Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Cybersécurité : 2020 démarre sur les chapeaux de roues !

21 jan. 2020 - 10:32,
Tribune - Charles Blanc-Rolin
Je ne sais pas encore à quelle vitesse va nous propulser l’année 2020 jusqu’au 24 heures du Mans de l’APSSIS [1], mais l’on peut dire que l’année démarre en trombe !  

Des vulnérabilités qui partent dans tous les sens, des attaques qui arrivent de partout et des RSSI ainsi que des équipes IT qui auront bien du mal à tout contenir.
Le CERT-FR de l’ANSSI a ouvert 6 alertes en 11 jours, de quoi éliminer intégralement, la dinde, la bûche, les chocolats et la galette avant même de passer aux crêpes.

Oser mettre un pied dans la jungle du Web est presque devenu une « mission suicide » !
Une vulnérabilité activement exploitée, permettant d’exécuter du code arbitraire à distance, a été corrigée en urgence dans Firefox le 8 janvier [2].
Google Chrome tente de limiter les dégâts liés à la vulnérabilité CVE-2020-601 de Windows dans son dernier correctif publié le 16 [3].
Quant à Internet Explorer, il est tout bonnement interdit de séjour, puisque Microsoft a annoncé le 17 [4], la vulnérabilité CVE-2020-0674 affectant la bibliothèque Jscript.dll, une vulnérabilité activement exploitée et pour laquelle aucun correctif de sécurité n’est disponible pour le moment. La seule solution d’atténuation proposée est de restreindre l’accès à la bibliothèque. Mais attention, il faudra faire marche arrière pour appliquer le correctif de sécurité à venir.
Le Web tremble tellement, que même le moteur de recherche de Google devient dyslexique et se met à mélanger les noms de domaines dans ses résultats [5].

Le célèbre « patch tuesday » de Microsoft publié le 14 janvier, n’a pas épargné nos pauvres défenses immunitaires, affaiblies par les virus de l’hiver.
La vulnérabilité CVE-2020-601 [6] impactant la fonction de vérification de validité des certificats numériques de la bibliothèque CryptoAPI embarquée par Windows pourrait permettre à un attaquant de signer numériquement un logiciel malveillant en le faisant passer pour légitime et atteindre la confidentialité et l’intégrité des données. Il est à noter que cette vulnérabilité a été gracieusement reportée par la NSA, qui ne l’a très certainement jamais utilisée pour espionner qui que ce soit, ni échappée dans la nature…


Des preuves de concept (POC) [7] sont d’ores et déjà disponible, donc autant dire, qu’il ne faudra pas tarder à appliquer le correctif de sécurité si ce n’est pas déjà fait.
La société suisse Kudelsik Security, propose même de tester en ligne la présence de la vulnérabilité.
Pour cela, il suffit d’ouvrir la page suivante, qui ajoute en cache sur la machine un certificat permettant l’exploitation de la vulnérabilité :

https://usertrustecccertificationauthority-ev.comodoca.com/

Puis d’ouvrir la page suivante :

https://chainoffools.kudelskisecurity.com/

Si la page s’affiche sans problème dans IE ou Edge, cela veut dire que la machine est vulnérable.

Les solutions de type bureau à distance vont nous donner envie de ne plus jamais nous rendre au bureau. Une vulnérabilité qui pourrait permettre une exécution de code arbitraire à distance, annoncée sans correctif le 17 décembre [8], affectant les solutions Citrix Application Delivery Controller, Citrix Gateway et Netscaler est désormais largement exploitée [9] et des POCs publics sont disponibles [10]. Il est à noter que les correctifs arrivent cette semaine [11].

Côté Microsoft, clients [12] et serveurs (RD Gateway) [13] ont été patchés pour des vulnérabilités de type exécution de code arbitraire à distance affectant l’implémentation du protocole RDP (oui encore...).

Comble pour un VPN dont le but est de chiffrer les communications, la ribambelle de vulnérabilités publiées en avril 2019 [14] dans les produits Pulse Secure, est aujourd’hui utilisée pour déployer le rançongiciel Sodinokibi (REvil) [15] qui permettra de chiffrer les données des victimes.

Si vous vous demandez comment se porte le rançongiciel Criptomix Clop, qui a fait tant de misères au CHU de Rouen, c’est gentil de penser à lui, il se porte bien et s’améliore avec le temps, il peut désormais arrêter 663 processus qui pourrait le gêner dans sa quête du chiffrement de vos données [16].

Une vulnérabilité dans les Vmware Tools pourrait permettre à un attaquant de réaliser une élévation de privilèges sur une machine virtuelle Windows. Toutes les versions 10.X sont concernées, VMWare recommande le passage en V11 [17].

Et pour finir en beauté, un jeune administrateur systèmes et réseaux, employé d’un hôpital britannique a été condamné à 12 mois de travaux d’intérêt général pour avoir siphonner les données des patients et agents de son établissement depuis un VPN monté depuis son domicile [18].

Je ne sais pas vous, mais moi, je suis déjà pressé que l’année se termine...

 


[1] https://www.apssis.com/le-congres-2020/programme.html

 [2] https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-003/

[3] https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html

[4] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200001

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-006/

[5] https://www.bortzmeyer.org/google-inverse-noms.html

[6] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0601

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-004/

[7] https://github.com/kudelskisecurity/chainoffools

https://github.com/ollypwn/CVE-2020-0601

[8] https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/

[9] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-002/

[10] https://github.com/trustedsec/cve-2019-19781

https://github.com/projectzeroindia/CVE-2019-19781

https://youtu.be/5U5Hk2CzIAk

[11] https://www.citrix.com/blogs/2020/01/19/vulnerability-update-first-permanent-fixes-available-timeline-accelerated/

[12] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0611

[13] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0609

https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0610

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-005/

[14] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

[15] https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-001/

[16] https://raw.githubusercontent.com/k-vitali/Malware-Misc-RE/master/2019-12-28-clop-cryptomix-ransomware-notes-vk.raw

[17] https://www.vmware.com/security/advisories/VMSA-2020-0002.html

[18] https://www.dailymail.co.uk/news/article-7898807/Hospital-administrator-sacked-using-NHS-computer-download-10-000-records-spared-jail.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.