Résumé de la semaine #36 (du 3 au 9 septembre)

Résumé de la semaine #36 (du 3 au 9 septembre)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour Cisco Webex [1a][1b][1c], le navigateur Google Chrome [2] et Mozilla Firefox [3a][3b]. L’exploitation des vulnérabilités corrigées permettait à un attaquant distant de provoquer divers dommages allant du déni de service à la prise de contrôle total du système.

 

Codes d’exploitation

La semaine dernière, un code d’exploitation a été publié. Celui-ci affecte Internet Explorer au sein de Windows 7. Ce code permet l’exploitation d’un dépassement de tampon. Après avoir créé ce binaire, un attaquant doit inciter un utilisateur à l’exécuter afin de réaliser un déni de service. Aucun correctif n’est disponible. [4]

 

Informations

Sécurité

Un chercheur tchèque vient de publier un article dans lequel il explique avoir trouvé environ 400 000 sites qui exposeraient leurs dossiers « .git » sur Internet, favorisant ainsi le risque de piratages et le vol de données.Un acteur malveillant pourrait ainsi récupérer l’architecture du site web, l’historique des commits effectués, les adresses mail des responsables, les mots de passes de base de données ou encore des clés d’API. Cela lui permettrait de reconstruire le site en question, de connaître les bibliothèques utilisées et donc de découvrir de possibles vulnérabilités. [5a][5b]

Cybercriminalité

Le FBI a inculpé Kenneth Currin Schuchman pour violation du Computer Fraud and Abuse Act. Il s’agirait en effet de la personne derrière le pseudonyme « Nexus Zeta », utilisé par le créateur du botnet Satori. Le numéro de téléphone indiqué lors de l’enregistrement d’un nom de domaine utilisé par un serveur de contrôle de Satori a également été employé lors de l’enregistrement d’un autre domaine. L’identité et l’adresse réelle de Kenneth Schuchman ont été utilisées pour enregistrer ce nom de domaine. [6a][6b]

Le département de la justice américaine accuse formellement un programmeur nord-coréen d’être à l’origine de certaines des plus grosses cyberattaques des dernières années. D’après le dossier d’accusation de 179 pages, un Nord-Coréen de 34 ans du nom de Park Jin Hyok fait partie d’un groupe d’individus à l’origine de 7 attaques dont Wannacry. Selon le dossier d’accusation, Park Jin Hyok ferait partie d’un groupe actif de pirates informatiques, sponsorisé par le gouvernement, du nom de Lazarus. Il travaillerait également pour le gouvernement dans une entreprise gouvernementale du nom de Chosun Expo Joint Venture mais serait en réalité un officier du Bureau Général de Reconnaissance (RGB), le service de renseignement nord-coréen. [7a][7b][7c]

Les campagnes ciblées d’infection par logiciels malveillants ne sont pas nouvelles, cependant, il arrive de temps à autre d’en voir émerger de nouvelles ou d’anciennes plus avancées que les autres. C’est le cas de « Dark Tequila ». Cette campagne vise principalement les utilisateurs mexicains et serait active depuis au moins 2013. Si une opération avancée comme Dark Tequila est restée aussi longtemps discrète, cela est dû non seulement aux capacités de son logiciel malveillant capable d’être difficile à détecter, mais aussi à des contrôles effectués par les opérateurs de la solution : si une installation est détectée en dehors du Mexique, un ordre de désinstallation est envoyé. [8a][8b]

Attaques

Le 27 aout, un chercheur en sécurité utilisant le surnom SandboxEscaper a publié une vulnérabilité de type 0-day sur Windows 10 permettant de réaliser une élévation de privilèges à partir de l’interface ALPC du planificateur de taches Windows. Selon la société de sécurité ESET la faille de sécurité a été exploitée par un groupe nouvellement découvert PowerPool. Les attaques de PowerPool débutent par l’envoi d’un courrier électronique contenant une porte dérobée, permettant d’obtenir des informations sur la machine cible. Si cette dernière présente un intérêt pour les attaquants, le logiciel malveillant télécharge alors une seconde porte dérobée capable d’exécuter des commandes, de télécharger des fichiers ou encore de fermer des processus. [9]

Vulnérabilités

La société Phillips a découvert neuf vulnérabilités dans ses capteurs e-Alert (outil utilisé dans les systèmes d’IRM). Ces vulnérabilités peuvent être exploitées par un attaquant à distance ou se trouvant dans le même réseau local. Elles pourraient permettre à un attaquant de provoquer un déni de service, de dérober des informations utilisateurs voire de prendre le contrôle du système. À l’heure actuelle, aucun code d’exploitation public n’est disponible. [10]

Des chercheurs en sécurité de Qihoo 360 Netlab ont découvert que plus de 370 000 routeurs MikroTik étaient potentiellement vulnérables à une faille de sécurité liée au composant Winbox ( CVE-2018-14847 ). Un code d’exploitation est disponible. Il est basé sur des outils d’exploitation de vulnérabilités utilisés par la CIA qui ont été rendus publics par Wikileaks en mars 2017 dans le cadre d’une campagne appelée Vault7. D’après NetLab, 7 500 routeurs MikroTik ont pour le moment été compromis. La Russie, l’Iran, le Bresil, l’Inde et l’Ukraine figurent parmi les pays les plus touchés. [11]

Fuite de données

569 703 joueurs du jeu en ligne Mortal Online ont vu leurs informations de compte vendues sur différents forums en ligne. Cette vente intervient après une fuite de données survenue le 17 juin dernier au niveau du serveur hébergeant le forum et la boutique en ligne du jeu. L’attaquant a réussi à obtenir les identifiants et mots de passe des personnes affectées sous la forme d’empreintes MD5 (considéré comme obsolète et non sûr). La fuite de données a été confirmée par les développeurs du jeu quatre jours après l’incident. [12]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-3627
[2] CXA-2018-3584
[3] CXA-2018-3606
[4] CXA-2018-3565
[5] CXN-2018-3580
[6] CXN-2018-3566
[7] CXN-2018-3632
[8] CXN-2018-3583
[9] CXN-2018-3597
[10] CXN-2018-3575
[11] CXN-2018-3587
[12] CXN-2018-3576


Jean-Christophe Pellat

Cert-XMCO