Résumé de la semaine #30 (du 21 au 27 juillet)

Résumé de la semaine #30 (du 21 au 27 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple [1][2][3][4], IBM [5][6][7], Schneider-Electric [8] et Fortinet [9]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 7 codes d’exploitation ont été publiés, dont voici les principaux.

Trend Micro [10]

L’exploitation de cette faille permet à un attaquant distant de contourner des restrictions de sécurité.
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Un attaquant est alors en mesure de contourner la génération d’alerte par le système en envoyant une commande spécifiquement encodée en hexadécimale et précédée par le caractère %.
Un correctif est disponible.

Android [11]

L’exploitation de cette faille permet de provoquer un déni de service ainsi que de prendre le contrôle du système.
Ce code d’exploitation se présente sous la forme d’un fichier mp4. En incitant sa victime à ouvrir ce fichier, un attaquant est alors en mesure de provoquer une écriture hors-champs et donc d’altérer le comportement nominal du programme : plantage de l’application, détournement du flot d’exécution voire exécution de code arbitraire.
Un correctif est disponible.

Schneider Electric [12]

L’exploitation de cette faille permet de prendre le contrôle du système à travers l’envoi de requêtes spécifiquement forgées.
Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. L’attaque peut ainsi être complètement automatisée et ne nécessite aucune interaction.
Un correctif est disponible.

Windows [13]

L’exploitation de cette faille permet de causer un déni de service.
Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. L’attaque peut ainsi être complètement automatisée et ne nécessite aucune interaction.
Un correctif est disponible.

 

 

 

Informations

Vulnérabilités

Une probable fausse alerte concernant la dernière vulnérabilité affectant le lecteur vidéo VLC [14]

La dernière vulnérabilité découverte au sein de VLC a beaucoup fait parler d’elle. Son annonce et son score de 9.8/10 a beaucoup surpris de nombreux experts en sécurité informatique ainsi que les équipes de Video Lan, l’éditeur du célèbre lecteur vidéo libre. En effet, les détails techniques semblent indiquer qu’il s’agit d’une vulnérabilité dépendante d’une action de l’utilisateur, qui doit exécuter un fichier local spécialement conçu pour exploiter cette vulnérabilité. Il ne s’agit donc pas d’une vulnérabilité catastrophique, pouvant être utilisé par exemple pour créer un ver se propageant en toute autonomie.

La publication d’un document technique détaillant BlueKeep augmente les chances de voir le développement d’un exploit destructif [15]

Un chercheur en sécurité, Yang Jiewei de la société chinoise Tencent KeenLab, a publié un guide détaillant comment exécuter du code arbitraire sur Windows grâce à la vulnérabilité BlueKeep (cf CXA-2019-2205 ).
Ces éléments pourront faciliter le développement d’un code d’exploitation fonctionnel. Cette vulnérabilité semble exploitable sans aucune interaction humaine et serait, d’après Microsoft, « wormable » : elle a la possibilité d’être utilisée comme moteur de propagation autonome de la même manière que Wannacry utilisait l’exploit EternalBlue.

 

 

 

Fuite d’informations

Equifax condamné à payer plus de 575 millions de dollars suite à la fuite de données de 2017 [16]

La Commission fédérale du commerce (FTC) et le Bureau américain de protection des consommateurs (CFPB) ont condamné la société Equifax à dédommager les victimes de sa fuite de données.
La société devra dans un premier temps verser 575 millions de dollars, dont 300 millions serviront à financer des services de surveillance des comptes en banques des victimes. Le reste de cette somme sera réparti entre plusieurs états des États-Unis. Si les 300 millions de dollars ne suffisent pas, Equifax s’est engagé à y ajouter 125 millions, portant le total à 700 millions de dollars. L’accord implique également qu’Equifax mette en place une politique de sécurité rigoureuse et se soumette à des audits de sécurité réguliers.

 

 

 

Malware

Une campagne de Magecart cible des buckets Amazon S3 mal configurés pour déployer des skimmers [17]

Au mois de mai, des chercheurs de la société RisqIQ avaient publié un rapport à propos de la compromission d’un grand nombre de fournisseurs de sites web. L’attaque consiste à scanner des plages d’adresses pour trouver des buckets S3 aux permissions laxistes. Lorsque l’attaquant détecte un bucket sur lequel il a les droits de lecture et d’écriture, il télécharge les fichiers JavaScript (.js), y ajoute le code du skimmer (outil destiné au vol de données bancaires) et remplace les fichiers du bucket avec les scripts modifiés. Il est conseillé d’ajuster finement les permissions et le contrôle d’accès aux ressources des buckets S3 pour se prémunir de ce genre d’attaques.

 

 

 

Attaques

Une attaque en plusieurs étapes permet de transformer des instances Elasticsearch en réseau de botnets [18]

Une attaque en plusieurs étapes, similaire aux portes dérobées BillGates/Setag, permet de transformer des instances Elasticsearch en réseau de botnets. Les attaquants utilisent un code d’exploitation liée à la vulnérabilité référencée CVE-2015-1427 pour prendre le contrôle de l’instance. Une porte dérobée permettant de voler des informations sur le système compromis et d’utiliser le système dans des attaques de déni de service distribué est ensuite déployée.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-3387
[2] CXA-2019-3350
[3] CXA-2019-3349
[4] CXA-2019-3339
[5] CXA-2019-3383
[6] CXA-2019-3360
[7] CXA-2019-3305
[8] CXA-2019-3346
[9] CXA-2019-3329
[10] CXA-2019-3402
[11] CXA-2019-3396
[12] CXA-2019-3347
[13] CXA-2019-3321
[14] CXA-2019-3378
[15] CXA-2019-3373
[16] CXA-2019-3343
[17] CXA-2019-3325
[18] CXA-2019-3397


Jean-Christophe Pellat

Cert-XMCO