Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour Safari [1], macOS [2a][2b], iOS et iPadOS [3a][3b], par SAP [4a][4b], par Atlassian pour Confluence [5], par Trend Micro pour Apex One [6], par Gitlab [7a][7b] et par Zimbra [8a][8b][8c].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Élévation de privilèges via une vulnérabilité au sein de Windows [9]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en C++. En exécutant ce module, un attaquant est alors en mesure d’élever ses privilèges sur une machine Windows vulnérable, provenant d’une erreur au sein du pilote Windows Common Log File System.
Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein de Windows 11 [10a] [10b]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C#. À l’ouverture de ce fichier, la routine de traitement du fichier .MSSTYLES référencé par le fichier .THEME comporte un écart de temps important entre le moment où la signature de la librairie _vrf.dll est vérifiée et le moment où cette librairie est chargée, ce qui crée une race condition. Un attaquant est alors en mesure de remplacer cette librairie par une librairie custom pour exécuter du code arbitraire en tant que système.
Vulnérabilité
Exploitation d’une vulnérabilité 0-day dans Adobe Acrobat et Adobe Reader [11a] [11b] [11c]
Le 12 septembre 2023, Adobe a publié un correctif pour une vulnérabilité de type 0-day activement exploitée affectant les versions Windows et macOS d’Adobe Acrobat et d’Adobe Reader. La faille répertoriée sous le nom CVE-2023-26369 est une vulnérabilité d’écriture hors limite avec un score CVSS de 7.8 et permet à un attaquant d’exécuter du code arbitraire.
Ransomware
L’ANSSI associe FIN12 à l’attaque par ransomware ayant ciblé le CHU de Brest [12a] [12b]
Le 18 septembre 2023, l’ANSSI a publié un rapport sur l’acteur de la menace FIN12 l’associant à la tentative de compromission du centre hospitalier universitaire de Brest découverte en mars 2023. Lors de l’incident les attaquants n’ont pas pu exfiltrer de données ni déployer de ransomware, toutefois, l’investigation a permis d’identifier plusieurs actions malveillantes dont l’accès initial au Système d’Information. Depuis un service de bureau à distance, les cybercriminels ont réussi à obtenir des informations d’authentification d’un professionnel de santé à la suite d’une campagne de distribution d’un infostealer.
Le groupe de ransomware ALPHV/BlackCat utilise une nouvelle variante du chiffreur Sphynx pour cibler des comptes Azure Storage [13a] [13b] [13c] [13d] [13e]
Le 14 septembre 2023, les chercheurs de Sophos X-Ops ont découvert que les opérateurs du groupe de ransomware ALPHV/BlackCat exploitaient une nouvelle variante du chiffreur Sphynx et des comptes Microsoft volés pour compromettre des instances de stockage Azure. Lors d’une récente attaque, les opérateurs auraient réussi à chiffrer les données de 39 comptes Azure Storage à l’aide d’une clé volée.
Le groupe de ransomware NoEscape revendique l’attaque contre la fondation Vincent de Paul [14a] [14b] [14c] [14d]
Le 7 septembre 2023, le groupe de ransomware NoEscape a revendiqué l’attaque de la fondation alsacienne Vincent de Paul sur son site de publication de fuites de données (DLS – Data Leak Site), menaçant de publier 34GB de données volées si la rançon n’est pas payée dans un délai de dix jours. Selon le média français Rue89, qui déclare avoir eu accès à une note interne partagée suite à l’incident, plus de trente établissements de la fondation auraient été impactés, parmi lesquels quatre cliniques à Strasbourg et à Schirmeck ainsi que trente établissements d’accueil de personnes âgées et d’enfants. Néanmoins, toutes les activités de la fondation seraient maintenues dans un mode dégradé et aucune donnée n’aurait été exfiltrée, la fondation ayant mis à l’arrêt son système d’information pour endiguer la progression des acteurs de la menace dans le réseau interne.
Renseignement
Le mode opératoire ShroudedSnooper cible des entreprises du secteur des télécommunications au Moyen-Orient [15a] [15b] [15c] [15d] [15e] [15f] [15g] [15h]
Dans un rapport publié le 19 septembre 2023, les chercheurs de CISCO TALOS ont découvert une nouvelle backdoor référencée HTTPSnoop. Chargée de surveiller le trafic HTTP(S) des appareils compromis, HTTPSnoop a été observée lors d’une campagne d’attaques associées au mode opératoire ShroudedSnooper ciblant des fournisseurs de télécommunications au Moyen-Orient. Lors de leurs investigations, les chercheurs ont aussi observé l’implant PipeSnoop apparenté à HTTPSnoop. Ce dernier permet d’exécuter des payloads sur les terminaux compromis par le biais d’un canal Windows IPC (Inter-Process Communication).
Campagne d’attaques contre des infrastructures en Azerbaïdjan [16a] [16b]
Dans un rapport publié le 14 septembre 2023, les chercheurs du Deep Instinct Threat Lab ont identifié une campagne d’attaques ciblant des infrastructures azéries via la distribution d’un nouvel implant malveillant écrit en Rust. Les chercheurs ont identifié 2 vecteurs de compromissions initiaux différents lors de cette campagne d’attaques. Le premier est un fichier LNK malveillant portant le nom de fichier 1.KARABAKH.jpg.lnk.
Le mode opératoire Earth Lusca cible des instances gouvernementales en Asie et dans les Balkans [17a] [17b] [17c] [17d]
Selon une analyse de Trend Micro publiée le 18 septembre 2023, le mode opératoire Earth Lusca a mené une campagne d’attaques par le biais d’une backdoor Linux référencée SprySOCKS. Soupçonné d’être parrainé par la Chine, Earth Lusca a étendu sa victimologie en 2023, ciblant les instances gouvernementales des pays d’Asie du Sud-Est, d’Asie centrale et des Balkans.
Smartphones
Distribution de spyware CapraRAT par APT26 [18a] [18b]
Dans un rapport publié le 18 septembre 2023, les chercheurs de SentinelLabs ont identifié une campagne d’espionnage associée à APT36. Aussi référencé comme Transparent Tribe et associé au Pakistan, le mode opératoire aurait usurpé 3 applications mobiles Android imitant YouTube pour distribuer le malware CapraRAT.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-5099
[2] CXA-2023-5102
[3] CXA-2023-5107
[4] CXA-2023-5038
[5] CXA-2023-5061
[6] CXA-2023-5076
[7] CXA-2023-5027
[8] CXA-2023-5071
[9] CXA-2023-5025
[10] CXA-2023-4992
[11] CXN-2023-4978
[12] CXN-2023-5033
[13] CXN-2023-5004
[14] CXN-2023-4984
[15] CXN-2023-5073
[16] CXN-2023-5032
[17] CXN-2023-5077
[18] CXN-2023-5030
