Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus sur la CVE 2017-11776 par Cyprien OGER.
Veille cybercriminalité
IoTroop / Reaper
Près d'un an après Mirai, un nouveau botnet d'objets connectés prend vie. IoTroop (ou Reaper selon les sources) possèderait déjà des millions d'équipements utilisables, tels que des caméras de sécurité IP exposées sur Internet, dans l'optique de conduire des attaques massives de type DDoS.
Sources :
- https://threatpost.com/iotroop-botnet-could-dwarf-mirai-in-size-and-devastation-says-researcher/128560/
- https://research.checkpoint.com/new-iot-botnet-storm-coming/
- https://www.exploitthis.com/2017/10/27/fear-the-reaper-or-reaper-madness/
Bitcoin mine
Le prix du Bitcoin a récemment atteint des sommets records, avec un prix par unité autour de 6000 dollars. L'explosion du prix des cryptomonnaies a notamment abouti à la création d'une bibliothèque JavaScript nommée CoinHive permettant aux utilisateurs d'un site le prêt de ressources CPU pour le minage de Monero.
Cependant, cette bibliothèque ou des bibliothèques similaires ont récemment été détournées et insérées sur nombreux sites ayant été piratés au préalable.
Cependant, cette bibliothèque ou des bibliothèques similaires ont récemment été détournées et insérées sur nombreux sites ayant été piratés au préalable.
Adobe CVE Player
La vulnérabilité CVE-2017-11292, ciblant Adobe Flash Player, a été patchée il y a peu par Adobe. Cependant, de nombreux groupes de pirates (Fancy Bear, APT28, BlackOasis, etc.) tentent encore activement d'exploiter cette vulnérabilité, notamment sur les territoires européens et étasuniens. L'attaque se propage actuellement au travers de phishing ciblé (spear phishing).
Ce lapin n'est pas gentil
BadRabbit est un clone récent du ransomware/wiper NotPetya qui avait touché l'Ukraine, puis l'Europe en juillet 2017. Tout comme son prédécesseur, il repose sur l'utilisation des exploits ETERNALBLUE et ETERNALROMANCE, ainsi que sur la présence de credentials en mémoire, pour se propager. In fine, le résultat est similaire : les fichiers de l'utilisateurs sont chiffrés, et la MFT est détruite.
Selon des chercheurs en sécurité, certains scénarios permettraient la récupération de données, tels que l'utilisation des Shadow Copies non supprimées.
Il est encore une fois recommandé, lorsque celà est possible, d'effectuer une capture de la mémoire vive et un backup du disque (partiellement) chiffré dans l'éventualité ou les clés de chiffrement pourraient être récupérées.
Selon des chercheurs en sécurité, certains scénarios permettraient la récupération de données, tels que l'utilisation des Shadow Copies non supprimées.
Il est encore une fois recommandé, lorsque celà est possible, d'effectuer une capture de la mémoire vive et un backup du disque (partiellement) chiffré dans l'éventualité ou les clés de chiffrement pourraient être récupérées.
Sources :
- https://arstechnica.com/information-technology/2017/10/bad-rabbit-used-nsa-eternalromance-exploit-to-spread-researchers-say/
- https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware
- https://www.developpez.com/actu/169438/Certaines-victimes-du-ransomware-Bad-Rabbit-pourraient-parvenir-a-recuperer-leurs-fichiers-en-profitant-de-deux-erreurs-operationnelles/
Appleby is the new Panama
La société Appleby, basée aux Bermudes, fourni des services juridiques aux entreprises les plus riches à travers le monde. Récemment touchée par un "incident de sécurité", les retombées de ce présupposé piratage pourraient faire écho à l'affaire des Panama Papers.
Sources :
- http://www.independent.co.uk/life-style/gadgets-and-tech/news/bermuda-cyber-attack-appleby-hack-tax-panama-papers-celebrities-hamilton-a8019671.html
- https://www.theregister.co.uk/2017/10/25/bermuda_law_firm_hack/
Veille vulnérabilité
Yet another Linux privesc
Une nouvelle vulnérabilité est sortie sur le noyau Linux en version 4.14.0-rc4. Elle repose la possibilité d'utiliser un pointeur vers la mémoire noyau lors de l'appel à la fonction waitid() et permet à un utilisateur standard d'élever ses privilèges.
PUT your JSP
Une vulnérabilité présente sur les branches 7, 8 et 9 des serveurs Tomcat ayant activé la méthode PUT permet à un attaque de déposer et d'exécuter des fichiers JSP arbitraires sur le serveur. Un plugin Metasploit a déjà été développé pour exploiter cette vulnérabilité.
Sources :
- https://www.exploit-db.com/exploits/43008/
- https://www.alphabot.com/security/blog/2017/java/Apache-Tomcat-RCE-CVE-2017-12617.html
L'attaque des clones
Baptisé "Fobrob", cet exploit cible les véhicules connectés de la marque Subaru et peut permettre à un attaquant d'accéder de manière illégitime au véhicule. L'exploit se base sur une vulnérabilité au sein de la fonction de génération de codes aléatoires, les rendant partiellement prédictibles et rejouables par l'attaquant, clonant alors de manière efficace la clé de voiture.
