Origine: bjCSIRT Numéro: 2020/ALERTE/013 Date de l’alerte: 15/07/2020 TLP: White   Aperçu de la menace  Libellée CVE-2020-1350, la faille d’exécution de code à distance, est une vulnérabilité vieille de 17 ans. Elle permettrait à un attaquant distant et non authentifié d'obtenir des privilèges d'administrateur de domaine sur des serveurs ciblés et de prendre le contrôle total de l'infrastructure informatique d'une organisation. Elle peut être exploitée en envoyant des requêtes DNS malicieuses à un serveur DNS sous Windows.   Description Surnommée SigRed, la faille vieille de 17 ans affecte les serveurs DNS sous Windows. Un attaquant externe peut exploiter la vulnérabilité de SigRed en envoyant des requêtes DNS malveillantes à un serveur DNS sous Windows et d’exécuter du code arbitraire qui pourrait lui permettre d’intercepter et de manipuler les e-mails des utilisateurs, de manipuler le trafic réseau, de rendre les services indisponibles, de collecter les…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/012 Date de l’alerte: 10/06/2020 TLP: White   Aperçu de la menace Libellée CVE-2020-1206, SMBleed est une nouvelle vulnérabilité critique affectant le protocole Server Message Block (SMB) qui pourrait permettre à un attaquant de divulguer la mémoire du noyau à distance. Lorsqu'elle est combinée avec le bogue SMBGhost, la faille peut être exploitée pour réaliser des attaques d'exécution de code à distance. Le bogue SMBGhost s'est produit en raison du manque de vérifications de dépassement d'entier mais il a été récemment corrigé par Microsoft.   Description Surnommée SMBleed par la firme de cybersécurité ZecOps, la faille réside dans la fonction de décompression de SMB, la même fonction qu'avec SMBGhost, qui exposerait les systèmes Windows vulnérables aux attaques de logiciels malveillants pouvant se propager sur les réseaux. SMB, qui s'exécute sur le port TCP 445, est un protocole réseau…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/011 Date de l’alerte: 10/06/2020 TLP: White   Aperçu de la menace Les vulnérabilités Zoom libellées CVE-2020-6109 et CVE-2020-6110 et toutes deux de niveau de gravité élevé, ont été décrites comme des problèmes de traversée de chemin (path traversal) qui pourraient conduire à l’exécution de code à distance. CVE-2020-6110 affecte Zoom 4.6.10, 4.6.11 et probablement ses versions antérieures, et CVE-2020-6109 n'affecte que 4.6.10 et versions antérieures.   Description Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la collaboration mobile à l'aide d'applications closed-source. Deux nouvelles vulnérabilités ont été récemment découvertes sur l’application de collaboration vidéo Zoom: CVE-2020-6109 : L’exploitation de CVE-2020-6109 est liée à la façon dont Zoom traite les fichiers d'images GIF. Cette vulnérabilité permet à un attaquant d'envoyer un message spécialement conçu à un…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/010 Date de l’alerte: 04/04/2020 TLP: White   Aperçu de la menace L'utilisation de Zoom et des services de téléconférence a amplifié ces dernières semaines ceci due à la pandémie créée par le COVID-19. En effet, les entreprises, les écoles, les gouvernements et les particuliers se sont tournées vers les solutions de téléconférences comme moyen de maintenir les activités tout en en travaillant à domicile. Cependant, ce changement représente également une opportunité pour les attaquants. De multiples vulnérabilités ont été découvertes sur l’application de collaboration vidéo Zoom telles que le ZoomBombing, un Zéro Day qui permet de subtiliser les identifiants utilisateurs, des d’exécution du code à distance et l’absence de chiffrement de bout en bout.   Description Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/009 Date de l’alerte: 20/03/2020 TLP: White   Aperçu de la menace Mespinoza ou Pysa est une menace de rançongiciel récemment découverte. Après avoir analysé cette menace, il n’est pas encore possible de la lier à l'une des familles de rançongiciels existantes et ni de déterminer son origine à ce jour. Mespinoza,/ Pysa constitue une cybermenace particulièrement grave au même degré que WannaCry.   Description En activité depuis Octobre 2018, Mespinosa / Pysa utilise des programmes malveillants, rendant les fichiers de la machine infectée inutilisable. Ses premières versions produisent des fichiers avec l’extension «. locked » et récemment en Décembre 2019,  la deuxième version chiffre les fichiers avec l’extension « .pysa » Le rançon logiciel se présente sous trois versions à ce jour : Un exécutable exe suivi de scripts en « .bat » qui copient l'exe dans le dossier c:\windows\temp, qui n'est pas son…