Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Thomas DEBIZE, ce qui a changé pour l’épinglement de certificat à partir d’Android 7 Nougat.
Veille cybercriminalite
Fuite de données massive en 2016 chez Uber qui étouffe l'affaire
Les données de 57 millions de clients et conducteurs Uber ont été volées en 2016 par des hackers anonymes. L'attaque a été largement facilitée par le fait que la clé privée protégeant la base de données attaquée était disponible dans un fichier public sur un répertoire Github... Il est en effet possible de trouver un certain nombre de clés privées sur Github grâce à des recherches Google simples (ex: site:http://github.com inurl:ssh/id_rsa), ou bien directement via l'outil de recherche Github
Sources :
- https://www.uber.com/newsroom/2016-data-incident/
- https://nakedsecurity.sophos.com/2017/11/22/uber-suffered-massive-data-breach-then-paid-hackers-to-keep-quiet/
- https://thehackernews.com/2013/01/hundreds-of-ssh-private-keys-exposed.html
Tether annonce un vol de 30 millions de cryptotokens
Tether est une entreprise controversée qui propose un service de cryptomonnaie basée sur des tokens à parité avec le dollar américain, ce qui en principe signifie que pour 1 million de Tether en circulation, l'entreprise possède de façon bien réelle ce million de dollars. L'utilité d'un vol de tokens est donc toute relative, étant donné que ceux ci peuvent être tout simplement annulés via une mise à jour du logiciel utilisé pour trader la cryptomonnaie... En revanche, ce vol remet l'entreprise sur la sellette alors que des soupçons pesaient déjà sur sa légitimité. Conclusion : N'investissez pas dans des Tethers tout de suite.
Sources :
- https://nakedsecurity.sophos.com/2017/11/23/tether-hits-back-after-31m-cryptocurrency-hack/
- https://journalducoin.com/altcoins/tether-usdt-tourmente-scam-or-not/
Le hacker d'HBO, qui a mis à disposition du public des épisodes inédits de plusieurs séries (dont GOT) aurait été identifié.
Sources :
- https://nakedsecurity.sophos.com/2017/11/24/alleged-hbo-hacker-is-an-iranian-the-fbi-cant-arrest/
- https://www.nytimes.com/2017/11/21/business/hbo-hack-charges.html
- https://www.darkreading.com/threat-intelligence/iranian-nation-state-hacker-indicted-for-hbo-hack-extortion/d/d-id/1330474
Veille vulnerabilite
Intel toujours dans la tourmente : des vulnérabilités supplémentaires trouvées
Après la faille trouvée la semaine dernière sur les composants Intel (cf Revue d'actualité), un autre set de vulnérabilités a été trouvé (CVE-2017-05 à 10). Les vulnérabilités utilisent différents mécanismes, depuis les buffers overflows à l'escalade de préivilèges. Ceci permet in fine l'exécution de code malveillant.
Sources :
- https://www.darkreading.com/vulnerabilities---threats/intel-firmware-flaws-found/d/d-id/1330486
- https://nakedsecurity.sophos.com/2017/11/23/worries-over-intels-mangement-engine-grow-after-new-flaws-found/
- http://www.lemondeinformatique.fr/actualites/lire-nouvelles-serie-de-failles-dans-l-intel-management-unit-70079.html
L'OWASP publie son nouveau TOP 10 des vulnérabilités WEB
Sources :
- https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
- https://www.darkreading.com/application-security/new-owasp-top-10-list-includes-three-new-web-vulns/d/d-id/1330479
Les imprimantes HP vulnérables à l'exécution de code à distance
La vulnérabilite (CVE-2017-2750) a été patchée par HP qui en avait été informé en aout. L'exploit est disponible sur GitHub.
Sources :
- https://support.hp.com/nz-en/document/c05839270
- https://www.theregister.co.uk/2017/11/21/patch_coming_for_hp_printer_vulnerabilities/
- https://github.com/foxglovesec/HPwn
Indicateurs de la semaine
Le leak de la semaine - Imgur a également discrètement avoué s'être fait voler les données de 1,7 millions d'utilisateurs en 2014
Sources :
- https://techcrunch.com/2017/11/27/imgur-says-1-7m-emails-and-passwords-were-breached-in-2014-hack/
- https://twitter.com/haveibeenpwned/status/934210666335891456
- https://blog.imgur.com/2017/11/24/notice-of-data-breach/
L'exploit de la semaine - Un PoC prouve la possibilité de répliquer du code VBA de façon légitime dans des macros
Il est possible de bypasser la désactivation des macros sur Office en modifiant simplement un registre. Une fois la modification effectuée, la macro peut écrire d'autres macros qui sont exécutées à chaque lancement de documents Office. De plus, le poste infecté est alors vulnérable à toute autre attaque basée sur des macros.
Sources :
- http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/
- https://www.youtube.com/watch?time_continue=47&v=JVTZYBkXLKc
- https://thehackernews.com/2017/11/ms-office-macro-malware.html
L'attaque de la semaine - Une campagne de propagation du ransomware Scarab est en cours via le réseau de botnet Necurs
Necurs est un des plus gros réseaux de botnets dédiés au spam du monde avec plus de 6 millions d'ordinateurs infectés. Il est notamment à l'origine de la propagation de Locky.
Sources :
- https://blogs.forcepoint.com/security-labs/massive-email-campaign-spreads-scarab-ransomware
- https://www.infosecurity-magazine.com/news/scarab-ransomware-necurs-spread/
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |