SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retour sur l'actualité de la semaine du 13 au 19 août 2018



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalité

ATM cash-out en prévision

Le 12 août le chercheur en sécurité Brian Krebs a publié un article sur son blog contenant un avertissement à destination des établissements bancaires. Ce dernier est un relai d'une alerte du FBI sur la forte probabilité dans les jours à venir d'une opération de type "cash-out". Cette opération consiste en l'exploitation d'une vulnérabilité liée aux cartes bancaires pour retirer des volumes massifs d'argent.
Quelques jours plus tard, il apparaît que l'alerte concernait la banque indienne Cosmos. Les pirates ont été en mesure de dérober 13.5 millions de dollars.
Fin 2016, une attaque similaire avait été conduite à l'encontre de la Banque Nationale de Blacksburg pour retirer 4.4 millions de dollars.

Une étude sur l'attribution du code source

Une étude a été publiée concernant les possibilités d'utilisation d'algorithmes de machine learning dans l'optique de pouvoir attribuer un code source à son auteur.

Fraude chez AT&T : 24m$ dérobés

Michael Terpin, CEO de Transform Group, a été deux fois victime en deux ans d'une attaque visant sa carte SIM. Dans le premier cas, des pirates ont réussi à faire changer par AT&T le propriétaire de la SIM et à détourner ainsi une virement de cryptomonnaie qui lui était adressé.
Cette année, malgré les nombreux avertissements présents sur l'interface graphique de gestion d'AT&T concernant M. Terpin, des pirates ont une fois de plus réussi à faire changer le propriétaire de la carte SIM et à siphonner les 24m$ que Terpin possédait en cryptomonnaie.

Les body camera des policiers vulnérables

Un chercheur en sécurité a présenté à Vegas ses travaux sur l'étude de la sécurité des caméras embarquées par les policiers durant leurs interventions. Ces caméras ont pour but de fournir une version irréfutable des faits.
Le chercheur a montré que certains modèles permettaient de suivre la piste des policiers et de repérer des regroupements pre-raid. D'autres caméras exposeraient directement les vidéos enregistrées au travers d'un réseau Wi-Fi exposé et non sécurisé.

PhishPoint cible les utilisateurs O365

Une nouvelle campagne de phishing, dénommée PhishPoint, a pour but la récupération d'authentifiants O365. Celle-ci se présente sous la forme d'un mail contenant un lien de partage Sharepoint. Le fichier Sharepoint est un lien malveillant redirigeant vers une fausse mire d'authentification O365.

Veille vulnérabilité

Version finale de TLS 1.3

La version finale de TLS 1.3 a enfin été publiée, et avance des progrès significatifs en termes de vitesse et de sécurité des communications.
Le standard permet notamment de diviser par 2 le nombre d'échanges nécessaires à l'établissement d'une connexion, voire de rétablir la communication à destination d'un serveur en un seul échange (0-RTT).
En ce qui concerne la sécurité, le standard fait notamment disparaître les familles suivantes de suites de chiffrement : SHA-1, RC4, MD5, DES, 3DES, AES-CBC, EXPORT.
En revanche, peu de serveurs supportent TLS 1.3, et seuls les navigateurs Firefox, Chrome et Safari laissent la possibilité de l'utiliser.

Vulnérabilité dans la gestion du MFA par Microsoft

Une vulnérabilité a été publiée (et corrigée par Microsoft) concernant la gestion de l'authentification multi-facteurs au sein d'un ADFS. La vulnérabilité permettait à un utilisateur disposant d'un compte et d'un fournisseur MFA valide de l'utiliser lors de l'authentification à d'autres comptes.

IPSec attaqué !

Une vulnérabilité de type "oracle de Bleichenbacher" a été découverte dans l'implémentation d'IPSec, et permet la récupération des clés durant les échanges IKEv1 puis le déchiffrement du trafic.

Bad girl Cortana

L'assistant vocal de Microsoft, Cortana, permettait la navigation Internet via le PC d'un utilisateur, même lorsque ce dernier était verrouillé. De plus, les liens d'une page demeuraient cliquables et les authentifiants enregistrés de l'utilisateur étaient utilisés lors de la navigation.

Indicateurs de la semaine

L'attaque de la semaine - Foreshadow L1TF, nouveau cousin de Spectre

Intel a annoncé la présence de 3 nouvelles CVE, regroupées sous le Foreshadow, sur une grande partie de ses processeurs. Notée 7.9/10, cette dernière, à l'instar de Spectre, repose sur le principe d'exécution spéculative pour faire fuiter de l'information. Foreshadow repose sur le comportement des processeurs après l'apparition d'une Terminal Fault, erreur liée au cache L1.
Une mise à jour du microcode est disponible et fournit des mitigations relatives à l'entrée et la sortie du mode durant lequel le processeur est vulnérable. La mitigation complète de la vulnérabilité requiert cependant la mise à jour des systèmes d'exploitation et hyperviseurs.

Le leak de la semaine - 90Go de données Apple subtilisées

Un étudiant mineur australien aurait réussi à mettre la main sur 90Go de données provenant de serveurs d'Apple. L'étudiant aurait piraté ces serveurs dans son temps libre dans l'optique d'exprimer son intérêt pour Apple, chez qui il désirait travailler un jour.
Bien qu'utilisant Tor et des mécanismes de type VPN, Apple à pu remonter à la trace de l'adolescent et récupérer les données dérobées, parmi lesquelles des données de comptes utilisateur Apple.

L'exploit de la semaine - Chrome + Akinator + Facebook ?

Une vulnérabilité dans le moteur Blink du navigateur Chrome permet la récupération d'informations sensibles sur un utilisateur, pourvu que ce dernier soit authentifié sur Facebook en parallèle.
En utilisant des balises audio/vidéo de HTML5, une site malveillant peut estimer la taille d'une réponse lors d'une tentative d'accès à une page Facebook possédant un restriction d'âge, de localité, etc.
Ne reste plus qu'à jouer à Akinator pour déterminer les caractéristiques de l'utilisateur victime.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Aucun commentaire:

Enregistrer un commentaire