Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.
Correctifs
Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés pour Google Chrome [1], le CMS Magento [2] et PHP [3a][3b][3c]. L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du déni de service à la prise de contrôle du système à distance.
Codes d’exploitation
La semaine dernière, deux codes d’exploitation ont été publiés.
Le premier utilise le service de cache Memcached et prend la forme d’un script en Python. En spécifiant une liste de serveurs exposant leur service Memcached, un attaquant est en mesure de provoquer un déni de service distribué sur un serveur victime en amplifiant sa bande passante avec un facteur de 50 000. [4]
Le second affecte Sophos UTM 9 et prend également la forme d’un script en Python. Ce code permet de forger des requêtes spécifiques localement sur le système, menant à l’élévation des privilèges du compte « loginuser » à superutilisateur (« root »). L’attaquant doit toutefois connaître le mot de passe du compte « loginuser ». [5]
Informations
Deux chercheurs en sécurité israéliens ont découvert un moyen de contourner les protections de verrouillage de Windows 10, en utilisant des commandes vocales à travers Cortana. L’agent Cortana de Windows 10 peut répondre à toute demande vocale «Hey Cortana», même lorsque l’ordinateur est en veille ou verrouillé. Par ce moyen, il est possible de choisir le réseau auquel la machine va se connecter. Si un attaquant dispose d’un accès physique permettant de brancher un adaptateur réseau en USB, il est en mesure d’intercepter le trafic et de le rediriger vers une machine ou un réseau Wi-Fi sous son contrôle. [6]
L’ICANN, la Société pour l’attribution des noms de domaine et des numéros sur Internet (Internet Corporation for Assigned Names and Numbers) a travaillé sur plusieurs modèles provisoires pour la collecte de données d’enregistrement et la mise en œuvre de services d’annuaires d’enregistrement afin de se conformer au RGPD Européen (Réglementation Générale de la Protection des Données). L’organisme a par la suite publié trois modèles contenant une approche d’accès hiérarchisés sur plusieurs niveaux. [7a][7b][7c]
Des chercheurs d’Infoteam ont identifié une fuite d’information chez un fournisseur d’hébergement en Suisse. Lors de tests de mise en production d’un nouveau scanner de vulnérabilités, une vulnérabilité a été repérée chez l’hébergeur. L’accès en lecture à l’intégralité des bases de données, dont certaines sur des clients de l’entreprise, était possible sans aucun mot de passe. Les chercheurs, après avoir corrigé la vulnérabilité, ont constaté qu’une connexion était en cours, avec une adresse IP en provenance de Chine. Les chercheurs n’ont aucune information quant à la quantité de données dérobées. [8]
Des chercheurs de la société Wandera ont découvert un malware ciblant les systèmes Android. Baptisé RedDrop, ce dernier était distribué via 53 applications malveillantes. RedDrop est ainsi capable d’enregistrer un flux audio via le microphone de l’appareil et de dérober les photos, contacts, fichiers, données d’applications et autres données concernant l’appareil (IMEI, IMSI) ou la carte SIM. Ces données sont ensuite exfiltrées sur différents services de stockage externe comme Dropbox ou Drive. Il est également en mesure d’envoyer des SMS surtaxés et de les supprimer du système immédiatement après envoi. [9a][9b]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
[1] CXA-2018-0986
[2] CXA-2018-0978
[3] CXA-2018-0930
[4] CXA-2018-0989
[5] CXA-2018-0980
[6] CXN-2018-1010
[7] CXN-2018-0964
[8] CXN-2018-0968
[9] CXN-2018-0926
