Résumé de la semaine #33 (du 8 au 14 août)

Résumé de la semaine #33 (du 8 au 14 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour le Patch Tuesday [1] (dont le correctif pour deux vulnérabilités 0-day actuellement exploitées), par Citrix pour Citrix Endpoint Management (CEM) [2], pour les produits SAP [3], par Adobe pour Adobe Reader et Adobe Acrobat [4], pour TeamViewer [5], par Google pour son navigateur Google Chrome [6] ainsi que par Apache pour Apache HTTPd Server [7] et le framework Apache Struts [8].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Des correctifs de sécurité sont disponibles pour toutes les vulnérabilités concernées.

Élévation de privilèges via une vulnérabilité au sein de Windows 10 [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Powershell. En exécutant ce programme sur un système vulnérable, un attaquant est alors en mesure d’obtenir les privilèges NT AUTHORITÉ\SYSTÈME.

Divulgation d’informations via une vulnérabilité au sein d’Adobe Acrobat et Adobe Reader [10]

Ce code d’exploitation se présente sous la forme d’un script écrit en JavaScript. En incitant sa victime à ouvrir un document PDF spécifiquement conçu contenant ce script, un attaquant est alors en mesure d’accéder à l’adresse en mémoire d’EScript.api.

Contournement de sécurité via une vulnérabilité au sein de Google Chrome [11]

Ce code d’exploitation se présente sous la forme d’une page web HTML. En incitant sa victime à ouvrir cette page, un attaquant est alors en mesure de contourner la Content Security Policy à travers l’attribut src=javascript: d’une balise iframe et, ainsi, de charger un script hébergé un serveur distant.

 

Informations

Vulnérabilité

Android est à nouveau impacté par une vulnérabilité touchant le protocole Bluetooth [12a] [12b] [12c]

Des chercheurs chinois ont découvert une nouvelle vulnérabilité résidant dans le protocole Bluetooth sous Android. Il était possible pour un attaquant de s’emparer discrètement des données d’un smartphone grâce à cette technologie.

Une vulnérabilité critique impactant vBulletin est toujours exploitable malgré l’application du correctif [13a] [13b]

En septembre 2019, un chercheur anonyme a signalé une vulnérabilité critique dans vBulletin, un logiciel de forum de discussions très populaire, permettant à un attaquant non authentifié d’exécuter du code PHP et des commandes shell dans les versions 5.0 à 5.4 (cf. CXN-2019-4338). « Corrigée » deux jours après, la vulnérabilité serait toujours exploitable.

Plus de 400 vulnérabilités sur des puces Qualcomm menacent des millions de smartphones Android [14]

Des chercheurs en sécurité ont découvert plus de 400 vulnérabilités au sein de puces Qualcomm utilisées par de nombreux smartphones Android. Ces vulnérabilités ont été découvertes au sein du composant DSP (Digital Signal Processor), responsable de plusieurs fonctionnalités au sein des smartphones, tels que la charge rapide ou encore des fonctionnalités multimédias (audio et vidéo).

Attaque

Le FBI alerte d’une campagne ciblant les produits F5 BIG-IP [15]

Le FBI a émis une Private Industry Notification concernant une campagne d’attaques menée par un groupe de pirates affilié au gouvernement iranien.

Fuite d’informations

L’organisme de formation SANS touché par une fuite de données [16]

L’organisme de formation en cybersécurité SANS a récemment subie d’une fuite de donnée après que l’un des employés ait été victime d’une attaque de phishing.

ProctorU : l’outil d’examen en ligne victime d’une fuite de données impactant un demi-million de comptes utilisateurs [17a] [17b] [17c]

ProctorU est une plateforme d’examens en ligne pour les étudiants et les professionnels. Elle revendique plus de 1 000 collaborateurs et assure mettre en place une sécurité maximum pour les données et la vie privée de ses utilisateurs, en respectant les normes PCI DSS ainsi que le RGPD. Malgré les normes mises en œuvre, l’hébergeur d’examens en ligne a été victime d’une fuite de données qui impacte un demi-million de comptes utilisateurs.

International

Plusieurs attaques informatiques visant à dérober des données classifiées ont ciblé Israël et seraient l’œuvre de groupes associés à la Corée du Nord [18]

Mercredi, Israël a communiqué sur une attaque ciblant son industrie de la défense qui aurait été déjouée en temps réel. Cependant, des chercheurs en sécurité de l’entreprise ClearSky, qui a identifié l’attaque et la campagne d’hameçonnage associée, affirment que les attaquants auraient pénétré le système d’information ciblé et pourraient ainsi avoir exfiltré des données sensibles.

La Chine bloque désormais tout le trafic HTTPS utilisant TLS 1.3 et ESNI [19]

Depuis plus d’une semaine, le gouvernement chinois a modifié son outil de censure d’Internet (connu sous le nom de Great Firewall) pour bloquer les communications HTTPS utilisant TLS 1.3 et ESNI.

Recherche

L’attaque ReVoLTE peut déchiffrer les appels 4G (LTE) afin d’écouter des conversations [20a] [20b]

Des chercheurs ont découvert une vulnérabilité dans le protocole VoLTE (la principale technique de transport de la voix sur les réseaux de téléphonie mobile 4G LTE), qui permet de déchiffrer les appels vocaux sur des terminaux 4G.

Hardware

Une faille critique Intel affecte plusieurs cartes mères, serveurs et modules de calcul [21a] [21b]

Intel a mis en garde le public contre une faille d’une gravité rare (CVE-2020-8708), qui affecte certains de ses composants (cartes mères, certains systèmes internes de serveurs, modules de calculs, etc.). Cette vulnérabilité permettait à un attaquant non authentifié d’obtenir un accès distant au système.

Phishing

Une campagne de phishing cible les utilisateurs de cPanel avec l’annonce d’un faux bulletin de sécurité [22a] [22b] [22c]

Les attaquants cherchent toujours à se renouveler. Leur dernière trouvaille en date : un faux bulletin de sécurité ciblant les utilisateurs de cPanel. Le courriel malveillant les invitait à cliquer sur un lien afin de télécharger « les dernières versions devant couvrir tous les problèmes de sécurité ».

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-4172
[2] CXA-2020-4149
[3] CXA-2020-4158
[4] CXA-2020-4140
[5] CXA-2020-4114
[6] CXA-2020-4101
[7] CXA-2020-4089
[8] CXA-2020-4203
[9] CXA-2020-4197
[10] CXA-2020-4188
[11] CXA-2020-4157
[12] CXN-2020-4183
[13] CXN-2020-4111
[14] CXN-2020-4091
[15] CXN-2020-4079
[16] CXN-2020-4179
[17] CXN-2020-4085
[18] CXN-2020-4192
[19] CXN-2020-4080
[20] CXN-2020-4191
[21] CXN-2020-4164
[22] CXN-2020-4104


Arthur Gautier