Cybersécurité : les 10 vulnérabilités les plus exploitées

Les vulnérabilités d’exécution de code à distance de produits phares, Microsoft Office et Windows en tête, captent toujours l’attention d’attaquants. Ces derniers profitent d’une gestion trop souvent attentiste des correctifs, selon la CISA.

L’Agence de sécurité des infrastructures et de cybersécurité (CISA) des États-Unis a publié une liste des 10 vulnérabilités les plus régulièrement exploitées. Les logiciels de Microsoft, qui sont largement déployés dans le parc mondial de PC et bénéficient de correctifs réguliers, ont été la cible privilégiée des attaquants de 2016 à 2019, a souligné l’autorité fédérale.

Pour la CISA, les professionnels de la sécurité informatique des secteurs public et privé ont tout intérêt à accorder une priorité « accrue » à la gestion et au déploiement de correctifs mis à disposition par les éditeurs de logiciels concernés.

Voici la liste des 10 vulnérabilités les plus exploitées ces trois dernières années :

Office, Windows et Apache Struts 2 sont ciblés

1/ CVE-2017-11882 : il s’agit d’une vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Office (2007 SP3/2010 SP2/2013 SP1/2016). Elle a été exploitée pour diffuser les malwares Loki, FormBook et Pony/FareIT, entre autres.

2/ CVE-2017-0199 : ce bug permet à des attaquants distants d’exécuter du code arbitraire dans Office (2007 SP3/2010 SP2/2013 SP1/2016) et Windows (Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1). Il peut être exploité via l’ouverture d’un document trafiqué pour diffuser des chevaux de Troie et des logiciels espions comme FinSpy, Dridex et LatentBot.

3/ CVE-2017-5638 : cette faille d’exécution de commandes à distance impacte Apache Struts 2 (2 2.3.x avant 2.3.32 et 2.5.x avant la version 2.5.10.1), framework de développement d’applications web Java. Une vulnérabilité souvent exploitée pour diffuser le malware JexBoss.

4/ CVE-2012-0158 : cet ancien bug ActiveX permet à des attaquants distants d’exécuter du code arbitraire via un site web dédié, un document Office ou un fichier .rtf. La faille est associée au malware Dridex.

La vulnérabilité touche plusieurs versions de produits Microsoft (Office 2003 SP3, 2007 SP2 et SP3, et 2010 Gold et SP1 ; Office 2003 Web Components SP3 ; SQL Server 2000 SP4, 2005 SP4, et 2008 SP2, SP3, et R2 ; BizTalk Server 2002 SP1 ; Commerce Server 2002 SP4, 2007 SP2, et 2009 Gold et R2 ; Visual FoxPro 8.0 SP1 et 9.0 SP2 ; et, enfin, Visual Basic 6.0).

5/ CVE-2019-0604 : le bug RCE le plus récent de la liste concerne Microsoft Sharepoint. La faille est utilisée comme point d’entrée du malware China Chopper.

Lire aussi : LastPass : une alerte cyber pour rien, vraiment ?

Adobe Flash Player et Drupal le sont aussi

6/ CVE-2017-0143 : la vulnérabilité SMB concerne les produits Microsoft Windows (Vista SP2 ; Server 2008 SP2 et R2 SP1 ; 7 SP1 ; 8.1 ; Server 2012 Gold et R2 ; RT 8.1 ; et 10 Gold, 1511 et 1607 ; et Windows Server 2016). Une faille utilisée par EternalBlue, un exploit développé par la NSA (National Security Agency).

7/ CVE-2018-4878 : cette faille a permis l’exécution de code arbitraire dans Adobe Flash Player (avant la version 28.0.0.161). Elle a notamment été utilisée pour répandre le malware Dogcall.

8/ CVE-2017-8759 : la vulnérabilité dans le framework Microsoft .NET (2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 et 4.7) permet aussi l’exécution à distance de code arbitraire. Elle est associée aux malwares FinFisher/FinSpy et WingBird.

9/ CVE-2015-1641 : il s’agit d’une ancienne faille dans des produits Office. Des attaquants distants peuvent exécuter du code arbitraire via un fichier texte au format .rtf. Elle est utilisée pour diffuser les logiciels malveillants Toshliph et UWarrior. Sont concernés les produits Microsoft Word (2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word pour Mac 2011), Office Compatibility Pack SP3, Word Automation Services sur SharePoint Server 2010 SP2 et 2013 SP1, et Office Web Apps Server 2010 SP2 et 2013 SP1.

10/ CVE-2018-7600 : ce bug d’exécution de code arbitraire à distance dans le CMS Drupal a été utilisé pour propager le malware Kitty. Les versions de Drupal avant la 7.58, 8.x avant la 8.3.9, 8.4.x avant la 8.4.6, et 8.5.x avant la 8.5.1 sont concernées.

Par ailleurs, la CISA a souligné que deux failles plus récentes, une vulnérabilité dans Citrix ADC et Citrix Gateway (CVE-2019-19781) et une faille dans Pulse Connect Secure (CVE-2019-11510), font l’objet de toute l’attention de pirates informatiques.

Pour les freiner, le déploiement des correctifs et la mise à niveau des systèmes s’imposent.

Lire aussi : Cloud : comment protéger l’Europe de lois à portée extraterritoriale