Sources :
- https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/vulnerability-in-key-fob-can-let-hackers-open-subaru-cars
- https://www.bleepingcomputer.com/news/security/unpatched-exploit-lets-you-clone-key-fobs-and-open-subaru-cars/
Matriochkas
La vulnérabilité 2017-11826 est une vulnérabilité critique affectant toutes les versions de Microsoft Office (via un bug dans le parseur XML) et ayant été utilisée dans le cas d'attaques ciblées (APT). L'article présent dans les sources détaille analyse un exploit de cette vulnérabilité - un fichier RTF contenant un fichier Word. Ce dernier contient la charge malveillante qui permet d'aboutir à l'exécution de code malveillant.
Indicateurs de la semaine
Le leak de la semaine - South Africa
L'un des backups d'une base de données de l'entreprise Jigsaw Holdings a été récupéré par un groupe de pirates en raison du faible niveau de sécurité du serveur sur lequel il était stocké. Ce backup contient des informations sensibles (nom, numéro de carte d'identité, adresses, salaires, etc.) de plus de 75 millions d'habitants d'Afrique du Sud.
Le chercheur en sécurité Troy Hunt a intégré cette nouvelle base au site déjà existant haveibeenpwned.com.
Le chercheur en sécurité Troy Hunt a intégré cette nouvelle base au site déjà existant haveibeenpwned.com.
Sources :
- https://mybroadband.co.za/news/security/233853-massive-south-african-database-leak-just-got-bigger-60-million-records-online.html
- https://mybroadband.co.za/news/security/234790-massive-south-african-data-leak-now-over-75-million-records-at-risk.html
L'exploit de la semaine - XXE sur JNLP
Java, à l'instar de Flash, existait sous forme de plugin NPAPI au sein des navigateurs les plus courants (Internet Explorer, Mozilla Firefox, Chrome). Cette technologie permet l'exécution de code Java dans le contexte du navigateur, ce qui, en raison de la sensibilité des informations présentes et de l'abondance de vulnérabilités affectant Java, pose un risque de sécurité.
Lors du retrait du support de la technologie NPAPI sur certains navigateurs Java Web Start est devenue une alternative viable, permettant à l'utilisateur de télécharger un fichier XML sous l'extension ".jnlp" dans l'optique de faire exécuter l'applet en parallèle des processus du navigateur.
La CVE 2017-10309 utilise ce format de fichier et son ouverture automatique par le programme "jp2launcher.exe". Ce dernier semble être vulnérables aux injections de type eXternal XML Entity (XXE), permettant à l'attaquant de récupérer des fichiers sur le poste de sa victime, et ce seulement en visitant un site contrôlé par l'attaquant.
Lors du retrait du support de la technologie NPAPI sur certains navigateurs Java Web Start est devenue une alternative viable, permettant à l'utilisateur de télécharger un fichier XML sous l'extension ".jnlp" dans l'optique de faire exécuter l'applet en parallèle des processus du navigateur.
La CVE 2017-10309 utilise ce format de fichier et son ouverture automatique par le programme "jp2launcher.exe". Ce dernier semble être vulnérables aux injections de type eXternal XML Entity (XXE), permettant à l'attaquant de récupérer des fichiers sur le poste de sa victime, et ce seulement en visitant un site contrôlé par l'attaquant.
L'attaque de la semaine - WiFi (un)Protected Access 2
Désormais célèbres sous le nom de "KrackAttack" et publiées mi-octobre 2017, la CVE 2017-13077 et ses consoeurs décrivent un ensemble de vulnérabilités liées au protocole WPA2 et permettant a minima l'interception de données normalement protégées par une couche de chiffrement.
Krack ne cible pas directement le standard WPA2, qui avait été prouvé formellement comme étant sécurisé, mais un aspect "hors-scope" de cette preuve nommé "4-way handshake". Via cette attaque, il est possible de bloquer et retransmettre certains afin de forcer la réutilisation d'un nombre aléatoire (nonce) et la réinstallation de clés de chiffrement.
Les impacts varient selon l'équipement et les CVE auxquelles il est exposé, allant du simple déchiffrement de paquets à l'envoi de paquets arbitraires sous l'identité du client ou de la borne.
Krack ne cible pas directement le standard WPA2, qui avait été prouvé formellement comme étant sécurisé, mais un aspect "hors-scope" de cette preuve nommé "4-way handshake". Via cette attaque, il est possible de bloquer et retransmettre certains afin de forcer la réutilisation d'un nombre aléatoire (nonce) et la réinstallation de clés de chiffrement.
Les impacts varient selon l'équipement et les CVE auxquelles il est exposé, allant du simple déchiffrement de paquets à l'envoi de paquets arbitraires sous l'identité du client ou de la borne.
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Jean MARSAULT