SecurityInsider
Le blog des experts sécurité Wavestone

Compte-Rendu de la conférence BruCON 2017



Wavestone était présent à l’édition 2017 de la conférence BruCON où Arnaud SOULLIE et Alexandrine TORRENTS de la practice Cybersecurity & Digital Trust ont présenté un workshop sur la sécurité des systèmes industriels. Arnaud SOULLIE a également présenté la nouvelle version du projet DYODE (https://www.youtube.com/watch?v=JjqPOesXje4). 
Nous vous proposons ci-dessous un compte-rendu d’une sélection de talks, les vidéos étant déjà disponibles sur YouTube (https://www.youtube.com/channel/UCqwMU1l90lf9BLersW6eAHw).
Nous tenons à remercier les organisateurs pour leur accueil chaleureux, l’ambiance conviviale et l’esprit de communauté qui ont régné durant cette conférence.


Justine Bone - The cyber short - A market solution for product safety and corporate governance


À travers cette Keynote, la CEO de MedSec a montré le besoin d’innovation en matière de cybersécurité en présentant une nouvelle opportunité : les marchés publics. En effet, ils représentent une nouvelle façon de :
  • Tenir les entreprises responsables de la sécurité de leur produit
  • Financer la recherche de vulnérabilités

Et si les incidents de cybersécurité pouvaient avoir un impact sur la valeur des actions en bourse ? Justine a présenté quelques exemples encore peu significatifs comme Verizon/Yahoo et Equifax mais la situation pourrait évoluer dans les années à venir. 
Les nouveaux clients de la cybersécurité seraient donc les investisseurs, et en particuliers les investisseurs activistes qui ont énormément d’expérience et font d’importants travaux de recherches avant chaque transaction. Ces investisseurs commencent à s’intéresser aux aspects technologiques et notamment aux vulnérabilités pouvant impacter les produits et donc les actions.
La cybersécurité pourrait donc être un nouveau vecteur de recherche. En revanche, la recherche en cybersécurité est assez différente de la recherche de manière générale :
  • Les recherches sont souvent ultra secrètes, alors que les recherches en cybersécurité sont souvent open source
  • Les recherches sont souvent divulguées à la fin des transactions alors qu’en cybersécurité, de nombreux accords de confidentialité sont signés entre les chercheurs et les fabricants

La recherche en cybersécurité doit donc évoluer et notamment fournir des exploits fiables et industrialisables. De plus, l’intégrité des recherches doit pouvoir être vérifiée.
En revanche, la découverte d’une vulnérabilité critique n’engendrera pas forcément une chute sur les marchés publics. En effet, de nombreux autres facteurs doivent être pris en compte. Par exemple, une vulnérabilité sur un composant matériel, nécessitant un rappel des produits aura certainement plus d’impact qu’une vulnérabilité sur un firmware ou un logiciel. 
Ce qu’il faut retenir de cette présentation est que la cybersécurité peut éduquer le marché et influencer l’attitude d’une entreprise. En revanche, il va falloir attendre encore un peu avant que les comités de direction soient véritablement sensibilisés. 
Bien que très intéressante, cette keynote prend des hypothèses qui sont actuellement loin d’être avérées dans tous les secteurs :
  • Le caractère vulnérable d’un produit va engendrer une chute des ventes, donc une baisse de revenus pour la société qui la commercialise
  • La vulnérabilité d’un produit ou d’une gamme de produit pourrait avoir un impact global sur la société qui la commercialise
  • Les consommateurs se tourneront moins vers un produit vulnérable ; actuellement le caractère novateur d’un produit semble plus important à leurs yeux que son niveau de sécurité



František Střasák – Detecting malware even when it is encrypted - Machine learning for network HTTPS analysis


