Résumé de la semaine 7 (du 12 au 18 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Adobe pour Magento [1a][1b], par Google pour son navigateur Chrome [2a][2b][2c], par Mozilla pour Thunderbird [3], par VMWare pour plusieurs de ses produits [4], par Jenkins [5] et par Apache pour Cassandra [6].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Toutes les vulnérabilités disposent d’un correctif.

Divulgation d’informations via une vulnérabilité au sein de Windows et Windows Server [7]

Ce code d’exploitation se présente sous la forme d’une ligne de commande PowerShell. En exécutant cette commande sur un système vulnérable en tant qu’administrateur, un attaquant peut récupérer des données depuis un emplacement non contrôlé de la mémoire.

Élévation de privilèges via une vulnérabilité au sein de Windows et Windows Server [8a][8b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en PowerShell. En exécutant ce programme, un attaquant est alors en mesure de créer un compte administrateur local sur le système.

Prise de contrôle du système via une vulnérabilité au sein de SAP [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ciblant une instance vulnérable avec ce programme, un attaquant est en mesure de prendre le contrôle de celle-ci.

Informations

Vulnérabilités

La CISA ajoute une vulnérabilité Windows 10 référencée CVE-2022-21882 au catalogue des vulnérabilités exploitées connues [10a][10b]

La faille de sécurité référencée CVE-2022-21882, permettant d’élever ses privilèges sous Windows 10, a été ajoutée au catalogue des vulnérabilités exploitées connues.

Une vulnérabilité critique au sein du plugin PHP Everywhere permet la prise de contrôle de 30 000 sites WordPress [11a][11b]

3 vulnérabilités impactant le plugin WordPress PHP Everywhere ont été découvertes par des chercheurs de Wordfence. Une d’entre elles permettrait de prendre le contrôle à distance de plus de 30 000 sites WordPress.

Attaques

Des attaquants exploitent des serveurs Exchange vulnérables pour diffuser Squirrelwaffle et mener des opérations de fraude financière [12]

Les équipes de Sophos ont découvert un serveur Exchange vulnérable utilisé pour diffuser un malware, mais aussi pour réaliser des attaques de fraude financière.

La Russie mènerait une guerre hybride contre l’Ukraine à l’aide de ses groupes APT et de fermes à trolls [13a][13b][13c]

Dans un contexte très tendu à la frontière entre la Russie et l’Ukraine, le Kremlin essaie d’instiller la peur et le doute au sein de la population ukrainienne vis-à-vis de son gouvernement.

Banque

Les institutions européennes et américaines incitent les banques à augmenter leur résilience dans le domaine cyber [14a][14b][14c][14d]

La Banque Centrale Européenne, le Département des services financiers de New York et le National Cyber Security Centre britannique craignent que de potentielles futures sanctions occidentales contre la Russie incitent Moscou à mener des cyberattaques en représailles.

Annonce

Le campus cyber inauguré à la Défense le mardi 15 février 2022 [15a][15b]

Le campus cyber a ouvert ses portes ce mardi 15 février 2022 à la Défense. Ce projet a pour ambition de réunir au même endroit des entreprises françaises de la cybersécurité, des acteurs publics, des services de l’État, des écoles spécialisées et des instituts de recherches.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-0784
[2] CXA-2022-0798
[3] CXA-2022-0820
[4] CXA-2022-0818
[5] CXA-2022-0821
[6] CXA-2022-0817
[7] CXA-2022-0802
[8] CXA-2022-0799
[9] CXA-2022-0861
[10] CXN-2022-0777
[11] CXN-2022-0773
[12] CXN-2022-0843
[13] CXN-2022-0803
[14] CXN-2022-0783
[15] CXN-2022-0822


Mathieu Claverie