Résumé de la semaine du 19 novembre 2022

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Zimbra [1], pour FreeBSD [2] ainsi que pour Stormshield Network Security [3].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Des correctifs sont disponibles.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein de macOS [4]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Objective-C. En exécutant ce programme, un attaquant local et authentifié, avec de faibles privilèges, était en mesure de contourner des restrictions de sécurité et d’exécuter des commandes arbitraires sur le système ciblé.

Prise de contrôle du système et contournement de sécurité via 2 vulnérabilités au sein de Microsoft Exchange [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. L’exploitation d’une première faille (CVE-2022-41040) permettait de réaliser une attaque SSRF (Server-Side Request Forgery) pour ensuite exécuter du code arbitraire via la seconde (CVE-2022-41082) en utilisant PowerShell.

Informations

Ransomware

Les autorités américaines publient un rapport sur les activités du ransomware Hive [6]

Le 17 novembre 2022, le FBI, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), et le ministère de la Santé et des Services sociaux (HHS) ont publié un rapport sur les activités du ransomware Hive. Le rapport estime que le groupe aurait réussi à extorquer plus de 100 millions de dollars à plus de 1300 entreprises dans le monde depuis juin 2021.

Le nouveau ransomware AXLocker vole aussi les comptes Discord [7]

Nouveau venu au pays des ransomwares, AXLocker ne se contente pas de chiffrer les données de ses victimes, il leur vole également leur compte Discord. Très classique sur le plan du chiffrement, AXLocker cible certaines extensions de fichier et les chiffre avec l’algorithme AES. En revanche, il n’ajoute pas d’extension aux fichiers chiffrés.

Threat Intelligence

Google veut mener la vie dure aux acteurs de la menace utilisant Cobalt Strike [8]

Les équipes de Google ont mis à disposition une liste de règles YARA et une collection dédiée sur VirusTotal permettant de détecter les versions piratées du framework de red team Cobalt Strike. À l’origine, Cobalt Strike a été développé par l’entreprise Fortra en 2012. Il s’agit d’une boîte à outils légitime dédiée aux pentesters professionnels.

Cybercriminalité

Proofpoint publie un article sur Nighthawk, un framework de commande et de contrôle [9]

Le 22 novembre 2022, ProofPoint a publié un article sur l’outil de red-teaming Nighthawk qui, lancé en décembre 2021 par MDSec, est décrit comme « le framework de commande et de contrôle le plus avancé et le plus furtif disponible sur le marché ».
Nighthawk est un cheval de Troie d’accès à distance (RAT) similaire à d’autres outils tels que Brute Ratel et Cobalt Strike.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-5690
[2] CXA-2022-5630
[3] CXA-2022-5645
[4] CXA-2022-5670
[5] CXA-2022-5649
[6] CXN-2022-5648
[7] CXN-2022-5658
[8] CXN-2022-5672
[9] CXN-2022-5718

CERT-XMCO

Découvrir d'autres articles