Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés par les différents éditeurs de clients et extensions Mail suite à la vulnérabilité Efail [1][2]. Il est aussi recommandé de mettre à jour les applications basées sur le framework Electron [3a][3b]. Enfin, la correction de la vulnérabilité Dynoroot touchant le client DHCP des produits RedHat[4a][4b], ainsi que des failles de sécurité affectant les logiciels Acrobat [5], Photoshop [6] et 7-zip [7a][7b] est vivement recommandée. L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du déni de service à la prise de contrôle du système à distance.

Codes d’exploitation

La semaine dernière, 5 codes d’exploitation ont été publiés. Ces derniers visent notamment les systèmes Windows[8][9][10], Schneider Electric[11] ainsi que Jenkins[12].

Les codes d’exploitation visant Windows exploitent des vulnérabilités au sein du module RPC de Windows, de l’API du noyau Windows ainsi que du composant Win32k. Ces dernières permettaient à un attaquant d’élever ses privilèges sur le système via l’exécution d’un programme malveillant.

Le code d’exploitation visant les systèmes Schneider Electric exploite une faille de type « CSRF » permettant à un attaquant de modifier la configuration de certains équipements Powerlogic en incitant un administrateur à cliquer sur un lien spécifique.

Enfin, le code d’exploitation visant le logiciel Jenkins permet à un attaquant distant non authentifié de prendre le contrôle d’un système via l’exploitation d’une vulnérabilité liée à un défaut lors de la désérialisation d’un objet Java.

Informations

Recherche

L’équipe de chercheurs en sécurité ayant découvert les vulnérabilités CPU Spectre et Meldown a récemment démontré la possibilité de réaliser une attaque Rowhammer à distance basée sur le réseau.
Une semaine avant la publication de cette découverte, l’équipe avait signalé l’existence d’un nouveau type d’attaque Rowhammer, appelé Throwhammer, impliquant une vulnérabilité dans la mémoire DRAM des cartes réseau utilisant des canaux d’accès direct à la mémoire. [13]

Monétique

Les développeurs d’un portefeuille Bitcoin ont découvert qu’une fausse version de leur logiciel possède une fonctionnalité qui permet de voler les « seeds » de ses utilisateurs. Le 9 mai, l’équipe d’Electrum a publié un document sur GitHub annonçant que le portefeuille « Electrum Pro » était un portefeuille Bitcoin ayant pour objectif de voler ses utilisateurs. Selon les développeurs, les individus derrière Electrum Pro ont pris le contrôle de « electrum.com » et ont créé un site web avec un design et un logo légèrement différents de ceux du site web actuel du portefeuille Bitcoin, qui se trouve sur electrum.org. [14]

Le gouverneur de la banque centrale mexicaine, Alejandro Diaz de Leon, a annoncé cette semaine que des pirates avaient réussi à voler plusieurs millions de dollars à différentes banques mexicaines. L’attaque a été découverte fin avril. Le nom des banques touchées ainsi que le montant exact dérobé n’ont pas été révélés. Cependant, d’après Alejandro Diaz de Leon, le montant total des transactions illicites avérées serait supérieur à 18 millions de dollars. [15]

Entreprise

Selon un nouveau rapport publié par la société Onapsis, 9 entreprises sur 10 sont vulnérables à une faille connue depuis 13 ans qui met en danger leurs systèmes les plus critiques, comme les ERP, les ressources humaines, les finances ou la chaine d’approvisionnement. La faille en question, est un problème de configuration dans SAP NetWeaver, la plateforme sous-jacente de tous les déploiements SAP, utilisée par 87% du Global 2000 (classement des 2000 plus grandes entreprises selon le magasine Forbes). Elle permet à un attaquant distant non authentifié de récupérer un accès illimité à tous les systèmes SAP. [16]

Malware

Des chercheurs de Symantec ont identifié la présence, sur le Google Play Store, de 7 applications malveillantes ayant déjà été, auparavant, retirées du marché. Les applications se présentent sous la forme de calculatrices, de nettoyeurs de système, de verrouilleurs d’applications ou encore d’enregistreurs téléphoniques. Le code de ces applications est resté le même qu’auparavant. Les applications patientent plusieurs heures avant de démarrer leurs activités malveillantes, afin d’éviter tout soupçon. [17a][17b]

TeleGrab est un logiciel malveillant qui n’exploite pas réellement de vulnérabilité pour arriver à ses fins. Il se base sur le comportement actuel de l’application Telegram Web (navigateur) ou l’application Desktop pour les bureaux Windows. Découvert et étudié récemment par Talos, ce malware possède déjà une nouvelle variante. La première version visait principalement à dérober les informations liées à l’application web Telegram au niveau des données potentiellement stockées dans le navigateur. Dans sa nouvelle version, TeleGrab est capable de récupérer ces informations au niveau de l’application de bureau pour Windows (fichiers de cache et clés) ainsi que de récupérer les identifiants de connexion à la plateforme de jeu Steam. [18]

Juridique

Au cours de l’année 2017, Wikileaks a lancé Vault7, une campagne de révélations concernant plusieurs outils de piratage utilisés par la CIA. Joshua Adam Schulte, un ancien employé de la NSA et de la CIA, est suspecté d’avoir fourni ces fichiers à Wikileaks. Les autorités le suspectent depuis mars 2017, mais ne disposaient pas d’éléments permettant de l’incriminer. [19]

Le Sénat américain a voté en faveur de la neutralité du net en approuvant une résolution du « Congressional Review Act » qui annulerait la décision de la Commission fédérale des communications de décembre, concernant le démantèlement des règles de neutralité du net établies lors du mandat de Barack Obama. La décision de la FCC doit entrer en vigueur le 11 juin, permettant aux fournisseurs de services Internet de mettre en place des « voies rapides » pour les services en ligne prêts à payer et des « voies lentes » pour le reste, affectant directement leur qualité de service. [20]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXN-2018-1976
[2] CXN-2018-1990
[3] CXN-2018-1983
[4] CXN-2018-2023
[5] CXA-2018-1995
[6] CXA-2018-1992
[7] CXA-2018-2070
[8] CXA-2018-1987
[9] CXA-2018-2030
[10] CXA-2018-2063
[11] CXA-2018-2051
[12] CXA-2018-2056
[13] CXN-2018-2059
[14] CXN-2018-1979
[15] CXN-2018-2035
[16] CXN-2018-2003
[17] CXN-2018-2016
[18] CXN-2018-2068
[19] CXN-2018-2025
[20] CXN-2018-2039