Résumé de la semaine 6 (du 6 au 12 février)

Résumé de la semaine 6 (du 6 au 12 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft lors du Patch Tuesday [1], par Cisco pour le composant Sudo au sein de ses produits [2], par Mozilla pour Firefox [3], par Adobe pour Photoshop [4], pour Illustrator [5] et pour Acrobat et Reader [6], par Apple pour MacOs X [7], et enfin par SAP [8]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés. Un correctif est disponible pour Microsoft Internet Explorer.

Prise de contrôle du système via une vulnérabilité au sein de Microsoft Internet Explorer [9]

Ce code d’exploitation se présente sous la forme d’une page Web écrite en HTML et JavaScript. En incitant sa victime à ouvrir cette page, un attaquant est alors en mesure d’exécuter des commandes arbitraires sur le système sous-jacent.

Prise de contrôle du système via une vulnérabilité au sein du paquet NPM node-serialize [10]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. L’exécution de ce code permet d’envoyer une requête HTTP spécifiquement conçue contenant une expression programmatique IIFE (Immediately Invoked Function Expression) en paramètre, menant à l’obtention d’un reverse shell.

 

Informations

Botnet

Le botnet Emotet se désinstallera le 25 avril suite à la saisie de ses serveurs de contrôle [11a] [11b]

Le 27 janvier 2021, Europol a annoncé l’interruption des activités du malware Emotet le 25 avril. Emotet est un réseau botnet (réseau d’ordinateurs infectés) qui permettait à des attaquants d’opérer diverses attaques. Le réseau botnet a été démantelé la semaine dernière au cours d’une opération coordonnée par Europol et sera automatiquement désinstallé des postes compromis le 25 avril.

Cybercriminalité

Les attaquants derrière l’attaque contre SolarWinds auraient maintenu leur accès au sein du réseau de l’entreprise pendant un an [12a] [12b]

Le 13 décembre 2020, FireEye révélait une attaque de grande ampleur utilisant les mises à jour du logiciel SolarWinds Orion pour diffuser le malware Sunburst. L’une des pistes évoquées a récemment gagné en popularité après une annonce de Sudhakar Ramakrishna, le nouveau PDG de SolarWinds depuis le 7 janvier 2021. Ce dernier a annoncé que l’environnement Office 365 de l’entreprise aurait été entièrement compromis suite à la compromission de quelques comptes mail. Des comptes compromis remontant à décembre 2019 ont notamment été identifiés.

RGPD

La CNIL sanctionne désormais les sous-traitants en cas de défaut de sécurité [13a] [13b]

Dans le cadre du RGPD, la CNIL a sanctionné pour la première fois un responsable de traitement le 27 janvier 2021 d’une amende de 150 000 euros. Cette annonce marque un tournant puisque la responsabilité a été partagée avec le sous-traitant, lui aussi condamné à une amende de 75 000 euros. Cette sanction marque une volonté de montrer aux responsables de traitement qu’ils ne peuvent plus se défausser face à leur responsabilité en s’assurant qu’ils prennent toutes les mesures nécessaires en matière de sécurité auprès de leurs sous-traitants.

Publication

Pour la 6e année consécutive, le CESIN publie son baromètre de la cybersécurité dans les grandes entreprises françaises [14a] [14b]

Chaque année depuis 2015, le CESIN publie son baromètre de la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises. Les résultats de l’étude 2021 réalisée par OpinionWay portent sur un échantillon significatif de 228 répondants.

Annonce

La présidente de la Commission européenne veut renforcer le cadre réglementaire autour du numérique [15]

Dans une tribune publiée fin janvier, la présidente de la Commission européenne, madame Von der Leyen a récemment eu l’occasion d’évoquer ses intentions en matière de réglementation du numérique. Sa tribune est une réponse à un appel de Mathias Döpfner, un dirigeant de presse allemand, à encadrer les activités des GAFAM et l’utilisation des données personnelles des citoyens européens.

Phishing

Une nouvelle étude identifie les cibles privilégiées des campagnes de phishing [16a] [16b]

Google a collaboré avec une équipe de l’université de Stanford afin d’identifier les utilisateurs les plus vulnérables aux campagnes de phishing. Le géant américain déploie déjà de nombreuses solutions afin d’assurer un blocage efficace jusqu’à 99,9% des menaces liées à la messagerie électronique selon ses propres dires. Grâce à l’apprentissage automatique, il lui a été possible de bloquer plus de 18 millions de messages électroniques quotidiens malveillants.

Recherche

Un chercheur réussi à pirater Apple, Microsoft et d’autres grandes entreprises à l’aide d’une nouvelle technique d’attaque liée à la chaîne d’approvisionnement [17a] [17b] [17c]

Alex Birsan, un chercheur en sécurité, a expliqué dans un article comment il est parvenu à accéder aux systèmes internes de plusieurs grandes entreprises en exploitant une vulnérabilité appelée « confusion des dépendances ».

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-0657
[2] CXA-2021-0577
[3] CXA-2021-0593
[4] CXA-2021-0648
[5] CXA-2021-0664
[6] CXA-2021-0672
[7] CXA-2021-0665
[8] CXA-2021-0667
[9] CXA-2021-0615
[10] CXA-2021-0696
[11] CXN-2021-0571
[12] CXN-2021-0574
[13] CXN-2021-0666
[14] CXN-2021-0669
[15] CXN-2021-0678
[16] CXN-2021-0703
[17] CXN-2021-0706


Marc Lambertz

Analyste CERT-XMCO