Résumé de la semaine 45 (du 31 octobre au 6 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Oracle Fusion Middleware [1], pour Adobe Acrobat [2], par Google pour Android [3] et pour son navigateur Google Chrome [4] [5] (dont deux vulnérabilités pour lesquelles il existe un code d’exploitation public), par MOXA pour les routeurs EDR 810 [6], pour WordPress [7] et pour Gitlab [8].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Deux d’entre eux disposent d’un correctif de sécurité.

Prise de contrôle du système via une vulnérabilité au sein d’Oracle Solaris [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme, un attaquant va provoquer un dépassement de tampon basé sur la pile dans la fonction parse_user_name (définie dans le fichier pam_framework.c), lui permettant ensuite d’exécuter du code sur le système.

Déni de service via une vulnérabilité au sein du noyau Windows [10]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En exécutant ce programme sur un système vulnérable, un attaquant va provoquer la création d’un tampon d’une taille de 2 octets afin d’y écrire 0x10002 octets. Ce tampon sera ensuite réécrit par un multiple de 65536 octets, provoquant la corruption du noyau et le plantage du système. Un correctif de sécurité devrait être disponible le mardi 10 novembre, à l’occasion du Patch Tuesday.

Prise de contrôle du système via une vulnérabilité au sein de Foxit Reader [11]

Ce code d’exploitation se présente sous la forme d’un fichier PDF contenant du code JavaScript. En incitant sa victime à ouvrir ce fichier, un attaquant est alors en mesure d’exécuter un exécutable arbitraire présent sur le système (ici calc.exe).

Informations

Attaque

Oracle publie un nouveau correctif pour la vulnérabilité CVE-2020-14882 exploitée sur Internet [12a][12b]

Oracle a publié un nouveau correctif pour la vulnérabilité CVE-2020-14882 impactant Oracle WebLogic Server au sein d’Oracle Fusion Middleware.
Lors du CPU (Critical Patch Update) d’octobre 2020, Oracle avait publié un premier correctif pour cette vulnérabilité. Celle-ci provenait d’un défaut de validation des requêtes GET dans le composant Console du serveur Oracle WebLogic. Ce nouveau correctif permet de corriger un contournement identifié sur le correctif précédent.

Le groupe UNC1945 mène actuellement des attaques requérant un haut niveau technique [13]

Une équipe de chercheurs de la société FireEye a découvert une campagne d’attaques attribuée au groupe UNC1945. La campagne aurait débuté fin 2018. Dans un rapport, les chercheurs détaillent les outils et les techniques utilisés par ce groupe.

Vulnérabilité

Les chercheurs de Project Zero découvrent une vulnérabilité critique dans le noyau de Windows permettant d’échapper aux environnements cloisonnés [14a][14b]

Le 30 octobre 2020, Ben Hawkes de l’équipe Google Project Zero a déclaré que son équipe a découvert une nouvelle vulnérabilité dans le noyau Windows. Cette vulnérabilité, référencée CVE-2020-17087, est due à une gestion incorrecte de la mémoire dans le pilote cryptographique du noyau (aussi connu comme CNG.sys).

Ransomware

Publication d’un guide pratique pour la défense contre les ransomwares [15]

Le groupe Mandiant (qui fait partie de la société FireEye) a récemment publié un guide pratique sur la protection contre la menace des ransomwares. Le but du guide est de fournir une liste de contrôles concrets à effectuer, et les mesures de renforcement associées afin de limiter l’impact d’une attaque par ransomware, mais aussi de limiter les chances de succès d’une telle attaque.

Les opérateurs du ransomware Maze annoncent la fin de leurs activités [16a][16b]

Le groupe Maze qui conduit des opérations de ransomware depuis 2019 a récemment annoncé la cessation de ses activités. D’autre part, le communiqué nie l’existence d’un cartel créé par le groupe.

La société Blackbaud attaquée en justice après une compromission par un ransomware [17]

Après avoir subi une importante attaque par ransomware au mois de mai, la société Blackbaud doit désormais faire face à 23 plaintes collectives devant des tribunaux aux États-Unis et au Canada.

Recherche

Le CERT-FR publie un document sur le cheval de Troie Emotet [18]

Le CERT-FR publie un document concernant le cheval de Troie bancaire, Emotet. Il retrace les origines de ce cheval de Troie, apparue en 2014, ainsi que de son évolution.

International

Le Comité européen à la protection des données exhorte les institutions à ne plus transférer de données vers les États-Unis [19a][19b][19c]

Récemment, le groupe Euractiv a découvert que le site de gestion des tests de dépistage de la COVID-19 du parlement européen demande l’autorisation aux utilisateurs de transférer leurs informations personnelles vers des sociétés américaines (Google et Stripe).

Le FBI et le CISA annoncent que les hôpitaux américains devraient subir une cyberattaque de grande ampleur dans les prochains jours [20a][20b]

Le 28 octobre 2020, le FBI et le CISA ont publié un avis à destination des hôpitaux américains. Ces organismes alertent sur le fait qu’une cyberattaque de grande ampleur devrait toucher 400 hôpitaux américains dans les jours à venir. En effet, le FBI a reçu des informations de la part de l’entreprise Hold Security sur la préparation d’une attaque imminente.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-5562
[2] CXA-2020-5582
[3] CXA-2020-5567
[4] CXA-2020-5549
[5] CXA-2020-5543
[6] CXA-2020-5550
[7] CXA-2020-5534
[8] CXA-2020-5544
[9] CXA-2020-5625
[10] CXA-2020-5538
[11] CXA-2020-5556
[12] CXN-2020-5564
[13] CXN-2020-5573
[14] CXN-2020-5529
[15] CXN-2020-5600
[16] CXN-2020-5553
[17] CXN-2020-5574
[18] CXN-2020-5568
[19] CXN-2020-5577
[20] CXN-2020-5520

Adrien Guinault

Découvrir d'autres articles