Résumé de la semaine #9 (du 23 février au 2 mars)

Résumé de la semaine #9 (du 23 février au 2 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

 

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par OpenSSL [1], Adobe pour Acrobat et Acrobat Reader [2] ainsi que par Cisco concernant Webex [3] et certains VPN [4].

 

 

Codes d’exploitation

La semaine dernière, trois codes d’exploitation ont été publiés. Ceux-ci exploitent des vulnérabilités affectant les CMS Drupal ainsi que l’outil d’intégration continue Jenkins.

Le premier code d’exploitation permet de prendre le contrôle d’un système à distance via l’envoi d’une requête spécifiquement forgée vers un site Drupal [5].

Le second permet de prendre le contrôle d’un système à distance via 2 vulnérabilités au sein de plug-ins couramment utilisés au sein de Jenkins [6].

Le troisième permet de contourner des restrictions de sécurité via une vulnérabilité au sein de la bibliothèque PHP GD [7].

 

 

 

Informations

Annonces

L’ICANN appelle à un déploiement massif de DNSSEC [8a] [8b]

L’Internet Corporation for Assigned Names and Numbers (ICANN) estime que les récentes attaques contre l’infrastructure DNS posent un risque de sécurité important. L’organisation appelle donc à un déploiement massif de DNSSEC, un protocole apportant des mécanismes de sécurité n’existant pas dans la norme DNS de base. Elle propose également une liste de contrôle à effectuer pour s’assurer que les serveurs DNS n’ont pas été compromis, disponible à l’adresse suivante : https://www.icann.org/news/announcement-2019-02-15-en.

Fin de support de Drupal 7 pour 2021 [9]

Drupal a annoncé la fin du support officiel de la version 7 du CMS pour novembre 2021. À cette date, Drupal ne fournira plus de correctifs de sécurité ni de nouvelles mises à jour pour cette version. D’après la plateforme W3Techs, plus de 75% des sites utilisant Drupal reposent sur la version 7. Ceci explique l’extension de support dont a bénéficié cette version.

Malwares

Un outil de déchiffrement gratuit pour les victimes du rançongiciel GandCrab [10]

Bitdefender a publié la semaine dernière un logiciel pour déchiffrer les données ciblées par le rançongiciel GandCrab, efficace pour toutes les versions depuis octobre 2018 (soit les versions 1.x et de 4.x jusqu’à 5.1). En association avec la police roumaine, Europol et d’autres agences nationales, Bitdefender a mis au point un outil permettant la récupération des fichiers chiffrés par le logiciel malveillant pour lequel Bitdefender estime qu’il possède 40 % du marché des rançongiciels.

Une campagne de phishing exploite une vulnérabilité WinRAR pour installer une backdoor [11]

Cette vulnérabilité permettait à un attaquant d’extraire un fichier à un emplacement arbitraire sur le système, à partir d’une archive RAR au format ACE. On peut distinguer deux vagues dans ces campagnes : dans la première, les archives ACE ne contiennent qu’un fichier exécutable. Dans la seconde vague, les attaquants ajoutent des images à leur archive, afin d’inciter les utilisateurs à la décompresser (les images ne pouvant pas s’ouvrir dans l’inspecteur WinRAR).

Vulnérabilité

La vulnérabilité Drupal utilisée par des pirates dans la nature [12]

Publiée le 20 février, la nouvelle vulnérabilité Drupal, référencée CVE 2019-6340 et SA-CORE-2019-003, est actuellement utilisée par des pirates dans la nature. En effet, des analystes de la société Imperva ont dénombré des dizaines de tentatives d’attaques visant les sites Internet de leurs clients, y compris des sites gouvernementaux ainsi que des sites du secteur des services financiers. D’après la société, les attaques provenaient de plusieurs attaquants de différents pays peu de temps après la publication du code d’exploitation.

Les ordinateurs modernes sont vulnérables aux périphériques Thunderbolt malveillants [13]

Des chercheurs ont publié le résultat de deux ans de recherche au sujet des vulnérabilités affectant les ports Thunderbolt. Les ports Thunderbolt 3, au format USB-C, disposent d’une bande passante très importante. Cela leur permet de gérer des transferts de données, plusieurs sorties vidéos, la connectivité à Internet et de recharger l’appareil simultanément. Cependant, cette polyvalence nécessite que les périphériques reliés au port puissent exécuter du code avec un niveau de privilèges élevé. Ainsi, un attaquant ayant un accès physique au port Thunderbolt sera en mesure de compromettre la machine en quelques secondes. Il sera en mesure de lire des informations en mémoire, sur le disque, ainsi que d’exécuter du code arbitraire dans certains cas.

Vie privée

Une liste blanche dans Microsoft Edge permet à Facebook d’exécuter du code Flash à l’insu des utilisateurs [14]

Le navigateur de Microsoft, Edge, aurait à disposition une liste blanche qui permet à Facebook d’exécuter du code Adobe Flash à l’insu des utilisateurs. Le contenu figurant dans la liste serait en mesure de contourner les fonctions de sécurité du navigateur qui empêche l’exécution de code Flash. Cette liste comportait 58 entrées avec des sites tels que Microsoft, le portail MSN, le service Deezer, etc.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-0926
[2] CXA-2019-0882
[3] CXA-2019-0940
[4] CXA-2019-0939
[5] CXA-2019-0874
[6] CXA-2019-0922
[7] CXA-2019-0957
[8] CXN-2019-0888
[9] CXN-2019-0931
[10] CXN-2019-0884
[11] CXN-2019-0958
[12] CXN-2019-0937
[13] CXN-2019-0954
[14] CXN-2019-0899


Jean-Christophe Pellat

Cert-XMCO