Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.
Correctifs
Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés par Microsoft dans le cadre de son traditionnel « Patch Tuesday » [1] : Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server, version 1709, Microsoft Edge, Internet Explorer et Microsoft Office (Word, Excel, PowerPoint, Outlook). L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du vol d’informations sensibles à la prise de contrôle du système à distance.
Codes d’exploitation
La semaine dernière, deux codes d’exploitation ont été publiés.
Le premier affecte le CMS Drupal. Un attaquant distant en mesure d’envoyer une requête HTTP spécialement conçue peut prendre le contrôle du système. Un correctif est disponible. [11]
Le second code d’exploitation affecte les systèmes Windows. Un attaquant est en mesure de prendre le contrôle du système via l’envoi d’une requête DCE/RPC. Un correctif est disponible. [12]
Informations
Attaques
Dans la nuit du 6 avril 2018, les réseaux iraniens et russes ont été attaqués par un groupe se faisant appeler « JHT ».
Le groupe aurait exploité la vulnérabilité CVE-2018-0171 affectant le composant Cisco Smart Install présent sur beaucoup de Switchs. Selon Reuters, le ministère iranien des Technologies de l’Information et de la communication aurait déclaré que plus de 200 000 routeurs dans le monde entier ont été touchés, dont 3 500 en Iran. [2]
Depuis le 31 mars, un botnet similaire à Mirai serait en cours de constitution. Selon la société Trend Micro, cette vague de requêtes correspond à des tentatives d’authentification sur des équipements majoritairement situés au Brésil utilisant des identifiants par défaut. Ces éléments ont poussé les chercheurs à attribuer ces requêtes à un attaquant dont l’objectif serait de constituer un botnet similaire à Mirai. [3]
Vulnérabilités
Des documents Office exploitant la vulnérabilité CVE-2018-4878 permettant la prise de contrôle à distance via Adobe Flash ont été repérés dans la nature. Ces documents ont été créés à l’aide d’une application vendue par les cybercriminels (« Exploit Kit ») pour permettre à n’importe qui d’exploiter facilement un ensemble de vulnérabilités. Depuis, les antivirus connaissent une recrudescence de documents Office infectés. [4]
Juridique
Dans le cadre du RGPD, les entreprises opérant au sein de l’Union européenne, traitant des données personnelles et ayant dissimulé des fuites de données ont jusqu’au 25 mai 2018 pour les déclarer, sans quoi elles devront s’acquitter d’une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel. Si les données exposées sont sensibles, les entreprises devront également en informer les personnes concernées. [5]
Vie privée
Le W3C travaille actuellement sur Web Authentication (WebAuthn), un standard visant à fournir aux utilisateurs un moyen de s’authentifier sur le web sans utiliser de mot de passe. Ainsi, ce standard pourrait permettre de s’authentifier grâce à une empreinte digitale, à un jeton physique ou à une application dédiée. WebAuthn est déjà implémenté par Mozilla Firefox tandis que Google Chrome devrait l’intégrer avant la fin de l’année. [6]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
CXA-2018-1499
CXA-2018-1502
CXA-2018-1490
CXA-2018-1500
CXA-2018-1503
CXA-2018-1495
CXA-2018-1496
CXA-2018-1487
CXA-2018-1488
CXA-2018-1497
CXA-2018-1528
CXA-2018-1538
CXN-2018-1460
CXN-2018-1526
CXN-2018-1477
CXN-2018-1507
CXN-2018-1481