L’étude de František part d’un constat simple. Plus de 50% du trafic web global est chiffré. En ce qui concerne les malwares, entre 10 et 40% du trafic est chiffré. Le chiffrement rend inefficaces les techniques classiques de détection et l’inspection TLS coute cher, est contraignant et ne respecte pas le principe de vie privée. 
Il existe donc un besoin de découvrir de nouvelles méthodes de détection de malware, sans déchiffrer les communications. L’objectif de l’étude présentée dans ce talk est donc de détecter des malwares sur du trafic HTTPS sans le déchiffrer et en assurant une importante précision, présentant de faibles taux de faux négatifs et faux positifs. 
Le jeu de données utilisé pour ces tests était composé de 163 captures de trafic (certaines légitimes et d’autres générés sur des postes infectés par un malware). 
Plusieurs informations sur ces captures peuvent être récupérées grâce aux fichiers de logs : conn.log, ssl.log et x509.log. Plusieurs agrégats SSL (adresse IP source, adresse IP de destination, port de destination, protocole) ont été listés à partir de ces logs et les analyses ont été effectuées sur un certain nombre de caractéristiques, parmi lesquelles :
  • Le nombre d’agrégats SSL
  • La durée moyenne / l’écart-type des connexions
  • Le nombre moyen de paquets
  • Le ratio de connexions établies / non établies
  • Le ratio des versions TLS / SSL
  • Le nombre moyen de certificats SSL différents
  • La durée moyenne de validité du certificat
  • Etc.

Deux jeux de test ont été menés en séparant des données d’apprentissage et des données de tests. 
  • Le premier jeu de test contenait 50% de trafic malware et 50% de trafic normal à la fois pour la phase d’apprentissage et la phase de tests
  • Le second jeu de test contenait 40% de trafic malware et 60% de trafic normal pour l’apprentissage et 3% de trafic malware et 97% de trafic normal pour la phase de test

Les résultats des deux jeux de tests sont assez similaires et montrent une précision de 90% et 95% respectivement. Les taux de faux positifs et faux négatifs restent assez importants (7% et 10%). 
Avec cette étude, František a identifié les critères les plus caractéristiques pour la détection de malware :


Les résultats sont plutôt satisfaisants mais doivent néanmoins être améliorés. Le but initial n’a donc pas été totalement atteint. De plus, les malwares tentent de ressembler de plus en plus à du trafic normal et ces nouvelles méthodes risquent d’être de plus en plus difficiles à utiliser. 


Anna Shirokova – Knock Knock… Who’s there? admin admin and get in! An overview of the CMS brute-forcing malware landscape


Anna Shirokova a tout d’abord présenté un panorama des malwares effectuant des attaques de type brute force sur les CMS tels que WordPress
  • 2009 : première attaque de brute force distribué sur WordPress
  • 2013 : FortDisco
  • 2014 : Mayhem ainsi qu’une vulnérabilité dans l’un des plug-ins les plus utilisés
  • 2015 : Aethra, CMS Catcher et Troldesh (un ransomware)
  • 2017 : Stantinko

Elle est ensuite revenue sur le malware Sathurbot apparu en 2013. Sathurbut est un botnet modulaire contenant notamment une backdoor, un module de téléchargement, un indexeur web ainsi qu’un module de brute force. Ce botnet permet donc d’indexer des pages sur des moteurs de recherches tels que Bing, Google et Yandex, d’identifier des WordPress et ensuite de les bruteforcer en tentant des combinaisons non standards d’identifiants. Plusieurs mots de passe peuvent même être testés sur un même site. 
Anna a également parlé rapidement de détection, en mentionnant les IDS, les SIEM ainsi que les analyses comportementales. 
Pour terminer, ce qu’il faut retenir des attaques de brute force de CMS :
  • Elles sont encore réussies à cause des mots de passe faibles utilisés en revanche le taux de réussite est difficile à calculer
  • Très peu de recherches sont orientées sur ce type d’attaque



Nikhil Mittal – Evading Microsoft ATA for AD domination


Nikhil Mittal a pu tester la plateforme Microsoft Advanced Threat Analytics (ATA). Cette plateforme permet de détecter un certain nombre d’attaques en analysant le trafic vers les contrôleurs de domaine, les événements SIEM et les logs
Les tests ont été réalisés sur la version 1.8 de Lightweight ATA gateway installé sur un contrôleur de domaine Windows Server 2012 R2. 
Microsoft ATA permet en particulier de détecter les attaques suivantes :


