Résumé de la semaine #37 (du 10 au 16 septembre)

Résumé de la semaine #37 (du 10 au 16 septembre)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Microsoft durant son traditionnel « Patch Tuesday ». Plus de 60 vulnérabilités ont été corrigées. Parmi les produits concernés, il est recommandé de mettre à jour en priorité les systèmes utilisant le composant vulnérable ALPC : Windows 7 [1], Windows 8.1[2a][2b], Windows Server 2008 [3a][3b], Windows Server 2016 [4], Windows Server (1709)[5] et Windows Server (1803)[6].

L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du vol d’informations sensibles à la prise de contrôle du système à distance via une page web malveillante.

 

Codes d’exploitation

La semaine dernière, deux codes d’exploitation ont été publiés. Ceux-ci exploitent des vulnérabilités affectant le framework Apache Struts et les équipements Cisco Umbrella ; ces vulnérabilités ont été corrigées par l’éditeur.

Le premier code d’exploitation permet de prendre le contrôle d’un système à distance [7].

Le second permet d’élever ses privilèges via une vulnérabilité au sein de Cisco Umbrella [8].

 

Informations

Cybercriminalité

La société C&A, spécialisée dans la vente de vêtement à l’internationale, affirme avoir subi une attaque sur sa plateforme de carte cadeau au Brésil. Les attaquants ont réussi à dérober les informations d’environ quatre millions de cartes cadeaux, représentant deux millions de personnes ainsi que les numéros d’identification, les adresses email, le montant des cartes cadeaux, le numéro de commande et les données d’achat liées. Les données de 36 000 personnes seraient directement exposées. [9]

Selon un article de Gabor Szathmari, chercheur en cybersécurité, des cybercriminels peuvent utiliser un nom de domaine abandonné afin d’obtenir de nombreuses informations privées en accédant aux comptes de messagerie du propriétaire précédent. Szathmari explique qu’à partir d’une surveillance quotidienne de la liste publique des noms de domaines expirés, des acteurs malveillants peuvent devenir propriétaires des domaines qu’ils jugent les plus intéressants, de manière totalement anonyme. Cela leur permet notamment de pratiquer des attaques d’hameçonnage de manière réaliste. [10]

Vulnérabilité

Une vulnérabilité affectant le navigateur Tor a été révélée sur Twitter par la société Zerodium, spécialisée dans la revente de code d’exploitation. Cette faille de sécurité existait au sein de l’extension « NoScript », un plugin empêchant l’exécution de fichiers JavaScript, Flash, Java ou Silverlight sur les pages web visitées. Elle affecte la version 7.x du navigateur Tor. Pour exploiter cette vulnérabilité, un attaquant devait créer une page ou un service dans le réseau Tor avec le champ « Content-Type » contenant la valeur « text/html;/json ». [11]

 

Piratage

La plateforme de pari en ligne DEOSBet développé par DEOSGames a été victime d’une attaque. Cette application décentralisée (dApp) basée sur EOS a permis à un attaquant d’encaisser vingt-quatre fois le jackpot d’un jeu de dés. En ayant effectué un dépôt initial de 339 EOS (1,695$), un utilisateur a réussi à obtenir 4,728 EOS (23,640$). À l’aide d’un explorateur de la blockchain EOS, il est possible de voir qu’après chaque paiement de 10 EOS, un paiement de 197 EOS en retour était effectué dans un délai de 30 secondes. Le joueur a gardé la majorité des gains acquis, mais des transactions témoignent qu’il essaie actuellement d’autres dApps EOS, probablement à la recherche d’une nouvelle cible. [12]

Vie privée

Vendredi dernier, Apple a retiré une application très populaire du Mac App Store. Il s’agit d’« Adware Doctor », une application qui se présente comme un anti-malware et protégeant des adwares. Elle était l’application payante en tête de liste de sa catégorie avec une note moyenne de 4,8/5 et plus de 7200 commentaires. Selon un chercheur en sécurité nommé Privacy 1st, l’application récoltait l’historique de navigation de Google Chrome, Mozilla Firefox, Safari, la liste des processus tournant sur la machine et l’historique de l’App Store. Ces informations étaient ensuite stockées dans une archive au format ZIP nommée « history.zip » et envoyée à un serveur distant. [13]

La société Veeam est spécialisée en technologies de l’information et en développement de logiciels de sauvegarde, de reprise d’activité et d’administration des environnements virtualisés pour VMware et Hyper-V. C’est un chercheur en sécurité qui à découvert, via le service web Shodan, une ressource MongoDB hébergée chez Amazon. Cette ressource n’était protégée par aucun mot de passe et n’était pas chiffrée. Les données étaient composées d’adresses email, de noms et dans certains cas d’adresses IP. Ces données auraient été collectées entre 2013 et 2017.[14]

 

Malware

Des chercheurs d’IBM X-Force ont découvert CamuBot, un malware ciblant les entreprises clientes de banques brésiliennes. Les chercheurs indiquent que la méthodologie d’infection est fortement individualisée en fonction de la cible. En effet, les attaquants pourraient utiliser les informations disponibles dans des annuaires téléphoniques ou sur les réseaux sociaux professionnels pour identifier les personnes susceptibles d’avoir accès aux données de connexion aux comptes bancaires. [15]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-3692
[2] CXA-2018-3679
[3] CXA-2018-3675
[4] CXA-2018-3686
[5] CXA-2018-3681
[6] CXA-2018-3676
[7] CXA-2018-3664
[8] CXA-2018-3643
[9] CXN-2018-3638
[10] CXN-2018-3756
[11] CXN-2018-3658
[12] CXN-2018-3665
[13] CXN-2018-3652
[14] CXN-2018-3705
[15] CXN-2018-3669


Jean-Yves Krapf

Consultant Cert-XMCO