Résumé de la semaine #33 (du 11 au 17 août)

Résumé de la semaine #33 (du 11 au 17 août)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

La semaine dernière, Microsoft a publié son traditionnel « Patch Tuesday » , plus de 50 vulnérabilités ont été corrigées. Parmi les produits concernés, il est recommandé de mettre à jour en priorité les navigateurs Internet Explorer et Microsoft Edge. L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du vol d’informations sensibles à la prise de contrôle du système à distance via une page web malveillante.

 

Codes d’exploitation

La semaine dernière, un code d’exploitation a été publié.

Celui-ci affecte cPanel. Le code permet de générer un formulaire afin d’envoyer une requête POST contenant du code Javascript malveillant au site cible. L’utilisation de ce code d’exploitation permet à un attaquant de voler des informations et de manipuler des données. Aucun correctif n’est disponible pour l’heure. [3]

 

Informations

Vie privée

Depuis le début du mois d’août, des centaines d’utilisateurs d’Instagram rapportent avoir été victimes de piratage. La procédure est toujours la même, les victimes sont déconnectées de leurs comptes, puis leurs coordonnées, leurs informations personnelles sont supprimées et leur photo de profil est la plupart du temps remplacée par une image de film de Disney ou Pixar. Les attaquants modifient également les adresses mail des comptes compromis par des adresses liées à un domaine russe. [4]

Vulnérabilités

En janvier 2017, deux chercheurs provenant de WhiteScope et QED Secure Solutions ont détecté une faille dans les appareils Medtronic, société productrice de pacemakers. Lors de la conférence Black Hat (ayant eu lieu du 4 au 9 août dernier), une démonstration a été réalisée et confirme que cette faille proviendrait d’un défaut dans les mécanismes de sécurité des mises à jour et d’une absence de vérification de signature de code. Les pirates peuvent facilement installer des logiciels malveillants et contrôler à distance le déclenchement ou non de décharge électrique. [5]

Intel a dévoilé l’existence de trois nouvelles failles de sécurité impactant ses processeurs Core et Xeon. Ces failles référencées CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646 sont regroupées soit sous le nom de Foreshadow, ou encore L1 Terminal Fault (L1TF). Leurs exploitations permettent à un attaquant de voler des informations sensibles stockées dans les caches L1 des processeurs. Foreshadow se dérive en deux versions, l’attaque d’origine, conçue pour extraire des données à partie d’enclaves SGX et une seconde version qui cible les machines virtuelles, les hyperviseurs, la mémoire du noyau des systèmes d’exploitation et la mémoire SMM (System Management Mode). [6]

Un chercheur en sécurité dénommé Christopher Domas a démontré, lors de la conférence Black Hat 2018 se déroulant à Las Vegas, qu’un mécanisme était présent au sein de certains processeurs x86 permettant d’élever ses privilèges (ring 3 à ring 0) au travers de commandes CPU non documentées. Il a pu identifier une porte dérobée au sein des CPU VIA C3 (année de production : 2002) permettant une élévation de privilèges. Même si cette porte dérobée est normalement désactivée par défaut (nécessite un accès ring 0 pour l’activer), certains systèmes sont tout de même affectés. [7a][7b]

En 2014, les chercheurs de la société IOActive ont découvert de multiples vulnérabilités au sein des terminaux de communication par satellite les plus largement utilisés et ont présenté des scénarios que des attaquants pourraient exploiter une fois que les systèmes de communication satellites (SATCOM) ont été compromis, et ce, dans différents secteurs (aérien, maritime, militaire). La société indique que certains de ces scénarios sont encore possibles en 2018. Un chercheur de la société a montré à la conférence Black Hat 2018 à Las Vegas qu’il était toujours possible pour des attaquants de prendre le contrôle d’équipements de communications satellites à distance comme ceux d’avions de ligne ou de navires utilisés par l’armée américaine dans des zones de conflit, par exemple. [8]

Attaques

Le FBI a communiqué aux banques la possibilité d’une attaque imminente. En effet, des cybercriminels seraient en train de préparer une attaque pleinement chorégraphiée connue sous le nom de « ATM cash-out ». Un groupe d’attaquant serait alors dans la capacité de retirer frauduleusement des millions de dollars en seulement quelques heures en se servant de cartes bancaires clonées, en piratant la banque ou encore en exploitant une vulnérabilité au sein des automates. [9]

Juridique

Le gouvernement australien souhaite avoir la mainmise sur les réseaux, les appareils numériques, et les données qui constitue un obstacle pour leurs services de renseignement. Une loi discutée depuis le mois de juin est en cours de réflexion. Elle permettrait aux forces de l’ordre d’accéder aux contenus sans casser le chiffrement. Selon eux, le chiffrement représente un réel frein pour agir contre les terroristes et les extrémistes utilisant Internet et les grandes plateformes de médias sociaux et de messagerie provenant la plupart du temps des États-Unis. [10]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-3314
[2] CXA-2018-3313
[3] CXA-2018-3345
[4] CXN-2018-3350
[5] CXN-2018-3277
[6] CXN-2018-3333
[7] CXN-2018-3278
[8] CXN-2018-3286
[9] CXN-2018-3301
[10] CXN-2018-3291


Jean-Christophe Pellat

Cert-XMCO