Blog

Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité concernant une vulnérabilité critique affectant le service « Microsoft Cryptographic Application Programming Interface (CryptoAPI) » a été diffusé par Microsoft, lors de la publication des correctifs mensuels du mois de janvier 2020.

Cette vulnérabilité affecte le service « CryptoAPI » qui sert à valider les certificats « Elliptic Curve Cryptography (ECC) », c’est-à-dire les certificats basés sur la cryptographie à courbe elliptique.  Cette faille peut être exploitée par un attaquant en utilisant un certificat signature de code (« code signing ») usurpé et ainsi signer un fichier malicieux.  Ce dernier apparaît comme étant légitime aux yeux de l’utilisateur.

La vulnérabilité peut aussi permettre une attaque de type « homme du milieu » (« man-in-the-middle ») pouvant décrypter des informations confidentielles sur les connexions des utilisateurs.

Cette faille affecte les versions du système d’exploitation suivantes :

• Windows 10
• Windows Server, version 1803 (Server Core Installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server, version 1903 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)

Des correctifs ont été publiés par Microsoft pour les systèmes d’exploitation vulnérables. Pour le téléchargement, veuillez consulter le lien ci-dessous :

•  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

Pour plus d’information concernant cette vulnérabilité critique, veuillez consulter les liens suivants :

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601
• https://kb.cert.org/vuls/id/849224/  
• https://cyber.dhs.gov/ed/20-02/
• https://nvd.nist.gov/vuln/detail/CVE-2020-0601
• https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
• https://packetstormsecurity.com/files/cve/CVE-2020-0601

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ». 

Les Technologies de l’information vous remercient de votre collaboration.

Une très importante vague d’hameçonnage cible présentement plusieurs universités à travers le monde, dont l’Université de Montréal. Les Technologies de l’information (TI) ont pris des mesures de sécurité pour diminuer les répercussions de cette attaque, mais la vigilance demeure la meilleure arme contre les cybercriminels.

Tactique utilisée
Le courriel d’hameçonnage contient une pièce jointe (voir Figure 1). En cliquant sur cette pièce jointe, le destinataire du courriel se retrouve sur un site malicieux qui s’apparente à un site internet légitime (voir Figure 2). On l’invite à entrer son nom d’utilisateur et son mot de passe (UNIP). Une fois ces informations fournies, les malfaiteurs peuvent accéder aux boîtes de courriel, télécharger du contenu et se faire passer pour le propriétaire du compte en envoyant des courriels d’hameçonnage à l’ensemble des contacts de son carnet d’adresses.

Figure1 : Contenu de la pièce jointe malicieuse.

Figure 2 : Contenu du site web malicieux.

Par mesure de précaution, si vous croyez avoir été victime de cette attaque et que vous avez donné votre nom d’utilisateur et votre mot de passe, nous vous recommandons de changer immédiatement votre mot de passe (UNIP) en passant par la page d’accès du Portail UdeM, option Modifier.

Si vous avez besoin d’assistance, communiquez avec les TI au 514 343-7288 ou par le formulaire d'aide en ligne.

Nous vous remercions de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques et les utilisateurs de postes Mac qui utilisent l’application de vidéoconférence Zoom (version 4.4.2 et antérieures) qu’un avis de sécurité a été publié.

Plusieurs failles majeures de sécurité ont été découvertes dans cette application :

• Un attaquant distant pourrait induire un utilisateur Mac à accéder à un site web malicieux et ce dernier pourrait lancer un « chat » vidéo Zoom sur le client Mac, sans la permission de son propriétaire.

• Lors de l'installation de ce logiciel sur un poste Mac, un serveur web local est installé, permettant à l'application d'initier des conversations.  Par conséquent, ceci permettrait à n'importe quel utilisateur malveillant de lancer la caméra et de voir ce qui se passe sur le poste, donc d’espionner son utilisateur.  À noter que même en cas de désinstallation de l'application Zoom, le serveur web local demeure actif sur le poste Mac, permettant à tout moment de réinstaller l’application sans l’accord de l'utilisateur.

• Un attaquant pourrait potentiellement viser un utilisateur d’un client Mac en lui envoyant des requêtes de visioconférence sans fin, causant un déni de service et en rendant éventuellement le poste inutilisable.

Pour remédier à cette situation, veuillez :

1. Mettre à jour la version de l’application Zoom

Pour le téléchargement d’une version corrigée de l’application Zoom, veuillez consulter le lien suivant :

https://zoom.us/download?zcid=1231&_ga=2.146474486.354117011.1562771211-630912407.1557165814

2. Désactiver la vidéo

• S’il s’agit de la première fois que vous vous joignez à une vidéoconférence via l’application Zoom, cocher la case « Turn off my Vidéo ». 
                     

