| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Microsoft patch tuesday : 14 vulnérabilités critiques corrigées

Chaque mois, Microsoft divulgue son traditionnel patch tuesday, qui récapitule l’ensemble des vulnérabilités impactant les produits Microsoft avec les correctifs et “workaround” correspondants.
Pour ce mois de Février, 54 vulnérabilités au total ont été corrigées dont 14 classées critiques, 34 classées importantes et 2 classées modérées.
Parmi les vulnérabilités critiques on retrouve la CVE-2018-0852 de type exécution de code à distance qui impacte Outlook. Plusieurs autres vulnérabilités critiques de type corruption de mémoire et une de type fuite d’information (CVE-2018-0763) affectent respectivement le moteur de script de Microsoft (Scripting Engine) et le navigateur Microsoft Edge.
Aucune des vulnérabilités listées dans ce bulletin n’est actuellement exploitée dans la nature.

http://blog.talosintelligence.com/2018/02/ms-tuesday.html#more [EN]

https://portal.msrc.microsoft.com/en-US/security-guidance [EN]

Bulletin de sécurité Android : Une dizaine de vulnérabilités corrigées

Lors de son traditionnel bulletin de sécurité mensuel, Google a procédé à la correction de 26 vulnérabilités impactant le système d’exploitation mobile Android. Ce bulletin de sécurité est divisé en deux patch level:
Dans le patch level du 01/02/2018, concernant les composants core, on retrouve d’une part 6 vulnérabilités (2 critiques et 4 importantes) qui impactent Media Framework et peuvent permettre à un attaquant distant d’exécuter du code via un fichier spécialement forgé. D’autre part, une vulnérabilité modérée de type élévation de privilège, impactant le système, permet à un processus local d’exécuter des commandes normalement réservé à des processus avec des privilèges élevés.
Dans le deuxième patch level du 05/02/2018 concernant des composants tiers, on y retrouve 19 vulnérabilités impactant les composants HTC, Kernel, NVIDIA et Qualcomm.
Aucune des vulnérabilités listées dans ce bulletin n’est actuellement exploitée dans la nature.

https://securityaffairs.co/wordpress/69108/mobile-2/android-security-bulletin-flaws.html [EN]

https://source.android.com/security/bulletin/2018-02-01 [EN]

JenkinsMiner : $3.4 Millions de dollars minés grâce à des serveurs Jenkins vulnérables

Une des plus grosses opérations de minages malveillants a été découverte par des chercheurs de Check Point. Les auteurs de ces actes malveillants se sont servis de la vulnérabilité CVE-2017-1000353 impactant Jenkins. Cette dernière, causée par une mauvaise désérialisation des objets Java, permet aux attaquants d’exécuter des commandes à distance.
Dans cette campagne d’infection nommée JenkinsMiner, les auteurs exécutent des commandes PowerShell afin de télécharger le mineur CPU XMRig.exe depuis un serveur localisé en Chine. À peu près $3.4 millions ont été minés à travers ces opérations malveillantes.
Les mineurs de cryptomonnaies sont de plus en plus convoités par les pirates. Tous les équipements exposés sur internet et qui présentes des failles de configuration ou de sécurité sont susceptibles d’être visés.

https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/ [EN]

SWIFT : Un hacker dérobe $6 millions à la banque centrale russe via SWIFT

Un nouvel incident “impactant” le système international de paiement interbancaire SWIFT vient d’être rendu public. Cette fois ci c’est la banque centrale russe qui a été victime, l’année dernière, d’attaques ayant permis aux pirates de dérober la somme de 339.5 millions de roubles soit l’équivalent de $6 millions.
Selon la banque centrale russe, les hackers ont d’abord pris le contrôle d’un ordinateur avant d’émettre des transferts via SWIFT vers un compte qu’ils contrôlent.
De son côté SWIFT affirme que son réseau n’a pas été compromis et assure fournir de l’aide à l’ensemble de ses clients victimes d’attaques.
Ce n’est pas la première fois que le système SWIFT est utilisé par les attaquants dans leur schéma d’attaque. On se rappelle encore des attaques contre la banque de Taïwan et la banque centrale du Bangladesh ($81 millions).