En revanche, la présentation de Nikhil montre qu’il est possible de contourner ces contrôles dans la plupart des cas. 
En effet, en termes de reconnaissance, seules les requêtes envoyées au contrôleur de domaine sont détectées. La solution pour contourner ATA est donc de requêter l’AD de manière intelligente, sans énumérer le DC. De plus, le scan de SPN (Service Principal Name) n’est pas détecté et des outils comme PowerView peuvent être utilisés pour de tels scans
Par ailleurs, les attaques comme overpass-the-hash sont détectées car le niveau de sécurité du chiffrement est abaissé et l’implémentation utilise un protocole non standard. Pour contourner ATA, il faut donc utiliser le niveau de chiffrement habituel, soit des clés AES. Cette évasion permet donc de créer des tickets pour les administrateurs de domaine. 
La même méthode peut être utilisée pour contourner la détection des golden tickets. De plus, la création d’un golden ticket pour un utilisateur non-existant n’est pas détectée !
Depuis la version 1.8 d’ATA, il est possible de détecter l’utilisation de ticket dont la période de validité a expiré. Il faut donc être vigilant en utilisant de tels tickets. La règle principale à ne pas oublier : si on ne peut pas contourner ATA, il faut mieux l’éviter. 
De plus, plusieurs autres attaques ne sont pas détectées par ATA :
  • L’exécution de commande en utilisant PowerShell Remoting, DCOM ou DLL Hijack
  • Silver ticket puisqu’il n’y a pas de communication avec le DC
  • Kerberoast puisque le peu de communications avec le DC sont normales 

ATA a également quelques limitations :
  • Impossibilité d’analyser du trafic chiffré
  • Manque de signatures pour certaines attaques

Par ailleurs, la console ATA elle-même peut être attaquée :
  • Identification possible jusqu’à la version 1.7
  • Identification du certificat SSL par défaut sur les machines Linux notamment 
  • Accès par défaut à la console d’administration pour le groupe local ATA
  • Absence d’authentification sur la base de données locale MongoDB

Il serait donc possible de porter atteinte à la base de données et d’empêcher le déclenchement des alertes
Ces résultats sont cohérents avec ceux obtenus en interne par Wavestone sur nos maquettes. Le produit continue à gagner en maturité, et il faut souligner que la licence est comprise dans les licences EMS, détenues par de nombreux clients grands comptes. 


Sander Demeester – Secure channels: Building real world crypto systems


La présentation de Sander Demeester était plutôt un cours théorique sur les bases de la cryptographie. Il a commencé par définir un canal sécurisé et présenté les trois notions principales : confidentialité, intégrité et authenticité
Il a ensuite présenté les étapes de construction d’un canal sécurisé :
  • Le protocole authentifié de génération de clé, respectant la propriété de Pefect Forward Secrecy
    • La création de la clé (Diffie-Hellman)
    • Le transport de la clé (RSA)
  • La phase de dérivation de la clé
  • L’utilisation des clés dérivés pour la protection des communications, avec notamment le chiffrement par bloc (CTR, CBC, etc.)

Enfin, il a présenté des exemples de la vie réelle :
  • TLSv1.3 avec le « record protocol » : tous les messages sont protégés avec les schémas AEAD  (Authenticated Encryption with Associated Data) et sont donc chiffrés et authentifiés 
  • SSHv2 qui utilise une architecture à plusieurs niveaux ainsi que le protocole « binary packet » 



Gregory Pickett – Open Source Security Orchestration


Les développements de Gregory Pickett sont partis d’une question : tous mes serveurs utilisent Fail2Ban pour se protéger, mais est-il possible de partager les « Jails » entre ces différents serveurs ?
Il souhaitait trouver un moyen de faire communiquer les serveurs entre eux afin de partager leurs connaissances, sans faire intervenir un système tiers, comme un SOC par exemple. 
Il a donc créé le protocole ANP : Adaptive Network Protocol. Ce protocole permet de :
  • Partager les événements entre systèmes sous un même format
  • Stocker les événements localement 
  • Faire en sorte que les systèmes utilisent les événements partagés 
    • Fail2Ban
    • Modsecurity
    • Iptables

Concrètement, il est possible d’envoyer des messages afin d’ajouter / de retirer un événement redouté. 
Le partage permet d’obtenir une visibilité accrue et d’être proactif. En effet, les systèmes peuvent se protéger eux-mêmes.
Le protocole a encore besoin d’améliorations, notamment l’ajout d’interfaces et l’ajout de types de messages. Cependant, il peut faire la différence et notamment faire en sorte que l’attaque soit arrêtée, en utilisant peu de ressources humaines. 


