Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft lors du Patch Tuesday [1], par SAP [2], par Adobe pour Acrobat [3], par Apple pour macOS BigSur [4], macOS Catalina [5] et iOS [6], par Google pour Google Chrome [7] et par Drupal [8a][8b][8c][8d][8e].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein du composant MSHTML de Microsoft Windows [9]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Un attaquant peut utiliser ce code afin de générer un fichier Office malveillant. En incitant sa victime à ouvrir ce fichier spécifiquement conçu, l’attaquant est alors en mesure d’exécuter du code arbitraire sur le système.
Informations
Recherche
Un composant logiciel caché permet de prendre le contrôle d’instances Microsoft Azure [10]
Des chercheurs en sécurité de l’entreprise Wiz ont récemment découvert une faille permettant d’exécuter du code arbitraire sur le système. Cette dernière impacte un composant logiciel nommé Open Management Infrastructure (OMI) permettant de collecter des statistiques et de synchroniser la configuration de l’environnement. Ce composant était caché et installé par défaut sur des instances Microsoft Azure fonctionnant sous Linux.
Threat Intelligence
Un acteur malveillant a développé une version Linux de Cobalt Strike pour ses propres attaques [11]
Le 13 septembre 2021, l’entreprise de sécurité Intezer a publié sa découverte d’une version Linux et d’une version Windows réécrite de Cobalt Strike Beacon. Ces dernières auraient été développées par l’acteur malveillant Vermillion, d’où le nom Vermillion Strike donné par Intezer. Vermillion Strike serait active depuis août 2021 et indétectable par les logiciels de sécurité.
Ransomware
Les opérateurs du ransomware REvil confirment leur retour avec la publication d’informations sur une nouvelle victime [12a][12b]
Connus pour constituer l’un des groupes de ransomware les plus virulents, les opérateurs de REvil, aussi connus sous le nom de Gold Southfield, se sont mis en retrait le 13 juillet. Toutefois, une succession d’évènements, comme la publication d’une nouvelle victime sur son site .onion ou l’upload d’un nouvel échantillon du ransomware sur Virustotal, tend à confirmer le retour du groupe. Un déchiffreur universel a également été publié récemment par Bitdefender.
International
Des attaquants ont eu accès à une partie des infrastructures des Nations Unies à l’aide d’identifiants volés [13a][13b]
Le Système d’Information des Nations Unies aurait été en partie compromis début avril 2021 avec des traces d’activités jusqu’en août dernier. Les attaquants auraient gagné accès pendant plusieurs mois à une partie des infrastructures grâce à l’achat sur le Darknet d’au moins un compte compromis. Ils sont parvenus à accéder à des informations sensibles, non spécifiées, concernant l’Organisation des Nations Unies ainsi qu’à obtenir un accès en profondeur à l’infrastructure.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2021-4318
[2] CXA-2021-4310
[3] CXA-2021-4294
[4] CXA-2021-4258
[5] CXA-2021-4252
[6] CXA-2021-4249
[7] CXA-2021-4242
[8] CXA-2021-4345
[9] CXA-2021-4257
[10] CXN-2021-4306
[11] CXN-2021-4307
[12] CXN-2021-4254
[13] CXN-2021-4240
