SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retour sur l'actualité de la semaine du 8 au 14 octobre 2018


Retrouvez notre revue d'actualité de la sphère cybersécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !


Veille cybercriminalité

Un "pirate" qui met à jour des routeurs ?

Un individu se faisant appeler Alexey annonce avoir piraté plus de 100000 routeurs MicroTik dans le but de les mettre à jour et ainsi éviter leur compromission par des attaques automatisées.

Des ouvertures massives de portes dérobées sur des sites Drupal vulnérables

Une nouvelle vague d'exploitation massive de la vulnérabilité surnommée Drupalgeddon 2.0 vise à ouvrir des backdoors dans les serveurs compromis. Contrairement aux vagues précédentes, concentrées sur le dépôt de crypto-mineurs, cette vague permet aux attaquants d'obtenir le contrôle du serveur impacté.

Finalement, ce n'est QUE 30 millions de comptes Facebook qui ont été compromis.

L'attaque rendue publique au mois de septembre et dont on craignait qu'elle n'eut permis de compromettre les données de 90 millions d'utilisateurs de Facebook, aurait finalement concerné 30 millions de personnes.
Un résumé de l'incident est disponible dans le Help Center de la plateforme.

Le policiers conseillés de ne pas regarder les iPhones équipés de FaceID

Lors d'une présentation aux forces de l'ordre américaines, une entreprise spécialiste de la sécurité aurait suggéré de ne pas gaspiller les tentatives de login.

Un tiers des adultes américains aurait été victime d'un vol d'identité numérique

Une étude récente révèle un nombre alarmant de victimes de vol d'identité ainsi que plusieurs raisons pour leur

Veille vulnérabilité

Certains systèmes d'armement américains peuvent être "facilement compromis"

Une étude récente conduite par le gouvernement des États-Unis a conclu que certains de leurs systèmes d'armement les plus sensibles pouvaient être compromis en utilisant uniquement des outils basiques. Il s'agît d'un rapport détaillant un ensemble de tests effectués entre 2012 et 2017 et couvrant des systèmes de lancement de missiles ainsi que des avions militaires.

La dernière mise à jour de Windows effacerait des fichiers personnels

La mise à jour vers la version 1809 de Windows 10 a été arrêtée par Microsoft après que de nombreux utilisateurs aient annoncé des disparitions de fichiers dans leurs répertoires personnels.
Il semblerait par ailleurs que le problème ait été remonté depuis plusieurs mois, sans avoir levé d'alerte.

12 vulnérabilités critiques corrigées dans la dernière salve de mises à jour Windows

Le descriptif des vulnérabilités corrigées peut être retrouvé dans le lien ci-dessous.

Une vulnérabilité dans WhatsApp permet de prendre le contrôle de l'application à travers un appel vidéo

Une vulnérabilité concernant les versions iOS et Android de l'application de messagerie a été découverte par des chercheurs de Project Zero. Ce bug est corrigé dans les dernières versions des applications.

Indicateurs de la semaine

L'exploit de la semaine - Un exploit sur Git permettant d'exécuter du code arbitraire

Une nouvelle faille touchant les différents clients Git (Github Desktop, Atom, Git CLI...) a été trouvée par l'intermédiaire du programme de Bug Bounty de Github.
Cette vulnérabilité, décrite dans la CVE-2018-17456, permet d'exécuter du code sur les postes clients qui cloneraient un dépôt malveillant.

Le leak de la semaine - Les déplacements des membres du Pentagone victimes d'une fuite de données

Le Pentagone a annoncé que le département de la défense avait été victime d'une attaque ayant compromis les données de déplacement ainsi que les numéros de carte bancaire du personnel civil et militaire de l'armée américaine.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

CERT-W : Retour sur l'actualité de la semaine du 3 au 9 septembre 2018


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalité

Le créateur suspecté du botnet Satori inculpé par la cour fédérale alaskienne

Un homme de 20 ans a été inculpé par une cour fédérale alaskienne pour crime informatique. Des preuvent suggèrent son lien avec la création du botnet Satori, basé sur le code source rendu public du botnet Mirai.

Le groupe APT10 aurait des liens avec le ministère chinois de la sécurité de l'état (MSS)

Le chercheur de crowdstrike Adam Kozy a publié un rapport mettant en évidence des liens entre le groupe APT10 et plusieurs entités privées et acteurs du MSS (équivalent chinois de la NSA).

