Résumé de la semaine 30 (du 24 au 30 juillet)

Résumé de la semaine 30 (du 24 au 30 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Moodle [1], par Apple pour macOS [2] et pour iPad [3].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de macOS Big Sur, iOS et iPadOS [4a][4b][4c]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Objective-C. En exécutant ce code à travers une application locale, un attaquant est alors en mesure de provoquer une corruption de la mémoire et d’exécuter du code arbitraire sur le système avec les privilèges du noyau. Un correctif est disponible via le mécanisme de mise à jour automatique.

Prise de contrôle du système via une vulnérabilité au sein des produits Windows Server [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ciblant un serveur vulnérable avec le script, un attaquant non authentifié sera en mesure d’usurper l’identité du serveur auprès d’autres services du domaine. Aucun correctif n’est disponible à l’heure actuelle.

Divulgation d’information via une vulnérabilité au sein d’Elasticsearch [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant une requête avec ce programme, un attaquant est alors en mesure d’exfiltrer des informations potentiellement sensibles manipulées par le SGDB. Une version corrigée est disponible auprès du support Elasticsearch.

Informations

Vulnérabilité

Une nouvelle vulnérabilité permettant la compromission d’un domaine a été découverte (PetitPotam) [7a][7b][7c]

Une nouvelle vulnérabilité, nommée PetitPotam d’après le pseudonyme de son créateur, a été découverte et affecte les serveurs Windows. Cette vulnérabilité est exploitable via le protocole MS-EFSRPC accessible sur le port TCP/445 et permettrait à un attaquant non authentifié de forcer un serveur à se connecter à un serveur spécifique sous son contrôle et ainsi, lui permettre d’effectuer une attaque de type NTLM Relay.

Ransomware

Le ransomware Lockbit revient avec une version 2.0 se déployant automatiquement depuis un contrôleur de domaine [8]

L’opérateur de ransomware LockBit a été lancé en septembre 2019 en tant que ransomware-as-a-service. Ses développeurs ont relancé la recherche d’acteurs malveillants partenaires pour lancer de nouvelles attaques avec une version améliorée du logiciel: Lockbit 2.0. Lors de son déploiement sur un contrôleur de domaine compromis, ce ransomware crée de nouvelles politiques de groupe et les actives sur tous les appareils reliés au réseau. Ces politiques de groupe lui permettent de se déployer automatiquement, ainsi que de désactiver certaines fonctionnalités de sécurité.

Présentation du site No More Ransom, un site d’aide aux victimes de ransomwares [9a][9b]

No More Ransom est un site web spécialisé dans l’assistance aux victimes de ransomwares. Il est capable de déchiffrer 151 familles différentes de ransomwares et est disponible en 37 langues. Depuis sa création, il y a 5 ans, No More Ransom aurait permis d’économiser aux entreprises victimes près de 900 millions d’euros en leur évitant de payer les rançons réclamées par les attaquants.

L’hébergeur Cloudstar victime d’un ransomware qui impacte de nombreuses sociétés dans l’immobilier [10a][10b]

La société Cloudstar a récemment été victime d’une attaque par ransomware. Cloudstar est un hébergeur et fournisseur de services cloud, dont de nombreux clients sont dans les industries de l’assurance et de l’immobilier notamment. Des centaines de sociétés seraient affectées par cette compromission de leur hébergeur.

Cybercriminalité

Microsoft publie un article détaillé sur les malwares LemonDuck et LemonCat [11a][11b]

Microsoft a publié un article détaillant le fonctionnement des malwares LemonDuck et LemonCat ainsi que sur le mode opératoire du groupe d’attaquants les exploitant. Ces deux malwares, possédant un comportement similaire, sont connus pour se propager rapidement sur le réseau et permettent d’utiliser les ordinateurs infectés afin de miner des cryptomonnaies à l’insu des utilisateurs.

Attaque

Des cybercriminels ciblent les installations Kubernetes utilisant Argo Worklows [12a][12b]

Des chercheurs de l’entreprise Inteze ont découvert une nouvelle campagne d’attaques à l’encontre des installations Kubernetes utilisant Argo Workflows. Celui-ci est un moteur de workflow open source s’organisant autour de clusters Kubernetes. Pour fonctionner, cet outil permet le déploiement de toute sorte de conteneurs pour représenter les différentes étapes d’un workflow défini dans un fichier de configuration. D’après les chercheurs, cet outil serait utilisé dans de nombreux secteurs comme la technologie, la finance et la logistique.

Fuite d’informations

Un pirate annonce avoir récupéré 3.8 milliards de numéros de téléphone venant de l’application Clubhouse [13a][13b]

L’application Clubhouse est un réseau social où les utilisateurs communiquent au travers de salons vocaux. Une annonce a été faite sur un forum du Darknet concernant Clubhouse. L’application enregistrerait tous les numéros de téléphone de ses utilisateurs ainsi que leurs contacts dans une base de données qui aurait été piratée. Cette base de données contiendrait 3.8 milliards de numéros de téléphones, ce que l’entreprise dément fermement, avançant le fait que ces numéros proviennent « d’automates qui génèrent des milliards de numéros de téléphone aléatoires ».

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-3510
[2] CXA-2021-3495
[3] CXA-2021-3477
[4] CXA-2021-3498
[5] CXA-2021-3496
[6] CXA-2021-3472
[7] CXN-2021-3499
[8] CXN-2021-3527
[9] CXN-2021-3509
[10] CXN-2021-3473
[11] CXN-2021-3516
[12] CXN-2021-3512
[13] CXN-2021-3492


Théophile Demaegdt

Analyste CERT-XMCO