaquant était en mesure de rendre un système indisponible à distance et sans authentification via un paquet spécifiquement conçu.

 

Informations

Vulnérabilités

Le chaînage de trois vulnérabilités permet d’obtenir une exécution de code arbitraire dans Microsoft AttackSurfaceAnalyzer [6]

Un chercheur a découvert 3 vulnérabilités permettant d’obtenir une exécution de code arbitraire dans Microsoft AttackSurfaceAnalyzer (ASA), outil comparant deux snapshots d’un système. La première permet d’accéder au port d’écoute de l’application depuis n’importe quelle adresse IP. La seconde est une vulnérabilité de type Cross-Site Scripting (XSS) sur une entrée utilisateur, et la dernière s’appuie sur la seconde pour exécuter du code arbitraire.

L’exploitation combinée de la CVE-2019-1040 et de PrinterBug permet d’exécuter du code arbitraire et de devenir administrateur de domaine [7]

En combinant la vulnérabilité publiée en juin 2019 par Microsoft, référencée CVE-2019-1040 , à celle impactant le service Windows Printer Spooler, il devient possible de relayer les authentifications SMB via le protocole NTLM jusqu’à un serveur LDAP. L’aboutissement de l’exploitation permet d’exécuter du code arbitraire en tant qu’administrateur sur le système ciblé.

 

Attaques

L’attaque DDoS qui a touché Telegram serait liée aux manifestations de Hong Kong [8]

Telegram a été indisponible entre 12h et 15h mercredi dernier, jour de la manifestation violente à Hong Kong. En effet, Telegram a subi une attaque DDoS qui consiste à surcharger le serveur de requêtes inutiles dans le but de ralentir le traitement des requêtes légitimes et de le rendre indisponible.

 

Phishing

Une nouvelle version du malware Houdini cible des institutions financières ainsi que leurs clients [9]

La nouvelle forme du malware Houdini, appelée HWorm, cible des institutions financières ainsi que leurs clients depuis le 2 Juin 2019. Dans le passé, HWorm ciblait le secteur de l’énergie.

Darty et la FNAC alertent leurs clients concernant des campagnes massives de phishing [10]

Le 13 juin 2019, les sociétés Darty et FNAC ont adressé un email intitulé « Information importante relative à la sécurité de vos données », expliquant à leurs clients que des campagnes de phishing ciblant FNAC et Darty sont en cours de diffusion.

 

Ransomware

Mise à jour de l’outil de déchiffrement gratuit pour les victimes du ransomware GandCrab [11]

Toujours dans le cadre de l’initiative No More Ransom!, Bitdefender publie la version 5.2 de son logiciel de déchiffrement permettant ainsi aux victimes de la version 5.2 du ransomware GandCrab de récupérer leur données.

 

Guide

L’ANSSI publie un guide sur les bonnes pratiques pour les professionnels en déplacement [12]

L’ANSSI vient de publier une nouvelle version du passport de conseils aux voyageurs. Dans celui-ci, il est évoqué 9 bonnes pratiques essentielles de sécurité à mettre en pratique avant, pendant et après son déplacement. Parmi ces mesures, l’ANSSI conseille de :

  • Évitez de vous connecter aux réseaux ou équipements non maîtrisés ;
  • Informez votre responsable de la sécurité en cas de perte ou de vol ;
  • Renouvelez les mots de passe utilisés lors de votre déplacement.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

 


Références portail XMCO

[1] CXA-2019-2766
[2] CXA-2019-2813
[3] CXA-2019-2762
[4] CXA-2019-2790
[5] CXA-2019-2758
[6] CXN-2019-2779
[7] CXN-2019-2717
[8] CXN-2019-2735
[9] CXN-2019-2734
[10] CXN-2019-2729
[11] CXN-2019-2753
[12] CXN-2019-2775


Jean-Christophe Pellat

Cert-XMCO