| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire. 

Drupalgeddon2 : La faille critique exploitée dans la nature contre les serveurs Drupal

Drupal est un CMS (content management system) open source utilisé par plus d’un million de sites web à travers le monde. Une faille critique nommée Drupalgeddon2, dont les détails techniques ont été gardés secrets, a été corrigée récemment par les développeurs du CMS.
Cependant les chercheurs de Checkpoint, avec l’aide d’experts Drupal, ont pu apporter plus d’élément techniques sur le fonctionnement de cette vulnérabilité en analysant le correctif fourni par Drupal.
On y apprend que la vulnérabilité est due à un manque de vérification des données provenant de requêtes AJAX de Form API (FAPI). Ceci permet à l’attaquant d’injecter du code malveillant dans la structure interne des formulaires.
Un code d’exploitation a ainsi été rapidement produit par un chercheur nommé Vitalii Rudnykh.
D’autre part des exploitations dans la nature de la vulnérabilité ont été observées et confirmées par GoDaddy.
La seule manière de se protéger contre cette vulnérabilité est d’appliquer la mise à jour disponible depuis près d’un mois.

https://www.hackread.com/critical-vulnerability-in-drupal-cms-used-for-cryptomining/ [EN]
https://research.checkpoint.com/uncovering-drupalgeddon-2/ [EN]
https://github.com/a2u/CVE-2018-7600 [EN]

Roaming Mantis : Le malware qui utilise du DNS hijacking pour infecter les smartphones Android

Roaming Mantis, c’est le nom donné par les chercheurs de Kaspersky au nouveau malware ciblant les plateformes Android. Ce dernier cible principalement les utilisateurs parlant Anglais, Coréen, Japonais ou Chinois. L’activité de ce malware a été détectée principalement en Asie.
Afin d’infecter leurs victimes, les auteurs du malware ont préalablement corrompu des routeurs afin de pouvoir mener des attaques de type DNS hijacking. Ceci permet de rediriger les victimes vers des faux sites, se faisant passer pour des sites légitimes. Une fois la redirection effectuée, le site malveillant propose à la victime de télécharger une mise à jour de l’application Chrome. Les chercheurs de Kaspersky ont identifié que les applications malveillantes sont nommées facebook.apk ou chrome.apk. Une fois installé sur l’équipement Android de la victime, le malware est capable d’intercepter les sms, de faire des enregistrements audio ou encore d’émettre des appels. Les chercheurs ont aussi observé que l’application malveillante recherche la présence d’applications bancaires ou de jeux très utilisés en Corée du Sud, probablement pour voler des informations sensibles. Le malware recherche aussi la présence du binaire su, permettant d’élever ses privilèges si jamais l’équipement Android a été “rooté” au préalable.

https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/ [EN]

Microsoft : Patch tuesday du mois d’avril

Lors du traditionnel patch tuesday de ce mois d’avril, Microsoft a procédé à la correction de 65 vulnérabilités dont 25 critiques et 39 importantes. Les vulnérabilités critiques impactent le navigateur Internet Explorer, le moteur JavaScript Chakra, le moteur de script, Microsoft Graphics, l’hyperviseur Hyper-V et Adobe Flash. Parmi ces vulnérabilités on note la CVE-2018-0986 qui permet d’exécuter du code à distance en exploitant une faille dans le moteur antiviral Microsoft Malware Protection Engine (MMPE). Dans les vulnérabilités importantes, on note beaucoup de failles qui impactent Microsoft Office et permettent d’exécuter du code à distance.
Il est fortement conseillé d’appliquer le plus rapidement ces correctifs afin de se protéger contre d’éventuelles attaques.

https://blog.talosintelligence.com/2018/04/ms-tuesday.html [EN]
https://thehackernews.com/2018/04/windows-patch-updates.html [En]

Microsoft Outlook : CVE-2018-0950 une vulnérabilité vieille de 18 mois

Une vulnérabilité importante identifiée par la CVE-2018-0950 et qui impacte Microsoft Outlook a été corrigée par Microsoft lors du patch tuesday du mois d’avril. L’exploitation réussie de la vulnérabilité permet à un attaquant distant de récupérer les hash NTLM. En effet l’attaquant envoie à la victime un mail RTF (Rich Text File) spécialement conçu, contenant un objet OLE hébergé sur un serveur SMB distant. L’ouverture du mail ou la simple prévisualisation, déclenche une connection SMB vers la ressource contrôlée par l’attaquant ( file://malicious.domain/ ).
Une fois que l’attaquant a récupéré le hash, il peut ensuite l’attaquer par brute force afin de trouver le mot de passe de la victime.

https://securityaffairs.co/wordpress/71302/hacking/microsoft-outlook-cve-2018-0950.html [EN]
https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html [EN]

CyberARK Enterprise Password Vault : Le gestionnaire de mot de passe impacté par une vulnérabilité critique

Des chercheurs de l’entreprise allemande RedTeam Pentesting GmbH ont découvert une vulnérabilité critique impactant le gestionnaire de mots de passe CyberArk Enterprise Password Vault. La vulnérabilité identifiée par la CVE-2018-9843 est localisée dans l’application web .Net du gestionnaire de mots de passe. Elle est due à une mauvaise gestion des opérations de dé-sérialisation.
Lorsqu’un utilisateur se connecte, le serveur reçoit une en-tête d’authentification sous forme sérialisée. Le serveur ne vérifie pas l’intégrité de cet en-tête avant de la dé-sérialiser, ce qui permet à un attaquant de le modifier afin d’y injecter du code malveillant qui sera exécuté.
Les chercheurs ont mis à disposition un code d’exploitation (PoC) après que l’éditeur ait corrigé la vulnérabilité.

https://thehackernews.com/2018/04/enterprise-password-vault.html [EN]
https://www.redteam-pentesting.de/de/advisories/rt-sa-2017-014/-cyberark-password-vault-web-access-remote-code-execution [EN]

Mise à jour Android : Des fabricants mentiraient sur l’application des patchs

Karsten Nohl et Jakob Lell de l’entreprise allemande Security Research Labs (SRL) ont révélé la semaine dernière que la plupart des fabricants de smartphones ont menti sur l’application des correctifs de sécurité sur les smartphones Android. En effet, la sécurité de la plateforme Android est souvent remise en question, à cause de la difficulté d’appliquer les correctifs parfois critiques. Google fournit chaque mois un bulletin de sécurité récapitulant l’ensemble des failles corrigées sur le système Android. Cependant à cause des surcouches rajoutées par les différents fabricants et opérateurs téléphoniques, l’application de ces correctifs devient très compliquée. Ainsi pour éviter de se faire critiquer, certains opérateurs connus comme Sony, Samsung, Xiaomi, OnePlus ou encore Nokia procèdent à un changement de la date de mise à jour sur les équipements Android sans pour autant corriger les failles. Le fait de changer la date de mise à jour permet de leurrer les utilisateurs en leur faisant croire que le correctif a été appliqué.

https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you [EN]