SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retour sur l'actualité de la semaine du 26 juin au 1er juillet 2018


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !


Veille cybercriminalite

Fuite de données massive sur FastBooking

Un attaquant non identifié a exploité le 14 juin une vulnérabilité web présente dans le système de réservations de FastBooking afin d'accéder aux données des clients. La vulnérabilité a été corrigée le 19 juin par FastBooking, non sans accès malveillant aux données. Plus de 1000 hôtels pourraient avoir été impactés et dans certains cas l'attaquant a pu avoir accès aux données de carte bancaire.
La chaîne d'hôtels Prince Hotels & Resorts, cliente de FastBook, a publié un communiqué le 26 juin 2018 expliquant que des accès non autorisés avaient été détectés sur son système de réservations. Parmis les données présentes : nom, adresse, adresse email et détails de la réservation.

Vol de données chez Typeform

Des employés de la société Typeform ont découvert l'exploitation d'une vulnérabilité web permettant la récupération d'un fichier de sauvegarde et des données qu'il contenait.
Typeform est une plateforme permettant à ses clients la publication de formulaires et questionnaires afin de traiter les données reçues. Seules ces informations, jusqu'au 3 mai 2018, auraient été dérobés, n'impactant pas les coordonnées bancaires des clients.

Scam Wannacrypt

Une campagne de scam est en ce moment en cours à l'encontre d'entreprises et de particuliers. La victime reçoit un email expliquant que ses appareils ont été infectés à l'aide d'une nouvelle version de WannaCry, nommée WannaCrypt.
Cette version permettrait à l'attaquant de déclencher le chiffrement irréversible des fichiers s'il ne reçoit pas de paiement de la part de la victime avant une date convenue.
Il n'y a bien évidemment aucun malware installé, et la campagne permettrait uniquement aux scammers de récupérer de l'argent.

L'Algérie coupe Internet durant les épreuves du bac

Suite à la fuite des sujets du bac en 2016, l'Algérie avait procédé l'an dernier à un blackout des réseaux sociaux. Cette année, une nouvelle étape est franchie, et Internet a été coupé durant 11 créneaux d'une heure à travers tout le pays.

Vol de points fidélité sur 500.000 comptes

Deux adolescents d'origine russe ont été appréhendé récemment suite au piratage d'un demi-million de comptes en ligne. Ils étaient déjà connus des forces de l'ordre suite à une affaire similaire en 2015.
Les coupables auraient été en mesure de prendre le contrôle des comptes suite à des attaques par dictionnaire. Ils ont ensuite utilisé les points de fidélité de ces comptes pour effectuer des achats avant de revendre les comptes sur le marché noir.

Une caméra connectée partage le flux vidéo au mauvais destinataire

Le 28 juin dernier, un journaliste de la BBC, détenteur d'une caméra de sécurité manufacturée par Swann Security, a reçu sur son application mobile de surveillance, les flux vidéos d'une famille détentrice d'une autre caméra du même modèle.
Bien loin du scénario de piratage, les deux caméras avaient accidentellement reçu le même secret embarqué, qui était utilisé pour le dépôt et l'accès aux vidéos. Un avertissement lors de la mise en place avait été ignoré, et la seconde caméra a rendu accessible ses flux vidéos au détenteur de la première.

WPA3 est disponible

Le 25 juin, la Wi-Fi Alliance a introduit au sein d'un communiqué de presse la dernière version du standard WPA (Wi-Fi Protected Access).
A l'instar de la version précédente, WPA3 est décliné sous deux formes : WPA3-Personnel et WPA3-Entreprise. Une fonctionnalité nommée Wi-Fi EasyConnect a également été présentée, son objectif étant de faciliter l'enrôlement de terminaux au sein d'un réseau Wi-Fi, notamment à l'aide de QRCodes. Cette fonctionnalité peut s'avérer très pratique pour les objets connectés.

