Il est fréquent que je vous prévienne de faille de sécurité à combler. Et bien ce n’est pas pour rien, les pirates ne perdront pas l’occasion de se faufiller et d’exploiter l’un de ses failles. La faille est souvent humaine, mais pas que, voici quatre failles qui ont été énormément utilisé cette année. Alors n’hésitez pas, patcher vos systèmes !!
En 2020, l’augmentation d’attaque par ransomware est énorme, et le covid-19 n’y est pas pour rien. Le télétravail a été plus que jamais mis en place, mais la sécurité pas toujours en place. D’après une récente étude semestrielle de Check Point Software Technologies, « avec la pandémie, les attaques de malwares exploitant des techniques d’ingénierie sociale sur le thème du Covid-19 se sont multipliées ». De nombreux noms de domaine faisant référence à la pandémie ont été créés. Et à mesure que les travailleurs distants ont commencé à utiliser des plates-formes de vidéoconférence, les attaques se sont déplacées vers Zoom, Teams et d’autres plates-formes de vidéoconférence.
D’après ce rapport, 80 % des attaques observées au cours du premier semestre 2020 ont exploité des vulnérabilités signalées et enregistrées en 2017 et avant, et plus de 20 % des attaques ont exploité des vulnérabilités découvertes il y a sept ans au moins. C’est énorme ! Et ça montre quoi ? Et bien que les entreprises ne prennent pas les mesures niveau sécurité des systèmes d’informations. Voici un exemple conret, avec les quatre principales faille de sécurité exploités.
Vulnérabilité CVE-2019-19781 : Citrix Application Delivery Controller
La vulnérabilité CVE-2019-19781 affecte les solutions d’accès à distance de Citrix. Rendue publique en décembre 2019, un patch est disponible depuis janvier 2020. Les attaquants utilisent les vulnérabilités de Citrix comme point d’entrée et ciblent ensuite d’autres failles Windows pour obtenir un niveau d’accès supplémentaire. Par exemple, les attaques du ransomware Ragnarok ont exploité cette faille pour s’introduire dans le réseau et télécharger un outil natif utilisé par Windows Certificate Services.
Les attaquants ont ensuite exécuté le code since1969.exe téléchargé, localisé dans C:\Users\Public, et ont supprimé l’URL du cache du certificat de l’utilisateur. Pour vérifier que vos appareils Citrix Gateway ne sont pas affectés par cette vulnérabilité, téléchargez et exécutez l’outil de scan FireEye/Citrix disponible sur GitHub. Cette vulnérabilité a été exploitée par des ransomwares comme Sodinokibi/REvil, Ragnarok, DopplePaymer, Maze, CLOP, Nephilim et surement d’autres… L’utilisation de technologies d’accès à distance, notamment RDP et VPN, a entraîné une forte augmentation des attaques par force brute du RDP.
Vulnérabilité CVE-2019-11510 dans Pulse Connect Secure
Cette année, la vulnérabilité CVE-2019-11510 a été utilisée et exploitée par de nombreux cybercriminels pour mener différents types d’attaques. Le VPN Pulse Secure fournit des connexions VPN aux réseaux, et l’utilisation du logiciel a augmenté de façon spectaculaire, une progression directement liée à la multiplication du télétravail. C’est ce qu’indiquait un article de blog de Microsoft en avril : « REvil (également appelé Sodinokibi) a gagné en notoriété pour s’introduire dans les réseaux des fournisseurs de services managés (MSP) et accéder aux documents des clients. Le ciblage des MSP s’est poursuivi pendant la crise du Covid-19, et s’est étendu à d’autres secteurs, comme des institutions gouvernementales locales ».
La brèche a également été utilisée pour voler et diffuser les mots de passe de plus de 900 serveurs VPN d’entreprise. En juin, les attaques du ransomware Black Kingdom ont également exploité la vulnérabilité Pulse VPN pour lancer une attaque qui a permis de compromettre une tâche légitime programmée pour Google Chrome.
Vulnérabilité CVE 2012-0158 dans Microsoft Office Common Controls
La troisième des quatre vulnérabilités ayant servi de vecteur à la majorité des attaques de ransomware en 2020 est une vulnérabilité découverte il y a plusieurs années, en 2012 exactement. La vulnérabilité CVE 2012-0158 a également beaucoup fait parler d’elle en 2019. En mars 2020, des organisations gouvernementales et institutions médicales ont été la cible d’attaques visant à exploiter cette vulnérabilité. Les attaquants ont envoyé « un document au format RTF (rich text format) dénommé 20200323-sitrep-63-covid-19.doc, qui, une fois ouvert, essayait de livrer le ransomware EDA2 en exploitant une vulnérabilité connue de débordement de tampon (CVE-2012-0158) dans les contrôles ActiveX ListView / TreeView de la bibliothèque MSCOMCTL.OCX de Microsoft ».
Vulnérabilité CVE-2018-8453 dans les composants Windows Win32k
Découverte en 2018, la vulnérabilité CVE-2018-8453 affecte le composant win32k.sys de Windows. La compagnie d’électricité brésilienne Light S.A a été la cible d’un ransomware qui a utilisé la vulnérabilité pour gagner des privilèges en tirant partie des exploits 32 et 64 bits du composant Win32k de Windows. Le nombre et l’âge des vulnérabilités utilisées par ces attaques inquiètent de plus en plus les spécialistes de la sécurité. Cette tendance montre qu’il est temps pour les entreprises de revoir les processus de gestion de leurs correctifs, de s’assurer qu’elles corrigent correctement leurs points d’entrée et de rechercher des vulnérabilités plus anciennes qui n’auraient pas été repérées par les outils d’application des correctifs.
Plusieurs questions méritent d’être posées : l’entreprise a-t-elle multiplié ses points d’accès en raison de la pandémie ? A-t-elle passé en revue ses points d’accès pour s’assurer qu’ils sont correctement protégés et surveillés ? A-t-elle renforcé ses processus de télémétrie et de service d’assistance afin d’être alertée des problèmes avant qu’ils ne surviennent ? Il est important de prendre du recul et de faire le point sur la situation actuelle, de se demander comment améliorer ses processus d’applications de correctifs, mieux communiquer et mieux se protéger.
