Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par F5 pour les produits BIG-IP [1][2][3][4][5], par Google pour Chrome [6], par Mozilla pour Firefox [7], par VMware pour ESXi [8], par Cisco pour NX-OS [9], par Citrix pour XenServer [10], par IBM pour Spectrum Protect [11] ainsi que pour Limesurvey [12] et Joomla! [13]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitations
Cette semaine, 2 codes d’exploitation ont été publiés.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de LimeSurvey [14]
Ce code d’exploitation se présente sous la forme de 2 requêtes HTTP. L’envoi de ces requêtes contenant des paramètres Surveymenu[] avec les valeurs title et parent_id spécifiquement conçus permet de créer un menu de sondage (survey menu). Un correctif de sécurité est disponible.
Déni de service via une vulnérabilité au sein de Cisco Unified IP Conference Station 7937G [15]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Python. L’exécution de ce code permet d’exécuter la fonction ping de manière répétée et ainsi provoquer le redémarrage du système après quelques minutes. Aucun correctif de sécurité ne sera développé car ce produit n’est plus supporté par Cisco.
Informations
Recherche
Un nouveau malware a été détecté par une équipe de sécurité de Microsoft [16]
L’équipe de sécurité de Microsoft, Microsoft Security Intelligence, a détecté un nouveau malware nommé Anubis. Ce logiciel malveillant, dérivé du malware Loki (cf. CXN-2018-2838 ), a pour objectif de voler les informations personnelles des victimes, telles les informations sur le système, identifiant et mot de passe, numéros de cartes de crédit ou encore des portefeuilles de cryptomonnaie.
Un kit de développement IOS malveillant est utilisé depuis plus d’un an [17]
Des chercheurs ont découvert que le kit de développement (Software Development Kit) nommé MintegralAdSDK et distribué par l’entreprise chinoise Mintegral réalise des actions malveillantes à l’insu des développeurs et des utilisateurs. Sur les applications développées à l’aide de ce kit, les liens accédés par les utilisateurs étaient enregistrés et envoyés aux serveurs de Mintegral. Les publicités étaient également détournées, permettant à Mintegral de récupérer les gains associés.
Ransomware
Le Ransomware SunCrypt rejoint le cartel créé par le groupe Maze [18]
Le groupe Maze (cf. CXN-2020-2464 ) est un des acteurs majeurs du monde des ransomwares. Ses opérateurs ont récemment créé un cartel dans le but de partager des informations techniques. SunCrypt est un ransomware dont les premières attaques remontent à octobre 2019. Ses opérateurs ont annoncé avoir rejoint le cartel de Maze. Ils sembleraient partager des serveurs de contrôle (C2) avec le groupe Maze. Une partie des revenus de chaque opération d’extorsion est partagée, ce qui justifierait de la part de Maze la mise à disposition d’informations et d’infrastructures.
Phishing
Le groupe Lazarus utilise des offres d’emploi LinkedIn pour des attaques de phishing [19]
Le groupe Lazarus est un groupe de menace persistante avancée (APT) lié à la Corée du Nord dont nous parlions récemment (cf. CXN-2020-4270 ). Le groupe aurait dernièrement utilisé la plateforme Linkedin pour perpétrer des attaques de phishing. Les attaquants auraient déguisé un document Word malveillant sous la forme d’une offre d’emploi Linkedin. Le document contenait des macros chargées de télécharger et exécuter des programmes malveillants supplémentaires lors de leur activation. Ces derniers permettaient aux attaquants de prendre le contrôle à distance des postes de travail.
Cybercriminalité
RDP est la source d’infection privilégiée par les ransomwares, suivi par le phishing et les VPN vulnérables [20]
Continuant la tendance de ces dernières années, les attaques de ransomware contre les entreprises sont plus fréquentes que jamais en 2020. Bien que l’exploitation de vulnérabilités au sein de solutions VPN ait défrayé la chronique ces derniers mois, c’est toujours le protocole RDP qui est le vecteur d’infection majoritaire, suivi par les attaques de phishing. Selon plusieurs rapports parus ces derniers mois, RDP est en effet responsable de 60 % des compromissions liées aux ransomwares au deuxième trimestre 2020.
Fuite d’informations
Des données relatives à 235 millions de comptes YouTube, TikTok et Instagram ont été exposées en ligne [21]
Les chercheurs de la société Comparitech ont découvert une base de données exposée en ligne sans authentification. La base contenait des données relatives à 235 millions de comptes Instagram, YouTube et TikTok. Les enregistrements contenaient de nombreuses informations personnelles telles que des noms, des numéros de téléphone, des adresses email ou des photos de profil.
Annonce
Microsoft : une mise à jour d’Office va permettre d’ouvrir des pièces jointes en toute sécurité [22]
En février dernier, la fonctionnalité Application Guard pour Office a été présentée, elle permettra d’isoler des fichiers potentiellement malveillants pour éviter à des ressources non fiables d’accéder à des ressources fiables. Cette fonctionnalité permet aux utilisateurs d’ouvrir des sites web avec une protection supplémentaire au travers d’une conteneurisation au niveau matériel.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2020-4355
[2] CXA-2020-4350
[3] CXA-2020-4358
[4] CXA-2020-4352
[5] CXA-2020-4351
[6] CXA-2020-4345
[7] CXA-2020-4339
[8] CXA-2020-4379
[9] CXA-2020-4367
[10] CXA-2020-4315
[11] CXA-2020-4299
[12] CXA-2020-4362
[13] CXA-2020-4343
[14] CXA-2020-4326
[15] CXA-2020-4310
[16] CXN-2020-4380
[17] CXN-2020-4324
[18] CXN-2020-4369
[19] CXN-2020-4337
[20] CXN-2020-4318
[21] CXN-2020-4359
[22] CXN-2020-4338