2 des GAFA accusés d'utiliser des "Dark patterns"

Facebook et Google ont récemment été accusés d'avoir volontairement utilisé les dark patterns sur certaines de leurs applications.
"Dark patterns" est un terme qui a vu le jour en 2010, et qui désigne une interface utilisateur construite dans le but d'orienter son utilisateur à la sélection d'un choix plutôt qu'un autre. Il peut par exemple s'agir de modifications qui dissimuleraient des liens de désabonnement et désinscription en leur appliquant la charte graphique du texte standard.

Veille vulnerabilite

Une attaque par canaux auxilliaires vise l'hyperthreading

L'hyperthreading est la technologie qui permet aux processeurs d'exécuter deux routines en parallèle sur un même coeur physique, d'où apparation de coeurs dits "logiques".
L'attaque a été découverte par des chercheurs de Vrije Universiteit Amsterdam, et son Proof-of-Concept cible le chiffrement par l'algorithme Curve 25519 EdDSA. Les détails de l'attaque ne sont pas encore connus mais devraient être présentés à la BlackHat US en août.
Les chercheurs insistent cependant déjà sur le fait que ses impacts sont bien plus faibles et sa remédiation plus aisée que Spectre/Meltdown.

Joomla <= 3.8.8 - Local File Inclusion

Une vulnérabilité permettant la récupération arbitraire de fichiers a été découverte. Aucun exploit ne semble être public pour l'instant.

RAMpage - Yet another Rowhammer vuln

RAMpage est la dernière variante d'une longue série de vulnérabilités rassemblées sous le nom Rowhammer. Il s'agit d'une vulnérabilité qui exploite les effets de bords possibles d'opération en mémoire répétées à haute fréquence, qui peuvent aboutir au changement d'un bit en mémoire, quels que soient les privilèges de l'utilisateur.
Cette variante cible Android et notamment le système ION responsable des allocations mémoire. Elle permet la prise de contrôle du terminal mobile. Un patch, nommé Guardion, a été mis au point, mais n'est pas encore disponible pour tous les terminaux.

Indicateurs de la semaine

L'exploit de la semaine - Wordpress - wp_delete_attachment()

Une vulnérabilité a été découverte dans la fonction wp_delete_attachement() de Wordpress, et permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le système de fichiers, pourvu que le compte exécutant le serveur web en ait les droits.
Il devient alors possible de procéder à la suppression de fichiers clés du CMS, et de provoquer sa réinstallation.
La vulnérabilité a été remontée en novembre 2017 auprès de Wordpress et demeure non patchée. Toutes les versions existantes sont affectées.

Le leak de la semaine - Exactis - 2To de données et 340.000.000 d'entrées exposés sur Internet

L'entreprise américaine Exactis aurait pu subir le même sort que bon nombre d'autres entreprises présentes dans l'actualité récente. En effet, un chercheur en sécurité, Vinny Troia, a découvert à l'aide de Shodan une base de données ElasticSearch leur appartenant et exposée sur Internet.
La base de données contient jusqu'à 150 indicateurs déifférents sur pas moins de 218 millions de résidents étatsuniens, dont les adresses email et résidentielle, les numéros de téléphone, etc.

L'attaque de la semaine - Le compte Github de Gentoo piraté

Bien que les moyens utilisés ne soient pas encore clairs, le compte Github de la distribution Linux Gentoo a été piraté le 28 juin. Des personnes d'identités inconnues ont pris le contrôle du compte Github, et procédé a des modifications sur le code hébergé. En revanche, les commits effectués d'ordinaire sont signés, et aucune donnée ne permet d'indiquer que la clé de signature ait été compromise.
Bien qu'il ne s'agisse que d'un dépôt de code secondaire, le dépôt principal étant disponible sur le site de la distribution, un grand nombre d'utilisateur aurait pu être impacté.