Arnaud Soullié / Alexandrine Torrents – Pentesting ICS 101

Cette année, Wavestone animait un workshop à la BruCON, sur le thème de la sécurité des SI industriels. Cet atelier s’est déroulé de 13h30 à 17h30 le vendredi, avec une vingtaine de personnes.
Le même workshop mais sur une durée de 2h avait déjà été animé il y a deux ans à la BruCON et avait fait l’objet d’un article sur Security Insider : http://www.securityinsider-wavestone.com/2015/10/brucon-0x07-pentesting-ics-101.html



La différence principale par rapport au workshop de 2015 est l’ajout d’un atelier de programmation des automates Schneider TM221 avec le logiciel SoMachine Basic. 
Le workshop était découpé ainsi :
  • Présentation des SI industriels
  • Présentation des principales familles de vulnérabilités affectant les SI industriels
  • Présentation des principaux protocoles industriels et programmation d’un automate
  • Présentation des outils de test d’intrusion sur les automates Schneider et Siemens
  • Capture the flag sur la maquette
Merci à tous les participants qui ont bien joué le jeu et ont réussi à capturer le drapeau ! 


Alexandrine TORRENTS

CERT-W : Retours sur l'actualité de la semaine du 2 au 8 octobre 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Alexandrine TORRENTS de la conférence BruCon 2017.

Veille cybercriminalité

Des données secrètes de la NSA fuitent à cause de l'antivirus Kaspersky

Selon le Wall Street Journal, en 2015 des fichiers auraient été volés à la NSA par des agents d'origine russe. En effet, à cette période le service de télémétrie de l'antivirus utilisée une version vulnérable du protocole SSL. Les espions Russe ont alors ciblé un prestataire de la NSA qui aurait récupérer des données confidentielles sur son poste. L'antivirus du poste personnel a alors envoyé des données sur les serveurs utilisant Kaspersky qui ont été possible d'intercepter.

Clouflare interdit l'accès aux sites utilisant des mineurs de cryptomonnaie

Des sites, tels que ThePirateBay ou Showtime, injectent du code JavaScript sur leur site pour miner de la cryptomonnaie (dont Coinhive). Ce phénomène incite d'autres sites à mettre en place le même procédé pour ajouter une source de revenu complémentaire à l'insu des utilisateurs.
L'entreprise américaine, Cloudflare, a décidé de ne plus héberger ce type de sites. De plus, elle souhaite que les utilisateurs soient prévenus et puissent désactiver le code.

Analyse de la porte dérobée de Ccleaner

Comme évoqué précédemment, une des version de l'outil Ccleaner (5.33.6162) présente une porte dérobée. Crowdstrike présente une analyse complète de celle-ci sur son blog : le code responsable du chargement en mémoire de la charge malveillante ainsi que la charge malveillante elle-même. Il apparait que des vérifications sont réalisées sur le poste de l'utilisateur avant de collecter des données puis de les transmettre à un serveur de commande et contrôle (C2). Si celui-ci ne répond pas, l'outil est capable de générer d'autres URL pour exfiltrer les données vers un autre serveur C2.

Veille vulnérabilité

Multiples vulnérabilités sur la plateforme IMC de Hewlett Packard

7 vulnérabilités ont été corrigées sur la plateforme logicielle Intelligent Management Center (IMC) dont certaines critiques. Elles ont été mises en avant par Steven Seeley (Offensive Security) et permettraient à un attaquant d'exécuter du code à distance sur la plateforme (CVE-2017-12558, CVE-2017-12557, CVE-2017-12556 et CVE-2017-12554). En outre, d'autres vulnérabilités permettaient d'exécuter du code à distance (CVE-2017-12561) et de contourner le mécanisme d'authentification (CVE-2017-12559 et CVE-2017-12560).

Plusieurs vulnérabilités découvertes sur Apache Tomcat

Des vulnérabilités, permettant de charger sur le serveur un fichier JSP de son choix, ont été découvertes et corrigées sur le produit Apache Tomcat (CVE-2017-12617). Un attaquant est alors en mesure de charger un fichier de type "Webshell" lui permettant d'exécuter des commandes sur le système à distance.

