Résumé de la semaine #32 (du 4 au 10 août)

Résumé de la semaine #32 (du 4 au 10 août)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour le système Android [1] et pour Mozilla Thunderbird [2]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

 

Codes d’exploitation

La semaine dernière, quatre codes d’exploitation ont été publiés. Des correctifs sont disponibles pour chacune des vulnérabilités utilisées par ces codes d’exploitation.

Le premier affecte les routeurs MikroTik. Le code permet d’établir une connexion avec un système distant afin de récupérer les noms d’utilisateur et les mots de passe des comptes administrateurs du routeur. [3]

Le second affecte FortiClient de Fortinet. Ce code permet à un attaquant d’élever ses privilèges sur la machine afin d’obtenir un interpréteur de commande Windows. [4]

Les deux derniers affectent le noyau Linux et le système Solaris. Ces codes permettent à un attaquant local d’élever ses privilèges sur une machine. [5][6]

 

Informations

Attaques

Le géant de l’hébergement et des services Cloud Salesforce.com met en garde ses clients utilisant son offre Marketing Cloud au sujet d’une erreur de l’API qui aurait pu divulguer des données de certains utilisateurs de cette offre. [7]

Une épidémie de virus informatique a été découverte le 3 août dans les usines de Taiwan Semiconductor Manufacturing Company (TSMC), le plus grand fabricant de puces au monde. La société s’attend à une perte d’environ 255 millions de dollars sur son chiffre d’affaires au troisième trimestre. [8]

Lundi 30 juillet 2018, les responsables de Matanuska-Susitna (Mat-Su), un arrondissement de la zone d’Anchorage (Alaska), ont déclaré qu’ils souffrent encore de l’infection par un ransomware nommé « BitPaymer » qui a eu lieu le 24 juillet. L’ensemble des services impactés lors de l’infection ont dû faire usage de machines à écrire afin de continuer à assurer un service. [9]

Vulnérabilités

WhatsApp, la célèbre application de messagerie, s’est avérée vulnérable à de multiples failles de sécurité qui peuvent permettre à des utilisateurs malveillants d’intercepter et de modifier le contenu des messages envoyés dans des conversations. [10]

OpenEMR est une solution logicielle open source utilisée pour la gestion de dossiers électroniques de millions de patients a travers le monde. L’équipe de sécurité Project Insecurity a récemment publié un rapport de 28 pages détaillant une vingtaine de vulnérabilités critiques au sein du programme. [11]

Vie privée

Bob Diachenko, chercheur en cybersécurité, a découvert que la base de données MongoDB contenant les données de santé de 2 millions de patients mexicains était exposée sur internet. Pour ce faire, il a utilisé Shodan, un moteur de recherche référençant le résultat de scans de ports massifs. [12]

L’année dernière, Gizmodo Media Group a publié un outil, PKMK Inspector, afin d’étudier les recommandations d’amis que Facebook soumet à ses utilisateurs. Il a été développé afin de mieux comprendre comment fonctionne la fonctionnalité PYMK de Facebook et est disponible sur Github. Le lendemain de la publication de l’outil d’analyse, Facebook a contacté Gizmodo afin de demander son retrait au nom du fait qu’il violait les conditions de service de Facebook, car il requiert de donner le nom d’utilisateur et le mot de passe d’un compte. [13]

Malware

Des chercheurs de Kaspersky Labs ont observé en mai dernier le retour de Calisto, un cheval de Troie spécifique à macOS datant de 2016 et qui avait disparu de la circulation entre temps. Afin de se propager, Calisto se fait passer pour la solution de sécurité d’Intego pour macOS. Durant l’installation, le logiciel malveillant demande à l’utilisateur de saisir ses identifiants afin de procéder à des modifications sur le système, ce qui n’a rien d’anormal pour un logiciel prétendant être un antivirus. [14]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-3253
[2] CXA-2018-3212
[3] CXA-2018-3256
[4] CXA-2018-3217
[5] CXA-2018-3199
[6] CXA-2018-3196
[7] CXN-2018-3224
[8] CXN-2018-3208
[9] CXN-2018-3207
[10] CXN-2018-3250
[11] CXN-2018-3252
[12] CXN-2018-3254
[13] CXN-2018-3259
[14] CXN-2018-3233


Jean-Christophe Pellat

Cert-XMCO