Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Firefox [1] et Thunderbird [2], par HP pour les produits HPE iLO [3], ainsi que par Cisco pour les systèmes NX-OS [4]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Code d’exploitation
Cette semaine, 6 codes d’exploitation ont été publiés.
Microsoft Internet Explorer [5]
Le premier code d’exploitation impacte Microsoft Internet Explorer 11 et permet à un attaquant de contourner l’environnement d’exécution cloisonné d’Internet Explorer 11 (sandbox). Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En exécutant ce programme, un attaquant est en mesure d’injecter du code dans le processus d’Internet Explorer. Aucun correctif n’est disponible.
Microsoft Windows [6]
Le second code d’exploitation impacte Microsoft Windows. L’exploitation de cette faille permet de contourner une restriction de sécurité. Le code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme, un attaquant est en mesure de récupérer tous les droits sur un fichier ciblé. Il est nécessaire pour l’attaquant d’avoir au moins un compte utilisateur (avec le mot de passe en clair) pour pouvoir exploiter la vulnérabilité. Aucun correctif n’est disponible.
Apple macOS [7]
Le troisième code d’exploitation impacte Apple macOS. Son exploitation permet à un attaquant local d’élever ses privilèges via une condition de concurrence. Le code se présente sous la forme d’un script écrit en Python. En compilant l’un des codes sources correspondants et en l’exécutant sur le serveur, un attaquant est alors en mesure de devenir un utilisateur privilégié (root). Un correctif est disponible.
Oracle Solaris [8]
Le quatrième code d’exploitation affecte Oracle Solaris. L’exploitation de cette faille permet à un attaquant local d’élever ses privilèges. Le code d’exploitation se présente sous la forme de programmes écrits en C. En compilant l’un des codes sources correspondants et en l’exécutant sur le serveur, un attaquant est alors en mesure de devenir un utilisateur privilégié (root). Aucun correctif de sécurité n’est disponible.
Cisco Prime Infrastructure [9]
Le cinquième code d’exploitation concerne Cisco Prime Infrastrusture. L’exploitation de cette faille permet à un attaquant de prendre le contrôle du système. Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure de déposer, sans restriction, un fichier JSP sur le serveur puis de l’exécuter. Un correctif est disponible.
VMware Workstation [10]
Le dernier code d’exploitation impacte VMware Workstation. L’exploitation de cette faille permet à un attaquant d’élever ses privilèges. Ce code d’exploitation se matérialise sous la forme d’un fichier DLL écrit en C et utilisant l’API Windows. En positionnant ce fichier à un endroit opportun, un attaquant est en mesure de faire charger son code en mémoire (au lieu du code original) et de le faire exécuter avec les privilèges de l’application. Aucun correctif de sécurité n’est disponible à l’heure actuelle. Un correctif est disponible.
Informations
Vulnérabilités
Une vulnérabilité affectant Slack permet de compromettre les postes des utilisateurs d’une instance [11]
Une vulnérabilité a été découverte dans la version 3.3.7 de Slack Desktop pour Windows. Son exploitation permettait à un attaquant distant de compromettre le système d’un utilisateur d’une instance compromise.
Attaques
Les systèmes de production du site Stack Overflow ont été compromis [12]
Le site Stack Overflow, considéré comme le plus grand site de questions-réponses sur le développement et la programmation informatique, a annoncé la semaine dernière qu’une faille de sécurité avait été exploitée par des attaquants pour infiltrer le réseau interne de la compagnie.
TeamViewer confirme le fait d’avoir subi une attaque en 2016 [13]
TeamViewer a confirmé publiquement avoir subi une attaque durant l’automne 2016, qui avait été détectée, mais jamais officialisée. Cette attaque semblait provenir de la Chine et utilisait la backdoor Winnti
.
Malware
Des attaquants publient des malwares sous la forme de faux codes d’exploitation pour la vulnérabilité affectant RDP [14]
Le chercheur Kevin Beaumont met en garde contre la recrudescence de faux codes d’exploitation concernant la vulnérabilité référencée CVE-2019-0708 (cf. [15] , [16]). Il s’agit en réalité de malwares.
International
Google suspend ses activités avec Huawei suite à l’annonce de Donald Trump [17]
Google a annoncé avoir suspendu ses activités avec Huawei. Cela fait suite à l’annonce du décret de Donald Trump, qui ordonnait aux entreprises américaines de ne plus commercer avec Huawei.
D’après le porte-parole de Google, les détenteurs des smartphones Huawei actuels dotés d’applications Google continueront toutefois à pouvoir utiliser et télécharger les mises à jour fournies par Google. L’entreprise a annoncé s’être conformée au décret et être en train d’en examiner les conséquences.
Vie Privée
Google stocke en clair des mots de passe de certains de ses clients depuis plus de 10 ans [18]
Google a accidentellement stocké les mots de passe de ses utilisateurs G-Suite en clair depuis 2005. Cela est dû à une erreur dans l’ancienne implémentation des fonctions de mise en place et de récupération des mots de passe.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO