Résumé de la semaine 4 (21 au 27 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par SAP [2], par Adobe pour ses produits [3], par Gitlab [4] et par Google pour Chrome [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de PowerShell [6a] [6b]

Ce code d’exploitation se présente sous la forme d’un script PowerShell. En exécutant ce script, un attaquant est alors en mesure de contourner le mode sandbox d’une session PowerShell à distance afin d’activer la fonctionnalité TabExpansion en spécifiant une WSManStackVersion inférieure à 3.0. Cette fonctionnalité lui permet d’accéder à la commande Invoke-Expression qui peut être utilisée pour exécuter des commandes arbitraires sur la session PowerShell distante.

Prise de contrôle du système via une vulnérabilité au sein de Cacti [7]

Ce code d’exploitation se présente sous la forme d’une requête HTTP GET. En effectuant cette requête, un attaquant est alors en mesure de contourner le système d’authentification par adresse IP via l’ajout de l’en-tête X-Forwarded-For pour exploiter une injection de commandes arbitraires via le paramètre poller_id.

Informations

Malware

L’infostealer Vidar utilise des pages de réseaux sociaux pour rediriger vers son serveur de commande et de contrôle [8a] [8b] [8c]

Vidar, identifié pour la première fois en 2018, est un malware de type infostealer capable de récolter des informations à partir d’hôtes compromis.

Annonce

Microsoft abandonne les mises à jour de sécurité pour Windows 7 à partir du 10 janvier 2023 [9]

À partir du 10 janvier 2023, Microsoft va mettre fin à l’extension des mises à jour de sécurité pour Windows 7. Ce système d’exploitation avait atteint sa date limite de support en janvier 2015 (elle avait été prolongée jusqu’en janvier 2020). Il est utilisé par 11% des utilisateurs de Windows.

Attaque

Le personnel de trois laboratoires nucléaires américains visés par des acteurs russes [10a] [10b]

Au cours de l’été 2022, Cold River (alias Calisto ou SEABORGIUM), un acteur malveillant russe, aurait pris pour cible le personnel de trois laboratoires nucléaires américains (Brookhaven, Argonne et Lawrence Livermore National Laboratories). À ce jour, les raisons exactes, les impacts et les détails du mode opératoire de l’attaque ne sont pas connus.

Piratage

Le guichet unique des entreprises, victime d’une attaque DoS deux jours après son ouverture [11a] [11b]

Deux jours après son lancement le 1er janvier 2023, le guichet unique, mis en place par le ministère de l’Économie français, aurait été victime d’une attaque par déni de service (DoS), possiblement par déni de service distribué (DDoS). En effet, le guichet unique aurait subi 100 000 demandes de modifications par seconde, bloquant ainsi son accès. Bercy précise : « Malgré de nombreux tests de sécurité, nous avons subi une attaque informatique majeure ».

Fuite d’informations

Charlie Hebdo, victime d’une fuite de données [12a] [12b]

Le journal satirique Charlie Hebdo a été victime d’une cyberattaque le mercredi 4 janvier dernier. D’après les premiers éléments, les attaquants auraient réussi à pénétrer au sein du SI du journal. L’attaque aurait rendu inaccessible la boutique de Charlie Hebdo, défacé la page d’accueil et aurait également permis l’exfiltration de documents confidentiels ainsi que des données clients.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2023-0161
[2] CXA-2023-0157
[3] CXA-2023-0159
[4] CXA-2023-0108
[5] CXA-2023-0187
[6] CXA-2023-0118
[7] CXA-2023-0090
[8] CXN-2023-0139
[9] CXN-2023-0100
[10] CXN-2023-0104
[11] CXN-2023-0093
[12] CXN-2023-0103

CERT-XMCO

Découvrir d'autres articles