Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour Cisco Prime Licence Manager [1] et par Symantec pour ASG (Advanced Secure Gateway) [2]. Ces correctifs adressent des vulnérabilités permettant d’aller jusqu’à la prise de contrôle du système.
Code d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés.
Le premier provient d’une gestion incorrecte des espaces de noms (namespace) au sein du Kernel Linux. Un attaquant est en mesure d’élever ses privilèges sur le système. Aucun correctif n’est disponible. [3]
Le second provient de défauts de vérification au sein du serveur Xorg pour Linux. Ce code permet à un attaquant d’élever ses privilèges via le lancement d’un serveur Xorg. Un correctif est disponible. [4]
Enfin, le troisième code d’exploitation provient d’un défaut au sein de la fonction « imap_open » de PHP. Un pirate capable d’exécuter du code PHP sur système est alors en mesure de contourner les fonctions désactivées (« disabled_functions »), par exemple en exécutant des commandes système. Aucun correctif n’est disponible. [5]
Informations
Sécurité
Microsoft a annoncé de nouvelles fonctionnalités pour Windows Defender ATP. Au nombre de 6, elles adressent la réduction de la surface d’attaque, une meilleure protection contre les menaces émergentes, une détection des intrusions plus efficaces, de plus grandes capacités d’automatisation, un suivi plus développé et une meilleure recherche des menaces. Désormais, la solution propose également un rapport d’analyse sur les menaces, des règles de détections personnalisées (déployables via un dépôt GitHub), ainsi que l’intégration dans Microsoft Information Protection et dans Microsoft Cloud App Security. [6]
Initiée depuis maintenant plus d’un an, l’action progressive des principaux navigateurs de ne plus considérer les certificats Symantec comme de confiance touche à sa fin. Malgré le fait qu’un nombre important de sites (plus de 1%) dans le top 1 million des sites visités dans le monde utilisent toujours un certificat Symantec pour chiffrer les échanges avec leurs internautes, Google Chrome révoque désormais la confiance accordée aux certificats délivrés par Symantec. [7]
Fuite d’informations
Dans un communiqué de presse, Dell a annoncé avoir détecté une activité non autorisée et une tentative d’extraction de données clientes au sein du site Dell.com. La possible fuite d’informations se limite aux noms, adresses mail et mots de passe hashés. Les cartes de crédit ainsi que les autres données sensibles contenues au sein du site Dell.com ne sont pas affectées par cette attaque. [8]
Juridique
Plusieurs documents internes à Facebook ont été saisis par le parlement britannique, sous l’impulsion de Damian Collins, responsable de la commission culture et média. Les documents contiendraient des informations au sujet des choix de l’entreprise en matière de collecte de données. Certains d’entre eux exposeraient des correspondances entre de hauts fonctionnaires de l’entreprise et son PDG Marc Zuckerberg. [9]
Première sanction GDPR en Allemagne, une amende de 20 000 euros pour une plate-forme de chat. Le réseau social allemand Knuddels.de, a reçu une amende de 20 000 euros de la part de l’autorité de protection des données Baden-Württemberg, après un piratage récupérant environ 808 000 mails et plus de 1,8 million d’identifiants et de mots de passe. Il a été découvert que le site n’avait appliqué aucune forme de mécanismes de protection sur les données sensibles tels que les mots de passe. Tout était stocké en clair. [10]
Premier bilan depuis la mise en vigueur du RGPD. Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. 6 mois après, la CNIL dresse un premier bilan : 1000 notifications de violation de données reçues soit environ 7 par jour. [11]
Cybercriminalité
Un cybercriminel a été condamné par le Santa Clara County pour le vol d’un million de dollars. Il a monté une attaque de type « SIM swap », qui vise à convaincre un employé d’un fournisseur de service de téléphonie de transférer un numéro de téléphone vers un autre appareil. Le cybercriminel a été accusé dans 21 affaires de piratage de smartphone et est suspecté dans 11 autres affaires similaires. Il a fait les gros titres au début du mois de novembre 2018, où il avait accusé 4 personnes de l’avoir torturé pour qu’il révèle ses informations de connexion sur plusieurs plateformes de gestion de cryptomonnaies. [12a][12b]
Malware
Une porte dérobée (« backdoor ») a été découverte au sein de la bibliothèque NodeJS « event-stream » téléchargée près de 2 millions de fois par semaine et utilisée dans des applications au contenu critique comme Copay, un portefeuille électronique (wallet) Bitcoin. Le code malveillant a permis au pirate de récupérer les clefs privées auxquelles les applications infectées avaient accès, permettant la prise de contrôle totale du portefeuille et de son contenu. [13a][13b][13c]
International
Bloomberg maintient ses allégations au sujet du Big Hack. Au début du mois d’octobre, un article intitulé The Big Hack a été publié dans le Bloomberg Buisnessweek. Dans celui-ci, les journalistes expliquaient que la Chine avait réussi à infiltrer les plus grandes entreprises américaines, notamment via SuperMicro et Apple. Les entreprises américaines et les autorités gouvernementales avaient alors nié les informations communiquées. Malgré les nombreuses critiques, Bloomberg maintient ses allégations et a déclaré être confiant en son reportage et en ses sources. [14]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2018-4852
[2] CXA-2018-4867
[3] CXA-2018-4837
[4] CXA-2018-4814
[5] CXA-2018-4800
[6] CXN-2018-4871
[7] CXN-2018-4834
[8] CXN-2018-4858
[9] CXN-2018-4840
[10] CXN-2018-4818
[11] CXN-2018-4829
[12] CXN-2018-4823
[13] CXN-2018-4821
[14] CXN-2018-4870
