Vulnérabilités 0 day à la chaîne, RSSI sous antidépresseurs et DSI sous amphétamines

Le 12 janvier, Microsoft corrige une vulnérabilité dans Windows Defender pouvant permettre une exécution de code arbitraire et nous informe que celle-ci serait déjà activement exploitée [1].

Le 23 janvier, la clinique de l’Anjou à Angers est victime du rançongiciel du moment [2].

Le 2 février, c’est la société SonicWall qui confirme que ses passerelles VPN SSL SMA 100 Series sont vulnérables à une exécution de code arbitraire à distance activement exploitée [3], une jolie porte d’entrée dans les systèmes d’information ouverte depuis Internet.

Le 3 février, la société Stormshield confirme une intrusion dans son SI, publie un nouveau firmware pour ses pares-feu et change le certificat permettant de signer ses mises à jour [4].

Le 4 février, une exécution de code arbitraire à distance activement exploitée est corrigée dans Chrome / Chromium / Edge [5].

Le 9 février, le CH de Dax est victime du rançongiciel Ryuk [6] et Microsoft nous corrige une vilaine RCE sur les serveurs DNS Windows [7], ainsi qu’une élévation de privilège dans Windows activement exploitée [8]. Le même jour, c’est Adobe qui corrige également une RCE activement exploitée dans Acrobat et son Reader [9].

Le 10 février, le CERT-FR de l’ANSSI met en garde et publie des indicateurs de compromission associés au groupe TA505 [10], vous vous rappelez, ce groupe ayant attaqué le CHU de Rouen avec son rançongiciel Clop en novembre 2019 [11].

Le 14 février, Damien Bancal annonce sur Zataz la vente d’une base de données de près de 500 000 patients français sur un forum spécialisé, avant que celle-ci ne soit rendue publique aux quatre coin du Web [12].

Le 15 février, c’est au tour de Villefranche-sur-Saône de se faire compromettre par le rançongiciel Ryuk [13].

Le 18 février, la cellule ACSS, via le Ministère, via L’ANSSI, annonce qu’une base de données de 50 000 accès appartenant à des agents d’établissements de santé français est en vente sur le Web [14].

Le 19 février, SonicWall nous dit, finalement, on a audité notre code suite la vulnérabilité corrigée 15 jours plus tôt, on a publié un nouveau firmware, ça serait bien de re-patcher [15].

Le 24 février, pour changer un peu, c’est VMWare qui annonce des correctifs de sécurité pour vCenter et ESXi [16], au programme des réjouissances, de l’exécution de code arbitraire à distance, sans authentification, des POCs d’exploitation de la vulnérabilité publiés dans la journée et les scans des machines exposées sur Internet (oui, il y en a !!! plus de 400 en France d’ailleurs) commencent, ça sent le chaud !
Le même jour, le CERT-FR de l’ANSSI nous dit, coucou les copains, je sais que vous êtes bien occupés, mais voici de nouveaux IOCs associés au groupe UNC1878 qui propulse du Ryuk à tour de bras… [17]

Le 2 mars, c’est une nouvelle vulnérabilité activement exploitée qui est corrigée dans Chrome [18].

Là ça commence à faire beaucoup !

Dans la foulée, Microsoft publie en urgence un correctif de sécurité pour 4 vulnérabilités activement exploitées, permettant d’obtenir un Webshell et d’exécuter du code arbitraire à distance sur Exchange via l’interface OWA [19]. Déjà, quand Microsoft publie en dehors du cycle classique « patch tuesday », ça ne sent pas très bon, mais en plus quand on voit arriver un patch pour Exchange 2010 [20] qui n’est plus maintenu depuis octobre 2020, on se dit que l’on a intérêt à se dépêcher d’appliquer le correctif. Quand on n’a pas 3 versions Cumulative Update de retard, tout va bien, sinon, obligé de sortir le fouet et d’injecter du Redbull en intraveineuse à ses équipes… Le correctif appliqué, il faut maintenant vérifier qu’il est effectif et que ses serveurs Exchange sont en bonne santé.Pour cela, je vous recommande le script powershell HealthChecker [21], une sorte de mini « Ping Castle » pour Exchange. Et pour finir, vérifier à partir des indicateurs de compromission fournis par Microsoft et Volexity [22], que personne n’est rentré dans la forteresse en carton-pâte. Pour gagner un peu de temps dans vos investigations, je vous recommande le script publié par le CERT-LV [23], ou celui publié par la suite par Microsoft [24].
Pour vous faire apprécier le fait d’avoir conservé votre messagerie en interne, Brian Krebs annonce le 5 mars, cerise sur le pompom, que les attaques Exchange observées, l’ont été en premier lieu chez Microsoft, et que les données de 30 000 de ses clients seraient sorties dans la nature… [25]

Sinon Cédric [26], on demande au gouvernement ce que l’on peut faire avec nos « entre 5 et 10% » de pas grand-chose et nos « entre 2 et 3 % » de pas grand monde pas trop formés ?

Je ne peux que recommander à nos décideurs de lire ce témoignage du Dr Anne Boudet, médecin DIM du CH de Dax [27] pour se dire au final, qu’il n y a pas que dans les bagnoles que la sécurité est importante.

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1647

[2] https://france3-regions.francetvinfo.fr/pays-de-la-loire/maine-et-loire/angers/angers-cyberattaque-en-serie-apres-la-mairie-c-est-la-clinique-de-l-anjou-qui-est-visee-1921729.html

[3] https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero-day-vulnerability-feb-1-2-p-m-cst/210122173415410/

[4] https://www.stormshield.com/fr/incident-de-securite-stormshield/

[5] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-002/

[6] https://www.francebleu.fr/infos/sante-sciences/cyberattaque-a-l-hopital-de-dax-blocs-operatoires-quasi-a-l-arret-la-cgt-scandalisee-1612978803

[7] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24078

[8] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1732

[9] https://helpx.adobe.com/security/products/acrobat/apsb21-09.html

[10] https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-001/

[11] /article/3553/le-chu-de-rouen-vient-s-ajouter-a-la-liste-des-cyber-victimes-du-secteur-de-la-sante.html

[12] /article/4132/retour-sur-la-recente-fuite-de-donnees-concernant-500-000-patients-francais.html

[13] https://france3-regions.francetvinfo.fr/auvergne-rhone-alpes/rhone/lyon/a-l-hopital-de-villefranche-sur-saone-on-lutte-contre-un-virus-supplementaire-particulierement-infame-1958845.html

[14] https://cyberveille-sante.gouv.fr/cyberveille-sante/2382-fuite-didentifiants-de-connexion-de-personnels-detablissements-de-sante-2021

[15] https://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/

[16] https://www.vmware.com/security/advisories/VMSA-2021-0002.html

[17] https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-005/

[18] https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html

[19] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

[20] https://prod.support.services.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459?preview=true

[21] https://github.com/dpaulson45/HealthChecker

[22] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

[23] https://github.com/cert-lv/exchange_webshell_detection

[24] https://github.com/microsoft/CSS-Exchange/tree/main/Security

[25] https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/

[26] /article/4131/la-ssi-chiffree-entre-5-et-10-du-budget-dsi-vraiment.html

[27] https://www.departement-information-medicale.com/blog/2021/02/19/jetais-tranquille-jetais-penard/