Revue de l’actualité par le CERT-W – Mars 2020

Ethical Hacking & Incident Response

Publié le

Veille sur la cybercriminalité

Le « Patch Tuesday » de Microsoft le plus conséquent depuis sa création

Microsoft a publié le 10/03/2020 des mises à jour afin de corriger pas moins de 115 failles de sécurité affectant ses différents systèmes d’exploitation Windows et logiciels associés. Parmi ces failles, 26 sont considérées comme « critiques », le niveau de sévérité le plus élevé, et l’exploitation de certaines d’entre elles permettent d’effectuer de l’exécution de code à distance et de prendre le contrôle d’ordinateurs vulnérables sans aucune action nécessaire de la part des utilisateurs.

Mukashi : la nouvelle variante du tristement célèbre botnet Mirai cible les NAS Zyxel

Le botnet Mukashi effectue des attaques de type brute-force sur des hôtes aléatoires en utilisant différentes combinaisons d’identifiants par défaut afin de tenter de s’y connecter et d’en prendre le contrôle. Or, il cible dorénavant les dispositifs de stockage en réseau (NAS) de Zyxel en exploitant la CVE critique récemment publiée « CVE-2020-9054 » permettant de réaliser de l’exécution de code à distance sur la version 5.21 du micrologiciel.

Le coronavirus : le leurre le plus utilisé de tous les temps

Durant la crise sanitaire due au COVID-19, le coronavirus devient le leurre le plus utilisé au sein d’innombrables attaques de type phishing. En effet, parmi celle-ci, le Internet Crime Complaint Center (IC3) du FBI indique qu’il peut s’agir de courriels prétendant offrir des informations sur le virus, des kits de test et des potentiels vaccins, ou encore ceux se faisant passer pour des associations caritatives encourageant à faire des dons pour la recherche.

 

Veille sur les vulnérabilités

CVE-2020-0684 – Vulnérabilité d’exécution de code à distance dans Microsoft Windows

Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows lorsqu’un fichier de format .LNK est traité (analysé ou exécuté par exemple). Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur local.

CVE-2020-3947 – Vulnérabilité de déni de service dans VMware Workstation

Certaines versions de VMware Workstation et Fusion contiennent une vulnérabilité de type « use-after-free » dans le service vmnetdhcp. L’exploitation réussie de la vulnérabilité peut conduire à réaliser un déni de service du service vmnetdhcp s’exécutant sur la machine hôte ou encore exécuter du code sur l’hôte.

CVE-2020-10887 – Vulnérabilité de contournement du pare-feu d’un routeur TP-Link

Une version du micrologiciel du routeur TP-Link Archer est vulnérable à un contournement sur son pare-feu. Cette vulnérabilité découle d’une implémentation insuffisante de filtrage approprié des connexions SSH IPv6, au niveau de la gestion des connexions IPv6. Elle peut être exploitée sans authentification au préalable et permet d’effectuer une escalade de privilège avec la possibilité d’exécuter du code en tant que « root ».

 

Les indicateurs du mois

Top leak – Fuite d’informations de plus de 5 millions de clients chez Marriott

Les cybercriminels ont réussi à obtenir les identifiants de connexion de deux employés sur un logiciel tiers que les propriétés hôtelières du Marriott utilisent pour fournir des services aux clients. Ainsi, ils ont eu accès à de nombreuses informations sur les clients (noms, prénoms, adresses mails, numéros de téléphone, etc.). C’est la seconde grosse fuite constatée pour Marriott depuis 24 mois !

Top exploit – CVE-2020-0796 – Vulnérabilité d’exécution de code à distance dans le protocole SMB

Il existe une faille dans la manière dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) traite certaines requêtes, SMB étant un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. En effet, sans authentification au préalable, un attaquant exploitant cette vulnérabilité lui permettrait d’exécuter du code à distance non seulement côté serveur mais également côté client.

Top attack – Un des plus grands hôpitaux tchèques neutralisé par une cyberattaque

L’hôpital universitaire de Brno, en République tchèque, a été frappé par une cyberattaque majeure en plein milieu d’une épidémie de COVID-19 forçant l’hôpital à arrêter ses ordinateurs et à neutraliser son réseau informatique. Par conséquent, des interventions chirurgicales urgentes ont dû être reportées et des nouveaux patients en phase aigüe transférés vers d’autres hôpitaux.

 

Veille sur les versions des logiciels

LogicielVersion actuelle
Adobe Flash Player32.0.0.344
Adobe Acrobat Reader DC2020.006.20042
JavaVersion 8 Update 241
Mozilla Firefox74.0
Google Chrome80.0.3987.163
VirtualBox6.1.4
CCleaner5.65.7632