Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés par Microsoft dans le cadre de son traditionnel « Patch Tuesday » : Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server version 1709, Microsoft Edge, Internet Explorer et Microsoft Office (Word, Excel, PowerPoint, Outlook). L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du vol d’informations sensibles à la prise de contrôle du système à distance.

Codes d’exploitation

La semaine dernière, aucun code d’exploitation n’a été publié.

Informations

Vulnérabilités

Une porte dérobée a été découverte dans la bibliothèque de code Python « ssh-decorate » permettant d’établir simplement des connexions SSH. Après que la situation ait été portée à l’attention du propriétaire de la bibliothèque, celui-ci a indiqué que la porte dérobée n’était pas intentionnelle et qu’elle était le résultat de la compromission de ses identifiants.[1]

Lenovo a publié deux avis de sécurité vendredi 4 mai 2018 concernant entre autres sa gamme d’ordinateurs portables ThinkPad et ses serveurs System x. Le premier bug est une faille d’authentification dans le processus de démarrage sécurisé. Le second est une vulnérabilité permettant l’exécution de code arbitraire. Des correctifs sont disponibles. [2]

Le 3 mai dernier, le site heise.de reportait la découverte de nouvelles vulnérabilités critiques impactant les processeurs Intel. Un nouvel article publié le 7 mai nous informait du report de la publication des patchs et des premières informations sur les vulnérabilités (censé être publiées le 7 mai). La nouvelle date de publication des informations serait le 21 mai 2018. Toutefois, cela n’est pas définitif, Intel chercherait déjà à déplacer cette nouvelle date au 10 juillet. [3]

Attaques

La société 401TRG a récemment publié un rapport à propos de l’APT Winnti. D’après eux, Winnti serait lié aux renseignements chinois. Le groupe est actif depuis au moins 2009 et visait initialement les studios de jeux vidéos et les entreprises dans les hautes technologies présentes aux États-Unis, au Japon, en Corée du Sud et en Chine. [4]

Une équipe d’universitaires de l’université de Vrije à Amsterdam a développé une nouvelle technique utilisant les GPU via WebGL afin de mener l’attaque « Rowhammer ». Ce type d’attaque consiste à bombarder des rangées de cellules mémoires contigües afin de provoquer une fuite de charge électrique, par ce biais un programme peut potentiellement élever ses privilèges sur un système. Cette attaque ne fonctionne que contre de petits appareils, comme les smartphones et les tablettes. Google Chrome et Mozilla Firefox ont publié des mises à jour. [5a][5b]

Malware

Des chercheurs en sécurité de Flashpoint ont repéré le code source du malware PoS (Point of Sale) TreasureHunter PoS sur un forum de cybercriminalité russe en mars 2018. Selon Vitali Kremez, directeur de la recherche de Flashpoint, le code source détecté coïncide avec les différents échantillons aperçus au cours des dernières années. La fuite du code source va permettre aux chercheurs en sécurité de mieux comprendre comment fonctionne ce type de menace. Cependant, on peut s’attendre prochainement à l’arrivée d’une vague de logiciels malveillants de type PoS partant de la source de TreasureHunter. [6]

Vie privée

Meituan Dianping, un géant du e-commerce et de la livraison à domicile chinois soutenu par Tencent, a commencé à enquêter sur les rapports d’une fuite de données qui aurait exposé les informations privées de dizaines de milliers d’utilisateurs. L’entreprise, qui compte le leader des médias sociaux « Tencent Holdings Ltd. » parmi ses bailleurs de fonds, a déclaré qu’elle met tout en œuvre pour protéger la vie privée des consommateurs par le biais d’unités de contrôle interne et d’équipes techniques. Mais elle a reconnu que les parties criminelles auraient pu avoir accès aux données personnelles des utilisateurs. [7]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXN-2018-1948
[2] CXN-2018-1919
[3] CXN-2018-1902
[4] CXN-2018-1901
[5] CXN-2018-1899
[6] CXN-2018-1956
[7] CXN-2018-1897