Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/012 Date de l’alerte: 10/06/2020 TLP: White   Aperçu de la menace Libellée CVE-2020-1206, SMBleed est une nouvelle vulnérabilité critique affectant le protocole Server Message Block (SMB) qui pourrait permettre à un attaquant de divulguer la mémoire du noyau à distance. Lorsqu'elle est combinée avec le bogue SMBGhost, la faille peut être exploitée pour réaliser des attaques d'exécution de code à distance. Le bogue SMBGhost s'est produit en raison du manque de vérifications de dépassement d'entier mais il a été récemment corrigé par Microsoft.   Description Surnommée SMBleed par la firme de cybersécurité ZecOps, la faille réside dans la fonction de décompression de SMB, la même fonction qu'avec SMBGhost, qui exposerait les systèmes Windows vulnérables aux attaques de logiciels malveillants pouvant se propager sur les réseaux. SMB, qui s'exécute sur le port TCP 445, est un protocole réseau…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/011 Date de l’alerte: 10/06/2020 TLP: White   Aperçu de la menace Les vulnérabilités Zoom libellées CVE-2020-6109 et CVE-2020-6110 et toutes deux de niveau de gravité élevé, ont été décrites comme des problèmes de traversée de chemin (path traversal) qui pourraient conduire à l’exécution de code à distance. CVE-2020-6110 affecte Zoom 4.6.10, 4.6.11 et probablement ses versions antérieures, et CVE-2020-6109 n'affecte que 4.6.10 et versions antérieures.   Description Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la collaboration mobile à l'aide d'applications closed-source. Deux nouvelles vulnérabilités ont été récemment découvertes sur l’application de collaboration vidéo Zoom: CVE-2020-6109 : L’exploitation de CVE-2020-6109 est liée à la façon dont Zoom traite les fichiers d'images GIF. Cette vulnérabilité permet à un attaquant d'envoyer un message spécialement conçu à un…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/010 Date de l’alerte: 04/04/2020 TLP: White   Aperçu de la menace L'utilisation de Zoom et des services de téléconférence a amplifié ces dernières semaines ceci due à la pandémie créée par le COVID-19. En effet, les entreprises, les écoles, les gouvernements et les particuliers se sont tournées vers les solutions de téléconférences comme moyen de maintenir les activités tout en en travaillant à domicile. Cependant, ce changement représente également une opportunité pour les attaquants. De multiples vulnérabilités ont été découvertes sur l’application de collaboration vidéo Zoom telles que le ZoomBombing, un Zéro Day qui permet de subtiliser les identifiants utilisateurs, des d’exécution du code à distance et l’absence de chiffrement de bout en bout.   Description Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/009 Date de l’alerte: 20/03/2020 TLP: White   Aperçu de la menace Mespinoza ou Pysa est une menace de rançongiciel récemment découverte. Après avoir analysé cette menace, il n’est pas encore possible de la lier à l'une des familles de rançongiciels existantes et ni de déterminer son origine à ce jour. Mespinoza,/ Pysa constitue une cybermenace particulièrement grave au même degré que WannaCry.   Description En activité depuis Octobre 2018, Mespinosa / Pysa utilise des programmes malveillants, rendant les fichiers de la machine infectée inutilisable. Ses premières versions produisent des fichiers avec l’extension «. locked » et récemment en Décembre 2019,  la deuxième version chiffre les fichiers avec l’extension « .pysa » Le rançon logiciel se présente sous trois versions à ce jour : Un exécutable exe suivi de scripts en « .bat » qui copient l'exe dans le dossier c:\windows\temp, qui n'est pas son…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/008 Date de l’alerte: 11/03/2020 TLP: White   Aperçu de la menace Libellée CVE-2020-0768, Microsoft SMBv3 contient une vulnérabilité sur la gestion de la compression : ceci peut permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur un système vulnérable.   Description SMB est un protocole de partage de fichiers réseau qui permet aux ordinateurs clients d'accéder aux fichiers sur des serveurs. La vulnérabilité d'exécution de code à distance existe dans la façon dont le protocole SMB 3.1.1 (SMBv3) gère certaines requêtes.  Grâce à cela, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé ou pourrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de se connecter au serveur avec un client SMBv3. Une attaque réussie permettrait à un attaquant non authentifié d'exécuter du code sur le serveur ou…