Sources :

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner


Jean MARSAULT

Compte-rendu de la conférence Hack-In-The-Box (HITB) Amsterdam 2018 - 12 et 13 avril 2018


Wavestone était présente à l’édition 2018 de la conférence de sécurité Hack-in-the-box (HITB) à Amsterdam, où Thomas DEBIZE, de la practice Cybersecurity & Digital Trust, a eu la possibilité de présenter des travaux autour de techniques modernes pour la réalisation de tests d’intrusion (https://conference.hitb.org/hitbsecconf2018ams/materials/D1%20COMMSEC%20-%20Thomas%20Debize%20-%20Modern%20Pentest%20Tricks%20for%20Faster,%20Wider,%20Greater%20Engagements.pdf)

Nous vous proposons ci-dessous le compte-rendu d’une sélection de talks, les supports de présentations étant d’ores et déjà disponibles à l’adresse suivante https://conference.hitb.org/hitbsecconf2018ams/materials/ tandis que les vidéos seront bientôt publiées sur la chaine YouTube de la conférence.

Nous tenons à remercier les organisateurs pour leur accueil chaleureux, la logistique et des activités post-conférence très appréciables ! 

Pour information, après Amsterdam, Singapour et Pékin, HITB sera également présente à Dubai en 2018.

BRIDA: When Burp Suite Meets Frida - Federico Dotta & Piergiovanni Cipolloni

BRIDA est un plugin de l’outil de test d’intrusion Web « Burp Suite » dont le principe est d’effectuer une passerelle avec l’outil d’instrumentation dynamique « Frida ». L’objectif est de faciliter le travail des auditeurs qui, notamment lors de tests d’intrusion pour des applications mobiles, sont souvent amenés à réimplémenter une fonction spécifique de l’application (chiffrement applicatif, signature de message côté client etc.) pour pouvoir effectuer leurs tests.


A travers le composant d’intermédiation « Pyro4 » effectuant la passerelle entre « Burp Suite » et  « Frida », BRIDA permet ainsi de tirer parti des fonctionnalités avancées de ces deux outils. 

Invoke-DOSfuscation: Techniques For %F IN (-style) DO (S-level CMD Obfuscation) - Daniel Bohannon

Daniel Bohannon, chercheur chez FireEye, est spécialisé dans l’analyse des techniques d’obfuscation. Les travaux présentés lors de ce talk sont issus des techniques d’obfuscation de commandes DOS observées dans la nature, entre autres par le groupe « FIN7 », plus connu sous le nom de « Carbanak » :


Suite à ces observations de cas réels, le chercheur a creusé la syntaxe des commandes DOS afin de déterminer comment un attaquant pourrait obfusquer ses commandes dans l’objectif d’évader les équipements d’analyse. 

Très concrètement, les recherches effectuées permettent de rendre équivalentes les deux commandes suivantes :


Toutes les techniques découvertes ont été consolidées dans l’outil « Invoke-DOSfuscation » (https://github.com/danielbohannon/Invoke-DOSfuscation).

Keynterceptor: Press Any Key To Continue - Niels van Dijkhuizen

Le chercheur a tout d’abord rappelé l’historique des outils permettant de réaliser des attaques « USB HID » qui, à l’image du fameux « Rubber Ducky », permettent de transformer une clé USB en périphérique clavier saisissant des commandes automatiquement sur le poste ciblé. 

Après avoir énoncé les composants de protection physique contre ces attaques (USG, USB Protection Guard etc.), l’auteur a montré une vidéo de démonstration d’une solution comprenant :
  • Une station de base à connecter sur le réseau de l’entreprise ciblée, disposant d’un module de communication UART 433 MHz ainsi que d’un module de communication 4G afin de rendre l’accès à distance possible à l’attaquant
  • Un boitier USB, sur lequel le clavier de la victime est branché, communiquant en UART 433 MHz avec la station de base



Digging Deep: How To Find And Exploit Bugs In IoT Devices – Kelvin WONG

Le chercheur a évoqué ici les différentes techniques d’attaque de systèmes embarqués, équipements principalement retrouvés dans l’écosystème IoT. Les méthodes de dump de firmware via JTAG, UART, ISP et Chip-Off  (extraction du microcontrôleur et analyse « hors-ligne ») ont été illustrées avec des exemples concrets, et le chercheur a notamment révélé avoir réussi à extraire le firmware des équipements Amazon Alexa et Google Home Mini.


Mallet: Towards A Generic Intercepting Proxy – Rogan Dawes

Les chercheurs en sécurité ont toujours été confrontés à la difficulté d’analyser la sécurité de protocoles pour lesquels il n’existe pas, au moment des tests, d’outil d’interception/rejeu/modification fiable. Dans cette situation, le chercheur doit alors développer son propre outil, entrainant ainsi une perte de temps, en plus du sentiment de réinventer la roue.

Avec l’avènement de l’IoT et des protocoles machine-to-machine légers n’utilisant pas HTTP comme transport, les chercheurs sont de plus en plus confrontés à cette situation avec les protocoles MQTT, CoAP etc.

Après avoir rappelé l’historique des outils permettant de proxifier des protocoles hors-HTTP, Rogan a proposé et détaillé un nouvel outil « Mallet » basé sur la bibliothèque « Netty », utilisée dans l’analyse de trafic chez les géants du Web et disposant d’une multitude de décodeurs protocolaires :






Mind The Gap: Uncovering The Android Patch Gap Through Binary-Only Patch Level Analysis - Karsten Nohl & Jakob Lell

L’objectif des travaux présentés durant ce talk a été de mesurer de manière statistique l’écart effectif entre le niveau de patch de sécurité disponible à un instant T pour le système Android, versus le niveau de patch proposé par les principaux constructeurs de téléphone de cet OS.

Pour effectuer cette évaluation, les chercheurs ont compilé toutes les variantes de sources Android (constructeurs, plateformes, révisions etc.), requérant un travail d’ingénierie important :







Après avoir présenté les résultats de l’étude, les chercheurs ont rappelé et insisté sur le fait que les différences en matière de patch de sécurité sur Android n’impliquent pas directement de faille critique sur le système, car il est nécessaire de disposer d’une chaine d’au moins 4 vulnérabilités différentes pour compromettre globalement un terminal :


Enfin, les chercheurs ont présenté l’outil « SnoopSnitch » disponible sur le Play Store et permettant d’évaluer l’écart de patch, et ainsi d’exposer la surface d’attaque à laquelle un téléphone est soumis.

In Through The Out Door: Backdooring & Remotely Controlling Cars With The Bicho - Sheila Ayelen Berta & Claudio Caracciolo

Les chercheurs ont présenté un périphérique nommé « el bicho » consistant en une porte dérobée physique à connecter sur un port ODB2 disposant d’un module 4G afin d’envoyer des commandes sur le bus CAN à distance par SMS, notamment des commandes pour désactiver un ECU par flooding.


Les chercheurs ont indiqué que le design et le firmware de ce périphérique ne seraient pas rendus open-source.

Par ailleurs ces chercheurs sont également à l’initiative de la plateforme Web « opencandb » où chacun peut partager les frames CAN et leur fonction observées sur son véhicule :





Call Me Maybe: Establishing Covert Channels By Abusing GSM AT Commands - Alfonso Munoz & Jorge Cuadrado Saez

Les deux chercheurs ont présenté différentes techniques de transfert d’information par canaux cachés entre deux téléphones mobiles au moyen de commandes AT, ces commandes constituant la norme GSM. 

Les auteurs ont par ailleurs eu pour objectif de prouver qu’il est possible d’effectuer ces transferts de manière totalement anonyme en :

  • Construisant son propre téléphone, et en rendant son design open-source (https://github.com/jorcuad/FreePhone/wiki ) :



  • Achetant des cartes SIM prépayées incognito, alors que la loi dans de nombreux pays impose aux opérateurs de disposer de l’identité de tous les abonnés à son réseau


  • Utilisant uniquement des méthodes de communication n’impliquant pas de frais
La principale technique utilisée a été la réalisation d’un l’appel manqué (pas de décrochage, pas de frais) couplé à l’envoi d’information via la présentation du numéro appelant. Cette technique, bien qu’efficace, n’offre pas un débit très important (12 bits par minute) :


Afin d’augmenter le débit, différents numéros privés virtuels ont été utilisés, chaque numéro virtuel appelé (n) permettant de positionner le bit correspondant.



Enfin, dans un contexte où le transmetteur dispose d’une connectivité 4G, une technique utilisant un raccourcisseur d’URL ainsi que l’utilisation d’un service Web de présentation d’un numéro arbitraire a été démontrée.

Thomas DEBIZE

Introduction au Software Defined Radio (SDR)


L’utilisation accrue d’objets sans-fil (téléphone, objet connecté, casque audio, télécommande, …) et la mise à disposition d’antennes bon marché favorisent l’étude des signaux radio. Les deux premiers articles de cette série visent à introduire les composants de la radio-logicielle (SDR) et de l’étude des ondes radio. D’autres articles seront ensuite publiés avec pour objectif d’évaluer la sécurité de l’utilisation d’un objet sans-fil.

Définition

Jusqu’à très récemment, il était plus rapide d’utiliser un matériel dédié pour réaliser une tâche ; c’est dans ce contexte que la radio s’est développée. Aujourd’hui, la puissance des calculateurs des ordinateurs permet de traiter une large quantité de données (plusieurs millions par secondes) et donc de traiter les signaux radio efficacement.
Si les briques de traitement du signal (dont la modulation/démodulation) peuvent être aujourd’hui déportés sur un ordinateur, la fonctionnalité de réception (ou d’émission) nécessite toujours un matériel dédié. Plusieurs définitions existent pour le terme de « radio-logicielle » ou SDR an anglais (Software Defined Radio), nous proposons la suivante :
Outils permettant de réceptionner ou d’émettre un signal qui sera par la suite traité par logiciel.
Le matériel nécessaire pour faire du SDR (« antenne SDR ») est donc composé au minimum des éléments suivants :
  • Une antenne avec des capacités en réception et/ou transmission.
  • Un convertisseur Analogique-Numérique (DAC) et/ou Numérique-Analogique (NAC). Il constitue l’interface entre le domaine électromagnétique (analogique) et informatique (numérique).
  • Dans certains cas, l’antenne peut embarquer des filtres et amplificateurs pour faciliter le travail du logiciel.


Le RTL-SDR, l’avènement du SDR bon marché

Une bonne « antenne SDR » doit être capable de scanner un large spectre de fréquences (de quelques MHz à plusieurs GHz) avec une bonne précision d’acquisition. Plusieurs produits existent (RTL-SDR, HackRF, LimeSDR, USRP, …) et offrent des possibilités variées (fréquences, réception/émission simultanées, gain, …) il convient donc de bien choisir son matériel.
Notre cabinet s’est doté d’un USRP, la référence des antennes SDR, pour réceptionner et émettre des signaux sur un large spectre de fréquence. 

Nous l’avons dit, le socle informatique est désormais capable de gérer un grand nombre de données, mais ce n’est pas cette évolution qui est pas à l’origine de la popularisation du SDR. L’avènement de la télévision numérique (DVB-T TV) permet de visionner la télévision numérique sur ordinateur à l’aide d’une clef USB. Sa production en masse permet de diminuer les couts de fabrication et de vente de la RTL2832U qui la compose.


Des personnes ont réussi à interagir avec la puce RTL2832U de ces antennes USB afin de mettre en avant des fonctionnalités des SDR sur ces équipements rendant accessible la radio-logicielle à tous.

Des exemples de logiciels

Comme son nom l’indique, un SDR peut être manipulé par un logiciel pour réceptionner ou émettre des données sans fil. La liste suivante vise à donner un aperçu des logiciels existant et les besoins auxquels ils répondent.

GNU Radio : le couteau suisse du SDR

GNU Radio est un outil qui détaille, à l’aide de blocs de programme, les différentes étapes pour moduler ou démoduler un signal. Les étapes les plus courantes dans le traitement des signaux (FFT, resampling, diagrammes, …) sont déjà implémentés et il est possible de faire interagir des blocs entre eux pour produire un programme qui sera capable, par exemple, d’écouter la radio sur son ordinateur.

Inspectrum et Baudline : visualiser le signal

Dans un premier temps, l’étude d’un signal consiste à le caractériser ; c’est-à-dire à identifier sa fréquence et son type de modulation. Une représentation des composantes (amplitude, fréquence et phase) d’un signal au court du temps est donc nécessaire. Les deux outils Inspectrum et Baudline répondent à ce besoin. Baudline permet aussi la collecte du signal.

rtl_sdr

Un SDR fournit à l’ordinateur un flux continu (stream) de nombres complexes caractérisant le signal. Il est possible d’enregistrer le signal dans un fichier pour ensuite l’étudier.
Nous prenons ici l’exemple du RTL-SDR mais chaque antenne nécessite une suite de logiciels pour les échanges antenne-ordinateur. GNU-Radio offre une interface pour ne pas avoir à installer chaque logiciel. Néanmoins, pour réaliser quelques tests, il peut être intéressant d’avoir le pilote de son SDR installé sur son poste. Par exemple, pour le RTL-SDR, le blog rtl-sdr.com (https://www.rtl-sdr.com/rtl-sdr-quick-start-guide/) décrit les étapes à suivre pour installer les logiciels sur Windows.
Il est maintenant possible d’enregistrer une fréquence donnée à l’aide la commande suivante :
rtl_sdr -f <freq> -s 2000000 fichier.sortie.cu8

Le fichier de sortie (fichier.sortie.cu8) est une suite de nombres complexes encodée sur 8 bits. L’extension cu8 (« Complex 8-bit unsigned integer samples ») est comprise directement dans Inspectrum .

Quelques cas d’école

Comme il est facile de se procurer un SDR à bas coût, une pléthore de logiciels ont été développé pour écouter et visualiser les données. 
Parmi les logiciels incontournables, nous présentons dump1090 qui donne la position des avions en temps réel et le système RDS pour écouter et obtenir des informations sur les chaines radio.

Dump1090 : positionner les avions

Salvatore Sanfilippo (Antirez), le développeur de Redis, a développé un outil, Dump1090 , qui permet de visualiser les informations des signaux radio « ADS-B ». Ces signaux sont utilisés dans l’aviation pour signaler la position GPS des avions sur un fréquence de 1090 MHz. À l’aide de son outil, il est donc possible pour un amateur équipé d’un RTL-SDR de repérer facilement les avions autour de lui.
Une fois l’outil installé, il suffit de lancer la commande suivante :
./dump1090 --interactive --net

Et d’ouvrir son navigateur sur :
http://localhost:8000

Depuis nos locaux de La Défense, il est possible de voir les avions dans le ciel parisien.

Radio Data System : informations sur une radio FM

Le Radio Data System (RDS) est un service proposé par les radios FM pour fournir aux utilisateurs des informations sur la radio qu’ils écoutent : nom, messages textuels ou encore d’autres fréquence d’écoute.
Pour consulter ces informations, nous allons installer une extension de GNU-radio : https://github.com/bastibl/gr-rds
Une fois celle-ci installée, il convient de démarrer gnu-radio à l’aide de la commande suivante :
gnuradio-companion apps/rds_rx.grc

Ensuite, l’interface proposée permet de positionner la fréquence du SDR et ainsi d’écouter la radio et de lire les information RDS.


C’est grâce à ce système que les radios diffusent le nom de la chanson actuellement en écoute.

Pour aller plus loin

Notre prochain article présentera les premières étapes de caractérisation d’un signal, l’identification de sa fréquence et son type de modulation. Ensuite, nous pourrons continuer l’analyse pour savoir comment démoduler des signaux et s’intéresser à leur sécurité.

Vincent DEPERIERS

CERT-W : Retours sur l'actualité de la semaine du 26 février au 4 mars 2018


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Vincent DEPERIERS, une Introduction au Software Defined Radio (SDR).

Veille cybercriminalité

5 méthodes pour trouver des machines sur lesquelles des processus tournent en tant qu'admin de domaine

L'identification de processus lancés avec des privilèges administrateur du domaine est la première étape dans l'impersonification de tels droits. NetSpi présente dans cet article 5 méthodes pour identifier ces processus.

L'impact des mises à jour Windows 10 dans l'investigation forensic

Lors de l'installation des mises à jour majeures de Windows 10, la date d'installation est réinitialisée et les journaux supprimés, ce qui peut avoir un lourd impact dans une investigation forensic.

