OMIGOD : Vulnérabilités dans les machines virtuelles Linux Azure
Après la découverte de la vulnérabilité cloud ChoasDB le mois dernier, les chercheurs en sécurité de Wiz révèlent cette semaine plusieurs vulnérabilités permettant de l’exécution de code sur des machines virtuelle Linux Azure.
Connues sous le nom d’OMIGOD, ce sont au total quatre failles qui affectent l’agent logiciel de gestion informatique Open Management Infrastructure (OMI) installé silencieusement sur les machines Azure Linux.
La première (CVE-2021-38647) est une RCE non authentifiée en tant que root. Les trois autres vulnérabilités, quant à elles, permettent une escalade de privilèges (CVE-2021-38648, CVE-2021-38645, CVE-2021-38649).
La trivialité d’exploitation de la RCE surprend en 2021 : il suffit de supprimer l’entête d’authentification d’un paquet pour devenir root sur une machine distante.
Une version d’OMI corrigée a été mise à disposition par Microsoft afin de contrer ces vulnérabilités.
Patch Tuesday : Correction de la faille MSHTML
Cette semaine, à l’occasion de sont traditionnel Patch Tuesday, Microsoft corrige, entre autres, une vulnérabilité de type zero-day permettant une exécution de code à distance dans MSHTML, un composant logiciel utilisé pour afficher des pages Web sous Windows. Bien qu’il soit le plus souvent associé à Internet Explorer, il est également utilisé dans d’autres logiciels, notamment les versions de Skype, Microsoft Outlook, Visual Studio et autres. Ainsi, un des vecteurs d’attaques consiste à amener un utilisateur à ouvrir un document Office malveillant intégrant un contrôle ActiveX. Le contrôle ActiveX ainsi chargé peut alors exécuter du code arbitraire pour infecter le système avec cible.
Du fait de campagnes actives identifiées en août et malgré l’absence d’un correctif à ce stade, Microsoft divulguait le 7 septembre dernier la vulnérabilité (CVE-2021-40444) ainsi que des mesures d’atténuation pour empêcher son exploitation, consistant notamment à bloquer les contrôles ActiveX. Très vite des contournements ont été démontré possibles et des acteurs malveillants ont publié sur des forums les instructions pour forger des documents permettant l’exploitation de la vulnérabilité.
Une analyse des attaques par l’équipe Microsoft 365 Defender Threat Intelligence montre en effet un regain des tentatives d’exploitation suite à la publication par Microsoft. L’équipe de sécurité garde toujours à ce jour un œil sur la situation.
FORCEDENTRY : Correction en urgence par Apple
Apple vient de corriger en urgence la faille CVE-2021-30860 repérée par les chercheurs en sécurité de The Citizen Lab. Exploitée depuis au moins février, cette vulnérabilité baptisée FORCEDENTRY permet d’infecter un iPhone sans intervention de l’utilisateur (« zero click »), à travers iMessages, la messagerie instantanée d’iOS.
L’attaque passe par la conception d’un PDF vérolé qui, au moment du traitement sur l’iPhone, peut exécuter du code arbitraire sur l’appareil. Elle s’appuie notamment sur un dépassement d’entier dans la librairie de rendu graphique CoreGraphics.
FORCEDENTRY contourne les protections BlastDoor introduites par iOS 14, conçue par Apple pour protéger les utilisateurs contre les intrusions zero-click comme celle-ci.
Cette vulnérabilité a notamment été utilisée par le logiciel espion Pegasus développé par l’entreprise NSO Group. Les chercheurs l’avait notamment détectée dans le smartphone d’un activiste saoudien.
AP-HP : Une cyberattaque conduit à un vol massif de données de santé
Cette semaine, les hôpitaux publics de Paris ont déclaré avoir été victime d’une attaque informatique durant l’été. Les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Île-de-France en 2020, ont ainsi été dérobées.
Ces données comprennent identité, numéro de sécurité sociale et les coordonnées des personnes testées, identité et coordonnées des professionnels de santé les prenant en charge, ainsi que les caractéristiques et le résultat du test réalisé.
L’attaque aurait exploité une faille de sécurité de l’outil de partage de fichiers déployée de manière ponctuelle par l’AP-HP pour venir pallier les problèmes de transmission rencontrés par le système d’information national de dépistage (SI-DEP).
Y’a plus, je laisse ?
En bref :
- Microsoft semble enfin venir à bout de la série de vulnérabilités PrintNightmare avec le dernier correctif publié.
- Une RCE non authentifiée affecte des babyphones Motorola.
- Le réseau du ministère de la Justice d’Afrique du Sud a été victime d’un ransomware.