Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Veille cybercriminalité
Des données sensibles sur le programme de défense Australien dérobées
Environ 30Go de données ont été dérobées via le piratage d'un fournisseur du gouvernement Australien, contenant notamment des informations sur les futurs avions de chasse et bâtiments de la marine.
Un logiciel non mis à jour, ainsi que des mots de passe par défaut, auraient permis cette attaque, qui concerne des informations sensibles mais non classifiées
Un logiciel non mis à jour, ainsi que des mots de passe par défaut, auraient permis cette attaque, qui concerne des informations sensibles mais non classifiées
Yet another unsecured S3 bucket
Des chercheurs ont identifié un "bucket S3" non-sécurisé, c'est-à-dire un ensemble de données stockées sur le cloud Amazon et appartenant à la société Accenture. Celui-ci contenait des informations techniques sensibles comme des secrets d'authentification pour des accès VPN, une base de données de mots de passe client, ainsi que des éléments permettant d'accéder à la plate-forme de management cloud d'Accenture.
Sources :
- https://threatpost.com/internal-accenture-data-customer-information-exposed-in-public-amazon-s3-bucket/128364/
- https://www.upguard.com/breaches/cloud-leak-accenture
Veille vulnérabilité
Des vulnérabilités identifiées dans les modules cryptographiques Infineon
Infineon est un fournisseur majeur de TPM et de modules cryptographiques (cartes à puces, tokens 2FA, ...). Une vulnérabilité dans la génération de clés RSA a été identifiée et rend possible une attaque par factorisation sur des clés de 1024 ou 2048 bits, et ce dans des dispositifs produits depuis 2012.
Très simplement, l'exploitation de cette vulnérabilité permet à un attaquant disposant de calculer la clé privée à partir de la clé publique. Le coût estimé de l'attaque est inférieur à 100$ en ressources pour une clé de 1024 bits, et entre 20 000$ et 40 000$ pour une clé de 2048 bits.
Cette attaque est notamment fonctionnelle sur les cartes d'identités estoniennes, ainsi que dans des produits certifiés FIPS140-2 et critères communes EAL5+.
Microsoft propose un correctif de sécurité temporaire, permettant de générer les clés de manière logicielles en attendant une mise à jour des firmwares des TPM. Il faut évidemment noter que la mise à jour du firmware d'une TPM implique l'effacement des secrets, et donc un ré-enrollment pour tous les services.
Très simplement, l'exploitation de cette vulnérabilité permet à un attaquant disposant de calculer la clé privée à partir de la clé publique. Le coût estimé de l'attaque est inférieur à 100$ en ressources pour une clé de 1024 bits, et entre 20 000$ et 40 000$ pour une clé de 2048 bits.
Cette attaque est notamment fonctionnelle sur les cartes d'identités estoniennes, ainsi que dans des produits certifiés FIPS140-2 et critères communes EAL5+.
Microsoft propose un correctif de sécurité temporaire, permettant de générer les clés de manière logicielles en attendant une mise à jour des firmwares des TPM. Il faut évidemment noter que la mise à jour du firmware d'une TPM implique l'effacement des secrets, et donc un ré-enrollment pour tous les services.
Sources :
- https://crocs.fi.muni.cz/public/papers/rsa_ccs17
- https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/
- https://www.infineon.com/cms/en/product/promopages/tpm-update/?redirId=59160
Une faille sur le site de T-Mobile expose des données personnelles
Une faille a été identifiée et corrigée par T-Mobile sur son site web. Elle permettait, en connaissance uniquement un numéro de téléphone d'un des 70 millions de clients, de récupérer des informations personnelles telles que son adresse email, le numéro IMSI du téléphone, ainsi que des informations de facturation.
Indicateurs de la semaine
L'exploit de la semaine - Exécution de code sans macro dans Microsoft Word
Le protocole DDE (Dynamic Data Exchange) permet d'échanger des informations et des messages entre applications Microsoft. Ce protocole peut être abusé dans un document Excel ou Word afin d'obtenir l'exécution de code arbitraire. L'avantage de cette technique est qu'elle n'est actuellement pas détectée par la majorité des antivirus, et ne nécessite pas l'activation des macros. Un simple message demande à l'utilisateur s'il souhaite mettre à jour les données en provenance d'un autre fichier; par ailleurs, ce message peut être contrôlé par l'attaquant.
Il s'agit bien de l'exploitation d'une fonctionnalité et non une vulnérabilité à proprement parler; aucun correctif de sécurité ne sera fourni par Microsoft.
Une campagne de ransomware utilisant cette technique est en cours et ciblerait la Pologne; de même, le malware "hancitor" est actuellement déployé par cette technique lors de campagnes de spam.
Il semble possible de désactiver ce type de fonctionnalités par le déploiement d'une GPO utilisateur, mais aucune information officielle n'est fournie par Microsoft.
Il s'agit bien de l'exploitation d'une fonctionnalité et non une vulnérabilité à proprement parler; aucun correctif de sécurité ne sera fourni par Microsoft.
Une campagne de ransomware utilisant cette technique est en cours et ciblerait la Pologne; de même, le malware "hancitor" est actuellement déployé par cette technique lors de campagnes de spam.
Il semble possible de désactiver ce type de fonctionnalités par le déploiement d'une GPO utilisateur, mais aucune information officielle n'est fournie par Microsoft.
Sources :
- https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
- https://twitter.com/GossiTheDog/status/919559529221836801
- https://twitter.com/hashtag/hancitor?src=hash
L'attaque de la semaine - 60 M$ dérobés lors d'une attaque ciblée sur les infrastructures SWIFT d'une banque Taïwanaise
La Far Eastern International Bank de Taïwan a reconnu que des attaquants avaient pénétré son réseau interne et installé des logiciels malveillants pour obtenir un accès aux terminaux SWIFT.
L'investigation a permis de récupérer la quasi-totalité des fonds, et deux arrestations ont eu lieu au Sri Lanka
L'investigation a permis de récupérer la quasi-totalité des fonds, et deux arrestations ont eu lieu au Sri Lanka
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Arnaud SOULLIE