Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.
Correctifs
Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés par Microsoft dans le cadre de son traditionnel « Patch Tuesday » pour les versions supportées de Windows et Windows Server ainsi que pour Microsoft Edge, Internet Explorer et Microsoft Office (Word, Excel, PowerPoint, Outlook). Par ailleurs, Adobe Flash a également fait l’objet de correctifs.
L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du vol d’informations sensibles à la prise de contrôle du système à distance.
Codes d’exploitation
La semaine dernière, quatre codes d’exploitation ont été publiés.
Le premier affecte Windows 10 et permet à un attaquant d’élever ses privilèges sur le système via l’exécution d’un fichier malveillant. Un correctif est disponible. [13]
Le second affecte Splunk et permet à un attaquant de récupérer la clé de licence au moyen d’une URL spécialement conçue. Un correctif est disponible. [14]
Le troisième affecte le navigateur Google Chrome et permet à un attaquant de provoquer un crash du navigateur au moyen d’un script JavaScript malveillant. Un correctif est disponible. [15]
Le dernier affecte TrendMicro OfficeScan XG et permet à un attaquant de stopper le service de protection en exécutant un script malveillant sur la machine de la victime. Aucun correctif n’est disponible à l’heure actuelle. [16]
Informations
Attaques
La chaîne de magasins Dixons Carphone a été victime d’une intrusion informatique causant une fuite de données impliquant les informations bancaires de 5,9 millions de clients ainsi que des dossiers personnels client. Peu de choses ont été rendues publiques à l’heure actuelle sur les failles de sécurité qui ont permis aux pirates d’accéder aux informations sensibles de cette dernière fuite de données. [17]
Un piratage du second établissement bancaire du Chili, Banco de Chile, a eu lieu le 24 mai 2018. C’est via ce malware (de type disk-wiping) que les hackers ont détruit plus de 9000 ordinateurs et près de 500 serveurs de la Banco de Chile provoquant 10 millions de dollars de perte pour la banque. Toutefois, le réel objectif, non atteint, était le système d’échange de monnaie SWIFT et notamment l’obtention d’accès non autorisés. [18a][18b]
Le dimanche 10 juin 2018, la plateforme d’échange sud-coréenne Coinrail a annoncé qu’un attaquant aurait dérobé plus de 40 millions de dollars lors d’une ICO (Initial Coin Offering), l’équivalant d’une levée de fond. L’attaquant aurait dérobé des tokens de plusieurs cryptomonnaies dont Pundi X, NPER et Aston. À la suite de l’attaque, Coinrail a immédiatement fermé son site et ses portefeuilles afin de sécuriser les cryptomonnaies et travaille avec les ICO affectés afin de geler les transactions volées. [19a][19b]
Vulnérabilités
Des chercheurs de la société Okta ont récemment publié 8 vulnérabilités au sein de divers logiciels utilisant l’API de vérification de code d’Apple. Le problème permettait potentiellement à un attaquant de piéger des utilisateurs de macOS et d’exécuter des applications malveillantes. Le problème résidait dans le fait que n’importe quel développeur d’une application tierce pouvait faire passer son application comme une application signée par Apple. [20a][20b]
Malware
Un nouveau ransomware nommé Sigma se répand depuis des adresses IP basées en Russie. Sigma se propage via une pièce jointe au sein d’un email malveillant qui contient une fausse demande provenant soi-disant de la cour de district des États-Unis. Une fois le chiffrement terminé, il demande aux victimes une rançon d’un montant différent selon les victimes et un règlement en Bitcoin. [21]
C’est l’équipe de chercheurs d’ESET qui a découvert le logiciel espion (spyware) Invisimole, actif depuis 2013, détecté en Russie et en Ukraine. Il est particulièrement discret et réalise des actions très ciblées avec un faible taux d’infection. Il chiffre ses fichiers ainsi que toutes ses données. Il permet d’espionner ses victimes via la caméra installée sur leur machine. [22a][22b]
Le dernier patch Tuesday de Microsoft, publié le 12 juin, corrige une vulnérabilité d’exécution de code utilisant l’assistante vocal Cortana. La vulnérabilité, CVE-2018-8140, permet d’exécuter du code depuis l’écran verrouillé d’une machine Windows 10. Il est vivement recommandé de télécharger le patch Tuesday de Microsoft afin de corriger la vulnérabilité, ou de désactiver Cortana lorsque Windows 10 est en mode verrouillé. [23]
Les équipes de Docker ont annoncé la suppression de 17 images de conteneur Docker du Docker Hub. Ces dernières contenaient des portes dérobées utilisées pour l’installation de reverses shell (backdoors) ou de mineurs de Monero (cryptomonnaie). L’attaquant serait parvenu à générer ainsi l’équivalent d’au moins $90 000 en Monero. [24a][24b][24c][24d]
France
Le ministère de l’Intérieur a annoncé l’ouverture de la plateforme web Perceval, permettant de signaler en ligne un usage frauduleux de sa carte bancaire. Accessible dès aujourd’hui sur le site service-public.fr et développé par la gendarmerie nationale en partenariat avec la police nationale, ce service vise à simplifier les démarches des victimes. [25a][25b]
Vie privée
La société Apple a annoncé, cette semaine, être en train de travailler sur une fonctionnalité qui pourrait rendre le travail des forces de l’ordre plus difficile dans le cadre du déverrouillage d’un appareil iOS (un iPhone ou un iPad). Apple a nommé cette fonctionnalité « USB Restricted Mode » et elle désactive toute utilisation du port USB autre que le chargement du téléphone. [26]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
[13] CXA-2018-2530
[14] CXA-2018-2425
[15] CXA-2018-2426
[16] CXA-2018-2419
[17] CXN-2018-2508
[18] CXN-2018-2445
[19] CXN-2018-2427
[20] CXN-2018-2461
[21] CXN-2018-2443
[22] CXN-2018-2464
[23] CXN-2018-2487
[24] CXN-2018-2506
[25] CXN-2018-2453
[26] CXN-2018-2527
