Résumé de la semaine 35 (du 25 au 31 août)

Résumé de la semaine 35 (du 25 au 31 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour macOS [1] et iOS [2] ainsi que par Cisco pour IOS XE [3]. Ces correctifs adressent des dommages allant du contournement de sécurité à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié. Ce code permet à un attaquant local de contourner des restrictions de sécurité.

Windows 10 [4]

Ce code d’exploitation exploite une vulnérabilité au sein du module NTFS de Windows 10. En exécutant un programme écrit en C#, un attaquant était en mesure de créer un répertoire avec des attributs spécifiques pour y monter un volume protégé sans permission. Un correctif est disponible.

 

Informations

Vulnérabilités

Une porte dérobée dans Webmin a été découverte lors du DEF CON 2019 [5]

Une porte dérobée a été implémentée intentionnellement en 2018 au sein de l’utilitaire Webmin sur les systèmes Unix. Celle-ci a été découverte lors de la convention DEF CON 2019. Un attaquant distant et non authentifié, connaissant l’existence de cette faille, pouvait prendre le contrôle du système sous-jacent. Webmin a déclaré qu’elle adopterait de nouvelles mesures de sécurité.

Une seconde vulnérabilité permettant d’élever ses privilèges découverte dans Steam [6a][6b]

Au début du mois d’août dernier, une vulnérabilité affectant 100 millions d’utilisateurs a été découverte au sein de la célèbre plateforme de jeux Steam. Deux semaines plus tard, une seconde vulnérabilité affectant la plateforme a été découverte par le même auteur. Un attaquant local non privilégié était en mesure d’élever ses privilèges et de prendre le contrôle du système.

Attaque

11 bibliothèques Ruby contenaient une porte dérobée pour miner des cryptomonnaies [7]

Les équipes en charge du maintien du dépôt RubyGems ont retiré 18 versions de 11 bibliothèques contenant une porte dérobée. Cette porte dérobée permettait à l’attaquant d’exécuter un processus de minage de cryptomonnaies. Cependant, les versions infectées ne totalisent que 3500 téléchargements depuis le début de l’attaque en mai 2019.

Malwares

Un cheval de troie Android infecte des dizaines de milliers d’appareils en 4 mois [8]

Des chercheurs de Malwarebytes Labs ont découvert un nouveau cheval de Troie qui, depuis mai, a infecté plus de 32 000 smartphones et tablettes Android.

npm retire un paquet malveillant capable de dérober des mots de passe [9]

Un paquet malveillant a été retiré d’un dépôt npm, base de paquets open-source utilisés dans les projets Node.js, après la découverte que celui-ci dérobait les identifiants de connexion des machines sur lesquelles il était installé. npm demande aux utilisateurs de s’assurer que tous les programmes spécifiquement conçus soient bien supprimés des machines infectées.

Fuites d’informations

Les données de 84 000 clients allemands de MasterCard dérobées [10]

Les données personnelles de 84 000 clients allemands de MasterCard ont été publiées cette semaine sur un forum en ligne. Dans un premier temps, seuls des numéros de cartes bancaires incomplets avaient été révélés. Puis, une seconde liste cette fois complète a été rendue publique. Elle contenait : numéros de cartes bancaires complets, numéros de téléphone, adresses et dates de naissance des clients touchés. En revanche, les mots de passe, dates d’expiration et cryptogrammes n’étaient pas présents.

L’entreprise Imperva divulgue une exposition de données sensibles de clients de la solution Incapsula/Cloud WAF [11a][11b]

Ce mardi 27 août, l’entreprise Imperva a dévoilé avoir pris connaissance de l’exposition de données clientes sensibles dans un communiqué sur son blog. L’entreprise souligne que seule une partie des clients de la solution « Cloud WAF » (aussi connue sous la dénomination Incapsula) serait impactée par cette exposition de données. Des adresses mail, des mots de passe salés et hachés, des clés d’API ainsi que des certificats SSL/TLS fournis par les clients étaient accessibles.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-3913
[2] CXA-2019-3888
[3] CXA-2019-3919
[4] CXA-2019-3907
[5] CXN-2019-3873
[6] CXN-2019-3912
[7] CXN-2019-3872
[8] CXN-2019-3929
[9] CXN-2019-3865
[10] CXN-2019-3867
[11] CXN-2019-3910


Arthur Gautier