Une vulnérabilité critique découverte dans trois plugins WordPress

Trois plugins WordPress, Appointments (< 2.2.2), Flickr Gallery (< 1.5.3) et RegistrationMagic-Custom Registration Forms (< 3.7.9.3), présentent une même vulnérabilité qui permet à un attaquant de charger sur le serveur une porte dérobée.
Ces trois plugins regroupent plus de 21 000 utilisateurs WordPress et sont aujourd'hui corrigés.

Plusieurs vulnérabilités corrigées sur Android

Un bulletin de sécurité Android indique que quatorze vulnérabilités, dont cinq critiques, affectent les versions 4.4.4 à 8.0 d'Android. La mise à jour est divisé en deux correctifs :
- Le premier correctif, référencé 2017-10-01, corrige huit vulnérabilités dont trois jugées critiques permettant l'exécution de code à distance, l'élévation de privilèges et la divulgation de l'information
- Le deuxième correctif, référencé 2017-10-05, corrige six vulnérabilités dont deux jugées critiques, trois impactant des composants Qualcomm, une impactant le noyau du système d'exploitation et une impactant un composant MediaTek.
Enfin, Google a publié un autre bulletin de sécurité détaillant la correction de 38 vulnérabilités affectant ses terminaux Nexus et Pixel.

Indicateurs de la semaine

Le leak de la semaine - Des données personnelles trouvées sur un serveur mal configuré de la ligue de football américain

La société Kromtech Security Center a trouvé sur Internet un serveur ElasticSearch mal configuré contenant des données personnelles de joueurs de la NFL. Ainsi, 387MB d'informations sur 1133 joueurs, des adresses mails et postales et des numéros de téléphones ont été exposés. Une rançon de 0.1 bitcoin a été demandée afin de ne pas divulguer ces informations.

L'exploit de la semaine - Exploitation des vulnérabilités dnsmasq

Comme évoqué dans la news de la semaine dernière, des vulnérabilités ont été découvertes dans le produit dnsmasq. Rapidement des exploits ont été mis en ligne sur la plateforme exploit-db.

L'attaque de la semaine - Des attaquants sont soupçonnés d'utiliser des moniteurs pour bébé pour espionner les parents

En Australie, des attaquants ont utilisé une caméra connectée destinée à surveiller les bébés pour espionner des familles. L'un des parents s'est aperçu que la caméra du moniteur le suivait et zoomait sur lui lors de ses déplacement dans la chambre. L'expert en sécurité informatique, Bill Caelli, a déclaré qu'il était possible que les attaquants aient exploité une faille de logiciel du moniteur ou du modem Wi-Fi pour pouvoir y accéder. Le constructeur, Uniden, indique qu'il s'agit d'un bug du logiciel.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner


Vincent DEPERIERS

CERT-W : Retours sur l'actualité de la semaine du 25 septembre au 1er octobre


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalite

FireEye détaille la campagne APT 33 visant les entreprises des secteurs aéronautique et énergie

Ce groupe d'attaque identifié comme originaire d'Iran et agissant pour le gouvernement iranien a ciblé des entreprises américaines, sud-coréennes et saoudiennes principalement dans les secteur aéronautique et énergie.
Les attaques ont eu des objectifs de collecte d'information mais également de destruction de données, à l'image de ce qui avait été mis en oeuvre contre Saudi Aramco en 2012.

Fortinet analyse en masse la sécurité de milliers d'extensions Chrome et Firefox

6447 extensions Chrome et 2721 extensions Firefox ont été soumises à Virustotal.
82 extensions Chrome et 292 extensions Firefox ont été identifiées comme malveillantes, limitées néanmoins à des activités de type adware.

La Corée du nord obtient un nouvel accès Internet, via un opérateur de télécommunications Russe

Jusqu'à présent le seul accès à Internet aux nord-coréens était fourni par l'opérateur chinois "China Unicom"
Un nouveau canal d'accès est désormais établi via l'opérateur russe "Rostelecom and Transtelecom (TTK)", augmentant ainsi leur résilience vis-à-vis d'attaques externes (DDoS, coupure de fibre etc.)

Le point sur l'attaque visant Equifax



Google et Mozilla détaillent la roadmap de fin de support des certificats émis par Symantec

A partir de décembre 2017, Symantec délèguera la signature de certificat à l'opérateur DigiCert. Les certificats émis avant juin 2016 ne seront plus reconnus comme valides en mars 2018 avec la version 66 de Chrome. Tous les autres certificats deviendront invalides en septembre 2018 avec Chrome 70.

