Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs pour les systèmes Windows, impactés par une vulnérabilité 0day [1]. Son exploitation permettait à un attaquant d’élever ses privilèges et a été exploitée lors de la campagne surnommée « Operation WizardOpium ».
Cette campagne est également connue pour avoir utilisé une vulnérabilité permettant de contourner l’isolation du navigateur Google Chrome. Cette faille a été corrigée [2].
En parallèle, il est recommandé d’appliquer les différents correctifs publiés pour Firefox [3], Thunderbird [4], Gitlab [5], Samba [6a] [6b], ainsi que VMWare ESXi [7]. L’exploitation de ces failles permettait de provoquer des dommages allant jusqu’à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 8 codes d’exploitation ont été publiés.
Sharepoint [8]
Ce code exploite une vulnérabilité au sein de SharePoint. L’envoi d’une requête spécialement conçu permet de déposer sur le serveur un webshell et ainsi d’obtenir le contrôle du serveur à distance. Un correctif de sécurité est disponible.
7 autres codes d’exploitation identifiés
7 codes d’exploitation ont été publiés et concernaient les technologies Microsoft Windows 10 [9] [10], OpenBSD [11], Mozilla Firefox [12], Oracle Siebel [13], Visual Studio [14] et Trend Micro Deep Security [15]. Ces codes permettaient de provoquer des dommages allant du déni de service local au vol d’informations sensibles.
Informations
Cybercriminalité
Les informations des cartes bancaires de 455 000 Turcs en vente sur un forum spécialisé [16]
Une société singapourienne nommée Group-IB a récemment détecté la mise en ligne d’une quantité importante de numéros de cartes de crédit turques sur un forum spécialisé dans la vente de données bancaires. Principalement rattachées aux 10 principales banques turques, les cartes ont été mises en ligne le 28 octobre 2019 et le 27 novembre 2019. Les cartes étaient vendues entre 1 $ et 3 $ pièce.
Un nouveau module de TrickBot utilisé par le groupe APT Lazarus [17]
Un rapport publié par SentinelOne analyse un nouveau module du cheval de Troie TrickBot (cf CXN-2018-4947). C’est le module Anchor
qui a été récemment ajouté à la boîte à outils de TrickBot. Il s’agit d’un framework tout-en-un, pensé pour s’en prendre à de grandes organisations avec comme problématique principale la furtivité. Son but est de rester non détecté longtemps après que l’attaque soit terminée. Il fournit des capacités de déplacement latéral dans le réseau infecté, de récupération d’image mémoire, de ciblage de système ‘Point-Of-Sale’, de téléchargement de backdoors et de nettoyage des traces de l’infection une fois l’opération terminée.
Publication d’un script de contournement du paiement des mises à jour payantes de Windows 7 [18]
Microsoft a récemment annoncé l’allongement du support pour Windows 7 dans ses versions professionnelles, par des mises à jour de sécurité payantes (cf. CXN-2019-5537). Une mise à jour de test a été mise à disposition, permettant à un utilisateur de vérifier son éligibilité aux mises à jour.
Vie privée
Cookies refusés, mais installés : CDiscount, Allociné et Vanity fair attaqués devant la CNIL [19]
Les cookies sont des données stockées par des sites web sur les navigateurs de leurs utilisateurs. Ils permettent entre autres d’identifier un utilisateur et de pister sa navigation. La mise en vigueur du RGPD (CXN-2018-0896) était supposée ralentir les pratiques abusives des acteurs du web, mais certaines subsistent malgré les sanctions financières encourues.
Un kit de développement utilisé par des applications tierces pour Twitter et Facebook collecte les données d’utilisateurs sans leur consentement [20]
Twitter et Facebook sont deux réseaux sociaux qui offrent, entre autres, la possibilité pour un utilisateur d’utiliser son compte pour s’identifier auprès d’applications tierces. L’utilisateur doit la plupart du temps accorder des permissions à l’application tierce, telles que la possibilité de poster des messages en son nom, ou celle de consulter ses informations personnelles.
Les deux réseaux sociaux ont récemment communiqué sur la découverte de plusieurs kits de développement (devkits) iOS et Android collectant les données personnelles des utilisateurs à leur insu. Ces devkits ont été développés par les sociétés oneAudience et MobiBurn. Les développeurs des applications embarquant ces devkits auraient reçu une somme indéterminée en échange de leur intégration.
Santé
Des documents révèlent que le gouvernement du Royaume-Uni donne des données médicales à Amazon [21]
Des documents récemment publiés au Royaume-Uni ont révélé la mise en place d’un contrat litigieux entre le Department of Health and Social Care
(DHSC) et l’entreprise américaine Amazon. Signé en décembre 2018, ce contrat permet entre autres à Amazon d’accéder aux données médicales des patients britanniques.
Fuite d’informations
Un problème de sécurité de mot de passe affecte 44 millions d’utilisateurs d’après une analyse de l’équipe de sécurité de Microsoft [22]
Après avoir analysé une base de données provenant de plusieurs sources publiquement accessibles et contenant plus de 3 milliards de comptes compromis, l’équipe de recherche sur les menaces de Microsoft a déterminé que plus de 44 millions de comptes utilisateurs avaient un grave problème de sécurité. L’étude de l’ensemble des données d’authentification a permis à l’équipe de recherche de lister les mots de passe les plus fréquemment utilisés, et donc ceux qui présentent les risques de réutilisation les plus importants.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2019-5680
[2] CXN-2019-5657
[3] CXN-2019-5603
[4] CXN-2019-5594
[5] CXN-2019-5704
[6] CXN-2019-5668
[7] CXN-2019-5590
[8] CXN-2019-5650
[9] CXN-2019-5655
[10] CXN-2019-5627
[11] CXN-2019-5702
[12] CXN-2019-5677
[13] CXN-2019-5640
[14] CXN-2019-5631
[15] CXN-2019-5615
[16] CXN-2019-5705
[17] CXN-2019-5717
[18] CXN-2019-5678
[19] CXN-2019-5667
[20] CXN-2019-5597
[21] CXN-2019-5628
[22] CXN-2019-5614