Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par SAP [1], par PHP pour PHP7 [2a] [2b] [2c], par Stormshield [3a] [3b], par Adobe [4], par Google pour Chrome [5], par Jenkins [6] et par Microsoft [7]. Ces correctifs adressent des dommages allant du déni de service allant à la prise de contrôle du système.
Il est à noter que les CVE-2019-1214 et CVE-2019-1215 sont actuellement utilisées par des attaquants pour élever leur privilège et aller plus loin dans la compromission du système affecté.
Codes d’exploitation
Cette semaine, 5 codes d’exploitations ont été publiés.
Pulse Connect Secure [8]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est capable de mettre en écoute un service SSH ainsi que de modifier des fichiers de configuration.
Windows [9], [10], [11]
Le premier code d’exploitation concerne la faille Bluekeep et se présente sous la forme d’un module pour le framework offensif Metasploit. Un attaquant peut l’utiliser afin d’exécuter des commandes à distance.
Le deuxième se présente sous la forme d’un programme écrit en Batch. En exécutant ce programme, un attaquant est capable d’obtenir les droits de modification d’un fichier cible.
La dernière se présente sous la forme d’un programme écrit en C. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure d’exécuter du code arbitraire en contournant la mesure de protection UAC.
Informations
Vulnérabilités
La résolution automatique du reCaptcha v2 de Google obtient des résultats bien supérieurs à l’humain [12]
Un groupe d’académiciens américains travaillant sur le projet « ImageBreaker » a réussi à obtenir des résultats supérieurs à ceux d’un humain dans la résolution de reCaptcha v2. Leurs tests montrent un temps de résolution très bas, 5,27 secondes, ainsi qu’un taux de réussite de 95%.
Des millions de serveurs Exim sont vulnérables à une élévation de privilèges [13]
Une campagne sur internet vise les serveurs Exim n’ayant pas reçu le patch du 6 septembre permettant de corriger une vulnérabilité permettant la compromission du serveur à distance dans un contexte hautement privilégié. Le moteur de recherche BinaryEdge indique que 5,2 millions de serveurs Exim utilisent la version affectée (4.92.1) ou une version antérieure.
Attaques
Évolution d’une campagne publicitaire malveillante sur les sites WordPress [14]
Une autre campagne cible cette fois-ci le CMS WordPress. Un groupe d’attaquant cherche en effet à exploiter des vulnérabilités présentes dans une sélection de plugins afin de créer une porte dérobée sous la forme d’un utilisateur contrôlé par le pirate.
Vie privée
Les numéros de téléphone de 419 millions d’utilisateurs Facebook exposés sur Internet [15]
Une base de données contenant 419 millions de numéros de téléphone, ainsi que le genre et la nationalité d’utilisateurs, a été découverte. D’après Facebook, qui a annoncé ne plus stocker les numéros de téléphone, la base de données a été créée par une personne tierce lorsqu’il était possible de récupérer ces données simplement.
Monétique
Paiements en ligne, la directive DSP2 définit et encadre les exigences notamment en matière d’authentification forte [16]
La directive DSP2 est là. Succédant à la DSP1 de 2007, elle oblige maintenant les marchants à mettre en place un second facteur d’authentification pour procéder à un paiement en ligne.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-4140
[2] CXA-2019-4160
[3] CXA-2019-4048
[4] CXA-2019-4129
[5] CXA-2019-4139
[6] CXA-2019-4139
[7] CXA-2019-4137
[8] CXA-2019-4054
[9] CXA-2019-4056
[10] CXA-2019-4161
[11] CXA-2019-4155
[12] CXN-2019-4095
[13] CXN-2019-4094
[14] CXN-2019-4060
[15] CXN-2019-4055
[16] CXN-2019-4097