Le groupe d'attaquant de la campagne Carbanak refait surface avec un nouveau malware

L'équipe Talos de Cisco a publié une analyse du document piégé envoyé par les attaquants lors de l'étape de spear-phishing.

Une clinique dentaire américaine victime d'une attaque par ransomware

Les 128 000 patients ont été informés par lettre que leur données médicale ont pu être accédées par les attaquants et ont été rançonnées.

Kaspersky publie un rapport des menaces pesant sur les environnements industriels

2 500 familles de malware ciblant les SI industriels ont été observés et analysés sur le premier semestre 2017.

La plateforme de loterie nationale britannique rendue inaccessible le 30 septembre par une attaque par DDoS



Le cabinet de conseil Deloitte victime d'une attaque initiée en 2016 et ciblant l'infrastructure de messagerie



La chaine de fast-food américaine Sonic victime d'une attaque sur les terminaux de paiement de ses drive-in



Une faille au sein de la nouvelle mouture "High Sierra" de Mac OS permet l'affichage du mot de passe de chiffrement de volume via la fonctionnalité de définition d'un indice de mot de passe



Veille vulnerabilite

Google analyse la sécurité de dnsmasq

Ce composant, présent dans de nombreuses distributions Linux, routeurs et équipements IoT, assure le rôle de serveur DNS et DHCP.
Plusieurs vulnérabilités critiques ont été découvertes, toutes ont été patchées. Le plus dur restant à appliquer la mise à jour sur les équipements.

Des vulnérabilités découvertes au sein de sex-toys

L'absence de sécurisation du socle Bluetooth de ces équipements rend possible l'appairage illégitime à distance ainsi que leur localisation.

Le renouvellement de la clé de signature de la zone DNS racine reporté à 2018

Suite aux difficultés exprimées par quelques fournisseurs d'accès Internet pour répercuter ce renouvellement, l'ICANN a décidé de reporter ce changement au premier trimestre 2018.

La vulnérabilité DirtyCow exploitée sur les terminaux Android par des applications malveillantes présentes sur le Play Store



IOActive a analysé la sécurité de 21 applications mobiles de bourse

Les résultats s'avèrent être plus catastrophiques que pour les applications bancaires.

Des chercheurs de l'équipe Google Project Zero publient des vulnérabilités critiques impactant les chipsets Wi-Fi Broadcom et permettant l'exécution de code arbitraire

Ces chipsets sont présents au sein de nombreux objets dont notamment des smartphones (iPhone, Android) et des télévisions connectées.

La société nVisium analyse la sécurité du framework de développement "Play" en version 2.6



De multiples failles critiques découvertes pour le pare-feu applicatif DenyAll

Ces vulnérabilités sont présentes dans l'API PHP et permettent d'exécuter des commandes arbitraires sans authentification.

Indicateurs de la semaine

L'attaque de la semaine - La Russie aurait dérobé des données classifiées de la NSA via un de ses prestataires grâce à l'antivirus Kaspersky

Cette polémique intervient au moment où les Etats-Unis ont banni l'utilisation des solutions antivirus Kaspersky pour les services de l'état

L'exploit de la semaine - Une faille critique découverte au sein du noyau Linux

Cette faille est liée à la façon dont le noyau charge les exécutables compilés en tant que Position Independent Executable (PIE).
Un utilisateur non privilégié pourrait exploiter cette vulnérabilité au sein d'un exécutable privilégié (SUID) pour bénéficier de ses privilèges.

Le leak de la semaine - Bck in 2013

Yahoo a admis que tous les comptes utilisateurs ont été compromis lors de l'attaque en 2013. De manière similaire, Tumblr a admis que 65 millions de comptes utilisateur auraient été dérobés en 2013.

CERT-W : Retours sur l'actualité de la semaine du 18 au 24 septembre 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Mahdi BRAIK et Thomas DEBIZE de la conférence HITB GSEC 2017.

