Publicité en cours de chargement...
Cybersécurité : 2020 démarre sur les chapeaux de roues !
Des vulnérabilités qui partent dans tous les sens, des attaques qui arrivent de partout et des RSSI ainsi que des équipes IT qui auront bien du mal à tout contenir.
Le CERT-FR de l’ANSSI a ouvert 6 alertes en 11 jours, de quoi éliminer intégralement, la dinde, la bûche, les chocolats et la galette avant même de passer aux crêpes.
Oser mettre un pied dans la jungle du Web est presque devenu une « mission suicide » !
Une vulnérabilité activement exploitée, permettant d’exécuter du code arbitraire à distance, a été corrigée en urgence dans Firefox le 8 janvier [2].
Google Chrome tente de limiter les dégâts liés à la vulnérabilité CVE-2020-601 de Windows dans son dernier correctif publié le 16 [3].
Quant à Internet Explorer, il est tout bonnement interdit de séjour, puisque Microsoft a annoncé le 17 [4], la vulnérabilité CVE-2020-0674 affectant la bibliothèque Jscript.dll, une vulnérabilité activement exploitée et pour laquelle aucun correctif de sécurité n’est disponible pour le moment. La seule solution d’atténuation proposée est de restreindre l’accès à la bibliothèque. Mais attention, il faudra faire marche arrière pour appliquer le correctif de sécurité à venir.
Le Web tremble tellement, que même le moteur de recherche de Google devient dyslexique et se met à mélanger les noms de domaines dans ses résultats [5].
Le célèbre « patch tuesday » de Microsoft publié le 14 janvier, n’a pas épargné nos pauvres défenses immunitaires, affaiblies par les virus de l’hiver.
La vulnérabilité CVE-2020-601 [6] impactant la fonction de vérification de validité des certificats numériques de la bibliothèque CryptoAPI embarquée par Windows pourrait permettre à un attaquant de signer numériquement un logiciel malveillant en le faisant passer pour légitime et atteindre la confidentialité et l’intégrité des données. Il est à noter que cette vulnérabilité a été gracieusement reportée par la NSA, qui ne l’a très certainement jamais utilisée pour espionner qui que ce soit, ni échappée dans la nature…
Des preuves de concept (POC) [7] sont d’ores et déjà disponible, donc autant dire, qu’il ne faudra pas tarder à appliquer le correctif de sécurité si ce n’est pas déjà fait.
La société suisse Kudelsik Security, propose même de tester en ligne la présence de la vulnérabilité.
Pour cela, il suffit d’ouvrir la page suivante, qui ajoute en cache sur la machine un certificat permettant l’exploitation de la vulnérabilité :
https://usertrustecccertificationauthority-ev.comodoca.com/
Puis d’ouvrir la page suivante :
https://chainoffools.kudelskisecurity.com/
Si la page s’affiche sans problème dans IE ou Edge, cela veut dire que la machine est vulnérable.
Les solutions de type bureau à distance vont nous donner envie de ne plus jamais nous rendre au bureau. Une vulnérabilité qui pourrait permettre une exécution de code arbitraire à distance, annoncée sans correctif le 17 décembre [8], affectant les solutions Citrix Application Delivery Controller, Citrix Gateway et Netscaler est désormais largement exploitée [9] et des POCs publics sont disponibles [10]. Il est à noter que les correctifs arrivent cette semaine [11].
Côté Microsoft, clients [12] et serveurs (RD Gateway) [13] ont été patchés pour des vulnérabilités de type exécution de code arbitraire à distance affectant l’implémentation du protocole RDP (oui encore...).
Comble pour un VPN dont le but est de chiffrer les communications, la ribambelle de vulnérabilités publiées en avril 2019 [14] dans les produits Pulse Secure, est aujourd’hui utilisée pour déployer le rançongiciel Sodinokibi (REvil) [15] qui permettra de chiffrer les données des victimes.
Si vous vous demandez comment se porte le rançongiciel Criptomix Clop, qui a fait tant de misères au CHU de Rouen, c’est gentil de penser à lui, il se porte bien et s’améliore avec le temps, il peut désormais arrêter 663 processus qui pourrait le gêner dans sa quête du chiffrement de vos données [16].
Une vulnérabilité dans les Vmware Tools pourrait permettre à un attaquant de réaliser une élévation de privilèges sur une machine virtuelle Windows. Toutes les versions 10.X sont concernées, VMWare recommande le passage en V11 [17].
Et pour finir en beauté, un jeune administrateur systèmes et réseaux, employé d’un hôpital britannique a été condamné à 12 mois de travaux d’intérêt général pour avoir siphonner les données des patients et agents de son établissement depuis un VPN monté depuis son domicile [18].
Je ne sais pas vous, mais moi, je suis déjà pressé que l’année se termine...
[1] https://www.apssis.com/le-congres-2020/programme.html
[2] https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-003/
[3] https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html
[4] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200001
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-006/
[5] https://www.bortzmeyer.org/google-inverse-noms.html
[6] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0601
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-004/
[7] https://github.com/kudelskisecurity/chainoffools
https://github.com/ollypwn/CVE-2020-0601
[8] https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/
[9] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-002/
[10] https://github.com/trustedsec/cve-2019-19781
https://github.com/projectzeroindia/CVE-2019-19781
[12] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0611
[13] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0609
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0610
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-005/
[14] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-001/
[17] https://www.vmware.com/security/advisories/VMSA-2020-0002.html
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.