Veille sur la cybercriminalité

Le « Patch Tuesday » de Microsoft le plus conséquent depuis sa création

Microsoft a publié le 10/03/2020 des mises à jour afin de corriger pas moins de 115 failles de sécurité affectant ses différents systèmes d’exploitation Windows et logiciels associés. Parmi ces failles, 26 sont considérées comme « critiques », le niveau de sévérité le plus élevé, et l’exploitation de certaines d’entre elles permettent d’effectuer de l’exécution de code à distance et de prendre le contrôle d’ordinateurs vulnérables sans aucune action nécessaire de la part des utilisateurs.

Mukashi : la nouvelle variante du tristement célèbre botnet Mirai cible les NAS Zyxel

Le botnet Mukashi effectue des attaques de type brute-force sur des hôtes aléatoires en utilisant différentes combinaisons d’identifiants par défaut afin de tenter de s’y connecter et d’en prendre le contrôle. Or, il cible dorénavant les dispositifs de stockage en réseau (NAS) de Zyxel en exploitant la CVE critique récemment publiée « CVE-2020-9054 » permettant de réaliser de l’exécution de code à distance sur la version 5.21 du micrologiciel.

Le coronavirus : le leurre le plus utilisé de tous les temps

Durant la crise sanitaire due au COVID-19, le coronavirus devient le leurre le plus utilisé au sein d’innombrables attaques de type phishing. En effet, parmi celle-ci, le Internet Crime Complaint Center (IC3) du FBI indique qu’il peut s’agir de courriels prétendant offrir des informations sur le virus, des kits de test et des potentiels vaccins, ou encore ceux se faisant passer pour des associations caritatives encourageant à faire des dons pour la recherche.

Veille sur les vulnérabilités

CVE-2020-0684 – Vulnérabilité d’exécution de code à distance dans Microsoft Windows

Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows lorsqu’un fichier de format .LNK est traité (analysé ou exécuté par exemple). Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur local.

CVE-2020-3947 – Vulnérabilité de déni de service dans VMware Workstation

Certaines versions de VMware Workstation et Fusion contiennent une vulnérabilité de type « use-after-free » dans le service vmnetdhcp. L’exploitation réussie de la vulnérabilité peut conduire à réaliser un déni de service du service vmnetdhcp s’exécutant sur la machine hôte ou encore exécuter du code sur l’hôte.

CVE-2020-10887 – Vulnérabilité de contournement du pare-feu d’un routeur TP-Link

Une version du micrologiciel du routeur TP-Link Archer est vulnérable à un contournement sur son pare-feu. Cette vulnérabilité découle d’une implémentation insuffisante de filtrage approprié des connexions SSH IPv6, au niveau de la gestion des connexions IPv6. Elle peut être exploitée sans authentification au préalable et permet d’effectuer une escalade de privilège avec la possibilité d’exécuter du code en tant que « root ».

Les indicateurs du mois

Top leak – Fuite d’informations de plus de 5 millions de clients chez Marriott

Les cybercriminels ont réussi à obtenir les identifiants de connexion de deux employés sur un logiciel tiers que les propriétés hôtelières du Marriott utilisent pour fournir des services aux clients. Ainsi, ils ont eu accès à de nombreuses informations sur les clients (noms, prénoms, adresses mails, numéros de téléphone, etc.). C’est la seconde grosse fuite constatée pour Marriott depuis 24 mois !

Top exploit – CVE-2020-0796 – Vulnérabilité d’exécution de code à distance dans le protocole SMB

Il existe une faille dans la manière dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) traite certaines requêtes, SMB étant un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. En effet, sans authentification au préalable, un attaquant exploitant cette vulnérabilité lui permettrait d’exécuter du code à distance non seulement côté serveur mais également côté client.

Top attack – Un des plus grands hôpitaux tchèques neutralisé par une cyberattaque

L’hôpital universitaire de Brno, en République tchèque, a été frappé par une cyberattaque majeure en plein milieu d’une épidémie de COVID-19 forçant l’hôpital à arrêter ses ordinateurs et à neutraliser son réseau informatique. Par conséquent, des interventions chirurgicales urgentes ont dû être reportées et des nouveaux patients en phase aigüe transférés vers d’autres hôpitaux.