Veille cybercriminalite

nRansom, le malware qui vous vend sur le deep web

Probablement issu d'une blague entre développeurs, le malware nRansom réveille nos souvenirs de 2012 puisqu'il s'agit d'un bloqueur d'écran (Screen Locker). Contrairement aux ransomwares, ce type de malware ne fait que vous empêcher d'accéder aux applications qu'il masque en se positionnant en plein écran au premier plan. Le principe demeure cependant le même, l'écran n'étant payé que sur versement d'une rançon.
Dans le cas de nRansom, la rançon est particulière, puisque les auteurs du malware exigent une dizaine de photos de nu de l'utilisateur qui, après vérification, seront revendues sur le deep web.
A la fois l'instabilité de l'application, la facilité de découverte du code de déverrouillage (12345) ou encore son aspect non sophistiqué laissent à penser qu'il s'agit d'une blague ou d'un test.

The Dark Overlord est de retour

Le groupe de pirates "The Dark Overlord" ou "TheDarkOverlord Solutions" avait fait parler de lui via la demande de rançon pour la cinquième saison de la série "Orange is the new black" (qui a tout de même été diffusée sur le web, malgré le paiement de la rançon). Quelques mois plus tard, le groupe était à l'origine de la revente du code source et des clés de signature de logiciels utilisés dans les hôpitaux.
Cette fois-ci, le groupe de pirates a franchi une nouvelle ligne en s'introduisant dans le système d'information des écoles du district "Columbia Falls", récupérant dossiers scolaires, dossiers médicaux et informations personnelles sur les élèves et enseignants. Le point de non-retour a été franchi après la demande de rançon et l'émission de menaces de morts à destination des parents des élèves concernés. Plus de 30 écoles ont été touchées et ont arrêté les cours durant cette crise.

A la recherche d'un signal GPS...

Il ne s'agit pas d'une nouvelle version du James Bond "Demain ne meurt jamais", mais bien d'un incident qui s'est produit depuis quelques mois en Mer Noire. A l'origine prouvé par des étudiants, il est possible de fausser les données GPS reçues par un navire marin en envoyant continuellement de fausses informations à la cible, jusqu'à écraser le signal GPS actuel. Ces mêmes étudiants avaient réalisé une démonstration à l'aide de 1.000$ de matériel, à l'encontre d'un yacht de 80.000.000$.
Cette fois, il s'agit d'une attaque à plus large échelle. Confirmée par différentes sources, il semblerait que les navires situés en Mer Noire à proximité des côtes russes soient victimes d'une telle attaque, la position leur étant annoncée par le signal GPS étant modifiée, certains apparaissant au milieu des terres, d'autres au milieu d'un aéroport.
L'entité derrière ce phénomène n'est pas encore clair, mais il n'est pas exclu que des agences russes soient en train de tester leur capacité à dérouter les systèmes reposant sur la localisation GPS.

Veille vulnerabilite

Apple déploie iOS 11.0.1 et corrige 8 vulnérabilités

Tout juste une semaine après le déploiement public de la version 11.0 d'iOS, Apple fournit la mise à jour 11.0.1. Outre la corrections de nombreux bugs, cette version corrige pas moins de 8 vulnérabilités, dont :
- La possibilité d'écraser un téléphone durant la mise en place de la connexion avec Exchange, suite à un défaut de validation TLS
- Trois dénis de services dans les applications iBooks, MessageUI et Messages
- Une vulnérabilité ciblant Safari, permettant de grandement faciliter la réalisation d'attaques par phishing puisqu'impactant la barre d'adresse

9 vulnérabilités corrigées par WordPress

L'éditeur de CMS WordPress a déployé mardi 19 septembre la version 4.8.2, corrigeant au passage pas moins de neuf vulnérabilités. Sur les neuf, cinq d'entre elles sont des vulnérabilités de type Cross-Site Scripting, deux sont des Path Traversal et une vulnérabilité de type Open Redirect.
La dernière vulnérabilité est liée au coeur de WordPress, bien que son exploitation ne dépende que des modules tiers qui l'utilise. Elle se situe au sein de la fonction de préparation des requêtes SQL et peut, sous certaines conditions, permettre l'exécution de requêtes SQL non protégées, malgré l'utilisation de requêtes préparées par le module.

