Résumé de la semaine #52 (du 23 au 29 décembre)

Résumé de la semaine #52 (du 23 au 29 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour OracleVM [1a][1b] et les produits Synology [2] [3]. Ces vulnérabilités permettaient à un attaquant de dérober des informations sensibles, d’élever ses privilèges sur le système ainsi que d’en prendre le contrôle.

 

Code d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés.

Le premier permet d’exploiter une vulnérabilité provenant d’un défaut de vérification au sein du navigateur Microsoft Edge. Un attaquant en mesure d’inciter une victime à visiter une page malveillante pouvait déclencher un crash du navigateur [4]. Un correctif est disponible.

Le second permet d’exploiter une faille de sécurité au sein de PhpMyAdmin. Ce code d’exploitation permet de lire un fichier arbitraire sur le serveur [5]. Aucun correctif n’est disponible, toutefois, une solution de contournement existe : désactiver l’option « AllowArbitraryServer ».

Le troisième permet d’exploiter une vulnérabilité provenant d’un défaut de vérification au sein des serveurs Microsoft Exchange. Ce code d’exploitation permet d’élever ses privilèges au sein du serveur Microsoft Exchange [6]. Un correctif est disponible.

Par ailleurs, une preuve de concept a été publiée concernant une vulnérabilité permettant l’exécution de code arbitraire au sein de Microsoft Edge [7]. Un correctif a été déployé lors du dernier « Patch Tuesday ».

 

Informations

International

La société de cybersécurité Menlo Labs suit actuellement une campagne d’hameçonnage ciblant les employés de banques américaines et britanniques. L’attaque aurait débuté en aout 2018. Les attaquants incitent les victimes à cliquer sur des liens sur lesquels ils sont invités à télécharger des fichiers malveillants. Dans la totalité des instances identifiées jusqu’à présent, les fichiers envoyés aux victimes étaient des archives .zip ou .gz. Celles-ci sont hébergées sur le domaine du service Google Cloud Storage [8].

Des agents russes s’intéresseraient aux informations du Tresor américain. Des lanceurs alertes ont déclaré au journal BuzzFeedNews que plusieurs responsables du département du Trésor américain échangeaient des messages avec le Rosfinmonitoring. Cette agence créée par Poutine en 2001 est chargée de lutter contre le blanchiment de capitaux nationaux et internationaux, le financement du terrorisme et d’autres infractions financières. Certaines communications avec le Rosfinmonitoring étaient réalisées via des emails non légitimes et non sécurisés [9].

Entreprise

L’IFOP, l’Institut Français d’Opinion Publique, a réalisé une étude menée du 5 au 9 novembre pour Kaspersky Lab et Euler Hermes. Cette étude révèle que 64 % des 702 décideurs font de la sécurité informatique une priorité. Cependant, 81 % n’ont pas prévu d’investir dans ce domaine pour 2019, soit pour un budget insuffisant (8 %) soit pour un manque de compétences (4 %) [10].

Un changement des permissions liées aux SMS prive les utilisateurs de téléphones Android de fonctionnalités de sécurité. En effet, il ne sera désormais plus possible d’avoir plusieurs applications bénéficiant d’un accès aux SMS sur un appareil Android. Google annonce que cette mesure vise à réduire le nombre d’applications présentes sur la plateforme de téléchargement qui demandent la permission d’accéder aux SMS sans en avoir d’utilisation légitime. Bien que les utilisateurs avertis refusent souvent les demandes de permissions abusives, une grande partie des utilisateurs n’y prête pas attention. Ce changement des politiques du Google Play Store peut sembler bénéfique au premier abord, mais il provoque des dommages collatéraux, comme en témoignent les soucis rencontrés par l’éditeur d’antivirus ESET [11].

Vulnérabilité

7 vulnérabilités du même type ont été identifiées dans les pilotes des cartes mères ASUS et GIGABYTE. Celles-ci permettaient à un attaquant d’élever ses privilèges sur une machine où le pilote était installé. Via la mise à disposition de certains outils par le pilote, une simple opération d’écriture ou de lecture pourrait permettre l’exécution de code sur la machine en marquant toute la mémoire physique comme étant accessible par n’importe qui [12a][12b].

Cybercriminalité

Des chercheurs en sécurité ont récemment identifié un nouveau ransomware, qu’ils ont nommé « JungleSec ». La spécificité de ce ransomware est qu’il se déploie en utilisant la technologie IPMI (pour Intelligent Platform Management Interface) permettant de gérer un équipement à distance. L’accès à cette interface nécessite un mot de passe. Toutefois les attaquants ont pu utiliser un mot de passe défini par défaut ou exploiter des vulnérabilités récemment identifiées au sein de l’interface IPMI pour trouver un compte valide [13].

Cela fait plus d’un an et demi que le ransomware Wannacry a fait parler de lui. Exploitant une faille dérobée à la NSA et publiée par le groupe Shadow Brokers, il avait infecté près de 100 000 ordinateurs la première nuit. Des statistiques publiées mardi indiquent que, même si le malware est dormant, il reste toujours très présent. Ainsi, ce sont plus de 630 000 IPs uniques par semaine qui vérifient la présence du coupe-circuit [14].

Vie privée

Les Livebox d’Orange exposent leurs identifiants WiFi. Les chercheurs ont utilisé Shodan pour quantifier les modems concernés : 19 490 servaient les identifiants en clair, 2018 ne servaient pas les identifiants, mais procuraient des données sensibles, et 8391 ne répondaient pas aux scans. Parmi les données sensibles mentionnées, on retrouve le numéro de téléphone de l’abonné, ainsi que des informations à propos de la ligne, pouvant permettre la mise en place d’autres attaques. La totalité des Livebox affectées fait partie du réseau Orange Espana, appartenant à la branche espagnole de l’opérateur [15].

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2018-5239
[2] CXA-2018-5240
[3] CXA-2018-5268
[4] CXA-2018-5254
[5] CXA-2018-5257
[6] CXA-2018-5302
[7] CXN-2018-5301
[8] CXN-2018-5284
[9] CXN-2018-5275
[10] CXN-2018-5283
[11] CXN-2018-5247
[12] CXN-2018-5267
[13] CXN-2018-5280
[14] CXN-2018-5269
[15] CXN-2018-5278


Jean-Christophe Pellat

Cert-XMCO