Résumé de la semaine #50 (du 9 au 15 décembre)

Résumé de la semaine #50 (du 9 au 15 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Microsoft pour les systèmes Windows lors du Patch Tuesday. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système à distance. [1][2][3][4][5][6][7]

De plus, nous recommandons l’installation de la version 5.0.1 de WordPress. Celle-ci comprend plusieurs correctifs de sécurité, dont des contournements de restrictions de sécurité et une vulnérabilité permettant potentiellement d’accéder au système. [8]

 

Code d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés, cependant des correctifs associés aux vulnérabilités exploitées sont disponibles.

Le premier permet d’exploiter une vulnérabilité provenant d’un défaut de vérification dans la gestion des utilisateurs au sein d’OpenSSH. Un attaquant est en mesure d’énumérer les utilisateurs valides. [9]

Le second permet d’exploiter une faille de sécurité provenant d’un manque de vérification des objets JavaScript au sein du navigateur Safari MacOS. Un attaquant en mesure de persuader un utilisateur de visiter une page web malveillante, peut prendre le contrôle du système de la victime. [10]

 

Informations

Vie privée

En mars 2018, des experts en sécurité d’InfoArmor ont découvert un serveur en ligne mal configuré qui contenait des numéros d’identification de contribuables de plus de 120 Brésiliens. Peu d’informations circulent sur la nature des informations exposées ou sur les personnes y ayant eu accès. Ces identifiants sont utilisés par tous les Brésiliens pour effectuer des opérations courantes, comme ouvrir un compte bancaire ou payer une taxe. [11]

Le service Ariane victime d’un vol de données. Celui-ci permet aux personnes partant à l’étranger de recevoir des informations relatives à la sécurité de leur déplacement. Le Quai d’Orsay a publié un communiqué aujourd’hui, annonçant le vol de données personnelles enregistrées lors de l’inscription au service. L’usage fait des données devrait être limité, puisqu’aucune donnée sensible, financière ou susceptible de dévoiler les destinations de voyage n’aurait été dérobée. [12]

International

La semaine dernière, l’arrestation de Meng Wanzou a fait de grosses vagues dans l’actualité. Meng Wanzou est la vice-présidente de la société Huawei et a été arrêtée au Canada à cause d’un mandat d’arrêt délivré par le département de la justice des États-Unis. Mme Meng est connue pour avoir une fortune considérable ce qui a conduit a une vague d’escroqueries sur des avances de fond. [13]

Dans une alerte publiée le 4 décembre, les Services Secrets Ukrainiens (SBU) ont annoncé avoir bloqué une attaque informatique lancée par les services de renseignements russes visant les systèmes d’information et de télécommunication utilisés par le pouvoir judiciaire du pays. Les attaquants ont réalisé une attaque d’hameçonnage par e-mail en délivrant en pièce jointe des documents de comptabilité. Ces derniers contenaient plusieurs malware dont l’objectif était de dérober des données. [14]

Vulnérabilités

Google+ coupe ses services développeurs pour une durée de 90 jours à cause d’une vulnérabilité dans leur gestion des permissions. Cette vulnérabilité aurait été déterminée en novembre 2018 par les équipes de Google. D’après Google aucun logiciel complémentaire n’aurait été affecté et le bug aurait été corrigé dans la semaine de sa découverte. [15]

Les auteurs de malwares abusent d’un bug Firefox afin de piéger les utilisateurs sur des sites malveillants. Ce bug a pourtant été rapporté pour la première fois en avril 2007. Il se limite à un site web malveillant contenant un iframe dans son code source. L’iframe effectue une requête d’authentification HTTP sur un autre domaine. [16]

Malware

Les chercheurs d’ESET ont découvert un nouveau cheval de Troie officiant sur Android. Il cible notamment l’application officielle de PayPal et est capable d’en contourner la double authentification. Le cheval de Troie a été détecté en novembre 2018. Le programme malveillant se fait passer pour un outil d’optimisation de batterie nommé « Optimization Android » et est distribué via des magasins d’application tierce. La méthode utilisée par le malware ne repose pas sur le vol des identifiants PayPal, mais sur l’espoir que l’utilisateur se connecte de lui-même. Ainsi, il contourne l’authentification à double facteur. L’attaque échoue si l’utilisateur n’a pas une somme suffisante ou si aucune carte de paiement n’est pas reliée au compte. [17]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2018-5057
[2] CXA-2018-5045
[3] CXA-2018-5040
[4] CXA-2018-5038
[5] CXA-2018-5027
[6] CXA-2018-5042
[7] CXA-2018-5037
[8] CXA-2018-5099
[9] CXA-2018-5008
[10] CXA-2018-5100
[11] CXN-2018-5102
[12] CXN-2018-5090
[13] CXN-2018-5081
[14] CXN-2018-5063
[15] CXN-2018-5017
[16] CXN-2018-5016
[17] CXN-2018-5103


Jean-Christophe Pellat

Cert-XMCO