Résumé de la semaine 40 (du 26 septembre au 02 octobre)

Résumé de la semaine 40 (du 26 septembre au 02 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par PrestaShop [1a][1b][1c][1d], par Webmin [2], par SPIP [3], par OpenSSH [4], ainsi que par Cisco pour son système d’exploitation Cisco IOS XR [5]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Les correctifs de sécurité sont disponibles.

Prise de contrôle du système via une vulnérabilité au sein des produits Windows Server [6a][6b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python utilisant la bibliothèque impacket. Il utilise la vulnérabilité « ZeroLogon » afin de se faire passer pour le contrôleur de domaine puis récupère une clé de session afin de pouvoir chiffrer et signer les communications RPC. Cette nouvelle capacité est ensuite utilisée afin d’envoyer des requêtes à l’interface de synchronisation de l’Active Directory (DRSUAPI), permettant à l’attaquant d’obtenir une copie locale de l’annuaire du domaine.

Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Windows 10 et Windows Server (1909) [7]

Ce code d’exploitation se présente sous la forme d’un module en Ruby pour le framework offensif Metasploit. L’exécution de ce code d’exploitation permet d’appeler ScheduleWork et de créer une tâche planifiée au sein du System Update Orchestrator qui sera exécuté lorsque le système sera en attente. Cette tâche sera exécutée avec les droits NT AUTHORITE\SYSTEM. Toutefois, l’attaquant n’a aucun moyen de modifier le moment où la tâche sera exécutée.

Informations

Vulnérabilités

Une nouvelle manière d’exploiter ZeroLogon permet de limiter les effets de bord [8]

Cette semaine, le chercheur en sécurité Dirk-jan Mollema a publié un article sur son blog présentant une nouvelle manière d’exploiter la vulnérabilité référencée CVE-2020-1472 , qui permet à un attaquant sur le domaine d’en prendre le contrôle. Plusieurs codes d’exploitation ont déjà été publiés. Cependant, ces codes possédaient le défaut suivant : suite à l’utilisation de ce dernier, le contrôleur de domaine était laissé dans un état « instable ». Son mot de passe de machine stocké dans l’Active Directory n’était pas identique à son mot de passe stocké dans sa base locale.

Lancement public du scanner de vulnérabilités intégré à Github [9]

Github a annoncé hier le lancement public de son service de scan de vulnérabilités. Celui-ci produit des alertes lorsque des vulnérabilités sont détectées dans les sources d’un projet. Ce service utilise la technologie d’analyse de code CodeQL, acquise par Github l’année dernière. La fonctionnalité, en bêta fermé depuis le mois de mai, a reçu des retours de nombreux développeurs.

Piratage

Le fabricant de montres Swatch victime d’une cyberattaque [10]

Swatch Group, le fabricant de montres suisse a dû interrompre ses Systèmes d’Information en urgence en raison d’une cyberattaque détectée pendant le week-end. Les représentants du groupe, qui emploie 36 000 personnes et génère des revenus de 9,6 milliards de dollars, ont pour le moment évoqué très peu d’information sur le sujet. Cependant, une plainte contre X a été déposée.

Plus de 247 000 serveurs Microsoft Exchange vulnérables à une faille de sécurité activement exploitée [11]

Plus de 247 000 serveurs Microsoft Exchange ont été identifiés vulnérables à la faille de sécurité référencée CVE-2020-0688 . Cette vulnérabilité, révélée en février 2020, est présente dans la configuration par défaut du composant Exchange Control Panel (ECP), et permet à un attaquant d’exécuter du code à distance en utilisant n’importe quel identifiant valide.

Phishing

Une campagne de phishing prétend aider les entreprises à passer de Windows 7 à Windows 10 afin de voler des identifiants Outlook [12]

Des chercheurs mettent en garde sur une campagne de phishing en cours : les attaquants envoient des emails malveillants aux utilisateurs afin de les encourager à se connecter sur un site afin de mettre à jour leur machine. Les victimes sont en fait redirigées vers une fausse page d’authentification Outlook où leurs identifiants sont volés.

Un groupe APT innove avec OAuth2 pour gagner l’accès au compte Office 365 de ses victimes [13]

Le groupe APT connu sous la dénomination de TA2552 cible principalement des victimes hispanophones, notamment au Mexique. Récemment, TA2552 a été observé en train d’utiliser des jetons d’authentification OAuth2 pour accéder à des comptes Office 365 afin de voler le contenu des emails. Pour voler des identifiants, les pirates utilisent habituellement de fausses pages de connexion, ou distribuent des malwares intrusifs. Ici, TA2552 trompent ses utilisateurs pour les pousser à visiter la page d’autorisation des applications tierces d’Office 365.

Attaque

Le géant de la logistique CMA CGM se met hors ligne afin de bloquer une attaque [14]

CMA CGM S.A., géant français du transport maritime et de la logistique, a révélé aujourd’hui avoir été victime d’une attaque (dans laquelle un malware non spécifié aurait été utilisé) ayant affecté certains de ses serveurs. L’attaque a forcé les équipes informatiques de CMA CGM à couper l’accès à certaines applications afin d’empêcher le malware de se propager à d’autres appareils du réseau.

Suite à une attaque par ransomware, Tyler Technologies demande à ses clients de changer les mots de passe de leurs comptes [15]

L’entreprise de technologie gouvernementale américaine Tyler Technologies a récemment été victime d’un ransomware. Cette attaque serait l’œuvre du groupe RansomExx/Derfay777, qui aurait volé et chiffré un grand nombre de données sensibles. Dans la foulée, la direction de l’entreprise a prévenu ses clients que des tentatives de connexions suspectes avaient été identifiées sur les comptes de certains clients (ces comptes sont ceux utilisés par les employés de l’entreprise pour se connecter aux systèmes des clients).

Ransomware

Une campagne de ransomware cible les hôpitaux du groupe américain UHS [16a][16b]

Un nombre indéterminé d’hôpitaux américains appartenant au groupe Universal Health Services ont été victimes d’une campagne de ransomware. L’information, initialement diffusée par un employé sur Reddit, a été confirmée sur le site d’UHS le lendemain. Le groupe hospitalier indique avoir subi un incident et travailler activement sur la remise en route des infrastructures et la mise en place de mesures préventives. De plus, le groupe indique que les dossiers médicaux des patients n’ont pas été compromis.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-4931
[2] CXA-2020-4987
[3] CXA-2020-4966
[4] CXA-2020-4926
[5] CXA-2020-4947
[6] CXA-2020-4955
[7] CXA-2020-4949
[8] CXN-2020-4951
[9] CXN-2020-4975
[10] CXN-2020-4961
[11] CXN-2020-4964
[12] CXN-2020-4950
[13] CXN-2020-4986
[14] CXN-2020-4948
[15] CXN-2020-4941
[16] CXN-2020-4946


Alexandre Padel