Résumé de la semaine du 05/02/2018

Résumé de la semaine du 05/02/2018

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés pour Adobe Flash Player [1], le CMS Joomla! [2], le système Android [3] et Oracle VirtualBox [4]. L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du déni de service à la prise de contrôle du système à distance.

Codes d’exploitation

La semaine dernière, onze codes d’exploitation ont été publiés.

Deux codes affectent les systèmes Windows.
Un premier code d’exploitation relatif à la faille Wannacry et ciblant l’intégralité des versions de Windows depuis Windows 2000 a été publié. L’application des correctifs reste donc toujours d’actualité. [5]
Le second affecte le sous-système Linux présent sur Windows 10. Un utilisateur local peut obtenir un accès administrateur au système. [6]

Un code d’exploitation affecte HP integrated Lights-Out. En ayant accès au réseau d’administration, un attaquant est en mesure de provoquer l’ajout d’un compte administrateur sur la machine. [7]

Par ailleurs, cinq autres codes d’exploitation permettant de prendre le contrôle du serveur à distance ont été publiés pour les serveurs Coldfusion et Kaspersky Secure Mail Gateway. [8] [9]

Enfin, trois autres codes d’exploitation permettant de provoquer un déni de service à distance ont été publiés pour les systèmes Cisco ASA, le serveur de VoIP Asterisk, et le CMS WordPress. [10] [11] [12]

 

Informations

Un groupe de sénateurs américains a présenté un nouveau projet de loi nommé « CLOUD ». Cet acronyme signifie « Clarification de l’utilisation légale des données à l’étranger ». Ce projet de loi international permettrait aux autorités américaines d’accéder aux données des entreprises américaines conservées sur un serveur à l’étranger, sans l’autorisation du pays dans lequel le serveur est situé. Par ailleurs, le projet permettrait également l’élaboration d’accords de partage de preuves numériques avec des pays étrangers pour des serveurs situés aux États-Unis. [13]

 

Une attaque sur un partenaire de la société de télécommunications Swisscom, en automne 2017, a mené à une fuite de données personnelles. Les attaquants ont réussi à dérober les noms et prénoms, adresses de résidence, dates de naissance ainsi que les numéros de téléphone de 800 000 clients de l’entreprise. Les droits d’accès aux informations des clients Swisscom étant limités pour ses partenaires, les attaquants n’ont pas eu accès à des données plus sensibles telles que des identifiants ou informations de paiement. [14]

 

Sur la plateforme de partage de code source GitHub, une partie sensible du code d’iOS a été publiée de façon anonyme. Le code source correspond à l’application « iBoot » qui sert au lancement et la vérification du système (un équivalent du BIOS pour les PC). La version du code correspond à iOS 9 mais certaines fonctions sont vraisemblablement toujours en place avec la dernière version (iOS 11). Ces informations ouvrent de nouvelles perspectives aux équipes de chercheurs et de pirates dans le cadre de la découverte de vulnérabilités ou de techniques de jailbreak. [15]

 

Un nouveau botnet, nommé Droidclub a été découvert. Distribué par le biais d’extensions sur le web store Chrome officiel (89 extensions ont été détectées et retirées du marché), le malware était en mesure d’injecter au sein du navigateur des publicités ou du code (permettant le minage de cryptomonnaie) et de rejouer les sessions web des victimes. Le pirate pouvait récupérer les numéros de carte de crédit ainsi que leur code de sécurité. En se basant sur le nombre de téléchargements des extensions, les chercheurs estiment le nombre de victimes à 423 992. [16]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] https://leportail.xmco.fr/watch/advisory/CXA-2018-0540
[2] https://leportail.xmco.fr/watch/advisory/CXA-2018-0527
[3] https://leportail.xmco.fr/watch/advisory/CXA-2018-0537
[4] https://leportail.xmco.fr/watch/advisory/CXA-2018-0571
[5] https://leportail.xmco.fr/watch/advisory/CXA-2018-0520
[6] https://leportail.xmco.fr/watch/advisory/CXA-2018-0494
[7] https://leportail.xmco.fr/watch/advisory/CXA-2018-0525
[8] https://leportail.xmco.fr/watch/advisory/CXA-2018-0555
[9] https://leportail.xmco.fr/watch/advisory/CXA-2018-0518
[10] https://leportail.xmco.fr/watch/advisory/CXA-2018-0521
[11] https://leportail.xmco.fr/watch/advisory/CXA-2018-0551
[12] https://leportail.xmco.fr/watch/advisory/CXA-2018-0511
[13] https://leportail.xmco.fr/watch/advisory/CXN-2018-0585
[14] https://leportail.xmco.fr/watch/advisory/CXN-2018-0580
[15] https://leportail.xmco.fr/watch/advisory/CXN-2018-0570
[16] https://leportail.xmco.fr/watch/advisory/CXN-2018-0545


Antoine Dumouchel