Résumé de la semaine 46 (du 7 au 13 novembre)

Résumé de la semaine 46 (du 7 au 13 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Windows [1], Google Chrome [2] et Firefox [3].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Aucun correctif n’est actuellement disponible.

Divulgation d’informations via une vulnérabilité au sein d’Apache ZooKeeper [4]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. L’exécution de ce code permet de se connecter au service Apache ZooKeeper (TCP/2181) sans s’authentifier, puis d’extraire des informations sur la configuration du serveur distant.

Informations

Entreprise

Zoom valide ses accords avec la Commission Fédérale du Commerce américaine et s’engage à régler les problèmes de sécurité de son application [5a] [5b]

Le 10 novembre 2020, l’application de vidéoconférences Zoom a ratifié des accords avec la Commission fédérale du commerce aux États-Unis (FTC). Accords qui font suite à plusieurs accusations selon lesquelles Zoom aurait induit en erreur ses utilisateurs quant à la qualité de la sécurité de ses services.

Hardware

Platypus : une nouvelle attaque par canal auxiliaire ciblant les processeurs Intel [6]

Une équipe de chercheurs a publié un livre blanc au sujet d’une nouvelle méthode d’extraction de données par canal auxiliaire ciblant les processeurs Intel modernes. Baptisée Platypus, cette méthode exploite les variations de consommation électrique du processeur afin d’extraire des données.
Platypus n’est pas la première attaque exploitant la consommation électrique du processeur pour récupérer des secrets. Dès 1998, des chercheurs ont démontré la possibilité d’extraire des clefs de chiffrement lors d’opérations cryptographiques en mesurant la consommation de la machine à l’aide du matériel adéquat.

Cybercriminalité

Deux nouvelles portes dérobées en Powershell découvertes sur les serveurs Microsoft Exchange d’une organisation gouvernementale du Koweït [7a] [7b] [7c]

Lors de l’investigation menée à la suite d’une attaque ciblant une organisation gouvernementale du Koweït, des chercheurs en cybersécurité ont découvert l’existence de deux nouvelles portes dérobées (backdoors) en Powershell sur les serveurs Microsoft Exchange. Cette attaque aurait été menée par le groupe xHunt, connu depuis 2018 pour avoir déjà pris pour cible le gouvernement du Koweït, mais aussi des entreprises de livraison et de transport.

Les serveurs Asterisk pris pour cible par une opération de grande envergure [8]

Un groupe de recherche de la société Check Point a récemment découvert une série d’attaques ciblant des infrastructures de VoIP dans le monde entier. Plus précisément, les attaquants exploitent les serveurs utilisant le protocole SIP (Session Initialization Protocol, souvent utilisé pour les télécommunications multimédias) pour entre autres passer des appels téléphoniques frauduleux.

Des accès aux réseaux de 7 500 organisations ont été mis en vente [9]

Des accès aux réseaux de 7500 organisations ont été mis en vente par un cybercriminel au cours du mois d’octobre 2020 sur des forums de piratage russes.
Les organisations concernées relèvent principalement du secteur éducatif. Elles sont basées aux États-Unis, au Canada et en Australie.

Smartphones

153 applications Android fallacieuses porteuses de Ghimob, un nouveau cheval de Troie [10a] [10b] [10c] [10d]

Selon des chercheurs de Kaspersky, un cheval de Troie récemment découvert, baptisé Ghimob peut espionner et voler les données de 153 applications Android. Ce virus aurait été développé par le groupe responsable du logiciel malveillant sur Windows Astaroth (Guildma).
Le paquet infecté est téléchargeable via des applications Android fallacieuses disponibles sur des sites et des serveurs utilisés pour le virus Astaroth.

Malware

Découverte de ModPipe, une porte dérobée ciblant des terminaux de paiement bancaire [11]

Des chercheurs de la société ESET ont récemment découvert une porte dérobée ciblant des terminaux bancaires utilisés dans les domaines de l’hôtellerie et la restauration (principalement aux États-Unis). Baptisée ModPipe, cette porte dérobée permet à ses opérateurs d’exfiltrer des données sensibles des appareils où le logiciel ORACLE MICROS Restaurant Enterprise Series (RES) 3700 est installé.

Attaque

La cour supérieure de justice brésilienne touchée par le ransomware RansomExx [12]

La cour supérieure de justice brésilienne a été touchée dans la journée du mardi 3 novembre par un ransomware. 6 séances de jugements étaient en cours, et ont donc été reportées.
D’après un informaticien de la cour supérieure de justice brésilienne, la mise hors tension du système d’information s’est faite tardivement, ce qui a permis à l’attaquant de chiffrer une grande partie du système d’information et supprimer toutes les sauvegardes.

Fuite de millions de données dans le secteur de l’hôtellerie [13]

Le logiciel de réservation Cloud Hospitality, utilisé par des hôtels du monde entier, a exposé sur Internet plus de 10 millions de fichiers clients.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-5745
[2] CXA-2020-5703
[3] CXA-2020-5683
[4] CXA-2020-5690
[5] CXN-2020-5715
[6] CXN-2020-5731
[7] CXN-2020-5686
[8] CXN-2020-5661
[9] CXN-2020-5656
[10] CXN-2020-5681
[11] CXN-2020-5761
[12] CXN-2020-5653
[13] CXN-2020-5687


Marc Lambertz