Résumé de la semaine 50 (du 11 au 17 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1] ainsi que les correctifs remédiant à la vulnérabilité Log4Shell publiés pour Splunk [2], Elasticsearch [3] et par Apache pour ses produits Solr [4] et Struts [5]. De plus, le CERT-XMCO recommande l’installation des correctifs publiés par SAP pour ses produits [6], par Apple pour macOS [7][8][9] ainsi que par Google pour Chrome [10].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Élévation de privilèges via 2 vulnérabilités au sein des systèmes Windows Server (2021-Nov) [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C#. Il permet à un utilisateur authentifié de scanner les contrôleurs de domaines (DC) impactés par les vulnérabilités CVE-2021-42287 et CVE-2021-42278. Si un DC vulnérable est identifié, le code d’exploitation retourne un ticket-granting ticket (TGT) dépourvu de privilege attribute certificate (PAC). Ceci permet à un attaquant de passer pour un utilisateur privilégié, tel qu’un administrateur.

Informations

Pour mieux comprendre la vulnérabilité Log4Shell et pour aller plus loin, le CERT-XMCO a publié un article de blog disponible à l’adresse suivante : https://blog.xmco.fr/12-questions-pour-comprendre-la-vulnerabilite-log4shell/.

Attaque

Exploitation active de la vulnérabilité Log4Shell [12a][12b]

Log4Shell est le nom donné à la dernière vulnérabilité découverte au sein de Log4j, un utilitaire de journalisation basé sur Java et développé par l’Apache Software Foundations. Il est utilisé par des milliers d’applications et des millions d’organisations sur la planète. Le caractère facilement exploitable et largement répandu de la vulnérabilité la rend attractive aux yeux des acteurs malveillants qui ont rapidement commencé à l’exploiter pour déployer des malwares.

Ransomware

Les premières attaques par ransomware exploitant Log4Shell ont été observées (Khonsari) [13]

Les chercheurs de BitDefender ont été les premiers à découvrir l’exploitation de la vulnérabilité Log4Shell, référencée CVE-2021-44228, pour mener des attaques par ransomware. En effet, un acteur malveillant aurait déployé sur des machines Windows un nouveau ransomware appelé Khonsari. Les attaques seraient menées avec un faible niveau de sophistication. Le malware ne pèserait d’ailleurs que 12KB et ne contiendrait que les fonctionnalités les plus basiques pour mener une attaque par ransomware.

La société UKG touchée par un ransomware soupçonné d’exploiter la vulnérabilité Log4shell [14]

La société Ultimate Kronos Group Inc. (Kronos), proposant notamment des solutions de gestion des ressources humaines, a été victime d’un ransomware la forçant d’arrêter ses activités. Kronos compte des clients de grande envergure comme Tesla, Samsung Electronics, ou encore Sony Music Entertainment. Mais à l’heure actuelle, la société recommande à ceux-ci de trouver une solution alternative pour gérer leurs ressources humaines et n’est pas en mesure de fournir une date de rétablissement.

Vulnérabilité

Une seconde vulnérabilité issue d’un correctif insuffisant de Log4Shell aurait été découverte [15a][15b][15c][15d]

Dans le prolongement de la publication de la vulnérabilité Log4Shell (cf. CVE-2021-44228) le 9 décembre dernier, une seconde vulnérabilité a été découverte le 14 décembre. Il s’agit de la faille référencée CVE 2021-45046. La dernière version de la bibliothèque Java Log4j2 (2.16.0 pour les utilisateurs de Java 8 ou versions ultérieures) désactive l’API Java Naming Directory Interface (JDNI) qui est le composant au cœur de l’exploitation de la vulnérabilité. Or, il semble que ce correctif publié par la Apache Software Foundation soit complet uniquement pour les configurations par défaut.

Publication

L’ANSSI publie un rapport sur le mode opératoire d’APT31 qui mène une campagne visant des entités françaises [16a][16b][16c]

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié le 15 décembre 2021 un rapport détaillant le mode opératoire du groupe APT31. Ce dernier, aussi connu sous les noms de Judgment Panda (CrowdStrike) et Zirconium (Microsoft), mène une vaste campagne de compromission d’entités française.

Threat Intelligence

Le malware TinyNuke réémerge et cible des entreprises françaises [17a][17b]

Des chercheurs de la société Proofpoint ont identifié une résurgence d’attaques utilisant le malware TinyNuke. Ce malware est distribué dans des campagnes de phishing par email. Sa première apparition remonte à 2017, et son pic d’activité date de 2018, ou presque 80 000 emails ont été distribués dans des campagnes d’attaques visant exclusivement des cibles françaises, dans les domaines de l’industrie, des technologies, de la finance, la logistique et les transports notamment.

RGPD

La CNIL publie la deuxième version de son guide RGPD pour les développeurs [18a][18b]

La Commission nationale de l’informatique et des libertés (CNIL) a mis à jour le 13 décembre 2021 son guide de développement en conformité avec le Règlement Général sur la Protection des Données (RGPD). Il s’agit d’une révision en profondeur, qui intègre de nouvelles fiches ainsi que des extraits de codes pour illustrer de manière pratique certaines exigences du RGPD.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-5791
[2] CXA-2021-5787
[3] CXA-2021-5701
[4] CXA-2021-5694
[5] CXA-2021-5690
[6] CXA-2021-5815
[7] CXA-2021-5780
[8] CXA-2021-5773
[9] CXA-2021-5771
[10] CXA-2021-5719
[11] CXA-2021-5802
[12] CXN-2021-5704
[13] CXN-2021-5779
[14] CXN-2021-5738
[15] CXN-2021-5789
[16] CXN-2021-5821
[17] CXN-2021-5800
[18] CXN-2021-5735

CERT-XMCO

Découvrir d'autres articles