Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par VMWare [1], Zimbra [2], Samba [3] et Mozilla pour Firefox [4]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Microsoft Windows Server 2019 et Windows 10 [5]

Le premier code d’exploitation affecte Windows 10 et Windows Server 2019 et permet de provoquer un déni de service. Le code se matérialise sous la forme d’un script en Python. Un attaquant peut l’utiliser pour envoyer des requêtes spécifiquement forgées qui provoqueront le plantage de l’application. Il est important de noter que ce code pourrait être facilement adapté par un attaquant afin d’exécuter du code arbitraire sur le serveur.

Internet Explorer [6]

Le second code d’exploitation affecte Microsoft Internet Explorer et permet de prendre le contrôle du système. Ce code d’exploitation se présente sous la forme d’une page Web écrite en HTML/JavaScript. Un attaquant peut l’utiliser pour inciter sa victime à éditer la page (clic droit, puis « éditer ») et ainsi déclencher l’exécution de commandes arbitraires sur le système.

Webmin [7]

Le troisième code d’exploitation affecte l’interface d’administration Webmin et permet de manipuler des données et de prendre le contrôle du système. Ce code d’exploitation se présente sous la forme d’un module Metasploit. Un attaquant peut l’utiliser pour uploader un fichier et exécuter du code arbitraire sur le serveur.

Moodle [8]

Le dernier code d’exploitation affecte la plateforme d’apprentissage Moodle et permet à un attaquant de prendre le contrôle du système. Le code d’exploitation se matérialise sous la forme d’un code en PHP. Un attaquant peut l’utiliser pour générer une question exploitant la vulnérabilité et ainsi exécuter du code arbitraire dans le contexte du navigateur.

Informations

Vulnérabilités

Une vulnérabilité affectant la prochaine version du système de vote électronique suisse empêche la vérification des votes [9]

Le bug bounty ciblant sur la solution d’e-voting de Scytl-SwissPost porte déjà ses fruits. Un groupe de chercheurs a identifié une erreur dans l’implémentation de la preuve mathématique utilisée pour garantir l’authenticité des résultats enregistrés, démontrant qu’il est possible de manipuler le résultat tout en obtenant une preuve d’authenticité valide.

Correction d’une vulnérabilité zero-day ciblant le plug-in WordPress Easy WP SMTP [10]

Encore un plug-in WordPress vecteur de faille de sécurité. Des chercheurs de NinTechNet ont annoncé avoir identifié une vulnérabilité de type zero-day qui serait activement exploitée depuis le 15 mars. Son exploitation permettait à un attaquant de mettre en ligne un fichier contenant une charge malveillante. Les acteurs de la campagne observée semblent exploiter la vulnérabilité pour manipuler la base de données dans le but d’attribuer des privilèges administrateurs à l’ensemble des utilisateurs, manipulation plus silencieuse que la création d’un compte administrateur.

Un chercheur en sécurité fournit les détails techniques derrière la vulnérabilité SharePoint référencée CVE-2019-0604 [11]

La Zero Day Initiative a révélé les détails techniques de la CVE-2019-0604 . Il s’agissait d’une vulnérabilité présente dans le composant XMLSerializer et qui permettait de déclencher une attaque de type XXE. La transmission de la charge utile à XMLSerializer se faisait par le composant d’interface ItemPicker dont deux méthodes vulnérables permettaient de manipuler le flux d’information.

Attaques

Des attaques massives sur le protocole IMAP ont permis de contourner l’authentification à facteurs multiples sur des comptes Office 365 et G Suite [12]

Les dernières fuites massives d’identifiants n’ont pas échappé aux cybercriminels. Des chercheurs de la société Proofpoint ont observé au cours de ces derniers mois des attaques par bruteforce contre des comptes cloud Office 365 et G Suite. Ces attaques utilisent le protocole IMAP, permettant d’accéder directement au contenu des serveurs de messagerie et ainsi de contourner l’authentification à plusieurs facteurs.

L’entreprise Norsk Hydro est victime d’une attaque par ransomware [13]

Norsk Hydro a annoncé avoir été victime d’une cyber attaque le 19 mars dernier. Cet acteur majeur dans la production d’aluminium a été touché dans la nuit par ce qu’ils auraient identifié comme étant le ransomware LockerGoga, ayant déjà fait parler de lui lors de l’attaque qu’avait subie Altran au début de l’année.

Fuite d’informations

Facebook stockait des mots de passe en clair dans des applications internes [14]

Facebook a publié un communiqué de presse ce jeudi concernant la découverte de mots de passe en clair enregistrés par erreur dans des logs. Découverts lors d’audits internes de sécurités et accessibles à environ 20 000 employés de Facebook, l’analyse des journaux d’accès indique qu’environ 2 000 ingénieurs et développeurs ont effectivement accédés à ces données.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2019-1234
[2] CXA-2019-1269
[3] CXA-2019-1279
[4] CXA-2019-1300
[5] CXA-2019-1273
[6] CXA-2019-1270
[7] CXA-2019-1246
[8] CXA-2019-1252
[9] CXA-2019-1231
[10] CXA-2019-1306
[11] CXA-2019-1305
[12] CXA-2019-1272
[13] CXA-2019-1287
[14] CXA-2019-1325