Quoi de neuf dans la cyber à l’approche de l’hiver ?

#PETITPAPATCHTUESDAY

Si vous n’avez pas encore jeté un œil sur le patch Tuesday de Microsoft publié la semaine dernière, il serait temps de vous y intéresser de près ! Si ce patch Tuesday de décembre apparaît beaucoup plus maigre que ceux des mois précédents, puisqu’il ne comporte « que » 36 correctifs de sécurité dont « seulement » 7 critiques, il n’en demeure pas moins important.En effet, la vulnérabilité CVE-2019-1458 largement exploitée dans le composant graphique Win32k de Windows, découverte par les chercheurs de Kaspersky [1], peut permettre à un attaquant d’exécuter du code arbitraire en mode noyau sur la machine.La découverte de cette vulnérabilité fait suite à la CVE-2019-13720 [2] affectant le navigateur Google Chrome dans les versions antérieures à la 78.0.3904.87, dont la version correctrice a été publiée en urgence le 31 octobre après la publication d’un premier rapport de Kaspersky [3] sur l’utilisation de cette faille par le groupe d’attaquants connu sous le nom de WizardOpium.

#MONBEAUPCPASPROTÉGÉ

Je ne sais pas si nous pouvons parler d’effet boule de neige ou s’il ne s’agit que d’une pure coïncidence mais, en l’espace de quelques semaines, trois mastodontes de la protection Endpoint ont corrigé d’importantes vulnérabilités dans leurs produits. Le 12 novembre, l’éditeur McAfee publiait un correctif pour la vulnérabilité CVE-2019-3648 [4] pouvant permettre à un attaquant de réaliser une élévation de privilèges. Le 14 novembre, ce fut au tour de Symantec de corriger plusieurs vulnérabilités donnant lieu à l’exécution de codes arbitraires ainsi qu’à une élévation de privilèges. Le 2 décembre, l’éditeur russe Kaspersky patchait ses solutions, affectées par la vulnérabilité CVE-2019-15689, qui pourrait permettre à un attaquant de réaliser une exécution de code arbitraire [5].Ce florilège de vulnérabilités nous rappelle l’importance d’avoir un antivirus à jour. Du fait que les pirates disposent des privilèges les plus élevés sur nos modestes machines, la compromission de celles-ci pourrait leur permettre de prendre le contrôle total du système.

#LEJOUETEXTRAORDINAIRE

Il faisait « Zip » quand il roulait, « Bap » quand il tournait, « Brrr » quand il marchait… mais quand il ne fonctionnait pas correctement, il rendait totalement irrécupérables les données à déchiffrer.L’éditeur Emsisoft annonce dans un article publié le 9 décembre [6] que l’outil de déchiffrement des données pour les dernières versions du rançongiciel Ryuk, fourni par son auteur, pourrait rendre totalement illisibles certains fichiers, tronqués lors de l’opération de déchiffrement réalisée après le paiement de la rançon.Alors, même s’il faut éviter de payer la rançon pour toutes les raisons que vous connaissez déjà, si vous vous aventurez dans cette opération car vous n’avez pas de sauvegarde de vos données originales, pensez à faire une copie de vos données chiffrées avant de lancer le processus de déchiffrement, sait-on jamais… Il y a quand même une morale dans cette histoire : faites des sauvegardes, avec de préférence une version hors ligne.Emsisoft fournit, sur demande, un outil de déchiffrement non bugué à ceux qui auraient payé pour obtenir la clé de déchiffrement.

#MABELLEAMENDERGPD

Après l’hôpital portugais condamné l’an passé à une amende 400 000 euros, l’hôpital hollandais condamné en juillet à 460 000 euros, c’est au tour d’un hôpital allemand du land Rhineland-Palinate d’écoper d’une amende de 105 000 euros pour non-respect du règlement général sur la protection des données [7].

#VIVELESVULNÉRABILITÉSOUBLIÉES

Il y a des vulnérabilités parfois « oubliées » : celles qui affectent des solutions libres, sur lesquelles s’appuient de très nombreuses solutions commerciales, patchées de temps à autre trop tardivement.Le 4 décembre, une mise à jour de sécurité corrigeant plusieurs vulnérabilités permettant notamment de réaliser une élévation de privilèges a été publiée pour les systèmes OpenBSD 6.5 et 6.6 [8]. Un système utilisé dans plusieurs solutions commerciales, certains pare-feu par exemple, qui se retrouve de fait impacté également, et dont les correctifs se font parfois attendre.Il en est de même pour l’excellent outil de lutte contre les courriels indésirables, SpamAssassin, extrêmement présent dans les solutions commerciales, patché le 12 décembre contre deux vulnérabilités permettant de réaliser un déni de service ou une exécution de code arbitraire à distance [9]. Là encore, on peut se demander quand les éditeurs de solutions commerciales vont se mettre à coller les rustines.

#UNNOËLPASJOYEUX

C’est un Noël pas très joyeux qui s’annonce pour les cofondateurs de la société russe NGINX, éditrice du très populaire serveur Web du même nom.Ils semblent en effet avoir été arrêtés par la police russe après que le groupe Rambler, ancien employeur de l’un des deux associés, eut attaqué NGINX et revendiqué les droits d’auteur de l’application [10]. Igor Sysoev était de fait en poste chez Rambler à l’époque où il a commencé à développer l’application. C’est moche.

En attendant les fêtes, restez couverts !

[1] https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/ 
[2] https://cve-2019-13720.com/ 
[3] https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/ 
[4] https://service.mcafee.com/webcenter/portal/oracle/webcenter/page/scopedMD/s55728c97_466d_4ddb_952d_05484ea932c6/Page29.jspx?wc.contextURL=%2Fspaces%2Fcp&articleId=TS102984&_afrLoop=840051961283601&leftWidth=0%25&showFooter=false&showHeader=false&rightWidth=0%25&centerWidth=100%25 
[5] https://support.kaspersky.com/general/vulnerability.aspx?el=12430#021219 
[6] https://blog.emsisoft.com/en/35023/bug-in-latest-ryuk-decryptor-may-cause-data-loss/ 
[7] https://cyberveille-sante.gouv.fr/cyberveille-sante/1535-un-hopital-allemand-condamne-105-000-euros-damende-pour-non-respect-du-rgpd 
[8] https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-606/ 
[9] https://www.forum-sih.fr/viewtopic.php?f=78&t=1358&p=5415#p5415 
[10] https://twitter.com/AntNesterov/status/1205086129504104460/photo/1