Résumé de la semaine 9 (du 26 février au 4 mars)

Résumé de la semaine 9 (du 26 février au 4 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Microsoft Edge [1], Gitlab [2], Google Chrome [3], Kibana et Elasticsearch [4].

Ces correctifs adressent des dommages allant du déni de service au contournement de restrictions de sécurité.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour la totalité d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Windows [5]

Ce code d’exploitation se présente sous la forme d’un fichier RTF. En incitant sa victime à ouvrir ce fichier, un attaquant est alors en mesure de provoquer une exécution de code arbitraire sur son système.

Prise de contrôle du système via une vulnérabilité au sein de Firefox [6]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En incitant sa victime à accéder au serveur Web associé à ce programme, un attaquant est alors en mesure d’exécuter des commandes sur son système. Cependant, cet exploit ne permet pas de contourner la sandbox de Firefox.

Élévation de privilèges via une vulnérabilité au sein de Windows et Windows Server [7a][7b][7c]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby. Un attaquant local authentifié est alors en mesure d’élever ses privilèges et d’obtenir les droits de l’utilisateur NT AUTHORITY\SYSTEM.

Informations

Conflit Ukraine

Guerre hybride en Ukraine : l’ANSSI alerte les entités françaises [8a][8b][8c][8d]

La guerre hybride menée par la Russie pourrait produire des effets sur des entités françaises. L’ANSSI alerte sur des mesures préventives à adopter afin de limiter la probabilité et les effets de cyberattaques.

L’Ukraine ciblée par deux wipers, un ver informatique et un ransomware dans le cadre du conflit avec la Russie [9]

Les chercheurs d’ESET ont analysé les campagnes d’attaque russes contre l’Ukraine survenues les 23 et 24 février derniers et faisant suite aux nombreuses attaques par déni de service distribué (DDoS) contre les sites Internet gouvernementaux ukrainiens.

Un collectif d’hacktivistes aurait conduit de nombreuses cyberattaques contre des entités russes et biélorusses [10a][10b][10c][10d]

Depuis le lancement de l’invasion de l’Ukraine par la Russie, différents groupes ont déclaré leur soutien à l’un des protagonistes. Le collectif hacktiviste AgainstTheWest semble s’être « réactivé » le 27/02/2022.
Ce collectif est apparu en octobre 2021 quand un compte portant ce nom a mis en vente sur RaidForums des données prétendument issues de la Banque Centrale chinoise.

Le groupe russe APT28 aurait mené deux importantes campagnes d’usurpation de sites gouvernementaux ukrainiens [11]

Les médias Bellingcat, The Insider et le chercheur Snorre Fagerland ont publié une étude sur deux campagnes d’attaques du Service de renseignement extérieur russe (GRU) ayant ciblé l’Ukraine en fin d’année 2021 et début 2022. Le groupe d’attaquants impliqué est APT28, aussi appelé Fancy Bear.

Vulnérabilité

Une année 2021 riche en vulnérabilités [12a][12b]

2021 est une année millésimée en termes de vulnérabilités. Durant cette année, l’ANSSI a publié 991 avis et 22 alertes concernant des produits suivis par l’Agence.

Ransomware

NVIDIA au centre d’une cyberattaque aux multiples rebondissements [13a][13b]

Le 26 février 2022, le concepteur de processeurs graphiques NVIDIA a confirmé avoir été victime d’une cyberattaque de grande ampleur par le groupe ransomware LAPSUS$. L’opération aurait permis aux attaquants de bénéficier d’un large accès aux ressources de NVIDIA.
En tout, jusqu’à 1 téraoctet de données sensibles aurait été volé d’après LAPSUS$.

L’assureur AON victime d’une cyberattaque le 25 février 2022 [14]

Dans une communication faite à la SEC (Securities and Exchange Commission), la multinationale AON a indiqué avoir été victime d’une cyberattaque le 25 février 2022.
À ce stade, peu de détails ont été donnés sur l’attaque. Celle-ci ne concernerait qu’un nombre limité de ressources et n’aurait pas eu d’impact sur les opérations de l’entreprise.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-0994
[2] CXA-2022-0988
[3] CXA-2022-1021
[4] CXA-2022-1001 et CXA-2022-0997
[5] CXA-2022-1016
[6] CXA-2022-0995
[7] CXA-2022-0982
[8] CXN-2022-1045
[9] CXN-2022-1022
[10] CXN-2022-1003
[11] CXN-2022-0985
[12] CXN-2022-0984
[13] CXN-2022-1047
[14] CXN-2022-1023


Théophile

Analyste CERT-XMCO