https://uk.reuters.com/article/us-russia-cyber-swift/hackers-stole-6-million-from-russian-bank-via-swift-system-central-bank-idUKKCN1G00DV [EN]

http://www.zdnet.fr/actualites/des-hackers-s-emparent-de-6-millions-de-dollars-sur-le-reseau-swift-39864212.htm [FR]

Dell EMC : Deux vulnérabilités critiques impactent les systèmes de stockage VMAX

L’appliance VMAX de Dell EMC est un composant essentiel dans le système de stockage des entreprises. Deux vulnérabilités critiques impactant l’interface de management ont été publiées.
La première identifiée par la CVE-2018-1216 est relative à un compte par défaut (ÒsmcÓ) non documenté utilisant un mot de passe codé en dur. Un attaquant distant pourrait s’en servir afin d’accéder au système. Le compte ne peut cependant pas être utilisé directement pour s’authentifier sur l’interface web. Il n’est utilisable que sur certain web servlet.
La deuxième identifiée par la CVE-2018-1215 permet à un attaquant authentifié de télécharger un fichier arbitraire à n’importe quel endroit du système de fichier du serveur.
Un attaquant qui ne possède aucun compte au départ sur le serveur vulnérable, peut y déposer un fichier malveillant en exploitant à la chaîne les deux vulnérabilités.
Dell a procédé à la correction de ces vulnérabilités.

https://securityaffairs.co/wordpress/69128/hacking/vmax-enterprise-storage-flaws.html [EN]
http://seclists.org/fulldisclosure/2018/Feb/41 [EN]

Telegram : Des hackers exploitent un bug afin de miner des cryptomonnaies

Un chercheur de Kaspersky, Alexey Firsh, a découvert un bug majeur impactant l’application de messagerie sécurisée Telegram. La mauvaise nouvelle est que ce bug est activement exploité dans la nature afin de distribuer un mineur de cryptomonnaie pour Monero et ZCash.
Selon Alexey Firsh, ce dernier est exploité depuis au moins Mars 2017. Les attaquants incitent les victimes à télécharger le mineur de cryptomonnaie ou mettre en place une backdoor.
Le bug n’impacte que la version Windows desktop de Telegram, est lié à une mauvaise gestion du caractère unicode RLO (right-to-left override) (U+202E). Ce dernier est utilisé par les attaquants afin de tromper les victimes sur le type de fichier reçu. En effet ces derniers envois des fichiers JS nommés “ photo_high_re*U+202E*gnp.js” qui seront transformés en “ photo_high_resj.png” à cause du caractère RLO.
La backdoor installée suite à l’exploitation de ce bug utilise l’API Telegram comme protocole de communication avec son serveur de command and control (C&C).

https://securelist.com/zero-day-vulnerability-in-telegram/83800/ [EN]

https://www.numerama.com/tech/329302-une-faille-sur-telegram-servait-a-deployer-des-malwares-et-miner-de-la-crypto-monnaie.html [FR]

Malware : des dropeurs abusent des fichiers .slk

Les cybercriminels font toujours preuve de beaucoup d’imagination pour mettre en place des leurres permettant d’inciter les victimes à activer les charges malveillantes. Cette fois ci, ils font usage des fichiers .slk.
L’extension .slk désigne un fichier enregistré au format lien symbolique (SYLK) et créé par Microsoft afin de transférer des données entre des classeurs Excel et d’autres bases de données. Ce type de fichier supporte nativement l’exécution de commandes qui peuvent par conséquent être malveillantes.
Dans cette nouvelle campagne détectée par les chercheurs de Appriver, les attaquants insèrent des commandes PowerShell dans des fichiers .slk qu’ils envoient ensuite par mail aux victimes. Ces commandes PowerShell permettent, après ouverture du fichier, de télécharger et exécuter un malware sur la machine de la victime.
Le lancement de ce type de fichier lève tout de même une alerte via une fenêtre de notification avertissant la victime que l’ouverture de ce fichier peut être dangereux.

https://blog.appriver.com/2018/02/trojan-droppers-using-symbolic-link-files/ [EN]