SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retours sur l'actualité de la semaine du 5 au 11 février 2018



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Nicolas DAUBRESSE sur l'utilisation des métadonnées de réplication au sein d'un AD.

Veille cybercriminalité

Auriez-vous remarqué ...

Ce skimmer ? L'un des passe-temps du chercheur en sécurité Brian Krebs est l'étude et le répertoriage des skimmers, modules physiques déposés sur un distributeur automatique et ayant pour but de voler des informations de l'utilisateur : numéro de carte bleue, code PIN, etc. Vous seriez-vous fait avoir ?

ICS Cryptojacking

Sous ce nom énigmatique se cache la première attaque de malware visant à miner des cryptomonnaies (cryptojacker) sur un système industriel (Industrial Control System, ou ICS). L'entreprise Radiflow aurait découvert un mineur de Monéro (XMR) installé sur l'interface homme-machine SCADA d'une société de traitement des eaux d'origine européenne.

Air France offre 2 billets gratuits

Avez-vous reçu cette annonce la semaine dernière ? Si oui, à l'instar de nombreux français, vous avez reçu une annonce de phishing dont l'objectif est de récupérer votre adresse e-mail, pour une utilisation dans le cadre de campagne de spam ou de revente de données personnelles. Il est à noter que le nom de domaine utilisé par l'attaquant est ici très proche du nom de domaine www.airfrance.com, à l'exception du second "a" remplacé par un équivalent vietnamien, souligné d'un point.

Minage de cryptocoins au travail

Des chercheurs d'un centre de recherche nucléraire russe ont été surpris dans leur utilisation du super-ordinateur qu'ils avaient à disposition pour miner des cryptocoins. L'ordinateur en question est capable de réaliser 1.000.000.000.000.000 d'opérations sur des nombres à virgule (float), totalisation donc 1.0 PetaFLOPs (contre une diazaine voire un centain de GoFLOPs pour un processeur standard).

Attaque olympique

Le site officiel des jeux olympiques d'hiver aurait subi une attaque qui a provoqué son indisponibilité, aux alentours de la cérémonie d'ouverture. Il peut donc s'agir d'une attaque de type déni de service, ou d'un arrêt du site pour prévenir une attaque en cours. Les sources officielles sont pour l'instant dans l'incapacité de mettre un nom sur l'origine de l'attaque.

In fraud we trust

Le gouvernement étatsunien a démantelé un réseau majeur de fraude bancaire d'origine ukrainienne, nommé "Infraud Organization". Le réseau serait à l'origine de 530 millions de dollars de pertes, utilisant des techniques variées telles que l'installation de malware sur les Point of Sales (POS) ou le recel de numéro de cartes bancaires.

Veille vulnérabilité

Intel étend son programme de bug bounty

Intel a récemment étendu le périmètre couvert par son programme de bug bounty, initialement lancé en mars 2017. Celui-ci inclut désormais les attaques par canaux auxilliaires (Spectre, Meltdown), et propose des primes alléchantes pour la découvertes de celles-ci (jusqu'à $250.000).

Google 2017 Vulnerability program review

Google passe en revue son programme de bug bounty sur l'année 2017 et met notamment en avant trois exploits particulièrement intéressants remontés l'année dernière.

Exploitation sur Cisco ASA

Cisco avait remonté fin janvier la présence d'une vulnérabilité critique (CVSS 10) sur ses appliances Cisco ASA. Il est désormais clair que cette vulnérabilité est massivement exploitée, et il devient donc nécessaire de mettre à jour les équipements impactés dans les plus cours délais.

Indicateurs de la semaine

L'exploit de la semaine - HPE iLO 4 < 2.53 - Add new admin

Un script exploitant la vulnérabilité CVE-2017-12542 (découvert en février 2017 par Synacktiv, et rendue publique par HP en août 2017) a été publié. Celui-ci permet l'ajout en remote d'un nouvel administrateur sur les cartes HPE iLO.

Le leak de la semaine - Swisscom

L'opérateur télécom suisse Swisscom a été victime en août 2017 d'une exfiltration de données client (nom, adresse, date de naissance, numéro de téléphone). 800.000 clients seraient touchés par cette fuite de données. L'opérateur Swisscom indique que la fuite provient d'un partenaire qui disposaient d'un accès à ces données pour prévenir les clients de la fin prochaine de leur contrat.

L'attaque de la semaine - Newtek live customer phishing

Newtek est une entreprise américain fournissant des services dans le domaine du web, dont la fourniture et la gestion de plus de 100.000 noms de domaine. Le 10 février 2018, les clients de Newtek ont reçu un email les encourageant à visiter le site de l'entreprise, suite à de nouvelles mesures de sécurité. Ledit site avait en réalité été compromis par un pirate Vietnamien, qui avait alors procéder à l'installation d'un chat web pour échanger avec les clients et leur extorquer des informations sensibles.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Jean MARSAULT

Aucun commentaire:

Enregistrer un commentaire