Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour PHP [1a] [1b] [1c], par Trend Micro pour sa solution OfficeScan [2], par Adobe pour ses logiciels Acrobat et Acrobat Reader [3], ColdFusion [4], et Experience Manager [5], par Google pour son navigateur Google Chrome [6] et enfin par Mozilla pour son client mail Thunderbird [7].
L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer des dommages allant du vol d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés.
Élévation de privilèges via une vulnérabilité au sein de VMware Fusion [8]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Bash. Il permet d’exécuter du code arbitraire, avec les privilèges les plus élevés sur le système, en profitant d’un défaut de configuration des droits setuid. Aucun correctif n’est actuellement disponible.
Prise de contrôle du système via une vulnérabilité au sein de Horde Groupware Webmail Edition [9]
Ce code d’exploitation se présente sous la forme d’un module Metasploit en Ruby. Avec des identifiants valides, un attaquant peut charger un fichier CSV malveillant qui exécutera du code arbitraire sur le serveur applicatif suite à un défaut d’assainissement de ce fichier. Un correctif de sécurité est disponible.
Déni de service via une vulnérabilité au sein des routeurs Mikrotik [10]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme contre un serveur vulnérable, un attaquant est alors en mesure de provoquer un pic d’activité processeur ainsi que le refus de nouvelles connexions entrantes. Un correctif de sécurité est disponible.
Prise de contrôle du système via une vulnérabilité au sein des systèmes Windows (Windows 10, Windows Server 1903 et Windows Server 1909) [11]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme se connecte à un serveur arbitraire SMBv3 et envoie un paquet contenant un offset incorrect. L’envoi d’un tel paquet causera un déni de service sur la machine cible. Aucun correctif de sécurité n’est disponible à l’heure actuelle, cependant une solution de contournement existe.
Informations
Malware
Mode opératoire d’une nouvelle attaque par le ransomware Pysa vers des collectivités territoriales françaises [12]
Une attaque par ransomware a été détectée et est actuellement en cours d’étude par l’ANSSI. Cette attaque, visant des collectivités territoriales françaises, utilise une nouvelle version du ransomware Pysa. Les attaquants ont déployé un script permettant la désactivation de certains services, notamment Windows Defender. L’ANSSI a publié une liste de recommandations techniques en lien avec les attaques par ransomware et notamment avec la sécurité et la gestion de l’Active Directory.
APT36 profite de la crise du coronavirus pour distribuer le RAT Crimson [13]
Depuis que l’épidémie de coronavirus concerne le monde entier, les populations sont en attente de nombreuses directives de la part de leurs gouvernements et des autorités de santé. Cette occasion permet au groupe APT36 (APT pakistanais) de cibler les ambassades et le gouvernement indien via des emails de spear-phishing contenant un lien vers un document Excel. L’ouverture du fichier déclenche l’exécution de deux macros malveillantes permettant le déploiement du RAT (Remote Access Trojan) baptisé Crimson.
Le gouvernement iranien pourrait avoir publié une fausse application de dépistage du COVID-19 pour suivre les déplacements de ses citoyens [14a] [14b]
Le gouvernement iranien a publié AC19, une application mobile censée calculer la probabilité que l’utilisateur soit atteint par le virus COVID-19. Pour cela, l’utilisateur devait remplir un questionnaire portant sur les symptômes associés à l’infection. L’application a été développée par Smart Land Strategy, une société ayant par le passé développé des clones malveillants de Telegram (Gold Telegram et HotGram) exfiltrant des données personnelles des utilisateurs.
Vulnérabilité
Une nouvelle attaque nommée « Snoop » permet de voler des données internes des processeurs Intel (CVE-2020-0550) [15a] [15b]
Une nouvelle attaque possible sur les processeurs Intel a été découverte. Cette attaque nommée Snoop exploite une vulnérabilité dans le mécanisme de transfert de données entre les différents niveaux de cache des processeurs. L’attaque consiste à injecter un code malveillant permettant de récupérer les données analysées par le contrôleur de cohérence. Cette attaque permet de récupérer des données au niveau de la mémoire interne du processeur. Il n’existe, pour l’instant, aucun code d’exploitation rendu public pour cette vulnérabilité.
Slack corrige une vulnérabilité dont l’exploitation permettait une prise de contrôle de nombreux comptes [16]
Un chercheur a publié via la plateforme de BugBounty HackerOne une vulnérabilité critique affectant Slack. Corrigée en moins de 24h, cette faille de sécurité aurait pu donner lieu à une fuite massive d’informations mettant en danger les données des clients de la plateforme Slack ainsi que l’intégralité des messages privés et conversations au sein de Slack.
Cybercriminalité
26 pirates de carte SIM arrêtés par Europol pour avoir volé plus de 2,5 millions d’euros [17]
Ces 8 derniers mois, Europol s’est attelé à mettre hors d’état de nuire 2 groupes de pirates de cartes SIM sévissant en Europe. Les pirates de carte SIM, utilisent une attaque appelée SIM swapping qui consiste à porter le numéro de la victime sur une autre carte SIM en se faisant passer pour elle auprès de son opérateur. Ainsi, toutes les authentifications à 2 facteurs utilisant le numéro de portable peuvent être contournées. C’est lors de 2 opérations menées conjointement avec des forces de l’ordre locales, que 26 pirates ont été arrêtés.
Santé
Le personnel de santé pris pour cible par des campagnes de phishing [18]
Une étude révèle que le personnel soignant figure parmi les groupes les plus ciblés par des emails d’hameçonnage. Les infirmiers et autres personnels en première ligne ont accès à des données sensibles recherchées par les attaquants. Le manque de proximité des équipes de sécurité avec le personnel de santé rend la tâche plus facile pour des acteurs malveillants. De plus, le contexte sanitaire du COVID-19 est utilisé comme nouvel appât par plusieurs groupes d’attaquants.
Résumé des différentes utilisations malveillantes de la crise COVID-19 dans le cyberespace [19]
Faisant suite aux différentes actualités d’utilisation du contexte COVID-19 à des fins malveillantes, un ensemble d’attaques ont été observées et publiées dans la presse. Des groupes étatiques profitent du climat de chaos mondial afin de lancer des attaques ciblées sur des gouvernements. D’autres attaques, suivant le même schéma et ciblant des entreprises et services publics ont également été répertoriées. Les utilisateurs peuvent aussi être touchés et doivent redoubler de vigilance (fausses attestations, spams, ransomwares). Le point commun entre ces attaques est très souvent la baisse de méfiance des utilisateurs face à cette crise mondiale.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2020-1443
[2] CXN-2020-1433
[3] CXN-2020-1431
[4] CXN-2020-1432
[5] CXN-2020-1429
[6] CXN-2020-1437
[7] CXA-2020-1454
[8] CXN-2020-1408
[9] CXN-2020-1363
[10] CXN-2020-1430
[11] CXN-2020-1358
[12] CXN-2020-1438
[13] CXN-2020-1405
[14] CXN-2020-1370
[15] CXN-2020-1409
[16] CXN-2020-1373
[17] CXN-2020-1384
[18] CXN-2020-1404
[19] CXN-2020-1386
