SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retours sur l'actualité de la semaine du 13 au 19 novembre 2017



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Thomas DEBIZE, le compte-rendu de la conférence Hackfest 9.

Veille cybercriminalité

L'ANSSI publie une mise à jour de son guide sur l'acquisition et l'exploitation des noms de domaines

Les prédictions de Kaspersky en matière de menaces cybercriminelles pour 2018

Zscaler publie une analyse de quelques malwares exploitant la vulnérabilité liée au protocole DDE au sein de fichiers Microsoft Office

Des spams et arnaques envoyés sur WhatsApp tirent partie des noms de domaine internationalisés

La principale astuce de ce type d'attaque étant d'utiliser des caractères visuellement similaires

Google analyse les causes communes de fuite d'authentifiants gmail

Une vague de ransomware utilise une attaque par bruteforce sur les services RDP exposés sur Internet


IBM, Packet Clearing House et GlobalCyberAlliance ouvrent un service Quad9 de résolution DNS public

Le principal avantage de ce résolveur, contrairement aux DNS publics de Google, est de permettre un accès via une connexion chiffrée TLS

La société IOActive publie une analyse du rapport de l'attaque WannaCry subie par le système de santé britannique NHS

L'impact de l'attaque sur les actifs NHS avait été massivement relayé dans les médias (actes médicaux suspendus, patients transférés entre hopitaux etc.)

Une porte dérobée dans le One Plus permettrai de récupérer un accès root sans débloquer le bootloader

Un chercheur anonyme répondant sous le nom d'Elliot Anderson (personnage principal de la série Mr Robot) a découvert un outil de debug toujours présent dans les téléphones One Plus. Cet outil nommé EngineerMode permet à une personne disposant d'un accès physique au téléphone de récupérer un accès root, et ainsi d'accéder à l'ensemble des données.

Veille vulnerabilite

L'ANSSI publie une guide sur la mise en oeuvre des fonctionnalités de sécurité de Windows 10 reposant sur la virtualisation

Les technologies Virtual Secure Mode, Device Guard et Credential Guard sont abordées

L'agence nationale de sécurité SI australienne publie une note de recommandation en matière de contrôle d'accès et de politique de mot de passe

Google annonce que son nouveau téléphone Pixel 2 est équipé d'une puce TPM

Sur Android les puces TPM déclinent le concept de "Trusted Execution Environment" o񠬥s secrets d'authentification sont stockés et les tentatives d'authentification exécutées. La caractéristique principale d'une puce TPM étant l'inviolabilité au niveau électronique et l'impossibilité d'extraire les secrets pour les casser hors-ligne

PentestPartners publie une analyse la sécurité du protocole de communication utilisé pour le transport de container maritime

PentestPartners publie quelques recommandations de sécurité aux concepteurs d'objets connectés sur le choix du microcontrôleur

Dyn revient sur une fuite de route BGP ayant impacté et ralenti des millions de connexions le 6 novembre 2017 en amérique du nord

RiskBasedSecurity publie son rapport de vulnérabilités divulguées au cours du troisième trimestre 2017

39.9% des vulnérabilités rapportées ont un score CVSSv2 supérieur à 7.0

Talos dévoile de multiples vulnérabilités impactant la caméra IP Foscam C1 Indoor HD

La société IOActive publie une analyse de la sécurité de plusieurs systèmes de communication maritime

Windows 10 et la fonctionnalité de "Controlled Access Folder" introduite avec la dernière mise à jour majeure (Fall Creators)

La reconnaissance faciale d'Apple contournée par une impression 3D

Malgré les nombreux mécanismes de sécurité implémentés par la reconnaissance faciale de l'iPhone X (détecteur de chaleur, de profondeur, à l'aide de plus de trente milles points infrarouges, etc.), ce système d'authentification ne semble pas plus fiable que le classique mot de passe.
En effet, des chercheurs de la compagnie de sécurité vietnamienne Bkav ont réussi à contourner le mécanisme à l'aide de l'impression 3D d'un masque sur lequel sont collées des images 2D, le tout pour un total de moins de 150$.

