Résumé de la semaine 5 (28 janvier au 3 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour Edge [1], par Atlassian pour Jira [2], pour Gitlab [3], pour Symfony [4a][4b], pour Django [5] et pour OpenSSH [6].

Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. À l’heure actuelle, aucun correctif n’est disponible pour ces deux codes d’exploitation.

Divulgation d’informations via une vulnérabilité au sein de KeePass [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en XML, injecté au sein du fichier de configuration de KeePass. La prochaine fois que l’utilisateur ouvrira son KeePass, ses mots de passe seront alors exfiltrés vers le serveur de l’attaquant, via une requête HTTP spécifiquement conçue déclenchée via PowerShell.

Élévation de privilèges et déni de service via une vulnérabilité au sein du noyau Linux [8]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby et en langage C. En exécutant ce programme sur une machine Linux compromise, un attaquant est en mesure d’élever ses privilèges sur le système.

Informations

Vulnérabilité

Une vulnérabilité affectant le logiciel KeePass pourrait permettre à un attaquant d’exporter les mots de passe en clair [9a] [9b] [9c]

L’exploitation de cette vulnérabilité, référencée CVE-2023-24055, permettrait à un attaquant (ayant obtenu les droits d’écriture sur la machine compromise) de modifier le fichier de configuration XML de KeePass et d’y ajouter du code malveillant. Ensuite, dès que l’utilisateur exécutera Keepass et entrera son mot de passe maître, la base de données sera déchiffrée et les mots de passe seront exportés en clair.

Microsoft implore les administrateurs de serveurs Microsoft Exchange d’appliquer les derniers correctifs de sécurité [10a] [10b] [10c] [10d] [10e] [10f]

Microsoft a publié une note implorant les administrateurs d’appliquer les derniers correctifs CU (cumulative update) et SU (security update) sur les serveurs Exchange on-premises.

International

Des cybercriminels non affiliés utiliseraient le malware LockBit pour cibler des entreprises du nord de l’Europe [11]

Une attaque signalée par Computerland en Belgique contre des PME du pays a démontré que les attaquants n’étaient pas liés au groupe LockBit. Ils utiliseraient une version « publique » du malware, publiée par un développeur le 21 septembre 2022.

Ransomware

LockBit utilise un nouveau logiciel de chiffrement basé sur Conti nommé LockBit Green [12a] [12b] [12c] [12d]

Le collectif de sécurité VX-Underground a signalé que le groupe de ransomware Lockbit utilise désormais un chiffreur nommé LockBit Green. Selon l’analyste de logiciels malveillants connu sous le nom de CyberGeeksTech, ce nouveau logiciel de chiffrement est basé sur celui du groupe de ransomware Conti qui a fuité en 2022.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2023-0491
[2] CXA-2023-0561
[3] CXA-2023-0519
[4] CXA-2023-0550
[5] CXA-2023-0539
[6] CXA-2023-0563
[7] CXA-2023-0510
[8] CXA-2023-0568
[9] CXN-2023-0512
[10] CXN-2023-0495
[11] CXN-2023-0493
[12] CXN-2023-0556

Clément Bertaux

Découvrir d'autres articles

En savoir plus En savoir plus