SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retour sur l'actualité de la semaine du 30 juillet au 5 août 2018



Retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !.

Veille cybercriminalite

10000 sites Wordpress piratés pour lancer une distribution massive de contenu malveillant

Un grand nombre de sites utilisant le CMS Wordpress ont été piratés par une même organisation. Le traffic détourné était ensuite revendu sur la plateforme d'enchères AdsTerra, en offrant la possibilité de distribuer des "publicités".
Les sites compromis sont alors devenus des distributeurs de diverses formes de contenu malveillant : chevaux de Troie bancaires, crypto-mineurs, ou rançongiciels.

Steam exclut un développeur de son store après la découverte de fonctionnalités de crypto-minage dans ses jeux

Un simple jeu en 2D mais dont la consommation CPU explosait au fur et à mesure du jeu a alerté les utilisateurs de la plateforme de jeu gérée par Valve.
Pendant la procédure d'installation, le jeu lançait l'exécution d'un binaire "SteamService.exe" permettant la communication avec un serveur de minage de crypto-monaies.
Ce même développeur, publiant sous le nom d'Okalo Union, a été bani du magasin steam mais propose encore aujourd'hui des jeux en téléchargement sur le store Android

Une chercheuse de Google décrypte une nouvelle librairie d'obfuscation de code Android

Lors de l'analyse d'un logiciel malveillant, Maddie Stone a mis en évidence l'utilisation d'une multitude de techniques permettant d'éviter l'exécution dans des environnements de déboggage ou d'émulation. Ce type de technique n'est pas nouveau, mais le nombre et la sophistication des moyens mis en oeuvre n'est pas habituel.
Quel type de logiciel malveillant peut avoir suffisemment de valeur pour que de tels moyens soient déployés pour le protéger des analyses ?
Maddie Stone présentera les résultats de ses travaux le 9 août prochain à la Black Hat USA.

5 millions de dollars de crypto-monnaie volés grâce à un clonage de carte SIM

Un étudiant de Boston a été arrêté pour avoir détourné les cartes SIM d'une quarantaine de victimes (en forçant les antennes relai à attribuer le numéro des victimes à une SIM contrôllée par l'attaquant).
Grâce à ce procédé, cet étudiant aurait réussi à voler plus de 5 millions de dollars grâce à une fonctionnalité de réinitialisation de mot de passe avec confirmation par SMS.

Des machines de vote électronique piratées en moins de deux heures

Des chercheurs présents à la DEFCON à las Vegas ont eu l'opportunité de tester une trentaine de machines de vote électronique achetées par les organisateurs.
Un enseignant danois à réussi à pénétrer dans l'une d'entre elles en moins de deux heures en exploitant une vulnérabilité affectant Windows XP et datant de 2003.

Une "liste-noire" de fournisseurs logiciels créée par le Pentagone pour alerter de liens avec la Chine et la Russie

Une liste de fourniesseurs logiciels à éviter et à destination de l'armée américaine et de ses sous-traitants est aujourd'hui en cours de développement.
Les noms des éditeurs soupçonnés de liens avec les grandes puissances étrangères et ne satisfaisant pas les "standards de sécurité du département de la défense" seront communiqués aux responsables d'achat de la défense américaine.

Une extension Chrome pour alerter les utilisateurs de sites potentiellement piratés

L'extension HackNotice recense plus de 20000 piratages rendus publics et prévient l'utilisateur lorsqu'il visite un site présent dans la base de données.
Cette extension est aujourd'hui disponible uniquement pour Google Chrome mais une version pour Firefox est déjà en cours de développement.

Des micro-transactions dans les jeux utilisées pour blanchir de l'argent

Des preuves d'utlisation de cartes de crédit volées pour effectuer des achats au sein de jeux populaires (comme Clash of Clans, Clash Royale ou similaires) ont été trouvées. Les objets ainsi achetés sont ensuite vendus contre de l'argent légitime.

Des routeurs utilisés par les ISP atteints par des crypto-mineurs

Des milliers de routeurs MicroTik sont aujourd'hui compromis par des scripts Coinhive. Les attaquants auraient lancé une attaque à grande échelle en utilisant une vulnérabilité connue et corrigée depuis le 23 Avril.
Au moins 170000 routeurs actifs et infectés ont été recensés par Censys.io ce, montrant ainsi les difficultés à appliquer les correctifs à grande échelle sur ce type d'équipement.

Veille vulnerabilite

Indicateurs de la semaine

Le leak de la semaine - L'université de Yale découvre les traces d'une fuite de données vieille de 10 ans

Une inspection de routine sur les serveurs de l'université a permis de mettre en évidence une fuite de données ayant eu lieu entre 2008 et 2009.
Les données personnelles d'environ 119000 anciens élèves ont été volées par un acteur toujours inconnu. Ces données contenaient les noms, numéros de sécurité sociale et parfois adresses postales des étudiants.

L'attaque de la semaine - Vol de données chez Reddit

Des attaquants ont eu accès à des comptes permettant la gestion de services de stockage dans le cloud appartenant à Reddit. A partir de ces accès, les noms d'utilisateur, adresses mail et certains condesats de mot de passe ont été volés.
Le système d'authentification à deux facteurs passant par SMS utilisée par les administrateurs de Reddit a été contourné par les attaquants qui ont pu intercepter les messages envoyés lors des tenatives de connexion.

L'exploit de la semaine - Une nouvelle variante de SPECTRE permettrait d'accéder aux données à distance

Une équipe de chercheurs de l'université de Graz a découvert une nouvelle variante de la vulnérabilité SPECTRE, nommée netSpectre. Cette variante utilise le même principe que SPECTRE (mesure des différences de temps d'accès au cache du processeur) mais à travers du pilote de la carte réseau de la victime.
En envoyant des paquets spécialement construits pour l'exploitation, il est possible d'en extraire des données en mesurant des différences dans les temps de réponse. En revanche, l'explotation actuelle ne permet de récupérer que quelques bits par heure à travers le réseau local, limitant sévèrement l'impact de la faille.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Aucun commentaire:

Enregistrer un commentaire