Cahier de vacances 2019 du RSSI

Ami RSSI, pour toi qui, même en vacances sur les plages du sud, tu te dois de garder le nord, je te propose ce cahier de vacances pour être au top à la rentrée !

Sur la plage… d’adresses IP

Cher RSSI, si tu as été studieux cette année et attentif aux derniers patchs tuesday de Microsoft, tu sais que plusieurs vulnérabilités ont été corrigées dans l’implémentation du protocole DHCP, notamment dans celui de mars pour les postes clients, mais aussi dans celui de juillet, pour les serveurs. Si tu as plusieurs serveurs Windows (de 2012 à 2019) ayant le rôle de serveur DHCP avec le mode basculement d’activé sur ton SI et que tu n’as pas appliqué les derniers correctifs de sécurité, sache qu’il est possible d’exécuter du code arbitraire à distance sur ces serveurs [1]… Une poignée de sable qui risque bien de gratter, d’autant plus si ces serveurs ont le rôle de contrôleurs de domaine… Il est temps de dire aux admins de lâcher la pelle et le seau et d’attraper le clavier pour vite patcher !

Courant juin, si tu rêvais déjà de cocktails et de glaces à l’italienne, tu as peut-être raté les quatres vulnérabilités découvertes par l’équipe sécurité de Netflix, affectant le noyau Linux et permettant de créer un déni de service à distance [2]. Sache que de nombreuses distributions proposent déjà des patchs, mais quid de certains matériels réseau, dispositifs médicaux ou autres IOT… Il te faudra garder l’œil ouvert à la rentrée.

Ça va surfer !

Pour affronter les vagues du Web, il te faudra un navigateur bien farté ! Microsoft a corrigé dans son dernier patch tuesday, une vulnérabilité critique permettant d’exécuter du code arbitraire sur la machine à partir des navigateurs IE et Edge [3], avec les droits de l’utilisateur « surfeur ». Mais tout le monde sait qu’un surfeur est un mec cool, qui ne surfe jamais avec des privilèges élevés, afin d’éviter de se faire attraper dans un rouleau.

Après une vulnérabilité activement exploitée dans son moteur JavaScript corrigée mi juin [4], Mozilla a ajouté une nouvelle rustine à la bouée de son navigateur Firefox début juillet [5]. Les bulletin de sécurité nous parlent de vulnérabilités critiques et d’exécution de code arbitraire à distance, autant dire qu’il ne faudra pas faire l’impasse sur ces correctifs.

Que les utilisateurs de Chrome ne se sentent pas oubliés, pas mal de vulnérabilités importantes ont été corrigées ces derniers mois, et là encore : exécution de code arbitraire à distance pour les surfeurs qui ne font pas l’entretien de leur moteur V8, comme l’ont révélé en détails les chercheurs de l’équipe Talos [6].

Attention canicule !

Les escrocs en tout genre profitent de l’effet canicule qui nous assomme pour tenter d’arnaquer nos établissements. Alors, pensez à hydrater vos utilisateurs avec une bonne dose de sensibilisation pétillante, riche en bon sens !

Les canaux utilisés par les attaquants sont variés :

- le courriel de phishing au Webmail, où l’attaquant se fait passer pour le service informatique en utilisant une messagerie légitime, mais piratée et demande aux destinataires, victimes potentielles de cliquer sur un lien malveillant et de saisir leurs informations de connexion. L’importante campagne observée [7] depuis bientôt un an dans nos établissements de santé (mais aussi dans d’autres structures) ne s’arrête pas et la liste des personnes « arrosées » par ces messages continue de s’allonger.

- le fax, où des attaquants se faisant passer pour le dispositif cybermalveillance.gouv.fr tente de dérober des informations aux établissements de santé [8].

- le bon vieux courrier papier, que personne ne soupçonne d’être lui aussi un « phishing », avec cette importante campagne de facture Office Pro [9] qui est arrivée dans de nombreuses boîtes aux lettres d’établissements de santé.

Envoyez-nous des cartes postales !

Vous êtes en vacances, alors soyez sympa, envoyez-nous des cartes postales ! Mais avant cela, une petite vérification de la version de votre serveur de messagerie peut s’avérer pertinente afin d’éviter un retour à l’expéditeur. En effet, ces derniers mois ont été riches en vulnérabilités sur les serveurs de messagerie.

- Deux vulnérabilités critiques dans Exchange permettant de réaliser une élévation de privilèges jusqu’à obtenir les droits administrateur du domaine ont été corrigées au mois de février [10]. Ce mois-ci, pour atténuer une vulnérabilité dans OWA, Microsoft recommande de bloquer les images au format SVG. Heureusement que les ingénieurs de Microsoft n’ont pas fait d’AMOA sur le plan Vigipirate, sinon plus personne ne pouvait passer les ports des services d’urgences français….

- En mars, une dose de crème solaire pour éviter le coup de soleil sur Zimbra était mise à disposition, et venait palier à une vulnérabilité activement exploitée [11] sous les sunlights des tropiques.

- Au mois juin, l’ANSSI déclenchait le plan ORSEC sur une vulnérabilité impactant le serveur de messagerie Exim, qui permettrait à un attaquant d’exécuter du code arbitraire à distance directement via SMTP [12].

La croisière s’amuse… ou pas

Pour éviter que votre infra Hyper-V...ulnérable finisse comme le Costa Concordia, si vous n’avez pas  collé de rustines depuis longtemps sur le rafiot Hyper-V, je vous invite à jeter un œil au patch tuesday de juin et aux trois vulnérabilités critiques [13] corrigées, permettant d’exécuter du code arbitraire sur le serveur hôte depuis une VM ! De quoi faire froid dans le dos, malgré ces fortes chaleurs...

Bonnes vacances malgré tout !

[1] https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2019-0785

[2] https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

[3] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-1001

[4] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-010/

[5] https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/

https://www.mozilla.org/en-US/security/advisories/mfsa2019-22/

[6] https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0791

[7] https://www.forum-sih.fr/viewtopic.php?f=5&t=1103

[8] https://cyberveille-sante.gouv.fr/alertes/1357-utilisation-frauduleuse-du-fax-dans-le-cadre-dune-recuperation-dinformation-2019-07-11

[9] https://www.forum-sih.fr/viewtopic.php?f=5&t=1268&p=4924#p4924

[10] https://www.forum-sih.fr/viewtopic.php?f=78&t=1179#p4389

[11] https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

[12] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-009/

[13] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0620

https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0709

https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0722