Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Gitlab[1], DLINK[2], Google Chrome[3], Apache Camel[4], Jenkins[5][6], IBM Spectrum Control[7a][7b][7c] et Windows[8].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitations

Cette semaine, 2 codes d’exploitation ont été publiés. Des correctifs de sécurité sont disponibles pour toutes les vulnérabilités concernées.

Prise de contrôle du système via une vulnérabilité au sein de D-Link Central Wifi Manager [9]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. L’exécution de ce code permet d’envoyer une requête HTTP contenant un cookie username spécifiquement conçu et ainsi contourner le mécanisme d’authentification afin d’exécuter du code arbitraire avec les privilèges NT AUTORITÉSYSTÈME.

Divulgation d’informations via une vulnérabilité au sein de TeamViewer [10]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. L’exécution de ce code permet d’automatiser le processus de création d’un lien malveillant, d’exposition d’un serveur SMB en écoute et d’ainsi récupérer les informations d’authentification de l’utilisateur.

Informations

Malware

MacOS : un malware se propage par le biais de projets Xcode en effectuant une attaque UXSS sur Safari et d’autres navigateurs [11]

Xcode est un IDE (Environnement de Développement Intégré) utilisé pour le développement d’applications pour macOS et l’ensemble de la gamme Apple (iPhone, iPad, etc.).
Selon la société TrendMicro, des malwares de la catégorie XCSSET ont été découverts dans des projets de développement. Les chercheurs estiment que la propagation se fait principalement à travers l’utilisation des projets s’appuyant sur des dépôts GitHub infectés. Lors de la compilation du code, le logiciel est infecté en exploitant des vulnérabilités sur le matériel de la victime.

Recherche

Plusieurs clients mails vulnérables a une attaque via les liens « mailto » [12]

La vulnérabilité a été découverte par des chercheurs de deux universités allemandes. Via un lien spécialement conçu, elle permet de voler silencieusement les fichiers locaux de la victime et de les envoyer à l’attaquant via un email.
Le coeur de la vulnérabilité se repose sur l’implémentation de la RFC 6068, qui définit comment les clients mails doivent supporter les liens mailto et leurs paramètres qui permettent de préremplir un email. Il existe une multitude de paramètres, dont certains sont définis comme dangereux par la RFC, qui recommande aux développeurs de logiciel de ne pas les implémenter.

Cybercriminalité

Le groupe TeamTNT déploie un ver permettant d’exfiltrer les identifiants AWS [13]

Des chercheurs en sécurité ont repéré une nouvelle fonctionnalité de découverte d’identifiants AWS dans le malware du groupe TeamTNT.
Ce groupe est actif depuis au moins avril d’après une analyse des chercheurs de l’entreprise de sécurité Trend Micro. Il utilise un ver informatique qui cible les installations Docker pour y installer des mineurs de cryptomonnaie.

Pendant six mois, des chercheurs en sécurité ont secrètement distribué un vaccin contre le virus Emotet à travers le monde. [14]

Emotet est un groupe de cybercriminels parmi les plus importants et les plus expérimentés, qui existe depuis 2014 (cf. CXN-2014-2181, CXN-2019-4361, CXN-2020-1784) et serait localisé dans des états de l’ancienne URSS.
Cette entité a mis au point un logiciel malveillant qui, ayant infecté une machine, se propage latéralement sur le réseau et infecte d’autres machines. Il peut ainsi subtiliser des données sensibles et réaliser plusieurs actions entrainant souvent des dommages conséquents.

Il y a peu, un chercheur a découvert une erreur dans le code d’Emotet. Cette dernière permet de s’en protéger, mais aussi de le désactiver.

Vulnérabilité

Microsoft met deux ans pour corriger une vulnérabilité critique et exploitée sur Internet [15]

Durant son patch mensuel d’aout, Microsoft a corrigé une vulnérabilité critique qui aurait été signalée deux ans plus tôt.
La vulnérabilité en question, référencée CVE-2020-1464, est activement exploitée sur Internet et impacte l’ensemble des versions de Windows. Cette vulnérabilité permet à un attaquant de contourner le mécanisme de vérification des signatures des fichiers à l’aide d’un paquet d’installation Windows .msi contenant une archive Java .jar spécifiquement conçue.

Ransomware

Le plus grand opérateur de croisières au monde révèle avoir été victime d’un ransomware [16]

Carnival Corporation, le plus grand opérateur de croisière au monde, a révélé avoir été victime d’un ransomware au cours du week-end.
Dans une déposition auprès de la U.S. Securities and Exchange Commission (SEC), la société a déclaré que l’incident avait eu lieu le samedi 15 aout.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXN-2020-4256
[2] CXN-2020-4255
[3] CXN-2020-4245
[4] CXN-2020-4237
[5] CXN-2020-4233
[6] CXN-2020-4213
[7] CXA-2020-4294
[8] CXA-2020-4297
[9] CXN-2020-4257
[10] CXN-2020-4278
[11] CXN-2020-4222
[12] CXN-2020-4260
[13] CXN-2020-4259
[14] CXN-2020-4228
[15] CXN-2020-4238
[16] CXN-2020-4234