Résumé de la semaine #8 (du 17 au 23 février)

Résumé de la semaine #8 (du 17 au 23 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

 

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Drupal pour Drupal 8 [1], par RARLab pour WinRAR [2] et par Mozilla pour Thunderbird [3]. Ces correctifs adressent des vulnérabilités allant du déni de service à la prise de contrôle du système.

 

 

Codes d’exploitation

3 codes d’exploitations ont été publiés au cours de cette semaine.

Le premier code d’exploitation impacte Adoble Flash Player [4]. L’exploitation de cette faille permet à un attaquant de prendre le contrôle du système de la victime. Le code d’exploitation se matérialise sous la forme d’un module Metasploit en Ruby. Il permet de générer une page HTML avec du contenu malveillant qui sera interprété par Adobe Flash Player. En incitant un utilisateur à accéder à cette page, un attaquant était en mesure de prendre le contrôle de son système. Un correctif est disponible.

Le second code d’exploitation impacte macOS [5]. L’exploitation de cette faille permet à un attaquant d’élever ses privilèges sur le système de la victime. Le code d’exploitation se matérialise sous la forme d’un programme en C. Il permet d’écrire du code arbitraire en mémoire. Un attaquant qui réussirait à inciter un utilisateur à exécuter une application malveillante ou du contenu Web serait alors en mesure d’exécuter du code avec des privilèges élevés sur le système. Un correctif est disponible.

Le dernier code d’exploitation impacte WinRAR [6]. L’exploitation de cette faille permet à un attaquant de prendre le contrôle du système de la victime. Le code d’exploitation se matérialise sous la forme d’un chemin réseau qui doit être utilisé comme nom de fichier. Le fichier doit ensuite être compressé dans une archive RAR au format ACE. Un attaquant qui parviendrait à inciter un utilisateur à décompresser l’archive pourrait alors écrire un fichier arbitraire dans le dossier Startup de Windows. Un correctif est disponible.

 

 

Informations

Vulnérabilités

Une vulnérabilité a été découverte au sein de Microsoft IIS Server [7]. Un attaquant est en mesure d’exploiter cette vulnérabilité pour provoquer une consommation excessive du CPU, pouvant aller jusqu’à la consommation de l’intégralité des ressources disponibles. Une solution de contournement a été développée par Microsoft et peut être téléchargée.

Deux vulnérabilités ont été découvertes au sein de WordPress [8]. Un attaquant disposant des droits author sur un site WordPress est en mesure de les exploiter afin de créer des fichiers dans des dossiers arbitraires et d’exécuter du code PHP arbitraire sur le serveur. Des correctifs corrigeant partiellement les vulnérabilités sont disponibles.

Attaques

Microsoft a révélé cette semaine avoir détecté une campagne d’attaques menée par le groupe APT28 [9]. Cette campagne se serait déroulée en septembre et décembre 2018 et aurait visé des organisations politiques engagées dans les élections européennes, mais aussi des groupes de réflexions ou des ONG travaillant sur des sujets liés à la démocratie européenne. Microsoft a profité de cette publication pour annoncer l’extension de son service AccountGuard.

Une campagne d’attaques visant les sociétés d’infogérance serait en cours [10]. Ces attaques chercheraient à compromettre les sociétés afin d’utiliser leurs accès dans de grands Systèmes d’Information pour y déployer le ransomware GandCrab. En effet, les sociétés d’infogérance ont habituellement des outils permettant d’administrer les systèmes à distance. L’un de ses outils, appelé Kaseya, serait vulnérable depuis plus d’un an.

Fuite d’informations

Quelques semaines après les bases de données Collection #1 à Collection #5, ce sont 620 millions de comptes qui ont été mis en vente sur le Dark Web [11]. Ces comptes peuvent être achetés pour un montant en Bitcoin approchant les 20 000 dollars. Les comptes proviendraient de 16 sites webs piratés, dont Dubsmash (162 millions), MyFitnessPal (151 millions) et MyHeritage (92 millions).

Un chercheur en application mobile a découvert récemment que de nombreuses applications disponibles pour iPhone enregistrent les gestes et les frappes au clavier effectués par les utilisateurs [12]. Ces enregistrements étaient réalisés sans demander la permission à l’utilisateur. Si cet enregistrement ne semble pas critique au premier abord, il se trouve que certaines applications (comme Air Canada) ne les chiffrent pas, permettant à un attaquant ayant accès à la base de données de l’application de déduire les mots de passe et les informations bancaires des utilisateurs.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-0829
[2] CXA-2019-0828
[3] CXA-2019-0754
[4] CXA-2019-0762
[5] CXA-2019-0811
[6] CXA-2019-0835
[7] CXA-2019-0830
[8] CXA-2019-0806
[9] CXN-2019-0814
[10] CXN-2019-0797
[11] CXN-2019-0790
[12] CXN-2019-0781


Jean-Christophe Pellat

Cert-XMCO