Résumé de la semaine #34 (du 18 au 26 août)

Résumé de la semaine #34 (du 18 au 26 août)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande l’application du correctif publié pour Apache Struts [1a][1b]. La vulnérabilité corrigée permettait la prise de contrôle d’un système à distance par un attaquant non authentifié.

 

Codes d’exploitation

La semaine dernière, trois codes d’exploitation ont été publiés.

Le premier code d’exploitation affecte le framework Apache Struts. Le code d’exploitation se matérialise sous la forme d’une URL malveillante. L’utilisation de ce code d’exploitation permet à un attaquant distant non authentifié de prendre le contrôle du serveur sous-jacent. Un correctif est disponible. [2]

Le second code d’exploitation affecte le client Adobe Creative Cloud. Le code en Objective C exploite la présence d’un service s’exécutant avec des privilèges élevés. Celui-ci permettait à un attaquant local d’élever ses privilèges sur le système. Un correctif est disponible. [3a][3b]

Enfin, le troisième code d’exploitation affecte OpenSSH. Celui-ci permet à un attaquant distant d’énumérer le nom des utilisateurs via l’envoi de paquets spécialement forgés. Un correctif est disponible. [4]

 

Informations

International

Le 28 mars 2018, la Commission européenne a publié un avis concernant les noms de domaine .eu enregistrés par les résidents britanniques. Cette publication annonce qu’à à compter du 30 mars 2019, les entreprises et organisations établies au Royaume-Uni, mais non situées dans l’UE et les personnes physiques qui résident au Royaume-Uni ne pourront plus enregistrer de noms de domaine .eu ou renouveler les noms de domaine .eu enregistrés. [5a][5b]

22 états américains (y compris Washington DC) saisissent une cour d’appel afin de restaurer les règles de la neutralité du Net. Ce principe, édicté en 2015 par l’administration Obama, permet de garantir un traitement égal des flux de données par les opérateurs. Les états touchés par la fin de la neutralité du Net laissent ainsi entendre que la FCC n’est pas autorisée à appliquer les lois locales protégeant la neutralité du réseau. [6]

Vie privée

Suite à son annonce en janvier dernier, Skype propose désormais une fonctionnalité de chiffrement de bout en bout (End-to-End) pour ses conversations privées. La fonctionnalité est désormais disponible pour les applications sur Mac OS, Android, Linux et Windows. L’utilisation du chiffrement est appliquée pour les appels, messages ainsi que l’envoi de fichiers audio, vidéos et images. Pour commencer une nouvelle conversation chiffrée, il suffit de sélectionner l’option « New Private Conversation » lors de la création d’un nouveau chat. [7]

Attaques

Les chercheurs d’ESET ont étudié une porte dérobée pour Microsoft Outlook utilisée par l’APT russe Turla, aussi connue sous le nom de Snake et d’Uroburos. En effet, depuis 2017, Turla s’en est pris à plusieurs institutions européennes comprenant notamment le ministère des affaires étrangères allemand. Dans leur enquête, les chercheurs ont découvert que le groupe de pirates avait exploité divers canaux du ministère allemand afin d’accéder aux bureaux des affaires étrangères de deux autres pays européens, ainsi qu’au réseau d’une importante société militaire privée. Tous ces faits s’ajoutent à la liste des actions commises depuis 2008 par l’APT dont les victimes comprennent des gouvernements, des diplomates ainsi que des autorités militaires. [8]

À la suite de leurs recherches sur les campagnes d’attaques chinoises ciblant le Tibet, les chercheurs de Recorded Future ont découvert que plusieurs d’entre elles émanaient d’une infrastructure appartenant à l’université Tsinghua, la plus prestigieuse de Chine. D’autres activités de reconnaissance de réseau à l’encontre de plusieurs organisations géopolitiques étaient également originaires de cette université. En approfondissant leur enquête,l’équipe de chercheur a aussi constaté que l’université Tsinghua avait récemment effectué des scans de port à l’encontre du Kenya, du Brésil et de la Mongolie à chaque fois à la suite de négociations économiques. [9]

Vulnérabilités

Un chercheur en sécurité a récemment identifié des vulnérabilités affectant plusieurs pilotes de lecteurs de cartes à puce. Utilisés dans de nombreux environnements sensibles, les lecteurs de carte permettent une authentification forte au travers d’une interaction entre la carte et le système associé au lecteur de carte.
Toutefois ces interactions s’effectuent au travers d’un pilote pouvant être exposé à des vulnérabilités. Les vulnérabilités identifiées permettent des exécutions de code arbitraire au sein des systèmes Windows et Linux, ainsi que de provoquer un déni de service, voire de contourner des mécanismes d’authentification. [10]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXN-2018-3446
[2] CXA-2018-3444
[3] CXA-2018-3441
[4] CXA-2018-3425
[5] CXN-2018-3461
[6] CXN-2018-3427
[7] CXN-2018-3452
[8] CXN-2018-3449
[9] CXN-2018-3429
[10] CXN-2018-3428


Jean-Christophe Pellat

Cert-XMCO