Cybersécurité : 2020 démarre sur les chapeaux de roues !

Des vulnérabilités qui partent dans tous les sens, des attaques qui arrivent de partout et des RSSI ainsi que des équipes IT qui auront bien du mal à tout contenir.
Le CERT-FR de l’ANSSI a ouvert 6 alertes en 11 jours, de quoi éliminer intégralement, la dinde, la bûche, les chocolats et la galette avant même de passer aux crêpes.

Oser mettre un pied dans la jungle du Web est presque devenu une « mission suicide » !
Une vulnérabilité activement exploitée, permettant d’exécuter du code arbitraire à distance, a été corrigée en urgence dans Firefox le 8 janvier [2].
Google Chrome tente de limiter les dégâts liés à la vulnérabilité CVE-2020-601 de Windows dans son dernier correctif publié le 16 [3].
Quant à Internet Explorer, il est tout bonnement interdit de séjour, puisque Microsoft a annoncé le 17 [4], la vulnérabilité CVE-2020-0674 affectant la bibliothèque Jscript.dll, une vulnérabilité activement exploitée et pour laquelle aucun correctif de sécurité n’est disponible pour le moment. La seule solution d’atténuation proposée est de restreindre l’accès à la bibliothèque. Mais attention, il faudra faire marche arrière pour appliquer le correctif de sécurité à venir.
Le Web tremble tellement, que même le moteur de recherche de Google devient dyslexique et se met à mélanger les noms de domaines dans ses résultats [5].

Le célèbre « patch tuesday » de Microsoft publié le 14 janvier, n’a pas épargné nos pauvres défenses immunitaires, affaiblies par les virus de l’hiver.
La vulnérabilité CVE-2020-601 [6] impactant la fonction de vérification de validité des certificats numériques de la bibliothèque CryptoAPI embarquée par Windows pourrait permettre à un attaquant de signer numériquement un logiciel malveillant en le faisant passer pour légitime et atteindre la confidentialité et l’intégrité des données. Il est à noter que cette vulnérabilité a été gracieusement reportée par la NSA, qui ne l’a très certainement jamais utilisée pour espionner qui que ce soit, ni échappée dans la nature…

Des preuves de concept (POC) [7] sont d’ores et déjà disponible, donc autant dire, qu’il ne faudra pas tarder à appliquer le correctif de sécurité si ce n’est pas déjà fait.
La société suisse Kudelsik Security, propose même de tester en ligne la présence de la vulnérabilité.
Pour cela, il suffit d’ouvrir la page suivante, qui ajoute en cache sur la machine un certificat permettant l’exploitation de la vulnérabilité :

https://usertrustecccertificationauthority-ev.comodoca.com/

Puis d’ouvrir la page suivante :

https://chainoffools.kudelskisecurity.com/

Si la page s’affiche sans problème dans IE ou Edge, cela veut dire que la machine est vulnérable.

Les solutions de type bureau à distance vont nous donner envie de ne plus jamais nous rendre au bureau. Une vulnérabilité qui pourrait permettre une exécution de code arbitraire à distance, annoncée sans correctif le 17 décembre [8], affectant les solutions Citrix Application Delivery Controller, Citrix Gateway et Netscaler est désormais largement exploitée [9] et des POCs publics sont disponibles [10]. Il est à noter que les correctifs arrivent cette semaine [11].

Côté Microsoft, clients [12] et serveurs (RD Gateway) [13] ont été patchés pour des vulnérabilités de type exécution de code arbitraire à distance affectant l’implémentation du protocole RDP (oui encore...).

Comble pour un VPN dont le but est de chiffrer les communications, la ribambelle de vulnérabilités publiées en avril 2019 [14] dans les produits Pulse Secure, est aujourd’hui utilisée pour déployer le rançongiciel Sodinokibi (REvil) [15] qui permettra de chiffrer les données des victimes.

Si vous vous demandez comment se porte le rançongiciel Criptomix Clop, qui a fait tant de misères au CHU de Rouen, c’est gentil de penser à lui, il se porte bien et s’améliore avec le temps, il peut désormais arrêter 663 processus qui pourrait le gêner dans sa quête du chiffrement de vos données [16].

Une vulnérabilité dans les Vmware Tools pourrait permettre à un attaquant de réaliser une élévation de privilèges sur une machine virtuelle Windows. Toutes les versions 10.X sont concernées, VMWare recommande le passage en V11 [17].

Et pour finir en beauté, un jeune administrateur systèmes et réseaux, employé d’un hôpital britannique a été condamné à 12 mois de travaux d’intérêt général pour avoir siphonner les données des patients et agents de son établissement depuis un VPN monté depuis son domicile [18].

Je ne sais pas vous, mais moi, je suis déjà pressé que l’année se termine...

[1] https://www.apssis.com/le-congres-2020/programme.html

 [2] https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-003/

[3] https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html

[4] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200001

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-006/

[5] https://www.bortzmeyer.org/google-inverse-noms.html

[6] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0601

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-004/

[7] https://github.com/kudelskisecurity/chainoffools

https://github.com/ollypwn/CVE-2020-0601

[8] https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/

[9] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-002/

[10] https://github.com/trustedsec/cve-2019-19781

https://github.com/projectzeroindia/CVE-2019-19781

https://youtu.be/5U5Hk2CzIAk

[11] https://www.citrix.com/blogs/2020/01/19/vulnerability-update-first-permanent-fixes-available-timeline-accelerated/

[12] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0611

[13] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0609

https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0610

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-005/

[14] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

[15] https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-001/

[16] https://raw.githubusercontent.com/k-vitali/Malware-Misc-RE/master/2019-12-28-clop-cryptomix-ransomware-notes-vk.raw

[17] https://www.vmware.com/security/advisories/VMSA-2020-0002.html

[18] https://www.dailymail.co.uk/news/article-7898807/Hospital-administrator-sacked-using-NHS-computer-download-10-000-records-spared-jail.html