Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour Citrix [1], Synology [2] et le navigateur Mozilla Firefox [3]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

Codes d’exploitation

La semaine dernière, deux codes d’exploitation ont été publiés. Ces derniers exploitent des vulnérabilités pour lesquelles il existe des correctifs.

Le premier exploite une vulnérabilité affectant les produits Cisco ASA. Son utilisation permet à un attaquant de réaliser un déni de service et de voler des données sensibles via l’envoi d’une requête HTTP spécialement conçue. [4]

Le second vise le lecteur Foxit Reader. Son utilisation permet à un attaquant de prendre le contrôle du système du visiteur en l’incitant à ouvrir un document ou une page web malveillante. [5]

Informations

Attaques

L’équipe de développement de la distribution Linux Gentoo informe les utilisateurs que des pirates ont compromis l’un des comptes GitHub de l’organisation et introduit un code malveillant. Les pirates, en prenant le contrôle du dépôt GitHub, ont remplacé les arbres « portage » et « musl-dev » afin de provoquer la suppression de tous les fichiers du système. Gentoo préconise de ne pas utiliser les fichiers ebuild disponibles sur le miroir GitHub jusqu’à leur accord. Tout le code malveillant hébergé sur GitHub a été théoriquement supprimé. Toutefois, il doit pour l’instant être considéré comme compromis. [6]

Juridique

L’Etat américain, largement inspiré du Règlement Européen de Protection des Données (RGPD), a voté le « California Consumer Privacy Act ». Cette loi, qui entrera en vigueur en janvier 2020 est moins large que la RGPD. Toutefois, elle est la plus restrictive des États-Unis et accorde aux consommateurs le droit de savoir quelles informations les entreprises collectent à leur sujet, pourquoi elles collectent ces données et avec qui elles les partagent. Elle facilitera également la poursuite par les utilisateurs des entreprises en cas de violation de données. [7]

Vulnérabilités

Un chercheur en sécurité a récemment compromis le domaine « live-promotions.apple.com » au travers d’une simple recherche ouverte. En effet, à l’aide d’un outil public dénommé Aquatone, le chercheur a découvert que les ressources d’une partie des sous-domaines étaient directement hébergées au travers d’un stockage Amazon S3. Toutefois la configuration d’un de ceux-ci, live-promotions.apple.com, était ouverte à tous en écriture. [8]

Un groupe de chercheurs du groupe Systems and Network Security de Vrije Universiteit Amsterdam aux Pays-Bas affirme avoir été en mesure d’extraire les clés cryptographiques d’un programme en cours d’exécution, en tirant parti d’une faiblesse de sécurité sur les processeurs Intel. La vulnérabilité a été baptisée TLBleed. Actuellement, cette vulnérabilité ne semble pas être exploitée dans la nature. Elle est non triviale et nécessite qu’un attaquant soit connecté au système pour l’exploiter. Un des chercheurs à l’origine de sa découverte, Ben Gras, s’est montré rassurant en déclarant « Ne paniquez pas […], TLBleed n’est pas le nouveau Spectre ». Pour le moment, seul libgcrypt s’est montré vulnérable. [9]

Les PCs utilisant le système d’exploitation Windows 10 sont concernés par une attaque exploitant un format de fichier particulier pour contourner les défenses du système d’exploitation. D’après le chercheur en sécurité Matt Nelson, le type de fichier « SettingContent-ms » peut être utilisé pour exécuter du code arbitraire, et donc potentiellement malveillant. Matt Nelson a fait part de ses conclusions à Microsoft en février de cette année, mais le 4 juin, Microsoft a répondu en disant « que la gravité du problème est inférieure à la limite nécessaire pour faire l’objet d’une correction et que ce problème sera classé sans suite ». [10]

Cybercriminalité

Dans un communiqué de presse, Europol a déclaré avoir participé à l’arrestation, la semaine dernière, de plus de 141 personnes soupçonnées de voyager en utilisant des billets achetés frauduleusement. L’opération a eu lieu entre le 18 et le 22 juin, elle a coordonné 61 pays, 69 compagnies aériennes et 6 agences de voyages en ligne. Elle était organisée dans le contexte de la 11e édition du GAAD (Global Airport Action Days). Les individus arrêtés sont soupçonnés de voyager avec des billets d’avion achetés avec des cartes de crédit volées ou fausses. L’IATA estime que l’industrie du transport aérien perd plus d’un milliard de dollars par an à cause d’activités frauduleuses. [11]

Hangul Word Processor (HWP) est une solution propriétaire de traitement de texte populaire en Corée du Sud. Une série d’attaques attribuée, dans une analyse d’AlienVault, au groupe de pirates nord-coréens Lazarus et visant ce logiciel a eu lieu depuis le mois de mai. L’attaque consiste en l’inclusion de code PostScript malveillant au sein d’un document, permettant ainsi de télécharger le malware. Ainsi, les hackers ont ici réussi à voler pour environ 32 millions de dollars de monnaie virtuelle au sein de la plate-forme d’échange de cryptomonnaies Bithumb. [12]

Sécurité

Thanatos est un ransomware découvert par des chercheurs du MalwareHunterTeam de chez Talos, acceptant les paiements Bitcoin Cash, Bitcoin et Ethereum. Il se propage sous forme de pièces jointes aux messages de chat envoyés via Discord. Talos a ainsi pu créer un outil gratuit qui permet de décrypter le ransomware Thanatos. Ainsi, il faudrait environ 14 minutes pour réussir à récupérer la clé de chiffrement. Cet outil fonctionne seulement avec les versions 1 et 1.1 du ransomware Thanatos et sur tous les échantillons actuels du ransomware analysés par les experts. [13]

En octobre 2017, de nouvelles attaques à l’encontre des protocoles de sécurisation des échanges Wi-Fi sont dévoilées. Elles portent le nom de « KRACKs Attacks » (plus détaillées dans le numéro #48 de notre magazine ActuSécu disponible ici). Ces attaques portaient essentiellement sur l’échange initial, « handshake », pratiqué entre le point d’accès et le client et permettaient dans le pire des cas de déchiffrer et d’injecter du contenu dans les échanges. L’alliance Wi-Fi a récemment publié les détails techniques liés au WPA3. Parmi les points évoqués précédemment, seul le renforcement de l’échange initial « dragonfly » sera imposé et rendu obligatoire pour la certification associée au bon respect du protocole. [14]

Troy Hunt, chercheur en sécurité, s’associe à Mozilla pour offrir son populaire service Have I Been Pwned (HIBP) aux utilisateurs de Firefox. Au cours des prochains mois, Mozilla fera l’essai d’un nouvel outil nommé « Firefox Monitor », conçu pour aider les utilisateurs à vérifier si leurs comptes ont été compromis ou non en effectuant des recherches dans la vaste base de données HIBP. Cette base de données contient maintenant plus de trois milliards d’adresses électroniques uniques, selon Troy Hunt. [15]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXA-2018-2709
[2] CXA-2018-2698
[3] CXA-2018-2686
[4] CXA-2018-2678
[5] CXA-2018-2661
[6] CXN-2018-2724
[7] CXN-2018-2723
[8] CXN-2018-2671
[9] CXN-2018-2687
[10] CXN-2018-2703
[11] CXN-2018-2701
[12] CXN-2018-2677
[13] CXN-2018-2706
[14] CXN-2018-2708
[15] CXN-2018-2683