Résumé de la semaine 37 (du 7 au 11 septembre)

Résumé de la semaine 37 (du 7 au 11 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour le Patch Tuesday [1], pour OpenSSL [2], par Palo Alto pour PAN-OS [3] [4] [5] [6], par SAP [7], par Citrix pour Citrix Workspace [8] et par Google pour Google Chrome [9] et Android [10].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Des correctifs de sécurité sont disponibles pour ces vulnérabilités.

Élévation de privilèges via une vulnérabilité au sein de Windows 10 [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C#. Après compilation et exécution sur un système vulnérable avec un compte standard, le compte Darrin DeYoung, membre du groupe Administrateur, est créé sur le système.

Contournement de sécurité via une vulnérabilité au sein de Windows 10 [12]

Le code d’exploitation se présente sous la forme d’un programme écrit en C#. L’exécution du code permet d’écrire un fichier sur l’emplacement %LOCALAPPDATA%\Microsoft depuis une application conteneurisée.

Prise de contrôle du système via une vulnérabilité au sein de Microsoft Exchange [13]

Ce code d’exploitation se présente sous deux formes : un script Python et un script PowerShell. Un attaquant disposant d’un compte avec le rôle Data Loss Prevention pouvait exécuter l’un de ces deux scripts afin d’exécuter du code arbitraire sur le serveur.

 

Informations

Vulnérabilité

Intel corrige une vulnérabilité critique dans sa plateforme de management d’entreprise à distance (AMT) [14]

Intel a corrigé neuf vulnérabilités affectant ses produits, l’une d’elles étant une vulnérabilité critique impactant les plateformes Active Management Technology (AMT) et Intel Standard Manageability.

700 000 installations WordPress affectées par une vulnérabilité critique au sein de l’extension File Manager [15a] [15b] [15c] [15d]

L’extension File Manager est conçue afin d’aider les administrateurs de WordPress à gérer les fichiers sur leurs sites. Celle-ci serait utilisée par plus de 700 000 installations WordPress et est impactée par une vulnérabilité critique.

Publication

L’ANSSI met en garde contre la recrudescence d’attaques utilisant Emotet en France [16]

Pour ce début du mois de septembre, l’Agence Nationale de la Sécurité des Systèmes d’Information a publié un bulletin d’alerte concernant la recrudescence d’activité liée au botnet Emotet ciblant les entreprises et entités gouvernementales françaises.

Les VM Windows en environnement Azure pourront désormais être mises à jour automatiquement [17a] [17b]

Microsoft propose une nouvelle fonctionnalité : la mise à jour automatique des machines virtuelles en environnement Azure. Les mises à jour de niveau “Critique” ou de “Sécurité” pourront ainsi être appliquées automatiquement.

Malware

Un nouveau skimmer permettant la récupération d’informations bancaires a été découvert par Visa [18a] [18b]

Un nouveau malware, nommé Baka, a été découvert par des chercheurs de chez Visa. Ce malware est un skimmer, c’est-à-dire un malware qui va cibler principalement les sites d’e-commerce et afin de permettre aux attaquants de récupérer les informations bancaires des victimes et de les envoyer à un centre de contrôle.

Ransomware

L’ANSSI et le ministère de la Justice publient un guide pour sensibiliser les entreprises et les collectivités sur les rançongiciels [19a] [19b]

Face à une augmentation sans précédent des attaques par ransomware, l’ANSSI, en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice, a publié un guide de sensibilisation sur le sujet : Attaques par rançongiciels, tous concernés - Comment les anticiper et réagir en cas d’incident ?. Celui-ci est à destination des entreprises (dirigeants comme RSSI) et des collectivités et a notamment été enrichi par les témoignages du Groupe M6, du CHU de Rouen et de Fleury Michon, tous les trois touchés par une attaque par ransomware en 2019.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-4596
[2] CXA-2020-4624
[3] CXA-2020-4612
[4] CXA-2020-4608
[5] CXA-2020-4605
[6] CXA-2020-4604
[7] CXA-2020-4579
[8] CXA-2020-4580
[9] CXA-2020-4572
[10] CXA-2020-4558
[11] CXA-2020-4588
[12] CXA-2020-4590
[13] CXA-2020-4633
[14] CXN-2020-4593
[15] CXN-2020-4524
[16] CXN-2020-4532
[17] CXN-2020-4606
[18] CXN-2020-4525
[19] CXN-2020-4516


Arthur Gautier