Veille sur les versions des logiciels

Cet article Revue de l’actualité par le CERT-W – Mars 2020 est apparu en premier sur RiskInsight.

Veille sur la cybercriminalité

La mise à jour de Google Chrome lutte contre la cybercriminalité

Google Chrome version 80 prend désormais en charge AES-256 pour les données utilisateur stockées localement. Le changement a eu un impact sur la capacité d’AZORult à voler les informations des utilisateurs. AZORult est un malware de profil utilisateur qui est apparu en 2016 en volant de grandes quantités d’informations, y compris les mots de passe, l’historique de navigation Web, les cookies, etc.

Bouygues Construction, victime d’un autre ransomware

Bouygues Construction a été victime d’une attaque de ransomware. Détectée pour la première fois le 30 janvier, la société a annoncé l’attaque sur Twitter quelques jours seulement avant que le groupe MAZE ne se déclare être derrière l’attaque.

Internet Complain Center reporting (FBI IC3 report)

Le Federal Bureau of Investigation (FBI) a publié le Internet Complaint Center (IC3) signalant une augmentation de 1 300 plaintes par jour. Le rapport montre comment le Business email compromise (BEC) a coûté 1,7 milliard de dollars aux entreprises en 2019. Depuis que les entreprises ont mis en œuvre des campagnes de «volume spam», les attaques deviennent plus sophistiquées et ciblent des individus de grande valeur tels que les PDG et les employés de la finance.

Veille sur les vulnérabilités

CVE-2020-0688 – Vulnérabilité d’exécution de code à distance dans Microsoft Exchange

Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Exchange lorsque le logiciel ne parvient pas à gérer correctement les objets en mémoire («Vulnérabilité de corruption de mémoire dans Microsoft Exchange»).

CVE-2019-15126 – Clé de chiffrement nulle pour chiffrer une partie de la communication de l’utilisateur

Un problème a été découvert sur les appareils clients Wi-Fi Broadcom. Plus précisément, un trafic chronométré et artisanal peut provoquer des erreurs internes (liées aux transitions d’état) dans un appareil WLAN qui conduisent à un chiffrement Wi-Fi de couche 2 inapproprié avec une possibilité conséquente de divulgation d’informations par voie aérienne pour un ensemble discret de trafic.

CVE-2020-0022 – Vulnérabilité Bluetooth critique dans Android

La pile Bluetooth Android permet aux attaquants de diffuser silencieusement des logiciels malveillants et de voler des données sur les téléphones à proximité en connaissant simplement l’adresse MAC Bluetooth de la cible. En conséquence, possibilité de déni de service (DoS), si l’appareil fonctionne sous Android 8.0, 8.1 ou 9.0, puis exécution de code à distance (RCE).

Les indicateurs du mois

Top leak : fuite de 123 millions d’enregistrements chez Decathlon

Une mauvaise configuration de la base de données a permis à une équipe de vpnMentor de révéler 123 millions d’enregistrements comprenant des informations sur les clients et les employés. Une base de données de plus de 9 Go a été trouvée sur un serveur Elasticsearch non sécurisé, exposant des informations provenant de Decathlon – Espagne.

Top exploit: CVE-2020-6418 – Faille de confusion dans V8, Google Chrome

Faille de confusion dans V8 (moteur JavaScript utilisé par Google Chrome) permettant l’exécution de code arbitraire dans le sandbox du navigateur.

Top attack: une cyberattaque paralyse les ventes de laine en Australie

Une attaque de type ransomware a touché plus de 75% de l’industrie de la laine en Australie. Le secrétaire du Comité national de vente aux enchères (NASC) a confirmé la compromission de Talman. Talman est le principal fournisseur de logiciels de l’industrie.

Cet article Revue de l’actualité par le CERT-W – Février 2020 est apparu en premier sur RiskInsight.