Résumé de la semaine #7 (du 10 au 16 février)

Résumé de la semaine #7 (du 10 au 16 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday, en particulier pour Internet Explorer, dont une vulnérabilité permettant de voler des informations a été exploitée sur Internet [1a][1b][1c].

Les éditeurs Adobe et SAP ont également publié leurs correctifs mensuels, corrigeant respectivement 75 et 14 vulnérabilités [2], [3]. L’exploitation de ces vulnérabilités permettait de voler des informations sensibles, de manipuler des données et de contourner des restrictions de sécurité.

Enfin, une vulnérabilité affectant le mécanisme runC, sur lequel se basent notamment Docker, a fait l’objet d’une alerte [4]. Son exploitation permettait à un attaquant d’élever ses privilèges.

 

Codes d’exploitation

7 codes d’exploitation ont été publiés au cours de cette semaine. Ceux-ci affectent Jenkins [5], Ubuntu [6], Avast [7], Adobe Reader [8], runC [9], Siemens [10] et Solaris [11]. Ils permettent à un attaquant de voler des informations sensibles, d’élever ses privilèges, voire de prendre le contrôle du système.

Parmi eux, nous soulignerons le code d’exploitation pour la vulnérabilité runC, permettant à un attaquant d’élever ses privilèges à ceux d’administrateur de la machine hôte. Également, le code d’exploitation affectant Ubuntu permettait à un attaquant d’obtenir un accès privilégié à une API puis d’obtenir un accès administrateur au système. Ces deux vulnérabilités ont été corrigées par les éditeurs.

 

Informations

Attaques

Des chercheurs des sociétés Insikt Group et Rapid7 ont découvert une campagne d’attaques qui serait orchestrée par le groupe APT10, affilié au gouvernement chinois [12].

La banque Valletta (BOV), représentant près de la moitié des transactions bancaires de Malte, a fermé toutes ses opérations mercredi après que des pirates informatiques se soient introduits dans ses systèmes et aient transféré 13 millions de dollars à l’étranger [13].

Suite à la récente découverte d’une campagne d’attaques ciblant les appareils Ubiquiti (exploitant une vulnérabilité permettant de provoquer un déni de service de l’appareil), des chercheurs de la société Rapid7 ont scanné (grâce au projet Sonar) des systèmes exposés sur Internet à la recherche d’appareils vulnérables (exposant le port UDP 10001) [14].

En début de semaine, le fournisseur d’emails VFEmail a été victime d’une attaque causant la destruction de la majorité des messages archivés [15].

Vulnérabilité

Dans un article, Jeff Johnsnon (le développeur de l’application Underpass et de l’extension Safari StopTheMadness) présente une vulnérabilité impactant toutes les versions actuelles de macOS Mojave [16].

Une vulnérabilité a été découverte et corrigée au sein du module WordPress Simple Social Buttons. Son exploitation permettait à un attaquant d’élever ses privilèges et ainsi modifier les options d’installation de WordPress, ou de prendre le contrôle des comptes d’administration [17].

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-0677
[2] CXA-2019-0702
[3] CXA-2019-0697
[4] CXA-2019-0656
[5] CXA-2019-0727
[6] CXA-2019-0718
[7] CXA-2019-0717
[8] CXA-2019-0710
[9] CXA-2019-0654
[10] CXA-2019-0646
[11] CXA-2019-0638
[12] CXN-2019-0735
[13] CXN-2019-0722
[14] CXN-2019-0648
[15] CXN-2019-0687
[16] CXN-2019-0708
[17] CXN-2019-0662


Jean-Christophe Pellat

Cert-XMCO