Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour le CMS Magento [1], Oracle VM [2] et les produits Cisco Video Surveillance Manager [3], Cisco IOS/IOS XE [4][5][6].

L’exploitation des vulnérabilités associées permettait à un attaquant de contourner des mécanismes de sécurité, de voler et manipuler des informations, ainsi que de prendre le contrôle du système.

Codes d’exploitation

La semaine dernière, deux codes d’exploitation ont été publiés.

Le premier affecte le traitement des appels Advanced Local Procedure Call (ALPC) du système Windows. Un attaquant disposant d’un compte sans privilège sur le système est en mesure d’élever ses privilèges vers le niveau le plus élevé (SYSTEM). Un correctif est disponible. [7]

Le second affecte le noyau Linux et exploite un débordement d’entier dans la fonction create_elf_tables du noyau Linux. En exécutant un programme spécifique sur un système vulnérable, un pirate ayant accès à un binaire SUID était alors en mesure d’obtenir le niveau de privilège maximum. Un correctif est disponible. [16]

Informations

Vulnérabilité

Google Project Zero a récemment communiqué sur la dernière attaque que l’équipe a pu identifier au sein de son Système d’exploitation Android. Celle-ci permet une exécution de code privilégiée sur un téléphone verrouillé ayant comme conséquence l’accès complet aux données, même chiffrées. [8]

La nouvelle version du système d’exploitation MacOS du fabricant Apple a été mise à la disposition du grand public le lundi 24 septembre 2018. Parmi les nombreux changements de cette nouvelle version, l’entreprise californienne avait indiqué que cette version présenterait une protection accrue de la vie privée de ses utilisateurs. Cette protection s’effectue notamment grâce à un système de « permissions » donnant la possibilité à l’utilisateur d’autoriser ou non une application à accéder à diverses informations de l’environnement sur lequel elle est installée. [9]

Des chercheurs en sécurité de Duo Labs ont découvert une vulnérabilité concernant le Mobile Device Management (MDM) d’Apple. Ce dernier est utilisé dans des environnements d’entreprise fermés. Il permet aux administrateurs de contrôler les périphériques mobiles de l’entreprise et notamment de délivrer des certificats, des applications ou encore des mots de passe WiFi. [10]

Piratage

L’entreprise allemande RWE, qui travaille dans le domaine de l’énergie, est aux prises avec des manifestants. En effet, celle-ci prévoit d’installer des mines de charbon dans la forêt de Hambach, et les manifestants ne sont pas de cet avis. Depuis le début du mois, la police œuvre pour expulser les manifestants de la forêt, et ceux-ci ont promis de devenir plus agressifs dans leurs tactiques. Suite à cela, les membres d’Anonymous en Allemagne ont publié une vidéo YouTube, dans laquelle ils menaçaient d’attaquer les serveurs de RWE. [11]

Vie privée

Un chercheur en sécurité de l’entreprise Seekurity a trouvé un bug dans l’un des sites WordPress de l’ONU. Celui-ci permet d’accéder à toutes les demandes d’emploi depuis 2016. Plusieurs milliers de documents, envoyés à travers une application web mal configurée, seraient ainsi accessibles. [12]

Google a réalisé un important changement dans la manière dont le navigateur Chrome fonctionne. Changement que la société n’a pas jugé bon de révéler aux utilisateurs, mais qui a pourtant de sérieuses répercussions. D’après plusieurs rapports (Hacker News, blog.cryptographyengineering.com, Bálint) , depuis la version 69 de Chrome, chaque fois qu’un utilisateur accède à un site appartenant à Google, le navigateur prendrait l’identité Google de cet utilisateur et le connecterait au système de compte Chrome du navigateur alias Sync. [13]

Suite à la polémique qui concerne la dernière version de Chrome (69) et sa gestion de l’identité Google des utilisateurs (cf. CXN-2018-3910 ), la firme de Mountain View a réagi. En effet, la prochaine monture de Google Chrome (version 70) laissera plus de contrôle aux utilisateurs sur la gestion des cookies Google. Les changements prévus sont notamment la possibilité de désactiver la connexion automatique dans Chrome lorsque l’utilisateur s’authentifie à un service Google. Des indicateurs plus clairs pour signaler si l’utilisateur est connecté ou non et si le service de synchronisation des données Sync est activé. [17]

Twitter a corrigé un bug qui provoquait l’envoi des messages directs (DM) à la mauvaise personne. Le problème existait depuis bien plus d’un an. D’après Twitter, le problème était dû à l’API « Account Activity » (AAAPI), qui permet à un développeur de réaliser des outils permettant un meilleur support et une meilleure communication cliente sur Twitter. Ainsi, les messages des utilisateurs ayant interagi avec un développeur à travers cet API pourraient avoir été envoyés au mauvais développeur. [14]

Juridique

Le 25 septembre, Nghia Hoang Pho âgé de 64 ans a été condamné par le département de la Justice des États-Unis à 66 mois de prison pour avoir volontairement conservé des documents classifiés concernant la défense nationale des États-Unis. [15]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco