Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, sur "The Shadow Brokers".
Veille cybercriminalité
Orange is the new black
En 2015, les 4 premiers épisodes de la saison 5 de Game
of Thrones étaient disponibles sur Internet avant leur sortie, cette semaine
une demande de rançon a été envoyée à Netflix pour la
série « Orange is the New Black ». Le
hackeur, « thedarkoverlord », prétend qu’il a aussi récupérer
des séries des chaines Fox, National Geographic et ABC et souhaite réaliser le
même type de délit avec ces chaines télévisées.
Le 29 Avril après que Netflix n'ait pas voulu payer la
rançon, l'attaquant a posté un lien torrent pointant vers les épisodes 2 à 10.
Sources :
- https://www.welivesecurity.com/2017/04/29/hacker-holds-netflix-ransom-orange-new-black/
- https://arstechnica.com/security/2017/05/orange-is-the-new-hacked-netflix-series-leaked-in-vendor-hack/
Exploitation de la
CVE-2017-0199 dans des campagnes de phishing
Comme nous l’évoquions la semaine dernière [1], une
vulnérabilité critique permet l’exécution de code lors de l’ouverture d’un document Word piégé. Il n’aura fallu que quelques jours pour
que les groupes d’attaquant exploite cette vulnérabilité dans leur campagne de
mails malveillants.
ProofPoint [2] a observé l’utilisation de cette faille
et en particulier par le groupe Chinois TA459 qui
cible des entreprises financières Russe.
Sources :
- [1] http://www.securityinsider-solucom.fr/2017/04/cert-w-actualite-10-14-avril-2017.html
- [2] https://www.proofpoint.com/us/threat-insight/post/apt-targets-financial-analysts
Malware-Hunter, le service
permettant de lister les serveurs de C&C
Le projet Malware-Hunter
[1], né de la fusion entre Shodan et Recorded
Future, permet de scanner Internet à la
recherche des serveurs de Command and Control (C&C). Pour
cela, l’outil prétend être un hôte infecté qui demande de nouveaux ordres en
s’adressant à chaque adresse IP comme si elle était un serveur de
C&C. Ainsi, lorsque l’application reçoit une réponse positive, le serveur
est alors taggé en tant que C&C.
Les résultats
préliminaires [2] indiquent déjà des centaines d’adresses IP répondant aux
malwares tels que Gh0st RAT, Dark Comet ou encore njRAT. De plus, ils sont
aussi accessibles sur le moteur de recherche Shodan [3].
Sources :
- [1] https://malware-hunter.shodan.io/
- [2] https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf
- [3] https://www.shodan.io/search?query=category%3Amalware
Veille vulnérabilité
Vulnérabilité exploitable à distance sur les plateformes Intel depuis 2008
Une vulnérabilité
critique (CVE-2017-5689 [1]) a été découverte sur les outils de gestion d'Intel reposants
sur Management Engine (ME), Active
Management Technology (AMT) et Standard Manageability (ISM). L’exploitation de cette vulnérabilité permet
à un attaquant de prendre le contrôle de ces outils de gestions à distance.
Ces outils offre aux
administrateurs un moyen de gérer leur parc uniquement sur un réseau
d’entreprise, les vulnérabilités ne sont donc pas présentes sur les puces Intel
des ordinateurs personnels.
Selon Intel, la
vulnérabilité est présente dans les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0,
11.5 et 11.6 des systèmes de gestion AMT, ISM et SBT. Les versions avant la 6
et après la 11.6 ne sont pas affectées.
Intel a mis à
disposition un guide pour déterminer si la machine est vulnérable [2] et un
guide de sécurisation [3].
Sources :
- [1] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075
- [2] https://communities.intel.com/docs/DOC-5693
- [3] https://downloadcenter.intel.com/download/26754
- https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/
- http://thehackernews.com/2017/05/intel-server-chipsets.html
- http://securityaffairs.co/wordpress/58656/hacking/intel-management-engine.html
Indicateurs de la semaine
Le leak de la semaine – Scribbles
Cette semaine Wikileaks a publié le code source du programme de la NSA appelé « Scribbles ». L’objectif de cet outil est de pouvoir générer un filigrane unique pour chaque copie d’un document afin de savoir si un document aurait fuité. Cette mesure permettrait donc d’identifier les potentiels lanceurs d’alertes qui sont en possession de documents confidentiels.
Le filigrane consiste en une image transparente insérée dans le document pointant vers une URL unique. Ce système a été testé avec succès les versions de Microsoft Office 1997 à 2016, mais sur les versions de Libre Office et OpenOffice, le filigrane apparait sous forme d’une image et d’une URL.
Le filigrane consiste en une image transparente insérée dans le document pointant vers une URL unique. Ce système a été testé avec succès les versions de Microsoft Office 1997 à 2016, mais sur les versions de Libre Office et OpenOffice, le filigrane apparait sous forme d’une image et d’une URL.
Sources :
L’exploit de la semaine – Compromettre un DC depuis DNSAdmin
Cet article présente comment des comptes non administrateurs de domaine peuvent être utilisés pour compromettre des contrôleurs de domaine, en exploitant des fonctionnalités liées à l’administration des rôles portés par les DC.
Ici, le rôle utilisé est celui de serveur DNS, pour lequel les comptes « DNSAdmin » peuvent réaliser une injection arbitraire de DLL.
Ici, le rôle utilisé est celui de serveur DNS, pour lequel les comptes « DNSAdmin » peuvent réaliser une injection arbitraire de DLL.
Sources :
L'attaque de la semaine – Bug Bounty sur Flickr pour 7,000$
Michael Reizelman a remonté à Yahoo trois vulnérabilités mineures qui, une fois enchainées, permettent de prendre le contrôle d’un compte Flickr [1]. Ce scénario d’exploitation lui a permis de toucher une prime de 7,000$ de la part de Yahoo via le site de Bug Bounty HackerOne.
Les vulnérabilités ne semblent pas critiques lorsqu’elles sont présentées unitairement :
Les vulnérabilités ne semblent pas critiques lorsqu’elles sont présentées unitairement :
- Mauvais contrôle du paramètre de redirection de l’utilisateur après l’authentification de celui-ci, ce qui permet à l’attaquant de contrôler la redirection sur une page de la forme https://www.flickr.com/*
- Chargement d’une image dont l’URL est contrôlé par l’attaquant sur les pages des forums de Flickr
- Absence de contrôle du paramètres « Content Security Policy » sur les pages du forum « https://www.flickr.com/help/forum/en-us/ »
Sources :
Suivi des versions
Produits
|
Version actuelle
|
Flash Player
| |
Adobe Reader
| |
Java
| |
Mozilla Firefox
| |
Google chrome
| |
Virtual Box
|
Vincent DEPERIERS
Aucun commentaire:
Publier un commentaire