CERT-W Newsletter Novembre 2020

Ethical Hacking & Incident Response

Publié le

Indicateurs du mois

TOP ATTACKLE GOUVERNEMENT BRESILIEN SE REMET DE LEUR « PIRE » ATTAQUE
Après avoir été touché, le 3 novembre, par la plus sévère de toutes les attaques orchestrées contre une institution publique brésilienne, le Tribunal Supreme de Justice (STJ en portugais) a enfin réussi à remettre ses systèmes en état de marche. La Cour avait dû suspendre toutes ces sessions pendant quelques jours et ensuite fonctionner de manière limitée jusqu’au 20 novembre. Le logiciel de rançon aurait reposé sur une vulnérabilité découverte lors d’un compétition cybersécurité chinoise réalisé avec le concours d’éditeurs logiciels.
TOP RANSOMEGREGOR REVENDIQUE LE RANSOMWARE SUR OUEST-FRANCE
Le groupe SIPA-Ouest France, avec sa filiale Publihebdos, a été frappé par un ransomware, dans la nuit du 20 au 21 novembre. Le groupe aux commandes du ransomware Egregor vient de revendiquer l’opération, diffusant au passage une première archive de 90 Mo.
TOP EXPLOITLE VER GITPASTE-12 VISE LES SERVEURS LINUX ET DISPOSITIF IOT
Des chercheurs en sécurité ont découvert un nouveau ver et botnet appelé Gitpaste-12, nommé ainsi en raison de son utilisation de GitHub et Pastebin pour héberger ses scripts malveillants et des 12 vulnérabilités connues qu’il exploite pour compromettre les systèmes.
TOP LEAKIMPORTANTE FUITE DE DONNEES DANS LE MILIEU DE L’HOTELERIE
Plusieurs plateformes de réservation d’hôtel largement utilisée (dont Booking.com et Expedia) ont exposé 10 millions de fichiers relatifs aux clients de divers hôtels dans le monde. Pour cause : un bucket S3 d’Amazon Web Services mal configuré. L’incident a affecté 24,4 Go de données, exposant les voyageurs au vol d’identité, à l’escroquerie et à la fraude à la carte de crédit, selon l’équipe de sécurité de Website Planet, qui a découvert le bucket.

Veille sur la cybercriminalité

DEUX AMERICAINS ACCUSES DE SIM SWAPPING ET VISHING SCAMS
Deux jeunes américains ont été accusés d’usurpation d’identité et de complot pour avoir prétendument volé des comptes de bitcoin et de réseaux sociaux en incitant par la ruse des employés de sociétés de téléphonie mobile à donner les justificatifs d’identité nécessaires pour accéder à distance aux informations sur les comptes des clients et les modifier.
LE RANCONGICIEL NEWREGRET S’ATTAQUE AUX MACHINES VIRTUELLES WINDOWS
Ce nouveau malware permet le chiffrement des disques virtuels qui ne sont habituellement pas chiffrés par les rançongiciels car trop volumineux. Pour ce faire, le malware utilise 3 fonctions de l’API Windows Virtual Storage afin de monter le disque et lancer le chiffrement des fichiers qu’il contient.
NOUVELLE TECHNIQUE DU RANSOMWARE RAGNAR LOCKER : PRESSION PAR CAMPAGNE DE PUBLICITE FACEBOOK
Le groupe Ragnar Locker a décidé d’intensifier la pression sur sa dernière victime en date, le conglomérat italien Campari, en publiant sur Facebook des publicités menaçant de rendre publiques les 2 To de données sensibles volées lors de l’attaque du 3 novembre, à moins qu’une rançon de 15 millions de dollars ne soit versée en Bitcoin.
UNE VAGUE D’ATTAQUE DE TYPE RANSOMWARE CIBLANT L’INDUSTRIE PHARMACEUTIQUE ET HOPITAUX
Microsoft affirme avoir détecté trois opérations de piratage informatique soutenues par des Etats (également désignées par le terme d’APT ayant lancé des cyberattaques contre au moins sept sociétés impliquées dans la recherche et l’élaboration des vaccins COVID-19. Ces attaques s’inscrivent dans une longue série d’incidents qui ont visé des organismes de santé au cours de ces derniers mois. Pendant la crise sanitaire, les groupes de cybercriminels ont profité de la crise mondiale pour accroître leur activité, ciblant parfois les organisations qui étaient censées contribuer à la lutte contre cette pandémie comme le dénonce ce bulletin d’alerte publié conjointement par le FBI, le CISA et le HHS. Pour le consulter cliquer ici.

Veille sur les vulnérabilités

CVE-2020-17051VULNÉRABILITÉ D’EXECUTION DE CODE A DISTANCE DANS LE SYSTEME DE GESTION DE FICHIERS EN RESEAU DE WINDOWS
CVSS score : 9.8 CRITICAL

Une vulnérabilité critique dans le serveur Windows NFSv3 (Network File System). Elle peut être reproduite pour provoquer un BSOD (Blue Screen of Death) immédiat dans le nfssvr.sys driver.

CVE-2020-17087VULNÉRABILITÉ D’ELEVATION DE PRIVILEGES AU NIVEAU LOCAL DU NOYAU WINDOWS
CVSS score : 7.8 HIGH

Cette élévation de privilèges permet a un attaquant ayant déjà compromis un premier compte non privilégié, d’obtenir les privilèges administrateur.

CVE-2020-3556CISCO ANYCONNECT VPN ZERO-DAY
CVSS score : 7.3 HIGH

Une vulnérabilité dans l’interprocess communication canal (IPC) du Cisco AnyConnect Secure Mobility Client Software pourrait permettre à un attaquant local authentifié d’amener un utilisateur AnyConnect ciblé à exécuter un script malveillant.