Résumé de la semaine 47 (du 16 au 20 novembre)

Résumé de la semaine 47 (du 16 au 20 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Google Chrome [1a] [1b], pour Typo3 [2] [3a] [3b] [3c] [3d] [4], par Mozilla pour Thunderbird [5] et pour Firefox [6a] [6b], pour Drupal [7], par Apple pour Safari [8] et pour macOS X [9] [10].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Ils disposent tous d’un correctif de sécurité.

Contournement de sécurité et divulgation d’informations via 3 vulnérabilités au sein de produits Citrix [11]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. L’exécution de ce code permet d’envoyer une requête HTTP spécifiquement conçue vers l’interface NSIP afin de contourner le mécanisme d’autorisation, puis une seconde requête permettant de récupérer le contenu du fichier etc/passwd.

Prise de contrôle du système et contournement de sécurité via 12 vulnérabilités au sein de Cisco Security Manager [12]

En exécutant ces codes d’exploitation, un attaquant distant et non authentifié pouvait télécharger des fichiers arbitraires depuis et vers le serveur, ainsi qu’exécuter du code arbitraire sur ce serveur afin d’en prendre le contrôle.

Prise de contrôle du système via une vulnérabilité au sein d’Apache Struts [13]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. L’exécution de ce code permet d’envoyer une requête HTTP POST contenant une expression OGNL spécifiquement conçue afin d’exécuter une commande arbitraire sur le système distant.

Informations

Recherche

Des chercheurs font revivre une attaque DNS datant de 2008 [14a] [14b] [14c] [14d]

L’attaque, nommé DNS Cache Poisoning datant de 2008, a été remise au goût du jour sous le nom de Sad DNS par le chercheur Daniel Kaminisky. Pour rappel, le DNS Cache Poisoning permettait de répondre à une requête DNS légitime. Il était possible pour l’attaquant de deviner l’identifiant de transaction codé sur 16 bits (65 536 combinaisons). Il était alors en mesure de modifier l’entrée DNS d’un domaine avec une IP erronée.

Microsoft recommande de ne plus utiliser la double authentification basée sur les SMS et les appels téléphoniques [15]

Alex Weinert, Directeur de la sécurité des identités chez Microsoft, recommande vivement aux utilisateurs d’abandonner les solutions d’authentification à multifacteurs (MFA) basées sur le téléphone, tel que les codes uniques envoyés par SMS et les appels vocaux, et à les remplacer par des authentifications basées sur des applications et des clés de sécurité.

Ransomware

Le gouvernement australien met en garde le secteur de la santé contre la menace des ransomwares [16a] [16b]

L’ACSC (Australian Cyber Security Centre) a publié une alerte de criticité élevée demandant aux organisations de santé de vérifier leurs défenses de cybersécurité, et en particulier leurs mécanismes de détection et de défense contre les ransomwares.

Les attaques par ransomware continuent de s’intensifier au troisième trimestre 2020 [17]

La société Coveware a récemment publié son rapport trimestriel sur les activités des ransomwares, pour le 3ème trimestre 2020.

Les deux principaux faits marquants sont la fin des activités du groupe Maze, et sa transition vers sa nouvelle branche, Egregor. D’autre part, le groupe Ryuk qui était resté dormant pendant tout le deuxième trimestre a repris ses activités.

Malware

De fausses mises à jour de Microsoft Teams utilisée pour déployer Cobalt Strike [18]

Dans un avis de sécurité non public, Microsoft met en garde ses clients contre des campagnes FakeUpdates, et propose des recommandations permettant de réduire l’impact de l’attaque via son service Defender ATP.

Le malware Chaes frappe les clients de la plus grande plateforme de commerce électronique d’Amérique latine [19a] [19b]

Dans un article de blog publié mercredi, l’équipe de cybersécurité de l’entreprise Cybereason Nocturnus a déclaré que les clients brésiliens de la plus grande entreprise de commerce électronique de la région, MercadoLivre, sont la cible d’un malware de type infostealer.

Annonce

Firefox 83 contient une option permettant de charger uniquement les sites disponibles en HTTPS [20a] [20b]

La version 83 du navigateur Web Firefox intègre une nouvelle fonctionnalité de sécurité. Cette option permet au navigateur d’utiliser exclusivement le protocole HTTPS.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-5863
[2] CXA-2020-5839
[3] CXA-2020-5833
[4] CXA-2020-5829
[5] CXA-2020-5842
[6] CXA-2020-5831
[7] CXA-2020-5856
[8] CXA-2020-5781
[9] CXA-2020-5786
[10] CXA-2020-5796
[11] CXA-2020-5792
[12] CXA-2020-5817
[13] CXA-2020-5830
[14] CXN-2020-5794
[15] CXN-2020-5805
[16] CXN-2020-5773
[17] CXN-2020-5812
[18] CXN-2020-5804
[19] CXN-2020-5857
[20] CXN-2020-5845


Marc Lambertz