Origine: bjCSIRT Numéro: 2020/ALERTE/015 Date de l’alerte: 21/09/2020 TLP: White   Aperçu de la menace  Libellée CVE-2020-1472, « Zerologon » est une vulnérabilité d’élévation de privilèges affectant le protocole Netlogon qui est un mécanisme d’authentification intervenant des contrôleurs de domaine (DC) d’un Active Directory. Cette vulnérabilité, présente également dans le logiciel d'interopérabilité Samba qui implémente le protocole propriétaire SMB/CIFS de Microsoft Windows dans les ordinateurs sous le système d'exploitation Unix et ses dérivés, a reçu la note la plus élevée du « Common Vulnerability Scoring System » (CVSS), soit 10.0 et est classée critique par Microsoft. Description Le service Netlogon est un mécanisme d'authentification utilisé dans l'architecture d'authentification des clients Windows qui vérifie les demandes de connexion, enregistre, authentifie et localise les contrôleurs de domaine. La faille ZEROLOGON est une vulnérabilité d'élévation de privilèges due à l'utilisation non sécurisée du cryptage AES-CFB8 pour les sessions Netlogon. La norme AES-CFB8…

Origine: bjCSIRT Numéro: 2020/ALERTE/013 Date de l’alerte: 15/07/2020 TLP: White   Aperçu de la menace  Libellée CVE-2020-1350, la faille d’exécution de code à distance, est une vulnérabilité vieille de 17 ans. Elle permettrait à un attaquant distant et non authentifié d'obtenir des privilèges d'administrateur de domaine sur des serveurs ciblés et de prendre le contrôle total de l'infrastructure informatique d'une organisation. Elle peut être exploitée en envoyant des requêtes DNS malicieuses à un serveur DNS sous Windows.   Description Surnommée SigRed, la faille vieille de 17 ans affecte les serveurs DNS sous Windows. Un attaquant externe peut exploiter la vulnérabilité de SigRed en envoyant des requêtes DNS malveillantes à un serveur DNS sous Windows et d’exécuter du code arbitraire qui pourrait lui permettre d’intercepter et de manipuler les e-mails des utilisateurs, de manipuler le trafic réseau, de rendre les services indisponibles, de collecter les…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/012 Date de l’alerte: 10/06/2020 TLP: White   Aperçu de la menace Libellée CVE-2020-1206, SMBleed est une nouvelle vulnérabilité critique affectant le protocole Server Message Block (SMB) qui pourrait permettre à un attaquant de divulguer la mémoire du noyau à distance. Lorsqu'elle est combinée avec le bogue SMBGhost, la faille peut être exploitée pour réaliser des attaques d'exécution de code à distance. Le bogue SMBGhost s'est produit en raison du manque de vérifications de dépassement d'entier mais il a été récemment corrigé par Microsoft.   Description Surnommée SMBleed par la firme de cybersécurité ZecOps, la faille réside dans la fonction de décompression de SMB, la même fonction qu'avec SMBGhost, qui exposerait les systèmes Windows vulnérables aux attaques de logiciels malveillants pouvant se propager sur les réseaux. SMB, qui s'exécute sur le port TCP 445, est un protocole réseau…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/011 Date de l’alerte: 10/06/2020 TLP: White   Aperçu de la menace Les vulnérabilités Zoom libellées CVE-2020-6109 et CVE-2020-6110 et toutes deux de niveau de gravité élevé, ont été décrites comme des problèmes de traversée de chemin (path traversal) qui pourraient conduire à l’exécution de code à distance. CVE-2020-6110 affecte Zoom 4.6.10, 4.6.11 et probablement ses versions antérieures, et CVE-2020-6109 n'affecte que 4.6.10 et versions antérieures.   Description Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la collaboration mobile à l'aide d'applications closed-source. Deux nouvelles vulnérabilités ont été récemment découvertes sur l’application de collaboration vidéo Zoom: CVE-2020-6109 : L’exploitation de CVE-2020-6109 est liée à la façon dont Zoom traite les fichiers d'images GIF. Cette vulnérabilité permet à un attaquant d'envoyer un message spécialement conçu à un…

Gestion du document Origine: bjCSIRT Numéro: 2020/ALERTE/010 Date de l’alerte: 04/04/2020 TLP: White   Aperçu de la menace L'utilisation de Zoom et des services de téléconférence a amplifié ces dernières semaines ceci due à la pandémie créée par le COVID-19. En effet, les entreprises, les écoles, les gouvernements et les particuliers se sont tournées vers les solutions de téléconférences comme moyen de maintenir les activités tout en en travaillant à domicile. Cependant, ce changement représente également une opportunité pour les attaquants. De multiples vulnérabilités ont été découvertes sur l’application de collaboration vidéo Zoom telles que le ZoomBombing, un Zéro Day qui permet de subtiliser les identifiants utilisateurs, des d’exécution du code à distance et l’absence de chiffrement de bout en bout.   Description Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la…