Mac OS High Sierra expose vos mots de passe

Le chercheur en sécurité Patrick Wardle a récemment publié un tweet dans lequel il explique avoir trouvé un exploit sur Mac OS High Sierra (a minima) lui permettant d'accéder aux mots de passe en clair de l'utilisateur. Ces mots de passe sont stockés dans un conteneur "Keychain", normalement protégé par un mot de passe maître. Les applications tierces non signées ne devraient donc pas être en mesure d'accéder au contenu en clair de ce conteneur.
L'exploit publié par le chercheur montre qu'il est possible, à l'aide d'une application non signée (qui doit tout de même être exécutée manuellement), d'accéder au contenu en clair des Keychains, contournant ainsi les mécanisme de sécurité en place. Pour citer l'auteur : "je ne vais pas m'avancer en disant que cet exploit est élégant - mais il fait l'affaire, ne requiert pas les droits root, et marche dans tous les cas".

Indicateurs de la semaine

L'attaque de la semaine - Supply-chain attack sur Ccleaner

Le logiciel de nettoyage de poste de travail Ccleaner a été victime d'une attaque de type "supply-chain". Ce type d'attaque, dont NotPetya fait partie, consiste à introduire du code malveillant au sein d'une mise à jour d'un logiciel massivement utilisé. Ce code peut alors se comporter comme un Remote Access Trojan (RAT) et communiquer avec un centre de Command and Control (C2).
Dans le cas de CCleaner, la version touchée est la version 5.33.6162, distribuée entre le 15 août le 12 septembre 2017. La présence de code malveillante a été découverte par la société Morphisec, qui a remonté l'information en parallèle à Avast, nouvel acquéreur de l'éditeur de CCleaner Piriform, et Cisco. L'investigation s'est donc poursuivie sous la direction de l'équipe de réponse à incident de Cisco, Talos Intelligence.
Les conclusions de l'investigation indiquent la compromission d'un serveur de Piriform, l'utilisation malveillant de leur certificat de signature de code, l'introduction d'un RAT dans le code de CCleaner, et pas moins de 700.000 victimes. Parmi celles-ci, il n'y aurait eu qu'une vingtaine de postes sur lesquels une charge supplémentaire aurait été exécutée à l'aide du RAT.

Le leak de la semaine - Fuite de données de Verizon (encore)

Pour la troisième fois en moins de 2 ans, la société de télécommunication Verizon a été victime d'une faille de sécurité, exposant des données sensibles. Il ne s'agit cette fois-ci pas d'un groupe de pirate, les données récupérées n'ont donc pas été publiées. Des chercheurs en sécurité sont à l'origine de la découverte d'un bucket Amazon S3 non protégé, renfermant des données potentiellement sensibles du point de vue de Verizon.
Aucune donnée client n'a pu être retrouvée directement, mais on notera tout de même la présence d'informations sur des administrateurs, des emails contenant des informations relatives aux accès, des fichiers journaux, et des fichiers tamponnés "Confidentiel".
L'employé de Verizon hébergeant ce serveur a déclaré qu'il n'y avait aucune information confidentielle qui y était hébergée. Toutefois, le serveur a été coupé suite à ces révélations.

L'exploit de la semaine - Apache OptionsBleed

Une nouvelle vulnérabilité du type Heartbleed cible les serveurs web Apache dont la version est comprise entre 2.2.34 et 2.4.27. A l'instar de la célèbre vulnérabilité ayant affecté OpenSSL en 2014, OptionsBleed permet la récupération de données mémoires provenant d'une zone non initialisée, contenant potentiellement des informations sensibles, dont le contenu de pages web renvoyées.
Cette vulnérabilité a été découverte en analysant les résultat de l'exécution de la méthode OPTIONS sur le top 1.000.000 Alexa. Certains serveurs présentaient des retours incluant deux fois la même méthode HTTP ou du contenu HTML.
L'origine de cette vulnérabilité réside dans le traitement par Apache de la directive "Limit" parfois positionnée au sein des fichiers .htaccess. Lorsqu'une méthode inexistante ou qu'une méthode identique à un autre VirtualHost est spécifiée, la vulnérabilité peut être déclenchée. Bien qu'actuellement seulement 0.12% des serveurs web soient vulnérable, cette vulnérabilité peut être exploitée sur des serveurs web mutualisés par un attaquant disposant d'un VirtualHost dont il contrôle le fichier .htaccess, et en envoyant de manière répétée des requêtes OPTIONS.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Jean MARSAULT