Résumé de la semaine 44 (du 29 octobre au 4 novembre)

Résumé de la semaine 44 (du 29 octobre au 4 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour Edge [1], par OpenSSL [2], par Mozilla pour Thunderbird [3], par Google pour Google Chrome [4] et par Apache pour Tomcat [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Attaque

Anatomie d’une campagne de malvertising usurpant le site GIMP.org et visant à installer un infostealer [6a] [6b] [6c]

Une campagne de malvertising usurpant le site officiel du logiciel d’édition d’images GIMP et visant à installer l’infostealer Vidar a récemment été observée. Le malvertising consiste par exemple à utiliser de la publicité en ligne afin d’inciter à télécharger des logiciels malveillants. Dans ce cas-là, c’est Google ads qui a été utilisé par les acteurs malveillants. Ces derniers ont réussi à exploiter une faille dans le fonctionnement du service : la différence entre l’URL affichée sur Google (GIMP.org) et l’URL du site sur lequel arrivaient réellement les visiteurs (gilimp[.]org).

Malware

Symantec publie l’analyse technique d’un nouveau dropper [7]

Les chercheurs de Symantec ont publié l’analyse technique d’un dropper nouvellement identifié. Ce dropper, nommé Trojan.Geppei, permettrait d’installer un autre malware non documenté jusqu’alors appelé Trojan.Danfuan ainsi que d’autres outils.

Fuite d’informations

Le gang de ransomware Snatch aurait exfiltré des données de l’entreprise de défense Hensoldt France [8a] [8b] [8c] [8d]

Le gang de ransomware Snatch a publié sur son site des données supposées appartenir à l’entreprise Hensoldt France. Hensoldt, dont le siège est en Allemagne, produit des technologies liées à la défense et participe au programme du système de combat aérien du futur (SCAF).

Une mauvaise configuration de 3 serveurs de Thomson Reuters aurait exposé plus de 3 To de données sensibles [9]

Selon les équipes de Cybernews la multinationale Thomson Reuters, spécialisée dans l’édition professionnelle, financière et juridique, aurait accidentellement exposé plus de 3 To de données sensibles pendant plusieurs jours. Une mauvaise configuration de trois serveurs aurait rendu accessibles au moins 3 bases de données.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-5327
[2] CXA-2022-5294
[3] CXA-2022-5283
[4] CXA-2022-5272
[5] CXA-2022-5328
[6] CXN-2022-5341
[7] CXN-2022-5326
[8] CXN-2022-5291
[9] CXN-2022-5301


Marc Lambertz

Analyste CERT-XMCO