Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour Git [1], IBM QRadar [2a][2b] et le navigateur Google Chrome [3]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

Codes d’exploitation

La semaine dernière, cinq codes d’exploitation ont été publiés. Les trois premiers exploitent une vulnérabilité corrigée par l’éditeur.

Le premier affecte IBM QRadar. Son utilisation permet à un attaquant de prendre le contrôle d’un système en plaçant une porte dérobée à distance. [4a][4b][4c]

Le deuxième affecte les produits D-Link DSL-2750B. Son utilisation permet à un attaquant d’effectuer une injection de commande via une requête sur la page « /login.cgi ». [5]

Le troisième affecte le framework Symfony. Son utilisation permet à un attaquant de provoquer un déni de service en envoyant des requêtes à un serveur web vulnérable. [6]

Enfin, deux codes d’exploitation exploitent des vulnérabilités ne disposent pas de correctif :
Le premier affecte les produits Siemens SIMATIC S7-300. Son utilisation permet à un attaquant de provoquer un déni de service via l’envoi d’une requête HTTP mal formée. [7]

Le second affecte SAP Internet Transaction Server (ITS) 6200. Son utilisation permet d’effectuer une injection JavaScript via l’envoi d’un cookie malveillant. [8]

Informations

Vie privée

Cette semaine, Sabri Haddouche, un chercheur en sécurité, a découvert qu’Apple sauvegardait les métadonnées des emails envoyés et reçus depuis l’application « Mail » sur iPhone et iPad. Il s’est rendu compte qu’après avoir arrêté d’utiliser son compte Gmail et supprimé toutes les données associées, l’application Mail contenait encore les adresses email de ses contacts auparavant effacés. [9]

Microsoft a annoncé vouloir étendre les droits qui sont au coeur du Règlement Général pour la Protection des Données (RGPD) à l’ensemble de ses utilisateurs. Julie Brill, vice-présidente et avocate générale adjointe chez Microsoft a indiqué que ces règles qui sont « connues sous le nom de « Data Subject Rights » (Le droit des personnes aux données) comprennent le droit de savoir quelles données Microsoft recueille à votre sujet, de corriger ces données, de les effacer et même de les emmener ailleurs « . [10]

Juridique

Grant West, un Britanique de 26 ans, a été condamné à une peine de dix ans et huit mois d’emprisonnement pour la vente de données personnelles sur le dark web. Le cybercriminel s’y est pris en menant une attaque de phishing envoyant 160 000 emails en se faisant passer pour l’application de livraison de plats cuisinés Just Eat. Il prétendait offrir un bon de réduction en échange de réponses à un questionnaire contenant des informations personnelles. Cette astuce lui a permis de mettre la main sur plus de 63 000 cartes bancaires et de les mettre en vente sur le site désormais fermé : AlphaBay. [11]

Attaques

Les créateurs de la plateforme d’échange de cryptomonnaies Taylor annoncent avoir perdu plus de 2 578 ETH (1, 49 million de dollars) sur leur porte-monnaie virtuel. L’entreprise a fait l’annonce le 2 mai, expliquant s’être fait pirater par un attaquant non identifié pour le moment. Pratiquement la totalité de leurs fonds en Ether ont disparu ainsi que des jetons TAY (7% de l’approvisionnement total). [12]

Malwares

Un nouveau trojan bancaire surnommé « BackSwap » implémente désormais des fonctionnalités qui n’avaient jamais été vues auparavant. BackSwap surveille les URLs visitées, recherche et détecte les URLs spécifiques aux banques et les titres des fenêtres en détourant les événements de la boucle de messages de la fenêtre du navigateur. Une fois l’activité bancaire détectée, le logiciel malveillant remplace le numéro de compte bancaire du destinataire lors d’un virement par le numéro d’un compte ouvert par les attaquants. [13a][13b]

Vulnérabilités

Un bogue existait dans le client Steam depuis au moins dix ans et aurait pu permettre, jusqu’en juillet dernier, d’exécuter du code à distance (RCE) sur l’ensemble des 15 millions de clients actifs de la plateforme de l’éditeur. Cette vulnérabilité était due à une erreur au sein du protocole de communication d’amis de la plateforme (Steam Friends Protocol). [14]

Le framework « Electron » permet le déploiement d’applications multiplateformes au travers de technologies web. Ce dernier était affecté par la vulnérabilité CVE-2018-1000006, qui a rendu de nombreuses applications vulnérables à une exécution de code arbitraire. Un contournement de cette correction a toutefois été identifié par des chercheurs en sécurité, en utilisant simplement des variations avec des caractères majuscules. [15]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXA-2018-2273
[2] CXA-2018-2214
[3] CXA-2018-2251
[4] CXA-2018-2218
[5] CXA-2018-2199
[6] CXA-2018-2201
[7] CXA-2018-2274
[8] CXA-2018-2200
[9] CXN-2018-2255
[10] CXN-2018-2229
[11] CXN-2018-2244
[12] CXN-2018-2239
[13] CXN-2018-2252
[14] CXN-2018-2295
[15] CXN-2018-2233