Résumé de la semaine #6 (du 3 au 9 février)

Résumé de la semaine #6 (du 3 au 9 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour Android [1], macOS [2], iOS [3], GitLab [4] et LibreOffice [5]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, trois codes d’exploitation ont été publiés.

Le premier code d’exploitation impacte le composant AMF ainsi que la configuration du moteur Cisco Identity Services [7]. L’exploitation de ces failles permet à un attaquant d’élever ses privilèges et de prendre le contrôle du système. Le code d’exploitation se matérialise sous la forme d’un code en Ruby et exploite deux vulnérabilités. La première est utilisée pour déposer un fichier JavaScript dans le dossier /admin/LiveLogSettingsServlet. La seconde est exploitée par le code malveillant déposé lors de l’étape précédente et permet d’exécuter du code avec les privilèges de l’utilisateur iseadminportal. Un correctif est disponible.

Le second code d’exploitation impacte LibreOffice [8]. L’exploitation de cette faille permet à un attaquant de prendre le contrôle du système. Le code d’exploitation se matérialise sous la forme d’un fichier ODT. Si le fichier est exécuté par l’utilisateur, du code arbitraire peut alors être exécuté par l’intermédiaire d’un script Python. Un correctif est disponible.

Le dernier code d’exploitation impacte macOS [9]. L’exploitation de cette faille permet à un attaquant de contourner des restrictions de sécurité ainsi que d’élever ses privilèges. Le code d’exploitation se matérialise sous la forme d’un code en langage C. Ce code permet d’exploiter une vulnérabilité de type « use after free » due à une erreur de gestion de la mémoire. Un correctif est disponible.

 

Informations

Attaques

Une campagne de phishing, exploitant une nouvelle technique (visant à dissimuler un domaine utilisé pour du phishing), a été détectée [10]. Les chercheurs ont en effet observé l’utilisation du portail Google Translate comme proxy vers la page malveillante.

La société Roxane Nord a été victime d’une escroquerie en fin d’année dernière [11]. Suivant le modèle de la fraude au président, cette attaque a eu comme particularité d’utiliser une adresse mail légitime pour demander un changement de référence bancaire. En effet, les attaquants avaient au préalable compromis un des fournisseurs de la société, basée au Vietnam.

Fuites d’informations

La suite de la base de données Collection #1 a été rendue publique en début de semaine [6]. Ce sont 7 nouvelles bases, pour un total de 3,5 milliards d’enregistrements, qui viennent s’ajouter à celle de la première fuite. Ces bases, comme Collection #1, pourraient être des agrégats de nouvelles et d’anciennes fuites de données.

SBI, la plus grande banque indienne, a laissé un serveur contenant plusieurs millions de données clientes exposées sur Internet pendant une durée indéterminée [15].

Recherche

Parmi les vulnérabilités corrigées par la mise à jour mensuelle de sécurité pour Android, deux d’entre elles ont fait beaucoup de bruit et sont particulièrement critiques [16]. Il était en effet possible d’exécuter du code à distance à partir d’une simple image PNG (forgée spécialement sur l’occasion) ou à l’aide d’une communication Bluetooth.

25 vulnérabilités ont été découvertes par des chercheurs lors de leur étude du protocole RDP et de son implémentation dans les logiciels clients les plus répandus [14]. Dans un des scénarios proposés par les chercheurs, il serait possible d’exécuter du code à distance sur la machine du client, à condition que celui-ci se connecte à un serveur malveillant.

Google a lancé, en fin de semaine, un nouveau service permettant aux utilisateurs de savoir si les identifiants qu’ils utilisent ont été exposés lors d’une fuite de données recensée [13].

Juridique

Un homme de 20 ans, arrêté l’année dernière par les services de l’ordre hongrois, encourt maintenant jusqu’à 8 ans de prison [12]. Après avoir découvert des vulnérabilités critiques et avoir contacté Magyar Telekom, l’entreprise affectée, il avait continué à réaliser des tests sans leur autorisation. La société a alors porté plainte.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-0593
[2] CXA-2019-0628
[3] CXA-2019-0630
[4] CXA-2019-0574
[5] CXA-2019-0543
[6] CXA-2019-0585
[7] CXA-2019-0564
[8] CXA-2019-0560
[9] CXA-2019-0549
[10] CXA-2019-0604
[11] CXA-2019-0607
[12] CXA-2019-0565
[13] CXA-2019-0592
[14] CXA-2019-0580
[15] CXA-2019-0537
[16] CXA-2019-0600


Jean-Christophe Pellat

Cert-XMCO