SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retours sur l'actualité de la semaine du 14 au 20 août 2017



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Thomas DEBIZE des BSides Las Vegas 2017.

Veille cybercriminalite

ShadowPad : Backdoor installée via une mise à jour signée

Les chercheurs de Kaspersky Labs ont découvert une backdoor installée dans un logiciel de gestion de serveurs utilisé dans la plupart des secteurs (banques, industrie, énergie...) dans le monde entier.
La nouveauté dans cette attaque de grande ampleur réside dans le fait que le malware a été installé via un update signé et certifié par NetSarang, le fournisseur du logiciel. Ce qui signifie que les infrastructures de NetSarang (qui distribue plusieurs logiciels à des centaines d'entreprises) ont probablement été compromises et peuvent continuer à distribuer des updates corrompues pour des logiciels d'entreprise.
Sans qu'aucun groupe ne se soit manifesté, certaines similitudes ont été trouvées avec des codes émis par des groupes de cyberespionnages chinois.

Veille vulnerabilite

Rétro-ingénierie de microcode x86

Contrairement à ce que l'on pourrait penser, les processeurs modernes n'exécutent pas "matériellement" les instructions x86 qui leur sont envoyées par le système d'exploitation. En effet, afin de permettre de corriger certain bugs ou défauts des processeurs (oui, cela arrive), les constructeurs comme Intel ou AMD font appel à un micro-code (qu'il est possible de mettre à jour) afin de traiter ces instructions.
En analysant les mises à jour de micro-code, des chercheurs ont pu comprendre son fonctionnement. Ils ont ainsi pu identifier les opérandes utilisées et créer une prevue de concept de porte dérobée cryptographique.

Fuite de données USB par "canal auxiliaire"

Des chercheurs ont analysé plus de 50 ordinateurs et hubs USB, à la recherche de "fuite de données", nommées cross-data leakage, permettant à un périphérique USB de récupérer les informations échangées par un autre périphérique. Dans 90% des cas, il a leur a été possible de récupérer des données associées à un autre périphérique. Ils ont ainsi pu créer une lampe USB modifiée, capable de voler les informations du clavier, comme par exemple les mots de passe. Il est à noter que cette fuite de données pouvait également se produire via des portes USB permettant uniquement la charge et non l'échange de données.

Vulnérabilité non patchable du bus CAN dans les voitures

La majorité de nos voitures actuelles proposent des fonctions d'assistance électronique (freinage, trajectoire, gestion des airbags...). Toutes ces fonctions sont commandées grâce au protocole CAN (Controller Area Network), qui a été créé au début des années 90 puis standardisé via les normes ISO11898-x. Il est utilisé dans l'industrie automobile de façon mondiale.
La vulnérabilité dont il est question ici consiste simplement à exploiter une des propriétés du protocole lui-même, en injectant un certain nombre de messages d'erreur. Lorsque le contrôleur détecte qu'un certain nombre d'erreurs est atteint, l'équipement est isolé (statut "Bus Off"), il ne peut plus ni lire ni écrire de messages du CAN. L'équipement est alors désactivé et inutilisable. Des équipements vitaux peuvent être ainsi rendus inopérants
L'attaque en elle même nécessite un accès physique pour l'injection, et elle peut également être opérée grâce à d'autres vulnérabilités exploitables à distance.
La dangerosité de cette vulnérabilité réside dans le fait qu'elle est inhérente au design du protocole et ne peut donc être corrigée. Seules des actions de mitigation peuvent être entreprises (chiffrement, protection de l'accès physique..).

Indicateurs de la semaine

Le leak de la semaine - Les données de 200 millions de votants exposées

Aux US, les données de 200 millions de votants ont été exposées à cause d'un paramètre mal configuré, qui en permettait l'accès sans mot de passe (bien que le parramètrage par défaut soit la protection par mot de passe...).
Les données comprenaient des informations (dates de naissance, numéros, parti politique, ethnie, adresses, ...) sur les votants des élections présidentielles de 2008, 2012 et 2016.
De telles données peuvent entre autres être utilisées pour prédire des modèles de vote ou cibler des populations lors de campagnes électorale.

L'exploit de la semaine - CVE-2017-0199

Un nouvel exploit, sur une vulnérabilité découverte et dont le patch a été émis en avril dernier, est utilisé par des hackers pour installer des malwares sur le poste cible, via un fichier PPSX (Power point format).

L'attaque de la semaine - Pulse Wave - Ddos

Un nouveau type d'attaque Ddos a été observé. Aussi efficace qu'une attaque Ddos classique qui consite à mobiliser l'ensemble des zombies sur une seule cible durant un certain temps, l'attaque Pulse Wave fonctionne sur de court laps de temps, envoyant des pics de charges plus intenses et surtout, avec une amplitude maximale très rapidement atteinte (contrairement au ddos classique).
Le pool de botnets pourrait changer de cible en temps réel entre deux pics de charges, optimisant ainsi la consommation de ressources.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox

Camille MARSIGNY et Arnaud SOULLIE

Aucun commentaire:

Enregistrer un commentaire