SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retours sur l'actualité de la semaine du 12 au 18 février 2018



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Florian DESMONS sur la vulnérabilité KRACK.

Veille cybercriminalité

Des cybercriminels utilisent Google Adwords pour dérober des millions de dollars en Bitcoin

Un groupe de cybercriminels basé en Ukraine a utilisé Google Adword pour faire référencer des sites malveillants liés au Bitcoin. Pour cela, les recherches contenant les mots clés "blockchain" ou encore "bitcoin wallet" retournaient des sites contenant du phishing dans le but de récupérer les porte-monnaies électroniques (wallet). Au travers de cette campagne, nommée Coinhoarder, le groupe aurait dérobé l'équivalent de millions de dollars en Bitcoin (valeur sujette à évolution pendant la rédaction de cette article !).

Des récompenses de plus en plus élevées

Google indique sur son blog qu'il a versé 2.9 millions de dollars en 2017 dans le cadre de son programme de Bug Bounty, valeur qui est inférieure à celle de 2016. L'entreprise américaine annonce aussi sur son blog qu'elle va rehausser les primes sur certaines technologies.
Zerodium, une entreprise spécialisée dans la collecte de vulnérabiltiés, a aussi indiqué qu'elle augmentait les primes pour les vulnérabiltiés d'élévation de privilèges locale sur le socle Linux.

Exploitation active de la vulnérabilité touchant les produits Cisco ASA

Cedric Halbronn a présenté un PoC permettant d'exploiter une vulnérabilité critique (CVE-2018-0101) les composants Cisco Adaptive Security Appliance (ASA) qui permet d'obtenir un contrôle complet du système. Depuis, cette vulnérabilité est activement exploitée dans le but de causer des dénis de service sur les équipements réseaux. La base de code utilisée pourrait par la suite être utilisée pour prendre le contrôle de ces mêmes équipements. Il est donc recommander de mettre à jour au plus vite les équipements.

Des scientifiques arrêtés pour avoir miné de la cryptomonnaie dans un centre nucléaire

Des chercheurs du centre nucléaire Russe où première bombe atomique Russe a été créée, ont été arrêtés pour avoir miner de la cryptomonnaie sur les supercalculateurs (d'une puissance de 1-petaflop) du centre. Ils ont été identifiés lorsque les machines de simulation de tests nucléaires ont tenté de se connecter à Internet.

Veille vulnerabilite

Un caractère indien fait planter les applications Apple

Sur certaines versions des systèmes d'Apple (Mac, iPhone et iWatch), le caractère indien "Telegu" fait planter les applications (iMessage, WhatsApp, ...). Cela peut aussi faire planter le système si une notification contenant le caractère est affichée. Apple a publié un patch correctif sur ses appareils afin de corriger le bug.

Une vulnérabilité critique découverte dans l'application Télégram

La société russe Kaspersky a découvert une vulnérabilité dans l'application de messagerie Telegram reposant sur l'utilisation du caractère unicode de superposition de langages ("right to left override"). Ce caractère permet d'adapter l'affichage d'un texte pour les langues lisant de gauche à droite ou de droite à gauche.
Un attaquant peut tromper sa victime en inversant une partie du nom d'un programme malveillant affichant ainsi le nom d'un programme légitime. Par exemple, "photo_high_resgnp.js" devient "photo_high_ressj.png"

Microsoft corrige dans le Patch Tuesday de février une cinquantaine de vulnérabilités dont quatorze jugées critiques

Microsot a publié mardi 13 février une pléthore de patchs de sécurité sur une cinquantaine de vulnérabiltiés impactant les produits Windows, IE/Edge, Office et le lecteur Flash. Parmi les plus critiques deux vulnérabiltiés, CVE-2018-0850 et CVE-2018-0852, sur la messagerie Outlook permettent, respectivement, une élévation de privilèges et une exécution de code à distance lors de la lecture d'un mail.

Indicateurs de la semaine

Le leak de la semaine - Les données de clients de Western Union compromises

Western-Union a envoyé à certains de ses clients une lettre indiquant que la sauvegarde d'une base de données hébergée chez un tiers a été compromise. L'entreprise a indiqué qu'ils n'ont constaté aucune utilisation des données volée pour le moment et qu'ils ont contacté la police afin de mener des investigations.

L'exploit de la semaine - Une vulnérabilité de LibreOffice permet de lire les fichiers de la machine

Une vulnérabiltié de la suite bureautique LibreOffice permet de lire des fichiers à distance. Le logiciel est compatible avec des fonctions de la suite Microsoft Office et notamment "COM.MICROSOFT.WEBSERVICE". Sur les produits de Microsoft, cette fonction permet de lire uniquement des fichiers distants, il n'est donc pas possible de lire les fichiers locaux ("file://"). En revanche, sur les versions antérieures à 5.4.5 et 6.0.1 de LibreOffice, cette restriction n'est pas implémentée, permettant donc à une feuille de calculs de lire des fichiers du poste. Des détails sur l'exploitation de cette vulnérabiltié sont disponibles sur le Github pointé en annexe.

L'attaque de la semaine - Exécution de commande sous KDE Plasma en branchant une clef USB

Un bulletin de sécurité publié par KDE indique que lorsque que l'on insère une clef USB avec comme nom les caractères d'exécution de commandes "inline" ("``" ou "$()") alors, celle-ci est exécutée ! Cette vulnérabiltié, CVE-2018-6791, est jugée comme critique et est corrigée dans la dernière version de KDE (5.12.0).

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Vincent DEPERIERS

Aucun commentaire:

Enregistrer un commentaire