Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Arnaud Soullié, Fun with Modbus 0X5A.
Veille cybercriminalite
Nouvelle disparition massive de cryptomonnaie
Le système de cryptomonnaie NEM, plus largement utilisé au Japon, a vu sa popularité bondir au cotés du bitcoin, la valeur 1NEM passant de $0.00004 à 1$.
Une plateforme d'échange populaire au Japon vient cependant d'annoncer la "perte" de près de 500 millions de dollars de cette monnaie, appartenant à quelques 260 000 particuliers, ce qui ferait de ce vol présumé l'un des plus importants vols de cryptomonnaie.
La compagnie prétend rembourser leurs pertes aux usagers.
Une plateforme d'échange populaire au Japon vient cependant d'annoncer la "perte" de près de 500 millions de dollars de cette monnaie, appartenant à quelques 260 000 particuliers, ce qui ferait de ce vol présumé l'un des plus importants vols de cryptomonnaie.
La compagnie prétend rembourser leurs pertes aux usagers.
Sources :
- https://nakedsecurity.sophos.com/2018/01/30/bitcoin-exchange-robbed-by-real-life-bank-robbers-with-real-life-guns/
- https://www.forbes.com/sites/chuckjones/2018/01/28/bitcoin-nem-and-other-cryptocurrencies-seemed-unfazed-by-a-500-million-theft/#84127458d644
- https://www.bloomberg.com/news/articles/2018-01-26/cryptocurrencies-drop-after-japanese-exchange-halts-withdrawals
Nouveaux cryptomining virus
La menace de cryptomining malwares se précise pour les entreprises, alors que la tendances pour les cryptomonnaies n'a jamais été aussi médiatisée. Les ressources nécessaires au minage de cryptomonnaie sont conséquentes, et l'option la plus simple pour les pirates est donc d'utiliser l'électricité et la puissance des infrastructures d'entreprises.
De nombreux malwares sont désormais couplés à des exploits connus (cf WannaMINE), afin de s'introduire dans les réseaux d'entreprise.
Les entreprises ne sont pas les seules touchées, puisque de nombreux cryptominers se cachent également dans les applications Android ou les pages javascript.
De nombreux malwares sont désormais couplés à des exploits connus (cf WannaMINE), afin de s'introduire dans les réseaux d'entreprise.
Les entreprises ne sont pas les seules touchées, puisque de nombreux cryptominers se cachent également dans les applications Android ou les pages javascript.
Sources :
- https://www.darkreading.com/attacks-breaches/crypto-mining-attacks-emerge-as-the-new-big-threat-to-enterprises/d/d-id/1330965
- https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophos-coinminer-and-other-malicious-cryptominers-tpna.aspx
- https://nakedsecurity.sophos.com/2018/01/31/what-are-wannamine-attacks-and-how-do-i-avoid-them/
Beware ! Spectre and Meltdown malwares are coming
Pus de 130 codes malveillants exploitant les failles Spectre et Meltdown ont été repérés par les chercheurs d'AV-TEST, de différentes sources (antivirus, online testers et chercheurs). En grande partie basés sur le PoC Javascript sorti début janvier, ces virus en devenir en sont apparemment encore au stade de R&D.
Des attaques massives sont donc à craindre prochainement, alors qu'aucun patch fonctionnel n'est disponible.
Des attaques massives sont donc à craindre prochainement, alors qu'aucun patch fonctionnel n'est disponible.
Sources :
- https://blog.fortinet.com/2018/01/30/the-exponential-growth-of-detected-malware-targeted-at-meltdown-and-spectre
- http://www.securityweek.com/malware-exploiting-spectre-meltdown-flaws-emerges
- https://thehackernews.com/2018/02/meltdown-spectre-malware-hacking.html
Veille vulnerabilite
Une vulnérabilité (de plus) 0-day sur Flash
Une équipe de chercheurs coréens (KrCERT) ont publié ce 31 janvier un document décrivant l'existance d'une vulnérabilité 0-day touchant Adobe Flash, utilisée par des attaquant (nord-coréens d'après eux), et qui permettrait l'exécution de code.
