Résumé de la semaine du 23 au 27 avril

Résumé de la semaine du 23 au 27 avril

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour Drupal[1], MacOS[2], RouterOS[3] et Dell[4]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

 

Codes d’exploitation

La semaine dernière, sept codes d’exploitation ont été publiés.

Un code d’exploitation affectant Drupal a été publié. Son utilisation permet à un attaquant distant authentifié de prendre le contrôle du serveur sous-jacent. Un correctif est disponible.[5]

Un code d’exploitation affectant Windows a été publié. Celui-ci permet à un attaquant local d’élever ses privilèges sur le système. Un correctif est disponible.[6a][6b]

Un code d’exploitation affectant phpMyAdmin a également été publié. En invitant un utilisateur de l’interface à suivre un lien spécialement conçu ou à visiter une page web malveillante, un attaquant est en mesure d’exécuter des requêtes SQL arbitrairement. Un correctif est disponible.[7]

Un code d’exploitation affectant Internet Explorer a été publié. En incitant un utilisateur à ouvrir ce document malveillant, un pirate est en mesure de faire redémarrer le navigateur Internet Explorer de la victime. Aucun correctif n’est disponible.[8]

Enfin, trois codes d’exploitation affectant les produits VMware ont été publiés. Ces codes d’exploitation permettent de dérober et manipuler des données sensibles ainsi que d’exécuter des commandes arbitraires sur le système hôte.[9][10][11]

 

Informations

Vulnérabilités

Une vulnérabilité dans la conception du système de protection électronique Vision by VingCard, utilisé par des milliers d’hôtels et protégeant l’accès à des millions de chambres, a été découverte. Des chercheurs de la société F-Secure ont réussi à l’exploiter pour créer une clé maitre permettant d’accéder à n’importe quelle pièce protégée par les systèmes Vision déployés dans un bâtiment.[12a][12b]

Attaques

Des analystes de McAfee ont découvert une campagne mondiale visant les industries comprenant des infrastructures critiques, du divertissement, du domaine médical, de la finance et des télécommunications. Cette campagne est baptisée “Operation GhostSecret”, elle s’appuie sur de nombreux implants, outils et variantes de logiciel malveillants en lien avec le groupe de pirates étatiques, Hidden Cobra.[13]

Un groupe de chercheur est à l’origine d’une nouvelle méthode pour détecter les objets connectés compromis avec une intelligence artificielle.
Le but de ce dispositif est de se placer en tant que passerelle de sécurité, s’assurant qu’aucune anomalie n’est présente lors des communications entre les objets connectés et internet, et d’en déduire leur compromission en analysant leurs échanges et comportements.[14]

Selon une récente étude, plus de 70% des professionnels du secteur de l’énergie se disent inquiets de l’éventualité d’une catastrophe liée à une attaque informatique. Bien que la majorité des sondés (65%) considèrent investir suffisamment dans la sécurité de leurs systèmes, ils considèrent toujours que le manque de budget reste la plus grande barrière pour atteindre leurs objectifs en matière de sécurité.[15]

Vie privée

Des chercheurs de la société Checkmarx ont annoncé avoir créé une preuve de concept permettant d’exploiter l’assistant vocal d’Amazon, Alexa, et pouvoir écouter continuellement les possesseurs de l’assistant tout en retranscrivant les communications perçues.[16]

Une entreprise est accusée d’avoir laissé fuiter les données de 48 millions d’utilisateurs de diverses plateformes comme Facebook, LinkedIn ou Twitter sans leur consentement. Cette entreprise, nommée “Localblox”, aurait aspiré de façon automatique les données publiques des utilisateurs sur divers réseaux sociaux et les aurait entreposées sans aucune protection sur un serveur.[17]

Cybercriminalité

“Webstresser.org”, l’un des plus grands sites proposant des attaques par déni de service à la location a été démantelé suite à l’arrestation de ses administrateurs le 24 avril 2018.[18]

International

L’OTAN (Organisation du traité de l’Atlantique Nord), regroupant plusieurs pays, dont l’Amérique du Nord et certains pays d’Europe, a lancé officiellement un entrainement contre une cyberguerre. Plusieurs pays fictifs ont pour l’occasion été créés, ils se nomment Berylia, Crimsonia et Revalia.[19a][19b]

Selon une source du gouvernement du Royaume-Uni, un réseau de “trolls” russe a initié une campagne de désinformation concernant l’utilisation d’armes chimiques en Syrie et à Salisbury. Une augmentation de 4000% a été constatée sur l’activité des robots présents sur les réseaux sociaux dont le but est de “mentir et désinformer”.[20]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-1736
[2] CXA-2018-1733
[3] CXA-2018-1726
[4] CXA-2018-1722
[5] CXA-2018-1744
[6] CXA-2018-1728
[7] CXA-2018-1701
[8] CXA-2018-1672
[9] CXA-2018-1705
[10] CXA-2018-1706
[11] CXA-2018-1707
[12] CXN-2018-1762
[13] CXN-2018-1772
[14] CXN-2018-1729
[15] CXN-2018-1682
[16] CXN-2018-1774
[17] CXN-2018-1674
[18] CXN-2018-1756
[19] CXN-2018-1724
[20] CXN-2018-1681


Jean-Christophe Pellat

Cert-XMCO