Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Synacor pour Zimbra [1a][1b][1c], par Mozilla pour Firefox et Thunderbird [2a][2b][2c][3], pour Filezilla [4].
Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
Détournement d’App Installer par des acteurs de la menace aux motivations financières [5a] [5b]
Le 28 décembre 2023, les chercheurs de Microsoft Threat Intelligence
ont publié un rapport sur le détournement d’App Installer
par des acteurs de la menace aux motivations financières pour distribuer du code malveillant. Ces acteurs de la menace distribuent des paquets d’applications MSIX
signés en utilisant des sites web auxquels on accède par le biais de phishing
ou de malvertising
de logiciels populaires légitimes.
Rapport sur la vulnérabilité CVE-2023-38606 exploitée dans le cadre de l’opération Triangulation [6a] [6b]
Le 27 décembre 2023, les chercheurs de Kaspersky
ont publié un nouveau rapport sur les tactiques, techniques et procédures (TTPs) déployées dans le cadre de l’opération d’espionnage Triangulation
, ciblant spécifiquement la Russie via l’exploitation de plusieurs vulnérabilités de type 0-day, dont la CVE-2023-38606. Après la compromission initiale par iMessage
via une vulnérabilité de type 0-click et l’élévation des privilèges qui s’en est ensuivie, les acteurs de la menace ont détourné cette fonctionnalité matérielle pour contourner les protections de sécurité basées sur le hardware et manipuler le contenu des zones de mémoire protégées.
Analyse des vulnérabilités 0-day exploitant le driver Windows CLFS [7a] [7b] [7c] [7d] [7e] [7f] [7g]
Le 21 décembre 2023, les chercheurs de Kaspersky
ont publié une série de rapports sur l’exploitation d’au moins cinq vulnérabilités sur le driver Common Log File System (CLFS) depuis juin 2022 par des groupes de ransomware. Le CLFS est un sous-système de fichiers journaux à usage général. Il est utilisé par le système d’exploitation lui-même, mais peut être utilisé par n’importe quelle application ayant besoin d’un enregistrement de données/d’événements de haute performance.
Exploitation active d’une vulnérabilité 0-day dans les appareils ESG de Barracuda [8a] [8b] [8c] [8d]
Le 24 décembre, les chercheurs de Barracuda
ont observé l’utilisation d’une vulnérabilité 0-day sur leur logiciel de passerelle de messagerie sécurisée (ESG) par un groupe d’attaquants chinois nommé UNC4841
. Référencée sous le nom de CVE-2023-7102, cette vulnérabilité est présente dans une bibliothèque open source tierce nommée Spreadsheet::ParseExcel utilisée par le scanner Amavis
au sein de l’ESG. Son exploitation est rendue possible au moyen d’un fichier Microsoft Excel
spécialement conçu et envoyé en pièce jointe dans un mail de phishing.
Cybercriminalité
Distribution de la backdoor Xamalicious via des applications Android malveillantes [9]
Le 22 décembre 2023, les chercheurs de McAfee
Mobile ont révélé la distribution d’une backdoor furtive via des applications Android
malveillantes développées avec Xamarin
, un framework open-source permettant de créer des applications Android
et iOS
avec .NET et C#
. Référencée sous le nom de Xamalicious
, cette dernière est exploitée pour exécuter une payload
permettant de prendre le contrôle de l’appareil et réaliser des fraudes publicitaires.
Une nouvelle version du Trojan bancaire Chameleon cible les appareils mobiles Android d’utilisateurs au Royaume-Uni et en Italie [10a] [10b] [10c]
Le 21 décembre 2023, une nouvelle version du Trojan
bancaire Chameleon
a été repérée par les chercheurs de Threat Fabric
, ciblant spécifiquement les utilisateurs au Royaume-Uni et en Italie. Cette nouvelle itération présente des fonctionnalités supplémentaires par rapport à la version précédemment documentée par les chercheurs de Cyble
en avril 2023. La dernière version du malware Android
abuse des permissions sur le service d’accessibilité d’Android afin de récolter des données sensibles via des fraudes de type « Device Takeover » (DTO
).
Renseignement
Détection d’une campagne de phishing d’APT28 ciblant l’Ukraine et la Pologne [11]
Le 28 décembre 2023, le CERT-Ukraine
a publié un bulletin de sécurité à la suite à l’identification d’une campagne de phishing du mode opératoire APT28
, associée en source ouverte à la Fédération de Russie et motivée par la collecte de renseignements stratégiques sur les entités gouvernementales ukrainiennes et polonaises. Entre le 15 et le 25 décembre 2023, plusieurs cas de distribution de courriels contenant des liens vers des leurres ont été détectés.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-7215
[2] CXA-2023-7131
[3] CXA-2023-7126
[4] CXA-2023-7136
[5] CXN-2023-7218
[6] CXN-2023-7192
[7] CXN-2023-7175
[8] CXN-2023-7188
[9] CXN-2023-7176
[10] CXN-2023-7152
[11] CXN-2023-7197