Le malware bancaire "CamuBot" capable de contourner le contrôle d'accès biométrique

CamuBot est un malware unique ciblant les clients business des banques brésiliennes. Il se présente comme un module de sécurité intégrant des fonctions avancées de modification malveillante de driver pour équipements d'authentification biométriques raccordés en USB.

Le gang cybercriminel russe "Silence" suit les pas de COBALT

Un gang cybercriminel appelé "Silence" a été lié à des attaques ayant fait perdre au moins 800 000 dollars, en partie via des attaques de type "ATM jackpotting" ou de type "cash out", avertit la société de cybersécurité Group-IB basée à Moscou. L'émergence de "Silence" comme menace majeure aux banques russes fait suite au déclin du nombre d'attaques menées par COBALT, dont un des membres a été arrêté en Espagne en Mars.

Le gouvernement américain affirme l'existence de liens entre le groupe Lazarus, la Corée du Nord, et une conspiration cybercriminelle majeure

Le département de la justice américain a accusé un homme nord-coréen du piratage de Sony Pictures Entertainment (SPE) en 2014 ainsi que de l'attaque mondiale WannaCry et de l'attaque SWIFT sur la banque centrale du Bangladesh en 2016.
Le département a déclaré dans sa plainte que le suspect, Park Jin-hyok, était impliqué dans "un complot visant à mener de multiples cyberattaques destructrices dans le monde" en tant que membre du groupe Lazarus, acteur bien connu de l'APT.

Veille vulnérabilité

SonarSnoop: intercepter des mots de passe tapés sur un smartphone en utilisant un sonar

Des chercheurs de l'Université de Lancaster ont réussi pour la première fois à utiliser une attaque active par canal latéral acoustique pour voler des mots de passe de smartphone en s'appuyant sur l'écho d'un son inaudible envoyé vers la cible.

Les gouvernements de l'alliance des "Five Eyes" appellent les géants de la tech à construire des backdoor vers les données chiffrées de leurs clients

L'alliance des Five Eyes, comprenant les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande, a publié une note demandant aux fournisseurs de "créer des solutions personnalisées adaptées à leurs architectures systèmes, permettant de répondre aux exigences d'accès réglementaire"

Des milliers de routeurs MikroTik mis sur écoute

Selon les chercheurs de 360 Netlab, plus de 7500 routeurs MikroTik ont été compromis via la CVE-2018-14847 et détournent leur trafic réseau vers des attaquants inconnus.

Une vulnérabilité découverte dans les systèmes de contrôle d'accès par badge Software House

David Tomaschik, ingénieur sécurité chez Google, a découvert une vulnérabilité dans les systèmes de contrôle d'accès physique Software House, utilisés dans les locaux Google, permettant à un attaquant externe de déverrouiller les portes à volonté.

Indicateurs de la semaine

L'exploit de la semaine - Une vulnérabilité d'escalade de privilèges découverte sur Docker pour Windows (CVE-2018-15514)

Un exploit permettant l'élévation de privilèges sur Docker pour Windows a été publié. Cet exploit ouvre la voie à la découverte future de nombreuses vulnérabilités basées sur la désérialisation .NET, encore sous-étudiées malgré l'existence d'outils d'analyse efficaces.

L'attaque de la semaine - La campagne massive de skimming "MangentoCore" infecte plus de 7339 sites e-commerce

Un script de skimming appelé MagentoCore a été déployé lors d'une campagne sans précédent sur plus de 7339 sites e-commerce utilisant le CMS Magento. Ce script a été conçu pour siphonner les données de cartes de paiement des clients et les rapatrier en temps réel sur un serveur enregistré à Moscou.

Le leak de la semaine - Pour la deuxième fois en trois ans, mSpy expose des millions d'enregistrements sensibles

mSpy, application vendue à plus d'un million de clients désireux d'espionner leurs enfants ou leur partenaire, a été victime d'une fuite de millions d'enregistrement sensibles en ligne. Ces données contenaient notamment des mots de passe, journaux d'appels, messages, contacts, notes et données de localisation.
C'est à travers l'accès à une base de données exposée sans contrôle d'accès que la fuite de données a été opérée.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner