Résumé de la semaine 29 (du 14 au 20 juillet)

Résumé de la semaine 29 (du 14 au 20 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour Cisco IOS [1], Jenkins [2] et par Oracle [3] pour plusieurs de leurs produits et notamment Oracle MySQL [4] et Oracle Java SE [5]. Ces technologies sont très largement répandues et celles-ci pourraient être visées par des attaquants. Ces vulnérabilités permettaient à un attaquant d’élever ses privilèges et de prendre le contrôle du système sous-jacent.

 

Codes d’exploitation

Cette semaine, 7 codes d’exploitation ont été publiés.

Windows [6][7]

Deux codes d’exploitations ont été publiés pour Windows et Windows 10.
L’exploitation de ces failles permet à un attaquant d’élever ses privilèges sur le système.
Ces codes d’exploitation se présentent sous la forme d’un module metasploit écrit en Ruby et tirent parti d’une gestion incorrecte de liens symboliques dans le composant AppXSvc, ainsi que d’une mauvaise gestion de l’appel système NtUserSetWindowFNID.
Des correctifs sont disponibles.

Jira [8]

Le code d’exploitation affecte Atlassian Jira. L’exploitation de cette faille permettait à un attaquant distant non authentifié de prendre le contrôle d’un système. Ce code d’exploitation se présente sous la forme d’un programme écrit en Java. Le code d’exploitation en question utilise une vulnérabilité au sein des actions ContactAdministrators et SendBulkMail.
Un correctif est disponible.

Docker [9]

Ce code d’exploitation affecte Docker. L’exploitation de cette faille permettait à un attaquant distant non authentifié de prendre le contrôle d’un système. Ce code d’exploitation se présente sous la forme d’une ligne de commande en bash et exploite la fonctionnalité docker build.
Un correctif est disponible.

Cisco Small Business [10]

Le code d’exploitation affecte les équipements Cisco Small Business 200 / 300 / 500. L’exploitation de cette faille permet à un attaquant sur le réseau local de contourner des restrictions de sécurité. Ce code d’exploitation se présente sous la forme d’une requête HTML. En effectuant cette requête malgré elle, la victime se fait rediriger vers une page du choix de l’attaquant.
Aucun correctif de sécurité n’est disponible à l’heure actuelle.

 

 

 

 

Informations

Attaques

Le NCSC alerte contre la recrudescence des attaques de DNS hijacking et publie un guide de protection [11]

Ces attaques visent à modifier des enregistrements DNS légitimes afin de rediriger des utilisateurs vers des systèmes malveillants ou de mettre en oeuvre une attaque de l’homme du milieu (Man in the middle) pour dérober des données.Dans ce contexte, l’institution britannique a également rappelé des mesures visant à se protéger contre ce type d’attaque.

Une nouvelle technique permettant d’éviter l’identification d’un email malveillant a été observée [12]

Des chercheurs du Cofense Phishing Defense Center ont découvert une campagne de phishing ciblant les détenteurs de cartes bancaires American Express. L’objectif de l’attaquant est de dérober des données de connexion au site officiel de la société. Les emails envoyés dans le cadre de cette campagne présentent une particularité : ils utilisent l’élément HTML base pour éviter d’être identifiés comme malveillants par des solutions antispam.

 

 

Vie privée

Le gouvernement du Kazakhstan intercepte maintenant tout le trafic HTTPS en provenance de leur pays [13]

Le gouvernement Kazakh aurait demandé aux fournisseurs de services Internet locaux, de forcer leurs utilisateurs respectifs à installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs afin d’intercepter les communications chiffrées. D’après eux, il s’agirait d’une solution pour la sécurité des utilisateurs et ne concernerait que la capitale du Kazakhstan, Nur-Sultan.

 

 

 

Vulnérabilités

Une vulnérabilité sur WhatsApp et Telegram sur Android conduit à l’exposition et la manipulation de données privées [14]

Yair Amit et Alon Gat, deux chercheurs en sécurité de Symantec, ont identifié une vulnérabilité sur WhatsApp et Telegram sur Android pouvant conduire à l’exposition et la manipulation de données privées. Cette vulnérabilité ne provient pas d’une faille dans le code de ces applications, mais de la manière dont le système Android enregistre les fichiers échangés par les utilisateurs.

Une vulnérabilité affectant Instagram permettait de prendre le contrôle de n’importe quel compte [15]

Laxman Muthiyah, un chercheur en sécurité, a découvert une vulnérabilité affectant Instagram. Elle permettait à un attaquant de prendre le contrôle de n’importe quel compte. Pour cela, l’attaquant devait procéder de la manière suivante : effectuer une demande de réinitialisation de mot de passe basée sur un code à 6 chiffres envoyé sur le mobile de sa cible et tester tous les codes possibles sur le compte de sa cible.

 

 

Juridique

Un État allemand choisit de bannir l’utilisation de Microsoft Office 365 dans les écoles [16]

Le Land allemand de Hesse a récemment interdit aux écoles l’utilisation de Microsoft Office 365 par crainte d’accès aux données par les autorités américaines. Contrairement à ses concurrents, il était possible d’utiliser Office 365 avec des serveurs situés en Allemagne. Cependant, depuis la fermeture en août 2018 de ces serveurs, le service de bureautique du géant américain n’est plus conforme aux normes du Land, qui a annoncé par le biais du HBDI (autorité en charge de la protection des données) l’interdiction d’utiliser Microsoft Office 365.

 

 

Publication

Des chercheurs universitaires israéliens mettent en pratique une exfiltration de données basées sur les signaux lumineux des claviers [17]

Les exfiltrations de données depuis des systèmes isolés « air gap » font régulièrement l’objet de recherches. L’objectif étant de trouver un canal auxiliaire afin de transporter de l’information depuis un système qui ne serait pas raccordé à un réseau extérieur. Les chercheurs israéliens ont alors appliqué une technique déjà évoquée depuis 2002 visant à abuser de ces indicateurs lumineux pour exfiltrer des données.

Une nouvelle révision du CVSS vient d’être publiée [18]

Le Forum des Réponses à Incident et Equipes de Sécurité (FIRST) a annoncé la publication de la version 3.1 du « Common Vulnerability Scoring System ». Cette révision mineure du CVSS introduit le « CVSS Extensions Framework », de nouvelles métriques aidant notamment à cibler plus précisément les secteurs impactés par les vulnérabilités identifiées (par exemple : Santé, Automobile, Protection de données).

Des chercheurs publient un rapport sur la sécurité des applications des 100 plus importantes banques au monde [19]

Des chercheurs de la société ImmuniWeb ont publié les résultats d’une étude portant sur la sécurité des applications déployées par les 100 plus importantes banques au monde. L’étude est basée sur la mise en oeuvre de tests non intrusifs portant sur la configuration SSL, la sécurité d’applications Web et mobile et le phishing. Elle incorpore également un volet sur la conformité vis-à-vis du RGPD et du standard PCI-DSS.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-3216
[2] CXA-2019-3257
[3] CXN-2019-3274
[4] CXA-2019-3252
[5] CXA-2019-3241
[6] CXA-2019-3232
[7] CXA-2019-3203
[8] CXA-2019-3186
[9] CXA-2019-3259
[10] CXA-2019-3195
[11] CXN-2019-3213
[12] CXN-2019-3255
[13] CXN-2019-3289
[14] CXN-2019-3240
[15] CXN-2019-3196
[16] CXN-2019-3209
[17] CXN-2019-3192
[18] CXN-2019-3187
[19] CXN-2019-3174


Jean-Christophe Pellat

Cert-XMCO