Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application du correctif publié par Pivotal concernant le framework Spring [1]. Son correctif adresse une vulnérabilité de type Open Redirect permettant à un attaquant de rediriger un utilisateur vers un site malveillant.
Code d’exploitation
Cette semaine, 6 codes d’exploitation ont été publiés.
Apple macOS [2]
Le premier code d’exploitation impacte Apple macOS. L’exploitation de cette faille permet d’exécuter du code arbitraire. Un attaquant en mesure de déposer une archive spécifiquement forgée sur le système de l’utilisateur et de la décompresser peut provoquer le montage d’un partage distant et d’exécuter l’application qu’il contient sans aucune alerte. Aucun correctif n’est disponible.
Microsoft Windows [3][4][5]
3 codes d’exploitation impactent Microsoft Windows. L’exploitation de ces failles permet de contourner des restrictions de sécurité et d’élever ses privilèges. Ces codes d’exploitation se présentent sous la forme de programmes écrits en C++.
- En exécutant le premier programme [3], un attaquant est en mesure de récupérer tous les droits sur un fichier. Aucun correctif n’est disponible.
- En exécutant le second [4] puis en annulant une installation lancée, un attaquant est alors en mesure d’écrire une
DLL
(bibliothèque de code dynamique) arbitraire dans C:WindowsSystem32. Aucun correctif n’est disponible. - En exécutant le dernier programme [5], un attaquant est en mesure de récupérer tous les droits d’édition sur un fichier. Un correctif est disponible.
Oracle Enterprise Manager Products Suite [6]
Le cinquième code d’exploitation impacte Oracle Enterprise Manager Products Suite. L’exploitation de cette faille permet à un attaquant de récupérer des fichiers arbitraires depuis le serveur. Un correctif est disponible.
Docker [7]
Le dernier code d’exploitation impacte Docker. L’exploitation de cette faille permet d’obtenir un accès en lecture et en écriture sur l’ensemble du disque. Ce code d’exploitation permet d’exploiter un accès concurrent pour lire et écrire un fichier préalablement défini. Aucun correctif n’est disponible.
Informations
Vulnérabilités
Une activité de scan intense recherchant la faille RDP BlueKeep a été détectée [8]
Des scans ont été menés sur Internet pour rechercher des systèmes Windows vulnérables à BlueKeep ( CVE-2019-0708 ). Cette faille concerne le service RDP (Remote Desktop Protocol) pour les versions suivantes de Windows : XP, 7, Server 2003 et Server 2008. Microsoft a fourni un correctif le 14 mai dernier et demande aux utilisateurs et aux entreprises de l’appliquer le plus rapidement possible.
Attaques
Distribution du ransomware GandCrab lors d’une vague d’attaque ciblant des instances MySQL sur Windows [9]
Les chercheurs de Sophos ont observé une vague d’attaques ciblant les serveurs Windows utilisant des bases de données MySQL. Les acteurs de la menace ont pour objectif de déployer le ransomware GandCrab.
Malware
Plusieurs campagnes utilisant le keylogger HawkEye ciblent activement des entreprises [10]
Selon un rapport de l’équipe d’IBM X-Force, il est possible d’observer une recrudescence des campagnes d’infection par le keylogger HawkEye dans sa version 9. Elles ciblent des entreprises des secteurs des transports, de la logistique, de la santé, de l’importation et de l’exportation, du marketing ou encore de l’agriculture.
Annonce
La mise à jour KB4497936 pour les systèmes faisant partie du programme Insider rend la sandbox Windows inutilisable [11]
Windows a annoncé que la sandbox Windows pourrait ne plus fonctionner sur des systèmes faisant partie du programme Windows Insider ayant installé la mise à jour KB4497936 .
Fuite d’informations
Plus de 885 millions de documents sensibles étaient exposés sur le site de First American Financial Corporation [12]
Le site Web de la société First American Financial Corporation exposait plus de 885 millions de documents concernant des prêts immobiliers souscrits depuis 2003. Les documents étaient accessibles sans authentification à toute personne connaissant l’URL d’un document existant.
Les données étaient diverses : numéros de compte bancaire, relevés de compte bancaire, taux du prêt immobilier, numéros de sécurité sociale, reçus d’opérations financières ainsi que des photos du permis de conduire. Le site a été mis hors ligne.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.