Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.
Correctifs
Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés par Microsoft dans le cadre de son traditionnel « Patch Tuesday » :
Windows 7 [1], Windows 8.1 [2a][2b], Windows 10 [3a][3b][3c][3d][3e], Windows Server 2008 [4a][4b], Windows Server 2012 [5a][5b], Windows Server 2016 [6], Windows Server, version 1709 [7], Microsoft Edge [8a][8b][8c][8d][8e], Internet Explorer [9a][9b][9c][9d][9e][9f][9g][9h][9i][9j] et Microsoft Office (Word, Excel, PowerPoint, Outlook) [10]. L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du vol d’informations sensibles à la prise de contrôle du système à distance.
De plus, des correctifs ont été publiés pour les logiciels suivants : SAP [11], IBM Notes [12a][12b][12c], Jenkins [13], Google Chrome [14] ainsi que pour la suite de produits Adobe suivants : Adobe Flash [15], Adobe Acrobat et Reader [16] et Adobe Experience Manager [17]. L’installation de ces correctifs permet de se prémunir de multiples vulnérabilités permettant le vol d’informations, la manipulation de données, l’élévation de privilèges, la prise de contrôle d’un système ainsi que la réalisation de dommages indéterminés.
Codes d’exploitation
La semaine dernière, 2 codes d’exploitation ont été publiés. Ils permettent l’exploitation de vulnérabilités au sein de la distribution Fedora [18] et du logiciel JBoss de RedHat [19].
Un premier code d’exploitation se présente sous la forme d’un module Metasploit et exploite une situation de concurrence au sein d’ABRT permettant de modifier le propriétaire d’un fichier.
Le second, sous la forme d’un code en C, affecte JBoss. L’exploitation de cette faille permet à un attaquant distant non authentifié d’accéder à des informations sensibles à partir d’une requête spécifique vers une application JBoss vulnérable.
Informations
Des chercheurs en sécurité de chez Cisco Talos ont découvert une opération de phishing de grande envergure. Cette opération serait originaire d’Ukraine. Les cybercriminels ont acheté des Google Adwords prétendant être des publicités pour les portefeuilles de bitcoin en ligne. Ainsi, lors d’une recherche de « blockchain » ou « bitcoin wallet », les liens vers les URL des pirates étaient les premiers résultats sur Google. Le butin estimé est de 50 millions de dollars sur ces 3 dernières années. [20]
Une attaque informatique a eu lieu sur le système d’information des Jeux olympiques d’hiver se déroulant à Pyeongchang. Cette attaque avait permis un déni de service sur le site officiel le 9 février dernier empêchant aux utilisateurs d’accéder aux espaces de ventes et de téléchargement des tickets. [21]
Les services secrets américains ont payé un vendeur russe qui leur avait indiqué disposer de logiciels de piratage volés à la NSA et d’éléments compromettants sur Donald Trump ou ses proches. Les deux parties ont procédé à une première tentative (pour un montant de 1 million de dollars), annulée par la CIA, car le vendeur ne proposait que des éléments rendus publics par le groupe Shadow Brokers. D’après les services secrets américains, leurs homologues russes tenteraient activement de déstabiliser le gouvernement américain et d’exacerber les tensions au sein de la population. [22]
Un nouveau malware « UDPoS » affectant les équipements de type « Point Of Sale » à été découvert par l’entreprise Forcepoint. Ce programme malveillant a pour but de dérober les informations des cartes de crédit au sein des systèmes de point de vente, et a la particularité de les transmettre à son serveur principal via le protocole DNS. [23]
Le standard PCI DSS est un rituel quasiment obligatoire pour quiconque traite des données bancaires au sein de son Système d’Information. Le standard est cependant très complet et en devient donc assez complexe à appréhender, voire lourd à mettre en place. Afin d’éclairer nos clients, nos experts QSA (Qualified Security Assessor), habilités à délivrer des audits de sécurité PCI DSS, ont publié un article traitant des points principaux sur le sujet. [24]
Des chercheurs de Kaspersky Lab ont découvert une vulnérabilité au sein l’application de messagerie Telegram sur Windows. Cette vulnérabilité permet à une personne mal intentionnée de modifier l’affichage du nom d’un fichier envoyé via l’application, et donc de tromper l’utilisateur sur le type du fichier. Les chercheurs ont identifié 2 scénarios dans lesquels cette vulnérabilité était exploitée comme première étape de l’infection d’un système. [25]
Des chercheurs de Sophos ont découvert que 19 applications disponibles dans le Google Play Store embarquaient CoinHive, un mineur de Monero développé en JavaScript. Toutes ces applications seraient l’œuvre du même attaquant, bien qu’elles aient été publiées via 4 comptes différents sur le Play Store. Une des applications a atteint les 100 000 installations. [26]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
[1] CXA-2018-0648
[2] CXA-2018-0652
[3] CXA-2018-0646
[4] CXA-2018-0655
[5] CXA-2018-0656
[6] CXA-2018-0650
[7] CXA-2018-0642
[8] CXA-2018-0651
[9] CXA-2018-0657
[10] CXA-2018-0643
[11] CXA-2018-0675
[12] CXA-2018-0629
[13] CXA-2018-0683
[14] CXA-2018-0663
[15] CXA-2018-0668
[16] CXA-2018-0662
[17] CXA-2018-0661
[18] CXA-2018-0607
[19] CXA-2018-0601
[20] CXN-2018-0703
[21] CXN-2018-0696
[22] CXN-2018-0691
[23] CXN-2018-0681
[24] CXN-2018-0678
[25] CXN-2018-0670
[26] CXN-2018-0669