CERT-W Newsletter Décembre 2020

Ethical Hacking & Incident Response

Publié le

Indicateurs du mois

TOP ATTACKLa cyberattaque visant les clients SolarWinds
Des attaquants russes du SVR ont réussi à infecter une mise à jour d’Orion, un logiciel fournit par SolarWinds, ils y ont introduit une backdoor afin de pénétrer dans les systèmes informatiques des clients du fournisseur de solutions. D’après l’entreprise, cette mise à jour a été déployée sur plus de 18000 clients dans le monde. Même si l’on ne sait pas par quelle méthode ces attaquants russes ont réussi à infecter Orion, on sait que la société SolarWinds avait été prévenue en 2019 que leurs serveurs étaient protégés par le mot de passe suivant : « solarwinds123 »(plus de détail : lien)  

Quelques exemples parmi les nombreuses répercutions de cette attaque :

  • Des entreprises de cybersécurité: FIREEYE: c’est l’entreprise FireEye qui en investiguant sur sa propre compromission a lancé l’alerte de la mise à jour malveillante d’Orion. En effet FireEye a détecté que les attaquants ont pu récupérer leurs outils d’intrusion (Red Team), normalement utilisés afin d’évaluer la sécurité des clients audités. L’entreprise de sécurité informatique américaine a alors adopté une gestion de crise proactive en publiant les méthodes et les moyens permettant de détecter l’utilisation de ces fameux outils.
  • Des agences gouvernementales: MINISTERE AMERICAIN DE L’ENERGIE: plusieurs agences gouvernementales américaines font parties des victimes, certaines particulièrement sensibles comme la NNSA (National Nuclear Security Administration), l’agence gérant les réserves nucléaires américaines, ou encore le département du Trésor des États-Unis, chargé de répondre aux besoins fiscaux et monétaire de la deuxième puissance mondiale en termes de PIB.
TOP EXPLOITExploit d’un ver informatique se propageant par Wi-Fi
Un bug iPhone a été exploité par un chercheur du Project Zero de Google, Ian Beer. Dans son post (lien vers son blog), Beer explique comment il a réussi à exploiter cette vulnérabilité : un bug de corruption de mémoire dans le kernel iOS donnant un accès complet à l’appareil via Wifi et pouvant se transmettre de la même manière aux appareils à proximité. 
TOP LEAKUne agence de voyage australienne fait fuiter ses données dans un hackathon
Lors d’un hackathon que l’agence de voyage Flight Centre avait organisé en 2017, des bases de données contenant en clair les numéros de passeport et les cartes de crédits de près de 7000 utilisateurs ont été mises à disposition des 90 participantsLes investigations ont montré que l’agence n’avait : 

  • ni implémenté de moyen de protection sur ces champs afin d’empêcher un de leurs employés d’y renseigner des informations sensibles, 
  • ni effectué les vérifications d’anonymisation nécessaires, ces informations étant présentes dans des champs « libres » des quelques 106 millions de lignes de la banque d’information.  

Veille sur la cybercriminalité

Un hacker vend des accès aux e-mails de plusieurs cadres 
Des données d’accès professionnel de VIP (que sont les emails et les mots de passes pour les comptes O365 et Microsoft) sont vendues sur un forum russe appelé Exploit.in. Ces accès sont vendus entre 100 et 1500$ en fonction de l’entreprise et du poste occupé par la victime. La validité de ces données a été confirmée mais le hacker refuse de divulguer comment il a obtenu ces informations, il prétend toutefois qu’il en a encore des centaines en stock.
L’homme à la tête d’un call center se faisant passer pour l’équivalent du fisc américain est condamné à 20 ans de prison
L’homme était à la tête d’un call center indien qui escroquait des citoyens américains en leur faisant croire qu’ils devaient de l’argent au IRS (Internal Revenue Service), l’équivalent du fisc aux Etats Unis et les menaçant d’arrestation ou d’exclusion de territoire si les victimes refusaient de payer. Au total des dizaines de millions de dollars ont été dérobés. La justice américaine a finalement pu appréhender l’individu et l’a condamné à 20 ans de prison, en plus du remboursement de l’argent escroqué.
Un VPN criminel démantelé par le FBI et Europol
Le VPN Safe-Inet a été démantelé par le FBI et Europol le 22 décembre 2020. Safe-Inet était destiné à être utilisé par des cybercriminels et était dans le collimateur des forces de l’ordre depuis un certain temps. Cette opération, surnommée Opération Nova, a permis dans un premier temps de fermer les serveurs américains et peu de temps après les serveurs européens.

Veille sur les vulnérabilités

CVE-2020-17095Hyper-V Remote Code Execution Vulnerability
CVSS score: 9.9 CRITICAL

Cette vulnérabilité permet à un attaquant de s’échapper d’une machine virtuelle Hyper-V vers son hôte en transmettant des paquets vSMB aux données invalides. Il semblerait qu’il n’y ait pas d’autres permissions requises pour l’exploiter.

CVE-2020-17132Microsoft Exchange Remote Code Execution Vulnerability
CVSS score : 9.1 CRITICAL

Cette vulnérabilité permet d’exécuter du code à distance sur un serveur Exchange. Microsoft n’a pas communiqué de scénario d’attaque mais fait remarquer que pour exploiter cette vulnérabilité, l’attaquant se doit d’être authentifié. C’est-à-dire que si un attaquant prend le contrôle de la boîte mail d’une personne, il peut alors prendre le contrôle de tout le serveur Exchange.

CVE-2020-17121Microsoft SharePoint Remote Code Execution Vulnerability
CVSS score : 8.8 HIGH

Cette vulnérabilité permet à un utilisateur authentifié d’exécuter du code .NET sur le serveur vulnérable dans le contexte du compte de service « SharePoint Web Application ». Dans la configuration par défaut de l’application SharePoint, les utilisateurs authentifiés peuvent créer des sites fournissant toutes les permissions nécessaires pour lancer cette attaque.