GitHub prévient les développeurs de dépendances incluses dans les projets dont la version est obsolète

20 millions d'équipement Google Home et Amazon Echo sont affectés pas la vulnérabilité Blueborne

En septembre dernier, les huit vulnérabilités regroupées sous le nom de Blueborne et affectant de nombreux équipements Bluetooth étaient publiées. Deux mois plus tard, Armis, la compagnie ayant initialement rendu publique les vulnérabilités, a publié un communiqué indiquant que Blueborne serait toujours présents sur plus de 15 millions d'Amazon Echo et 5 millions de Google Home. La vulnérabilité permettrait alors de prendre le contrôle total de ces équipements en constante écoute de communications Bluetooth.

Un chercheur identifie une faille de sécurité pour le produit Amazon Alexa permettant d'énumérer les propriétaires de ces objets et de communiquer avec eux (audio, SMS)

Une vulnérabilité dans le service Amazon Key pourrait permettre la désactivation des caméras

Des chercheurs de Rhino Security Labs ont identifié une vulnérabilité dans le service Amazon's Key, permettant aux utilisateurs de se faire livrer leurs colis chez eux sous le contrôle d'une caméra et d'un verrou électronique.
La vulnérabilité rendue publique par les chercheurs permettrait alors de désactiver les équipements pour cambrioler les lieux.

CVE-2017-11882

Les chercheurs de la compagnie de sécurité Embeddi ont découvert une vulnérabilité critique dans le logiciel Microsoft Office. Cette vulnérabilité affectant l'ensemble des versions du logiciel depuis la 2007, et ce sur l'ensemble des systèmes d'exploitation de Microsoft, pourrait permettre à un attaquant à distance d'installer un programme malveillant sur le système (exécution de code à distance), et ce sans interaction utilisateur.
Cette vulnérabilité provenant d'un composant obsolète de Microsoft Office, les chercheurs ont également publié les commandes permettant de le désactiver (voir première source).

La vulnérabilité JOLTANDBLEED affecte les produits Oracle

L'éditeur Oracle a publié une mise à jour de sécurité critique concernant des vulnérabilités affectant plusieurs de ses produits qui reposent sur l'utilisation du protocole propriétaire Jolt.
Ces vulnérabilités, découvertes par des chercheurs de chez ERPScan et regroupées sous le nom de JoltandBleed, permettrait différentes manipulations de la mémoire pour aboutir à la récupération des données par un attaquant non authentifié.

Indicateurs de la semaine

L'attaque de la semaine - Le département de sécurité intérieure des Etats-Unis (DHS) révèle avoir mené un test d'intrusion sur un Boeing 757 et avoir pu prendre le contrôle à distance des systèmes de l'appareil

L'exploit de la semaine - Des chercheurs obtiennent un accès JTAG au composant Intel Management Engine (ME)

Intel ME est un système de management bas-niveau présent sur de nombreux processeurs Intel depuis 2006, une faille critique avait notamment été trouvée l'année dernière sur le composant Intel AMT basé sur Intel ME (cf. http://www.securityinsider-wavestone.com/2017/09/compte-rendu-de-la-conference-hitb-gsec-2017.html).
Cet accès via le protocole de débogage JTAG va permettre d'analyser en profondeur la sécurité d'un tel composant

Le leak de la semaine - De nombreuses données militaires américaines exposées via AWS S3

Trois buckets Amazon S3 contenant des Téraoctets de données d'archives de surveillance par les services militaire américains ont été découverts sur Internet. La cause, une mauvaise configuration des buckets les laissant accessibles publiquement à tous.

Le guide de la semaine - Mise en place des fonctionnalités de sécurité Windows 10 basées sur la virtualisation

Avec son système d'exploitation Windows 10 Entreprise, Microsoft propose différents mécanismes de sécurités reposants sur la virtualisation, et notamment Device Guard et Credential Guard.
Ces mécanismes de sécurité n'étant pas toujours faciles à déployer à large échelle, l'ANSSI a rendu public son guide de "mise en oeuvre des fonctionnalités de sécurité de Windows 10 reposant sur la virtualisation".

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
57.0 (Quantum)
Google Chrome
VirtualBox
CCleaner

Nicolas DAUBRESSE
Thomas DEBIZE

Aucun commentaire:

Enregistrer un commentaire