Le malware, embarqué dans un fichier SWJ caché au sein d'un document Excel, lance ensuite la récupération d'autres malware d'espionnage et vise principalement des Sud-Coréens travaillant pour l'armée, la défense, ou la recherche.
La vulnérabilité, appelée CVE-2018-4878, a également fait l'objet d'un communiqué par Adobe, qui a sorti un patch le 05/02/18.
Le malware, embarqué dans un fichier SWJ caché au sein d'un document Excel, lance ensuite la récupération d'autres malware d'espionnage et vise principalement des Sud-Coréens travaillant pour l'armée, la défense, ou la recherche.
La vulnérabilité, appelée CVE-2018-4878, a également fait l'objet d'un communiqué par Adobe, qui a sorti un patch le 05/02/18.
Sources :
- https://helpx.adobe.com/security/products/flash-player/apsb18-01.html
- https://nakedsecurity.sophos.com/2018/02/02/adobe-warns-of-flash-zero-day-patch-to-come-next-week/
- https://thehackernews.com/2018/02/flash-zero-day-exploit.html
Le scanner d'empreintes Lenovo victime d'une vulnérabilité critique
Les ordinateurs d'entreprise (ThinkPad, ThinkCentre, et ThinkStation) vendus par Lenovo utilisent le logiciel FingerPrint Manager Pro afin de permettre aux utilisateurs de s'authentifier, sur Windows notamment. Une vulnérabilité importante a été identifiée au sein de celui-ci : il est possible non seulement de récuperer des informations sensibles (tels que les authentifiants Windows), mais également de les déchiffrer (le logiciel utilisant un algorithme de chiffrement faible) et de contourner complètement l'authentification grâce à un mot de passe hardcodé.
La vulnérabilité (CVE-2017-3762) est patchée dans les versions 8.01.87. La faille touchant des dizaines de modèles du constructeur, il est recommandée de s'assurer de disposer d'une version à jour de ce logiciel.
La vulnérabilité (CVE-2017-3762) est patchée dans les versions 8.01.87. La faille touchant des dizaines de modèles du constructeur, il est recommandée de s'assurer de disposer d'une version à jour de ce logiciel.
Sources :
- https://www.bleepingcomputer.com/news/security/lenovos-fingerprint-scanner-can-be-bypassed-via-a-hardcoded-password/
- https://support.lenovo.com/fr/fr/product_security/len-15999
- https://wccftech.com/lenovo-fingerprint-scanner-hardcoded-password/
Un plug-in Burp pour exploiter les vulnérabilités Wordpress
Indicateurs de la semaine
L'attaque de la semaine - Une startup se volatilise avec pour seul indice le mot "penis"
Dérobant la somme ridicule de 11$ en Ethereum à ses investisseurs, la startup Prodeum a disparu des radars, laissant pour seul indice son site internet défacé, affichant le mot "penis". La startup avait pour projet de "révolutionner le monde des fruits et légumes en les intégrant dans la blockchain"...
Sources :
- https://nakedsecurity.sophos.com/2018/01/31/my-cryptocoin-startup-vanished-and-all-i-got-was-this-lousy-penis/
- https://thenextweb.com/hardfork/2018/01/29/cryptocurrency-prodeum-scam-exit-penis/
L'exploit de la semaine - Un outil pour rechercher des cibles vulnérables et lancer des attaques automatisées
Assez controversé, un nouvel outil est apparu, permettant de repérer des cibles vulnérables et lancer des attaques massives. Ajoutant les capacités de l'outil de recherche Shodan aux fonctionnalités d'attaque de Metasploit, Autosploit met à la portée de n'importe qui l'attaque massive en ligne.
Sources :
- https://twitter.com/Real__Vector/status/958412549044801536
- https://motherboard.vice.com/en_us/article/xw4emj/autosploit-automated-hacking-tool
- https://github.com/NullArray/AutoSploit
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Camille MARSIGNY