2,4 millions d'utilisateurs ajoutés à la liste des victimes de la brèche Equifax

Equifax, victime d'une faille de sécurité majeure en 2017, avait annoncé le vol des données personnelles de plus de 145 millions de ses utilisateurs. 2,4 millions d'utilisateurs qui n'avaient pas encore été identifiés viennent s'ajouter à la liste des victimes.

Veille vulnérabilité

Microsoft a publié une nouvelle mise à jour de sécurité pour lutter contre la vulnérabilité Spectre

La mise à jour qui touche le microcode est cependant réservée aux machines Windows 10 disposant de la version Fall Creator Update ou les Windows Server Core avec Skylake.

Une vulnérabilité affecte les SSO basés sur SAML

Une vulnérabilité touche certaines implémentations du langage SAML. Cette vulnérabilité affecte la manière dont sont traités les commentaires XML lors du calcul de la signature.

HP a corrigé une vulnérabilité dans son outil d'administration à distance nommé Integrated Light-Out 3

La vulnérabilité corrigée permet à un attaquant à distance non authentifié de réaliser un déni de service sur les serveurs qui utilisent l'outil.

Indicateurs de la semaine

Le leak de la semaine - 23 000 certificats SSL du vendeur Trustico révoqués après leur publication

Suite au retrait prévu de certaines Autorités de Certification Symantec des magasins de confiance, la société de revente de certificats Trustico a souhaité procéder à la révocation de quelques 50.000 certificats. Afin de prouver à la société Digicert que les certificats avaient été compromis, le CEO de Trustico a envoyé par email les 23.000 clés privées associés à ces certificats, ce qui a eu pour effet de provoquer leur révocation sous 24h.

L'attaque de la semaine - Github victime de la plus grosse attaque par déni de service distribué (DDoS) jamais rencontrée

Ce 28 février, Github a subi une attaque DDoS dont le traffic est monté jusqu'à 1,35 Tbps. Cette attaque repose sur l'exploitation du protocole Memcached, qui fournit des services de mise en cache à destination des applications web.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Nicolas DAUBRESSE

CERT-W : Retours sur l'actualité de la semaine du 19 au 25 février


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalité

MWR Labs propose une méthode de découverte de chemins de compromission au sein d'un environnement Active Directory via les GPO

Sources :

Comment tirer parti des images de démarrage PXE lors de tests d'intrusion dans un environnement Windows

Sources :

La banque centrale russe révèle que 6 millions de dollars ont été volés via des attaques sur le réseau SWIFT de banques russes en 2017

Sources :

Akamai publie son rapport trimestriel sur les principales attaques Web et révèle que plus de 30 % des tentatives d'authentification sont malveillantes

Sources :

Le SI des organisateurs des Jeux Olympiques de Pyeongchang a été la cible d'un malware ayant entrainé différents dénis de service

Sources :

Kaspersky fait une synthèse des attaques ayant visé les institutions financières en 2017

Sources :

Veille vulnérabilité

Des vulnérabilités critiques découvertes dans l'implémentation SAML de produits populaires

Sources :

DuoSecurity publie l'outil CloudMapper permettant une visualisation simple des actifs liés à un compte AWS

Sources :

PentestPartners détaille comment intercepter les flux Bluetooth issus d'une application mobile avec l'outil d'instrumentation Frida

Sources :

Red Hat détaille comment Oracle a entrepris de corriger l'exploitation de failles liées à l'exécution de code sérialisé

Sources :

Comment bruteforcer un volume chiffré au moyen de la solution Linux Full Disk Encryption (LUKS) avec Hashcat

Sources :

L'éditeur de solution d'analyse forensics Cellebrite révèle être en mesure de déverrouiller les terminaux Apple sous iOS 11

Sources :

Des centaines de milliers de serveurs Memcached accessibles sur Internet récemment utilisés pour des attaques DDoS

Sources :

Indicateurs de la semaine

Le leak de la semaine - RiskBasedSecurity publie son étude autour des fuites d'information et en recense au total 5 200 pour l'année 2017

Sources :

L'attaque de la semaine - Une tentative de vol de 2 millions de dollars via le système SWIFT d'une banque indienne échoue

Sources :

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Thomas DEBIZE