Publicité en cours de chargement...

Publicité en cours de chargement...

Cybersécurité : 2020 démarre sur les chapeaux de roues !

21 jan. 2020 - 10:32,
Tribune - Charles Blanc-Rolin
Je ne sais pas encore à quelle vitesse va nous propulser l’année 2020 jusqu’au 24 heures du Mans de l’APSSIS [1], mais l’on peut dire que l’année démarre en trombe !  

Des vulnérabilités qui partent dans tous les sens, des attaques qui arrivent de partout et des RSSI ainsi que des équipes IT qui auront bien du mal à tout contenir.
Le CERT-FR de l’ANSSI a ouvert 6 alertes en 11 jours, de quoi éliminer intégralement, la dinde, la bûche, les chocolats et la galette avant même de passer aux crêpes.

Oser mettre un pied dans la jungle du Web est presque devenu une « mission suicide » !
Une vulnérabilité activement exploitée, permettant d’exécuter du code arbitraire à distance, a été corrigée en urgence dans Firefox le 8 janvier [2].
Google Chrome tente de limiter les dégâts liés à la vulnérabilité CVE-2020-601 de Windows dans son dernier correctif publié le 16 [3].
Quant à Internet Explorer, il est tout bonnement interdit de séjour, puisque Microsoft a annoncé le 17 [4], la vulnérabilité CVE-2020-0674 affectant la bibliothèque Jscript.dll, une vulnérabilité activement exploitée et pour laquelle aucun correctif de sécurité n’est disponible pour le moment. La seule solution d’atténuation proposée est de restreindre l’accès à la bibliothèque. Mais attention, il faudra faire marche arrière pour appliquer le correctif de sécurité à venir.
Le Web tremble tellement, que même le moteur de recherche de Google devient dyslexique et se met à mélanger les noms de domaines dans ses résultats [5].

Le célèbre « patch tuesday » de Microsoft publié le 14 janvier, n’a pas épargné nos pauvres défenses immunitaires, affaiblies par les virus de l’hiver.
La vulnérabilité CVE-2020-601 [6] impactant la fonction de vérification de validité des certificats numériques de la bibliothèque CryptoAPI embarquée par Windows pourrait permettre à un attaquant de signer numériquement un logiciel malveillant en le faisant passer pour légitime et atteindre la confidentialité et l’intégrité des données. Il est à noter que cette vulnérabilité a été gracieusement reportée par la NSA, qui ne l’a très certainement jamais utilisée pour espionner qui que ce soit, ni échappée dans la nature…


Des preuves de concept (POC) [7] sont d’ores et déjà disponible, donc autant dire, qu’il ne faudra pas tarder à appliquer le correctif de sécurité si ce n’est pas déjà fait.
La société suisse Kudelsik Security, propose même de tester en ligne la présence de la vulnérabilité.
Pour cela, il suffit d’ouvrir la page suivante, qui ajoute en cache sur la machine un certificat permettant l’exploitation de la vulnérabilité :

https://usertrustecccertificationauthority-ev.comodoca.com/

Puis d’ouvrir la page suivante :

https://chainoffools.kudelskisecurity.com/

Si la page s’affiche sans problème dans IE ou Edge, cela veut dire que la machine est vulnérable.

Les solutions de type bureau à distance vont nous donner envie de ne plus jamais nous rendre au bureau. Une vulnérabilité qui pourrait permettre une exécution de code arbitraire à distance, annoncée sans correctif le 17 décembre [8], affectant les solutions Citrix Application Delivery Controller, Citrix Gateway et Netscaler est désormais largement exploitée [9] et des POCs publics sont disponibles [10]. Il est à noter que les correctifs arrivent cette semaine [11].

Côté Microsoft, clients [12] et serveurs (RD Gateway) [13] ont été patchés pour des vulnérabilités de type exécution de code arbitraire à distance affectant l’implémentation du protocole RDP (oui encore...).

Comble pour un VPN dont le but est de chiffrer les communications, la ribambelle de vulnérabilités publiées en avril 2019 [14] dans les produits Pulse Secure, est aujourd’hui utilisée pour déployer le rançongiciel Sodinokibi (REvil) [15] qui permettra de chiffrer les données des victimes.

Si vous vous demandez comment se porte le rançongiciel Criptomix Clop, qui a fait tant de misères au CHU de Rouen, c’est gentil de penser à lui, il se porte bien et s’améliore avec le temps, il peut désormais arrêter 663 processus qui pourrait le gêner dans sa quête du chiffrement de vos données [16].

Une vulnérabilité dans les Vmware Tools pourrait permettre à un attaquant de réaliser une élévation de privilèges sur une machine virtuelle Windows. Toutes les versions 10.X sont concernées, VMWare recommande le passage en V11 [17].

Et pour finir en beauté, un jeune administrateur systèmes et réseaux, employé d’un hôpital britannique a été condamné à 12 mois de travaux d’intérêt général pour avoir siphonner les données des patients et agents de son établissement depuis un VPN monté depuis son domicile [18].

Je ne sais pas vous, mais moi, je suis déjà pressé que l’année se termine...

 


[1] https://www.apssis.com/le-congres-2020/programme.html

 [2] https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-003/

[3] https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html

[4] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200001

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-006/

[5] https://www.bortzmeyer.org/google-inverse-noms.html

[6] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0601

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-004/

[7] https://github.com/kudelskisecurity/chainoffools

https://github.com/ollypwn/CVE-2020-0601

[8] https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/

[9] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-002/

[10] https://github.com/trustedsec/cve-2019-19781

https://github.com/projectzeroindia/CVE-2019-19781

https://youtu.be/5U5Hk2CzIAk

[11] https://www.citrix.com/blogs/2020/01/19/vulnerability-update-first-permanent-fixes-available-timeline-accelerated/

[12] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0611

[13] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0609

https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0610

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-005/

[14] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

[15] https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-001/

[16] https://raw.githubusercontent.com/k-vitali/Malware-Misc-RE/master/2019-12-28-clop-cryptomix-ransomware-notes-vk.raw

[17] https://www.vmware.com/security/advisories/VMSA-2020-0002.html

[18] https://www.dailymail.co.uk/news/article-7898807/Hospital-administrator-sacked-using-NHS-computer-download-10-000-records-spared-jail.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration IA et santé : cap sur une cybersécurité consolidée et proactive

IA et santé : cap sur une cybersécurité consolidée et proactive

18 juin 2025 - 10:57,

Communiqué

- Trend Micro

Le secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Illustration Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

16 juin 2025 - 22:18,

Actualité

- Damien Dubois, DSIH

Le 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Illustration Et c’est l’heure de notre quiz annuel

Et c’est l’heure de notre quiz annuel

16 juin 2025 - 22:10,

Tribune

-
Cédric Cartau

Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.