Résumé de la semaine 7 (du 13 au 19 février)

Résumé de la semaine 7 (du 13 au 19 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Microsoft Edge [1], Google Chrome [2], Spip [3] et McAfee Total Protection[4].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour D-Link Central Wifi Manager.

Prise de contrôle du système via une vulnérabilité au sein de Testlink [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est alors en mesure de déposer un fichier de type webshell sur le serveur afin d’exécuter du code arbitraire.

Manipulation de données et divulgation d’informations au sein de D-Link Central Wifi Manager [6a][6b]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. Le programme permet d’exécuter des requêtes SQL. Le module permet à un utilisateur non authentifié de réaliser une copie intégrale de la base de données, de créer un nouvel utilisateur avec un rôle « administrateur » ou de supprimer un administrateur existant.

 

Informations

Publication

Publication par l’ANSSI d’un rapport concernant 2 portes dérobées liées au mode opératoire Sandworm et installées depuis 2017 sur des serveurs Centreon (CERTFR-2021-CTI-004) [7]

Le 15 février 2021, l’ANSSI a publié un rapport décrivant une campagne d’attaques visant le logiciel de supervision Centreon et utilisant le mode opératoire Sandworm.
Sur les systèmes compromis, deux portes dérobées (backdoor) ont été découvertes : un premier webshell connu sous le nom de P.A.S. (dans sa version 3.1.4) et une seconde, un outil d’administration à distance (ou RAT) nommé Exaramel par les équipes d’ESET.

Ransomware

L’ANSSI partage une liste d’IOC en lien avec le groupe d’attaquants UNC1878 [8]

Le groupe d’attaquant UNC1878 associé à la majorité des compromissions utilisant le ransomware RYUK observées au cours des dernières années a fait l’objet d’une analyse complémentaire par l’ANSSI.
Hier, l’ANSSI a partagé aux différents CERT français une nouvelle liste d’IOC en lien cette fois-ci avec les architectures utilisées par le groupe d’attaquants UNC1878.

Cybercriminalité

La compromission de SolarWinds aurait mobilisé plus de 1000 ingénieurs [9]

Brad Smith, président de Microsoft, a décrit l’attaque ayant visé SolarWind comme « la plus sophistiquée que le monde ait vue jusqu’à présent ».
Selon les ingénieurs qui ont analysé le code, un tel niveau de sophistication aurait nécessité le travail d’au moins 1 000 ingénieurs.

Interpellation des pirates Egregor à l’origine de cyberattaque contre Ouest-France et Ubisoft [10a][10b]

Lancée le 9 février 2021, une vaste opération menée par les forces de l’ordre franco-ukrainiennes a permis l’interpellation de plusieurs pirates suspectés d’être en rapport avec le groupe de cybercriminels Egregor.
Les hackers utilisaient un virus capable de paralyser les systèmes informatiques. Les pirates informatiques avaient ainsi accès aux données stratégiques de leur victime et menaçaient de les diffuser en cas de non-paiement de la rançon. Plus récemment, les pirates avaient modifié leur mode opératoire pour délivrer les demandes de rançons en version papier en les imprimant directement sur les photocopieuses de la victime.

Vulnérabilité

Découverte de deux vulnérabilités dans la version Android de l’application SHAREit [11]

Deux chercheurs de Trend Micro ont publié un rapport dans lequel ils présentent 2 vulnérabilités au sein de l’application Android SHAREit. L’application, téléchargée plus d’un milliard de fois, permet de partager des fichiers entres différents appareils. Ces vulnérabilités ont été découvertes le 15 novembre 2020 et ont été rendues publiques le 15 février 2021.

Malware

L’extension populaire « The Great Suspender » vecteur d’infection de malware [12a][12b][12c][12d][12e]

L’extension Chrome The Great Suspender a été retirée et bloquée par Google, car elle contenait un malware. En effet, au sein de la version 7.1.8 (présente uniquement sur le Store de Chrome), un malware a été introduit au sein de l’extension. Elle permettait aux attaquants d’intercepter toutes les requêtes émises par le navigateur et notamment de modifier leur contenu.
En effet, le développeur principal, Dean Oemcke, a décicé de se retirer du projet en juin 2020, et a donné les pouvoirs d’administration à un nouveau groupe d’individus. Cette transition s’est réalisée dans un contexte assez opaque.

Annonce

Microsoft ajoute des alertes de sécurité aux formulaires Microsoft Forms afin de prévenir les attaques de phishing [13a][13b]

Afin de protéger les utilisateurs des attaques de phishing, Microsoft a mis en place de nouvelles alertes de sécurité au sein de son Centre de Sécurité et de Conformité (SCC). Ces alertes se basent sur une détection proactive mise en place par Microsoft depuis septembre 2019 sur tous les formulaires Microsoft Forms.
Cette action prise par Microsoft répond à la problématique du phishing, qui continue à être une des principales menaces à peser sur les utilisateurs.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-0838
[2] CXA-2021-0813
[3] CXA-2021-0761
[4] CXA-2021-0768
[5] CXA-2021-0796
[6] CXA-2021-0809
[7] CXN-2021-0793
[8] CXN-2021-0847
[9] CXN-2021-0821
[10] CXN-2021-0771
[11] CXN-2021-0799
[12] CXN-2021-0740
[13] CXN-2021-0797


Noé Zalic

Analyste CERT-XMCO