• Si l’application Zoom a déjà été utilisée sur le poste, cocher la case « Turn off my video when joining a meeting » dans les préférences du client MacOS de Zoom.  À noter que vous devrez activer la webcam, dans un deuxième temps, après avoir rejoint une vidéoconférence.

Pour plus d’information concernant ces vulnérabilités critiques, veuillez consulter les liens suivants :

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13449
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13450
• https://www.macg.co/logiciels/2019/07/le-client-macos-de-zoom-peut-activer-la-webcam-de-votre-mac-sans-votre-accord-106963
• https://iphonesoft.fr/2019/07/09/zoom-faille-permet-activation-camera-macos
• https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/
• https://assets.zoom.us/docs/pdf/Zoom+Response+Video-On+Vulnerability.pdf

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques que Microsoft a diffusé, lors de la publication des correctifs mensuels du mois de mai 2019, un avis de sécurité concernant une vulnérabilité critique affectant le service « Remote Desktop Protocol (RDP) ».

Cette vulnérabilité critique affecte le service de bureau à distance (anciennement connu sous le nom « services de terminal »).  Elle peut être exploitée à distance, par le réseau, à l’aide de requêtes malveillantes sur un système vulnérable utilisant le protocole « RDP ».   De plus, l’exploitation de cette faille ne nécessite aucune authentification.

Cette vulnérabilité affecte les versions du système d’exploitation Windows 7, Windows Server 2008 R2, Windows Server 2008 ainsi que les versions Windows 2003 et Windows XP qui ne possèdent plus de support officiel pour les correctifs de sécurité.  

Veuillez noter que les versions du système d’exploitation Windows 8, Windows 10, Windows Server 2012, Windows 2012 R2, Windows Server 2016 et Windows Server 2019 ne sont pas affectées par cette vulnérabilité.

Microsoft a publié des correctifs pour les systèmes d’exploitation vulnérables.  Pour le téléchargement, veuillez consulter les liens ci-dessous :

• Correctifs de support pour Windows 7 et Windows 2008 :
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
• Correctifs hors cycle de vie/support pour Windows (Windows XP, Windows 2003) :
  • https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Veuillez prendre connaissance des mesures d’atténuation recommandées :

• Installer les mises à jour les plus récentes des systèmes d’exploitation vulnérables.
• Désactiver les services « Bureau à distance » lorsqu’il n’est plus utilisé.   Au besoin, surveiller les activités suspectes dans le trafic réseau et les journaux des systèmes vulnérables.
• Activer l’authentification au niveau du réseau (NLA) sur les systèmes qui exécutent Windows 7, Windows Server 2008 et Windows Server 2008 R2.  Il s’agit d’une atténuation partielle qui empêchera la propagation du logiciel malveillant. De plus, lorsque  l’authentification NLA est activée, un attaquant devra s’authentifier à l’aide d’un compte valide sur le système cible.
• Bloquer le port TCP 3389 sur le coupe-feu (« firewall ») lorsque possible. Cette mesure empêchera tout accès non autorisé provenant d’Internet.

Pour plus d’information concernant cette vulnérabilité critique, veuillez consulter les liens suivants :

• https://cyber.gc.ca/fr/avis/vulnerabilite-critique-du-bureau-distance-de-microsoft
• CVE-2019-0708 : https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

(16 May 2019) 

Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent le logiciel Dell SupportAssist d’un ordinateur du fabricant DELL qu’un avis de sécurité a été publié (DSA-2019-051).

Les versions du logiciel Dell SupportAssist antérieures à 3.2.0.90 contiennent plusieurs vulnérabilités. Un acteur malveillant qui possède un accès réseau vers un poste vulnérable pourrait exploiter l’une de ces failles et exécuter du code arbitraire.

Veuillez noter que les versions du logiciel Dell SupportAssist 3.2.0.90 et ultérieures corrigent les vulnérabilités.

Pour plus d’information et pour le téléchargement d’une version corrigée du logiciel, veuillez consulter les liens suivants :

• https://www.dell.com/support/article/ca/en/cadhs1/sln316857/dsa-2019-051-vulnérabilités-de-plusieurs-clients-dell-supportassist?lang=fr
• https://cyber.gc.ca/fr/avis/bulletin-de-securite-dell

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

(14 May 2019)