Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle pour son Critical Patch Update [1], par Google pour Google Chrome [2] (une vulnérabilité 0-day exploitée sur Internet a notamment été corrigée) ainsi que pour Kubernetes [3], par VMWare pour vCenter [4], pour ESXi, Workstation et Fusion [5], par Mozilla pour Firefox [6a] [6b] et Thunderbird [7], par Microsoft pour Windows 10 [8a] [8b] [8c] et pour Nagios XI [9a] [9b].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 5 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Tous disposent d’un correctif de sécurité.

Windows 10 [10]

Ce code d’exploitation se présente sous la forme d’un script Python. Un attaquant pouvait exécuter ce script Python contre un serveur Windows afin de réécrire le pointeur d’exécution de la pile et de provoquer l’arrêt intempestif du système.

Microsoft Sharepoint [11]

Ce code d’exploitation est un module écrit en Ruby pour le framework offensif Metasploit. En exécutant ce module, un attaquant authentifié disposant de la permission AddAndCustomizePages va générer une page spécifiquement conçue afin de réaliser une injection de fichier côté serveur qui lui permet de récupérer le fichier web.config. Le contenu de ce fichier peut être utilisé par un attaquant afin d’exécuter du code arbitraire.

Nagios XI [12] [13] [14]

Ces codes d’exploitation se présentent sous la forme de requêtes HTTP. Un attaquant authentifié envoyant ces requêtes à un serveur vulnérable va forcer le serveur à exécuter la fonction sleep pendant 5 secondes, va pouvoir lire ou modifier des informations en base ou sera en mesure d’injecter du code JavaScript au sein de la page Relationships.

Informations

Attaques

Google révèle la plus grande attaque DDoS de l’histoire [15]

Après avoir gardé le secret, l’équipe Google Cloud a finalement révélé la semaine dernière la plus grande attaque DDoS de l’histoire. Celle-ci a ciblé le service Google en septembre 2017. Elle avait atteint 2,54 Tb/s, plus que l’attaque DDoS de 2,3 Tb/s envers l’infrastructure AWS d’Amazon en février 2020.

Vie Privée

Broadvoice expose publiquement 350 millions d’entrées d’utilisateurs, dont des messages vocaux [16]

350 millions d’entrées d’utilisateurs du service VoIP Broadvoice ont été publiquement exposées sur Internet fin septembre. On retrouve principalement des données personnelles, mais aussi des transcriptions de conversations d’utilisateurs du service, contenant des informations sensibles, comme des détails médicaux ou financiers. En cause, un cluster de bases de données qui était accessible publiquement sur Internet sans authentification.

Une vulnérabilité au sein de l’application Waze permettait à un attaquant de suivre les utilisateurs en temps réel [17]

Waze est une application mobile appartenant à Google qui permet d’établir des itinéraires en temps réel selon la charge du réseau routier. Peter Gasper, un ingénieur en sécurité informatique, a signalé une vulnérabilité dans l’application qui permet à des attaquants d’accéder à des informations sensibles sur les utilisateurs et de les suivre en temps réel.

Malware

Le retour d’Emotet se fait passer pour une mise à jour Windows du logiciel Microsoft Word [18]

Après une courte période d’accalmie, Emotet revient sur le devant de la scène depuis le 14 octobre avec une nouvelle version. Le document Word est attaché en pièce jointe ou disponible via un lien de téléchargement dans l’email. Le contenu du document Word se fait passer pour un message de Windows Update, et invite la victime à activer le contenu afin de « mettre à jour le logiciel Microsoft Word ».

Recherche

Publication d’un article sur une attaque d’exécution de code à distance ciblant l’application de bureau Discord [19a] [19b] [19c]

Le chercheur en cybersécurité Masato Kinugawa a publié les détails techniques d’une attaque sur l’application de bureau Discord permettant d’exécuter du code arbitraire à distance. En chainant 3 vulnérabilités, il a été en mesure d’exécuter du code arbitraire sur le système.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXN-2020-5336
[2] CXA-2020-5337
[3] CXA-2020-5256
[4] CXA-2020-5252
[5] CXA-2020-5277
[6] CXA-2020-5387
[7] CXA-2020-5355
[8] CXA-2020-5286
[9] CXA-2020-5291
[10] CXA-2020-5254
[11] CXA-2020-5263
[12] CXA-2020-5281
[13] CXA-2020-5289
[14] CXA-2020-5290
[15] CXN-2020-5267
[16] CXN-2020-5261
[17] CXN-2020-5358
[18] CXN-2020-5268
[19] CXN-2020-5285