Résumé de la semaine 46 (du 13 au 19 novembre)

Résumé de la semaine 46 (du 13 au 19 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Moodle [1a][1b][1c][1d][1e] et Grafana [2].
Ces correctifs adressent des dommages allant de la manipulation de données à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Aucun correctif n’est actuellement disponible.

Contournement de sécurité via une vulnérabilité au sein de Laravel [3]

Ce code d’exploitation se présente sous la forme d’une page Web. En envoyant cette page au sein du mécanisme de téléchargement d’images sur le serveur, un attaquant distant est en mesure de contourner le mécanisme de protection contre les attaques de type CSRF (Cross-site request forgery).

Informations

Publication

Problèmes d’authentification via Kerberos sur Windows Server suite à la mise à jour de novembre (2021-Nov) [4a][4b]

Microsoft a indiqué que les contrôleurs de domaine ayant reçu la mise à jour de sécurité de novembre 2021 pouvaient présenter un problème d’authentification via Kerberos (via l’acquisition de ticket par Service for User to Self, ou S4U2self).
L’éditeur a ainsi publié un correctif exceptionnel pour corriger le problème induit par la mise à jour de sécurité.

Vulnérabilité

Une nouvelle vulnérabilité aurait été découverte dans certains processeurs Intel [5a][5b]

Une nouvelle vulnérabilité aurait été identifiée sur les processeurs Intel par les équipes de Positive Technologies.
Cette vulnérabilité, référencée CVE-2021-0146, donne des privilèges élevés avec l’accès aux fichiers chiffrés ainsi que la possibilité de contourner la protection des droits d’auteur pour les contenus numériques. Un attaquant peut ainsi réaliser une élévation de privilèges uniquement via un accès physique au composant concerné.

Une vulnérabilité dans un plugin WordPress permettrait d’effacer les bases de données de sites web [6]

Les chercheurs en sécurité de Patchstack ont découvert une vulnérabilité du plugin WordPress WP Reset PRO, qui permettrait d’effacer entièrement les bases de données de sites web.
Le plugin WP Reset PRO est utilisé par les administrateurs pour restaurer les paramètres par défaut des bases de données de sites web.

Trois vulnérabilités critiques ont été identifiées sur la plateforme Zoom [7a][7b]

Les chercheurs de Positive Technologies ont identifié trois vulnérabilités sur la plateforme de visioconférence Zoom.
Ces vulnérabilités permettent à un attaquant de réaliser une attaque de type man-in-the-middle (permettant à un attaquant d’intercepter voire de modifier les échanges réseau), mais également d’exécuter du code arbitraire à distance avec des privilèges élevés sur le système de la victime.

Cybercriminalité

Le nouveau cheval de Troie Android SharkBot cible les banques européennes [8]

L’équipe Threat Intelligence de la société Cleafy a découvert fin octobre 2021 un nouveau cheval de Troie (Trojan) affectant les mobiles Android. Ce dernier, nommé SharkBot permet à un attaquant d’amorcer un transfert bancaire en utilisant le système de transfert électronique de fonds (EFT).

Malware

Le malware Emotet serait de retour un an après son démantèlement [9a][9b][9c][9d]

Selon des chercheurs de Cryptolaemus, de GData et d’Advanced Intel, il semblerait que Emotet soit de retour. Les attaquants se serviraient du malware TrickBot (lui-même initialement installé par Emotet), présent sur les machines, pour déployer Emotet sur ces dernières. À l’heure actuelle, il n’y a pas eu d’augmentation notable de l’activité du réseau Emotet dans la mesure où ce dernier est encore en train de se reconstruire.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-5309
[2] CXA-2021-5322
[3] CXA-2021-5319
[4] CXA-2021-5347
[5] CXN-2021-5344
[6] CXN-2021-5295
[7] CXN-2021-5367
[8] CXN-2021-5331
[9] CXN-2021-5329


Noé Zalic

Analyste CERT-XMCO