Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft [1], par Pulse Secure pour Pulse Secure Connect [2], par GitLab [3], par PostgreSQL [4], par Adobe pour Adobe Acrobat et Adobe Acrobat Reader [5] et par SAP [6]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Il est à noter que 4 vulnérabilités corrigées sur les systèmes d’exploitation Microsoft Windows permettent de prendre le contrôle du serveur à distance, sans authentification préalable et sans interaction de la part de l’utilisateur.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Deux d’entre eux impactent iOS et Mac OS et permettent de provoquer un déni de service grâce à une désérialisation et un code JavaScript spécifiquement forgé. Les deux autres impactent Fortigate SSL VPN et Apache Solr.
Fortigate SSL VPN [7]
Ce code d’exploitation exploite deux vulnérabilités au sein de Fortigate SSL VPN. A travers deux requêtes HTTP spécifiquement forgées, un attaquant peut récupérer les identifiants administrateurs puis exécuter du code arbitraire afin de prendre le contrôle du système. Un correctif est disponible.
Apache Solr [8]
Ce code d’exploitation permet à un attaquant d’envoyer des requêtes spécifiquement forgées à un module d’Apache Solr afin d’exécuter du code arbitraire sur le système. Un correctif est disponible.
Informations
Recherche
Des chercheurs ont réussi à manipuler des conversations WhatsApp [9]
Des chercheurs de la société Checkpoint ont récemment découvert trois vulnérabilités dans le client de messagerie WhatsApp. Ces dernières permettent de modifier l’expéditeur d’un message dans une conversation de groupe en abusant du mécanisme de citation, modifier le contenu d’un message d’un autre utilisateur et d’envoyer un message à un membre d’un groupe en lui donnant l’impression qu’il s’agit d’un message privé (lorsque ce dernier répond, la réponse est visible par tout le groupe).
Désormais, Apple versera à des chercheurs jusqu’à 1 million de dollars pour la découverte de vulnérabilités [10]
Lors de la conférence Black Hat, Apple a annoncé que le plafond des récompenses pour la découverte de vulnérabilités inédites passera de 200 000 dollars à un million de dollars. Évidemment, cette récompense extraordinaire est réservée à un code d’exploitation qui permettrait une exécution de code dans le noyau donnant ainsi la possibilité de prendre le contrôle total de l’appareil.
Des vulnérabilités identifiées dans 40 drivers utilisés au sein de Windows 10 [11]
Des vulnérabilités ont été identifiées dans 40 drivers utilisés au sein du système d’exploitation Windows 10. Un attaquant serait en mesure d’utiliser ces drivers vulnérables pour réaliser une élévation de privilèges et ainsi accéder à la couche noyau du système. Les chercheurs ont également indiqué que ces drivers pouvaient être utilisées pour interagir avec les cartes graphiques, les adaptateurs réseau, les disques durs et d’autres périphériques.
Vulnérabilités
Une vulnérabilité permettant d’élever ses privilèges découverte dans Steam [12]
Deux chercheurs ont découvert une vulnérabilité impactant le client de jeux Steam. Après avoir informé l’éditeur (qui a jugé que cette vulnérabilité n’entrait pas dans son programme de recherches de vulnérabilités), les deux chercheurs ont publié les détails de la vulnérabilité. Celle-ci permettrait à un attaquant d’élever ses privilèges sur le système.
Vie privée
La loi de protection des données personnelles utilisée pour révéler des données personnelles [13]
Pendant la conférence Black Hat, un chercheur de l’Université d’Oxford, James Pavur, a présenté ses travaux dont l’objectif était de voir comment des entreprises anglaises et américaines géraient une demande d’accès aux données personnelles lorsque cette demande était réalisée par un tiers. Le chercheur a demandé à chaque entreprise toutes les données qu’ils possédaient concernant sa fiancée en citant une loi de protection de la vie privée du RGPD. Près d’1/4 des sociétés interrogées ont alors fourni les données sans vérifier l’identité du demandeur.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2019-3715
[2] CXA-2019-3659
[3] CXA-2019-3662
[4] CXA-2019-3655
[5] CXA-2019-3719
[6] CXA-2019-3746
[7] CXA-2019-3657
[8] CXA-2019-3653
[9] CXN-2019-3668
[10] CXN-2019-3648
[11] CXN-2019-3678
[12] CXN-2019-3651
[13] CXN-2019-3652