Résumé de la semaine 26 (du 26 juin au 2 juillet)

Résumé de la semaine 26 (du 26 juin au 2 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs / Vulnérabilités

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par ForgeRock pour OpenAM [1a][1b] et par Microsoft pour son navigateur Edge [2a][2b][2c][2d], ainsi que de désactiver le service de spouleur d’impression sur tous les serveurs Windows suite à la publication d’une vulnérabilité critique [3].
Ces correctifs adressent des dommages allant de la divulgation d’informations à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour Dovecot.

Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Windows [4]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En préparant une bibliothèque dynamique (DLL) spécifiquement conçue et en exécutant le programme en spécifiant l’adresse IP du contrôleur de domaine ainsi que d’un compte du domaine en argument, un attaquant est en mesure d’exécuter du code arbitraire sur le contrôleur de domaine.

Divulgation d’informations via une vulnérabilité au sein de Dovecot [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En se basant sur un protocole précis (IMAP, POP3 ou SMTP) ce script permet de vérifier si le serveur associé au nom d’hôte fourni en argument est vulnérable ou non. Pour vérifier cela, le programme commence par vérifier la connexion au serveur en utilisant des commandes légitimes, puis, si la connexion est un succès, le script tente d’exploiter la vulnérabilité en injectant des commandes par le biais de la commande STARTTLS afin d’analyser les réponses obtenues pour vérifier l’exploitabilité du serveur.

Informations

Fuite d’informations

Les données personnelles de 700 millions d’utilisateurs de LinkedIn sont en vente sur le darkweb [6a][6b]

Un utilisateur d’un forum de pirate a récemment publié une annonce afin de vendre les données concernant 700 millions d’utilisateurs du réseau social professionnel LinkedIn. Pour prouver que les données sont effectivement en sa possession, il a mis à disposition un échantillon contenant les données d’un million d’utilisateurs.

Attaque

Attaque en cours sur les serveurs NAS Western Digital My Book Live [7a][7b][7c]

Depuis le 24 juin 2021, un acteur malveillant effectue une attaque à distance sur les serveurs NAS Western Digital My Book Live. Cette attaque a été détectée par de nombreux utilisateurs qui se sont rendu compte que leurs serveurs avaient été réinitialisés (entraînant la suppression de la totalité des données présentes sur leurs disques durs).

Threat Intelligence

Le groupe LV modifie un ransomware appartenant au groupe REvil afin de lancer leur propre Ransomware-as-a-Service [8]

Un acteur connu comme le groupe LV a récemment reprogrammé un ransomware appartenant au groupe REvil afin de lancer sa propre branche de Ransomware-as-a-Service (RaaS). L’acteur REvil (ou Sodinokibi) est un acteur important dans le milieu des ransomwares, qui a conduit plusieurs attaques de grande ampleur, visant des cibles à travers le monde entier.

Vie privée

La CNIL annonce une mise en demeure de toutes les entreprises en non-conformité sur la gestion des cookies [9]

Le 18 mai 2021, la présidente de la CNIL a décidé de mettre en demeure une vingtaine d’organismes éditant des sites à forte fréquentation et ayant des pratiques contraires à la législation sur les cookies, ce qui a conduit à la mise en demeure des organismes visés afin qu’ils se mettent en conformité. Cette action s’inscrit dans la stratégie de contrôle de la CNIL pour 2021, qui a démarré en octobre 2020. Le point central de ces mises en demeure concernait la facilité des utilisateurs à refuser les cookies. En effet, pour un utilisateur qui visite un site web, « refuser les cookies doit être aussi simple qu’accepter ».

Cybercriminalité

Microsoft annonce une nouvelle attaque menée par les pirates responsables de la compromission de SolarWinds [10a][10b]

Microsoft a récemment annoncé avoir détecté une nouvelle attaque menée par les pirates responsables de la compromission de SolarWinds. Les pirates ont pris le contrôle du compte d’un employé de support client de Microsoft. Grâce à ce compte, ils ont pu obtenir des informations sur les comptes d’un petit nombre de clients. Ces informations ont ensuite été utilisées dans le cadre d’attaques de phishing très ciblées.

Banque

Une faille NFC permet de compromettre des distributeurs de billets avec un téléphone Android [11]

Joseph Rodriguez, un chercheur en sécurité informatique travaillant pour l’entreprise IOActive, a découvert une série de bugs permettant de compromettre des distributeurs de billets. Cette dernière s’exploiterait depuis la puce NFC d’un téléphone. En utilisant une application Android permettant au téléphone de reproduire le comportement d’une carte bancaire, le chercheur a montré qu’il était en mesure d’effectuer plusieurs actions, notamment de collecter des données de carte de crédit.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-3082
[2] CXA-2021-3083
[3] CXA-2021-3099
[4] CXA-2021-3067
[5] CXA-2021-3079
[6] CXN-2021-3072
[7] CXN-2021-3066
[8] CXN-2021-3065
[9] CXN-2021-3095
[10] CXN-2021-3056
[11] CXN-2021-3059


Jules Wermeister

Analyste CERT-XMCO