Résumé de la semaine 38 (du 12 au 18 septembre)

Résumé de la semaine 38 (du 12 au 18 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Drupal pour le CMS éponyme [1a] [1b] [1c] [1d] [1e] ainsi que par Ansible [2]. Ces correctifs adressent des dommages allant de la divulgation d’informations sensibles au contournement de mécanismes de sécurité.

Il est également à noter que Samba a indiqué être impacté par la vulnérabilité nommée « Zerologon » (CVE-2020-1472) [3a] [3b]. Même si cette vulnérabilité n’est pas corrigée sur Samba à proprement parler, il est possible de protéger les serveurs en s’assurant que la variable server schannel a pour valeur yes (valeur configurée par défaut).

 

Codes d’exploitation

Cette semaine, 4 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Parmi eux, seuls les 3 premiers disposent d’un correctif de sécurité.

Windows Server (Zerologon) [4a] [4b]

Ce code d’exploitation est un script Python et cible les contrôleurs de domaine Windows Server n’utilisant pas un canal Netlogon sécurisé. Un attaquant pouvant joindre un contrôleur de domaine et disposant de son nom NetBIOS et de son adresse IP peut utiliser ce code d’exploitation afin de modifier le mot de passe du contrôleur de domaine par une chaine de caractères vide.

Note : Ce code d’exploitation fonctionne également à l’encontre des serveurs Samba utilisés comme contrôleur de domaine et dont la variable server schannel a pour valeur no ou auto.

Microsoft Internet Explorer [5]

Ce code d’exploitation est un programme écrit en JavaScript. Il cible Internet Explorer pour Windows 7 64 bits. Un attaquant incitant sa victime à visiter une page web contenant ce code avec un navigateur vulnérable peut exécuter des programmes arbitraires sur le système.

macOS Catalina [6]

Ce code d’exploitation est un module écrit en Ruby pour le framework offensif Metasploit. Il vise macOS Catalina. Un attaquant disposant d’un invité de commandes sur un système vulnérable peut exécuter ce code d’exploitation afin de contourner les restrictions d’accès sur les dossiers et accéder à n’importe lequel d’entre eux.

Windows [7]

Ce code d’exploitation est un script Python. Il exploite la commande finger.exe des systèmes Windows de contourner les restrictions mises en place au sein de Windows Defender. Un attaquant exécutant ce code d’exploitation pourra déployer un serveur C2 (Command and Control) afin d’invoquer des commandes finger sur un système Windows vulnérable.

 

Informations

Vulnérabilités

Un chercheur publie une vulnérabilité permettant la prise de contrôle du système via le MDM MobileIron [8]

Le chercheur en sécurité Orange Tsai a publié le détail d’une vulnérabilité affectant le logiciel de gestion de flotte mobile ou MDM (Mobile Device Management) MobileIron. Le chercheur a pu se rendre compte qu’il était possible de contourner les restrictions mises en place au sein du serveur (d’enrôlement comme de gestion) permettant l’accès aux services web internes depuis Internet. L’accès aux services web permet alors de déclencher un appel à l’API de connexion aux annuaires de Java appelée JNDI, souvent pointée du doigt par le passé pour être facilement manipulable afin de rediriger son contenu vers une classe Java interne. En se basant sur de précédents travaux d’exploitation basés sur la possibilité d’exécuter du code arbitraire Java via une console Groovy, le chercheur a pu arriver à ses fins.

Recherche

BLESA : Nouvelle vulnérabilité sur la norme Bluetooth impactant plusieurs milliards d’appareils [9a] [9b]

Des chercheurs de l’université de Purdue (Indiana, USA) ont découvert une faille de sécurité sur le protocole de communication Bluetooth qui permettrait à un attaquant d’usurper l’identité d’un appareil appairé à distance au moment de la reconnexion, impactant potentiellement plus d’un milliard d’appareils de l’Internet des objets. L’attaque, nommée BLESA (Bluetooth Low Energy Spoofing Attacks), provient de problèmes d’authentification dans le processus de reconnexion entre deux appareils s’étant appairés auparavant.

Publication

L’agence nationale de la cybersécurité du Royaume-Uni publie un outil pour aider les entreprises à implémenter un processus de signalement des vulnérabilités [10a] [10b]

L’agence nationale de la cybersécurité du Royaume-Uni (NCSC - National Cyber Security Center) a publié un outil nommé The Vulnerability Disclosure Toolkit. Cet outil aide les entreprises à implémenter un processus permettant aux chercheurs en sécurité d’identifier et de remonter les vulnérabilités présentes sur leurs Systèmes d’Information. Il se base sur 3 points essentiels : la communication, la politique de signalement et la mise en place d’un document permettant d’identifier facilement le point de contact.

Fuite d’informations

Une fuite d’information dans l’application de campagne de Joe Biden exposait les données de millions d’électeurs [11a] [11b]

Un chercheur indépendant en sécurité a récemment publié un article de blog dans lequel il détaille un bug découvert dans l’application officielle de la campagne du candidat démocrate à l’élection américaine. Le problème était dû à l’utilisation des services de TargetSmart. Cette société de marketing politique agrège et met à disposition des données sur 191 millions d’électeurs. Malheureusement, le service de TargetSmart envoyait plus de données que nécessaire à l’application.

Un groupe de recherche découvre 800 000 clés d’accès exposées en ligne sur des plateformes de partage de code [12a] [12b]

Bien que GitHub ait développé un mécanisme capable de détecter et d’invalider certaines clés d’accès postées publiquement sur son service, le problème des clés exposées est loin d’être résolu. En effet, des chercheurs de chez Digital Shadows ont scanné 150 000 dépôts GitHub, GitLab, et Pastebin sur une période de 30 jours, et ont trouvé 800 000 clés d’accès librement exposées en ligne.

Fuite de données chez Mailfire, 320 millions d’enregistrements exposés pour plus de 70 sites de rencontres et d’e-commerces [13]

C’est un serveur Elasticsearch mal configuré qui exposait plus de 320 millions de données, appartenant à plus de 70 sites de rencontre et d’e-commerces, présents dans plus de 100 pays à travers le globe. Les données, d’un total de 882 gigaoctets, font partie d’un outil de notification et de marketing vendu par Mailfire à ses clients afin d’émettre des notifications, comme les nouveaux messages entre deux personnes sur des sites de rencontres.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-4708
[2] CXA-2020-4678
[3] CXA-2020-4717
[4] CXA-2020-4676
[5] CXA-2020-4660
[6] CXA-2020-4652
[7] CXA-2020-4666
[8] CXN-2020-4664
[9] CXN-2020-4718
[10] CXN-2020-4698
[11] CXN-2020-4675
[12] CXN-2020-4716
[13] CXN-2020-4691


Arthur Gautier