Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation du correctif publié pour Adobe Flash Player. Ce correctif adresse des vulnérabilités permettant la prise de contrôle du système via l’ouverture d’un fichier ou d’une page web malveillante. [1]

Code d’exploitation

Cette semaine, 6 codes d’exploitation ont été publiés.

Le premier provient d’une gestion incorrecte des processus au sein de Wireshark. Un attaquant est en mesure de réaliser un déni de service. Aucun correctif n’est disponible. [2]

Le second provient de défauts de vérification au sein du serveur Palo Alto Networks Migration Tool. Ce code permet à un attaquant de lire arbitrairement des fichiers sur le système. Un correctif est disponible. [3]

Le troisième code d’exploitation provient d’un défaut au sein du composant « WebDMDebugServlet » de HP Entreprise Intelligent Management Center. Un attaquant est en mesure de prendre le contrôle du système à distance. Un correctif est disponible. [4a][4b]

Le quatrième code d’exploitation provient d’un défaut de gestion des cookies de session au sein des contrôleurs programmables Schneider Electric. Un attaquant est en mesure de prendre le contrôle d’un compte utilisateur. Un correctif est disponible. [5]

Le cinquième provient de défauts d’implémentation du protocole SCTP (Stream Control Transmission Protocol) au sein du noyau Linux. Ce code permet à un attaquant de dérober des informations sensibles. Un correctif est disponible. [6]

Enfin, le sixième provient d’erreurs de traitement au sein d’Adobe Flash Player. Par l’envoi d’un document malveillant ou d’un lien vers une page web malveillante, un attaquant est en mesure d’exécuter des commandes arbitraires sur le système. Un correctif est disponible. [7]

Informations

Vulnérabilités

Une vulnérabilité a été identifiée au sein de l’implémentation de la connexion OAuth2 / OpenID via Github. Celle-ci affecte de nombreuses applications. La faille de sécurité repose sur le fait que les utilisateurs Github ont la possibilité de changer leur nom d’utilisateur. Une application est vulnérable si le workflow d’authentification utilise le nom d’utilisateur Github comme identifiant. [8]

Fuite d’informations

La chaine d’hôtels Marriott a annoncé avoir été victime, courant septembre 2018, d’une tentative de piratage. Celle-ci a visé la base de données de réservation des propriétés Starwood. L’entreprise a été alertée par un outil interne et a rapidement amorcé une enquête. [9]

Selon plusieurs responsables du parti républicain américain, Le National Republican Congressional Committe (NRCC) a subi un piratage majeur au cours des campagnes à mi-parcours de 2018, exposant des milliers de courriels sensibles à un intrus extérieur. Les comptes de courrier électronique de quatre principaux collaborateurs de la NRCC auraient été surveillés pendant plusieurs mois. Les informations personnelles des donateurs du parti n’ont pas été compromises. [10]

Quora, une plateforme de forum en ligne populaire, a été victime d’un piratage informatique, exposant les données de plus de 100 millions d’utilisateurs. Les équipes de Quora ont découvert la compromission d’un de leurs serveurs le vendredi 30 novembre 2018. La fuite de données provenait d’une application tierce autorisée à accéder à des données sensibles des utilisateurs par erreur. La vulnérabilité est désormais corrigée par les équipes de Quora. Aucun autre détail technique n’a été publiquement dévoilé concernant l’attaque. [11]

International

Un examen effectué au sein du département de la défense australien a révélé que ce dernier a été compromis par des espions chinois pendant une période indéterminée. L’enquête a révélé que ces intrusions sont la conséquence d’une sécurité insuffisante de la part des prestataires du gouvernement. Les agences australiennes n’ont pas rendu publics les noms des sous-traitants responsables de ces intrusions, mais la protection du système d’information est devenue un choix crucial lors du choix d’un nouveau partenaire du gouvernement. [12]

L’OTAN se prépare aux cybermenaces à proximité de la Russie. Plus de 700 responsables de 28 pays membres de l’OTAN se sont réunis à Tartu en Estonie pour procéder à une importante opération d’entrainement contre les cybermenaces. L’objectif de cet exercice était multiple. Il consistait d’une part à entrainer les responsables des différents pays membres de l’alliance militaire transatlantique à réagir en cas de cyberattaque, mais aussi à signaler aux éventuels attaquants que l’OTAN est en mesure de parer de telles attaques. [13]

Juridique

L’organisme TRACFIN « Traitement du renseignement et action contre les circuits financiers clandestins » est chargé de la lutte contre la fraude, le blanchiment d’argent et le financement du terrorisme. Il est rattaché au ministère de l’Économie et des Finances. Le 28 novembre, l’organisme a publié son rapport annuel accompagné d’une conférence de presse. Ce rapport souligne entre autres : la valeur ajoutée du renseignement financier; la persistance du développement des escroqueries commises en bandes organisées; le manque de transparence de certains organismes, tels que les associations; les cryptoactifs représentant un risque en raison de leur opacité et leur anonymat. [14]

Cybercriminalité

Le thème du Brexit utilisé lors de la campagne de SNAKEMACKEREL pour inciter les victimes à ouvrir un document malveillant. Le document office envoyé par email simule un brouillon de l’accord entre le Royaume-Uni et l’Union européenne. Il ciblerait des organisations gouvernementales, des infrastructures considérées comme critiques, des universités, des organisations politiques et autres grandes sociétés. Ce type d’attaque montre la réactivité des entités menant des actions malveillantes et à quel point la contextualisation politique peut-être rapide à mettre en œuvre. [15]

La Chine est actuellement victime d’un ransomware, qui se propage très rapidement : plus de 100 000 appareils ont été chiffrés en 4 jours. Celui-ci se démarque des ransomwares habituels par plusieurs aspects. Tout d’abord, ce n’est pas une rançon en Bitcoin qui a été demandée par les attaquants, mais un paiement de 110 yuans, réalisé au travers de l’application WeChat Pay (le service de paiement proposé par l’application de messagerie la plus populaire en Chine). Les pirates menaçaient de supprimer de leur serveur de contrôle la clé de déchiffrement, au bout de 3 jours, si la rançon n’était pas payée. [16]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXN-2018-4968
[2] CXA-2018-4938
[3] CXA-2018-4927
[4] CXA-2018-4926
[5] CXA-2018-4913
[6] CXA-2018-4910
[7] CXA-2018-4972
[8] CXN-2018-4908
[9] CXN-2018-4912
[10] CXN-2018-4948
[11] CXN-2018-4925
[12] CXN-2018-4909
[13] CXN-2018-4928
[14] CXN-2018-4931
[15] CXN-2018-4951
[16] CXN-2018-4966