Publicité en cours de chargement...
Cahier de vacances 2019 du RSSI
Ami RSSI, pour toi qui, même en vacances sur les plages du sud, tu te dois de garder le nord, je te propose ce cahier de vacances pour être au top à la rentrée !
Sur la plage… d’adresses IP
Cher RSSI, si tu as été studieux cette année et attentif aux derniers patchs tuesday de Microsoft, tu sais que plusieurs vulnérabilités ont été corrigées dans l’implémentation du protocole DHCP, notamment dans celui de mars pour les postes clients, mais aussi dans celui de juillet, pour les serveurs. Si tu as plusieurs serveurs Windows (de 2012 à 2019) ayant le rôle de serveur DHCP avec le mode basculement d’activé sur ton SI et que tu n’as pas appliqué les derniers correctifs de sécurité, sache qu’il est possible d’exécuter du code arbitraire à distance sur ces serveurs [1]… Une poignée de sable qui risque bien de gratter, d’autant plus si ces serveurs ont le rôle de contrôleurs de domaine… Il est temps de dire aux admins de lâcher la pelle et le seau et d’attraper le clavier pour vite patcher !
Courant juin, si tu rêvais déjà de cocktails et de glaces à l’italienne, tu as peut-être raté les quatres vulnérabilités découvertes par l’équipe sécurité de Netflix, affectant le noyau Linux et permettant de créer un déni de service à distance [2]. Sache que de nombreuses distributions proposent déjà des patchs, mais quid de certains matériels réseau, dispositifs médicaux ou autres IOT… Il te faudra garder l’œil ouvert à la rentrée.
Ça va surfer !
Pour affronter les vagues du Web, il te faudra un navigateur bien farté ! Microsoft a corrigé dans son dernier patch tuesday, une vulnérabilité critique permettant d’exécuter du code arbitraire sur la machine à partir des navigateurs IE et Edge [3], avec les droits de l’utilisateur « surfeur ». Mais tout le monde sait qu’un surfeur est un mec cool, qui ne surfe jamais avec des privilèges élevés, afin d’éviter de se faire attraper dans un rouleau.
Après une vulnérabilité activement exploitée dans son moteur JavaScript corrigée mi juin [4], Mozilla a ajouté une nouvelle rustine à la bouée de son navigateur Firefox début juillet [5]. Les bulletin de sécurité nous parlent de vulnérabilités critiques et d’exécution de code arbitraire à distance, autant dire qu’il ne faudra pas faire l’impasse sur ces correctifs.
Que les utilisateurs de Chrome ne se sentent pas oubliés, pas mal de vulnérabilités importantes ont été corrigées ces derniers mois, et là encore : exécution de code arbitraire à distance pour les surfeurs qui ne font pas l’entretien de leur moteur V8, comme l’ont révélé en détails les chercheurs de l’équipe Talos [6].
Attention canicule !
Les escrocs en tout genre profitent de l’effet canicule qui nous assomme pour tenter d’arnaquer nos établissements. Alors, pensez à hydrater vos utilisateurs avec une bonne dose de sensibilisation pétillante, riche en bon sens !
Les canaux utilisés par les attaquants sont variés :
- le courriel de phishing au Webmail, où l’attaquant se fait passer pour le service informatique en utilisant une messagerie légitime, mais piratée et demande aux destinataires, victimes potentielles de cliquer sur un lien malveillant et de saisir leurs informations de connexion. L’importante campagne observée [7] depuis bientôt un an dans nos établissements de santé (mais aussi dans d’autres structures) ne s’arrête pas et la liste des personnes « arrosées » par ces messages continue de s’allonger.
- le fax, où des attaquants se faisant passer pour le dispositif cybermalveillance.gouv.fr tente de dérober des informations aux établissements de santé [8].
- le bon vieux courrier papier, que personne ne soupçonne d’être lui aussi un « phishing », avec cette importante campagne de facture Office Pro [9] qui est arrivée dans de nombreuses boîtes aux lettres d’établissements de santé.
Envoyez-nous des cartes postales !
Vous êtes en vacances, alors soyez sympa, envoyez-nous des cartes postales ! Mais avant cela, une petite vérification de la version de votre serveur de messagerie peut s’avérer pertinente afin d’éviter un retour à l’expéditeur. En effet, ces derniers mois ont été riches en vulnérabilités sur les serveurs de messagerie.
- Deux vulnérabilités critiques dans Exchange permettant de réaliser une élévation de privilèges jusqu’à obtenir les droits administrateur du domaine ont été corrigées au mois de février [10]. Ce mois-ci, pour atténuer une vulnérabilité dans OWA, Microsoft recommande de bloquer les images au format SVG. Heureusement que les ingénieurs de Microsoft n’ont pas fait d’AMOA sur le plan Vigipirate, sinon plus personne ne pouvait passer les ports des services d’urgences français….
- En mars, une dose de crème solaire pour éviter le coup de soleil sur Zimbra était mise à disposition, et venait palier à une vulnérabilité activement exploitée [11] sous les sunlights des tropiques.
- Au mois juin, l’ANSSI déclenchait le plan ORSEC sur une vulnérabilité impactant le serveur de messagerie Exim, qui permettrait à un attaquant d’exécuter du code arbitraire à distance directement via SMTP [12].
La croisière s’amuse… ou pas
Pour éviter que votre infra Hyper-V...ulnérable finisse comme le Costa Concordia, si vous n’avez pas collé de rustines depuis longtemps sur le rafiot Hyper-V, je vous invite à jeter un œil au patch tuesday de juin et aux trois vulnérabilités critiques [13] corrigées, permettant d’exécuter du code arbitraire sur le serveur hôte depuis une VM ! De quoi faire froid dans le dos, malgré ces fortes chaleurs...
Bonnes vacances malgré tout !
[1] https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2019-0785
[2] https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
[3] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-1001
[4] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-010/
[5] https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-22/
[6] https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0791
[7] https://www.forum-sih.fr/viewtopic.php?f=5&t=1103
[9] https://www.forum-sih.fr/viewtopic.php?f=5&t=1268&p=4924#p4924
[10] https://www.forum-sih.fr/viewtopic.php?f=78&t=1179#p4389
[11] https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html
[12] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-009/
[13] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0620
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0709
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0722
Avez-vous apprécié ce contenu ?
A lire également.

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie
27 juin 2025 - 14:47,
Actualité
- DSIHL’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...