Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Nicolas DAUBRESSE sur l'utilisation des métadonnées de réplication au sein d'un AD.
Veille cybercriminalité
Auriez-vous remarqué ...
Ce skimmer ? L'un des passe-temps du chercheur en sécurité Brian Krebs est l'étude et le répertoriage des skimmers, modules physiques déposés sur un distributeur automatique et ayant pour but de voler des informations de l'utilisateur : numéro de carte bleue, code PIN, etc. Vous seriez-vous fait avoir ?
ICS Cryptojacking
Sous ce nom énigmatique se cache la première attaque de malware visant à miner des cryptomonnaies (cryptojacker) sur un système industriel (Industrial Control System, ou ICS). L'entreprise Radiflow aurait découvert un mineur de Monéro (XMR) installé sur l'interface homme-machine SCADA d'une société de traitement des eaux d'origine européenne.
Sources :
- http://www.eweek.com/security/water-utility-in-europe-hit-by-cryptocurrency-malware-mining-attack
- https://www.prnewswire.com/news-releases/radiflow-reveals-first-documented-cryptocurrency-malware-attack-on-a-scada-network-300595714.html
- https://www.schneier.com/blog/archives/2018/02/water_utility_i.html
Air France offre 2 billets gratuits
Avez-vous reçu cette annonce la semaine dernière ? Si oui, à l'instar de nombreux français, vous avez reçu une annonce de phishing dont l'objectif est de récupérer votre adresse e-mail, pour une utilisation dans le cadre de campagne de spam ou de revente de données personnelles. Il est à noter que le nom de domaine utilisé par l'attaquant est ici très proche du nom de domaine www.airfrance.com, à l'exception du second "a" remplacé par un équivalent vietnamien, souligné d'un point.
Sources :
- https://twitter.com/x0rz/status/963359906010198026
- https://actu17.fr/fraude-aux-couleurs-dair-france-de-nombreuses-victimes-whatsapp-facebook/
Minage de cryptocoins au travail
Des chercheurs d'un centre de recherche nucléraire russe ont été surpris dans leur utilisation du super-ordinateur qu'ils avaient à disposition pour miner des cryptocoins. L'ordinateur en question est capable de réaliser 1.000.000.000.000.000 d'opérations sur des nombres à virgule (float), totalisation donc 1.0 PetaFLOPs (contre une diazaine voire un centain de GoFLOPs pour un processeur standard).
Sources :
Attaque olympique
Le site officiel des jeux olympiques d'hiver aurait subi une attaque qui a provoqué son indisponibilité, aux alentours de la cérémonie d'ouverture. Il peut donc s'agir d'une attaque de type déni de service, ou d'un arrêt du site pour prévenir une attaque en cours. Les sources officielles sont pour l'instant dans l'incapacité de mettre un nom sur l'origine de l'attaque.
Sources :
- https://nakedsecurity.sophos.com/2018/02/11/winter-olympics-network-outages-blamed-on-unexplained-cyberhack/
- https://www.nytimes.com/2018/02/12/technology/winter-olympic-games-hack.html
In fraud we trust
Le gouvernement étatsunien a démantelé un réseau majeur de fraude bancaire d'origine ukrainienne, nommé "Infraud Organization". Le réseau serait à l'origine de 530 millions de dollars de pertes, utilisant des techniques variées telles que l'installation de malware sur les Point of Sales (POS) ou le recel de numéro de cartes bancaires.
Sources :
- https://www.bankinfosecurity.com/feds-dismantle-ukrainians-530-million-carding-empire-a-10638
- http://www.bbc.com/news/technology-42978428
- https://btcmanager.com/infraud-organization-co-founder-cccused-530-million-fraud-arrested-bangkok/
- https://krebsonsecurity.com/2018/02/u-s-arrests-13-charges-36-in-infraud-cybercrime-forum-bust/
Veille vulnérabilité
Intel étend son programme de bug bounty
Intel a récemment étendu le périmètre couvert par son programme de bug bounty, initialement lancé en mars 2017. Celui-ci inclut désormais les attaques par canaux auxilliaires (Spectre, Meltdown), et propose des primes alléchantes pour la découvertes de celles-ci (jusqu'à $250.000).
Sources :
- https://threatpost.com/intel-expands-bug-bounty-program-post-spectre-and-meltdown/129980/
- https://newsroom.intel.com/news/expanding-intels-bug-bounty-program/
Google 2017 Vulnerability program review
Google passe en revue son programme de bug bounty sur l'année 2017 et met notamment en avant trois exploits particulièrement intéressants remontés l'année dernière.
Exploitation sur Cisco ASA
Cisco avait remonté fin janvier la présence d'une vulnérabilité critique (CVSS 10) sur ses appliances Cisco ASA. Il est désormais clair que cette vulnérabilité est massivement exploitée, et il devient donc nécessaire de mettre à jour les équipements impactés dans les plus cours délais.
Sources :
- https://www.itnews.com.au/news/critical-cisco-flaw-under-active-exploit-484973
- https://www.itnews.com.au/news/cisco-asa-vpn-feature-allows-remote-code-execution-482111
Indicateurs de la semaine
L'exploit de la semaine - HPE iLO 4 < 2.53 - Add new admin
Un script exploitant la vulnérabilité CVE-2017-12542 (découvert en février 2017 par Synacktiv, et rendue publique par HP en août 2017) a été publié. Celui-ci permet l'ajout en remote d'un nouvel administrateur sur les cartes HPE iLO.
Sources :
- https://www.exploit-db.com/exploits/44005/
- https://www.synacktiv.com/posts/exploit/rce-vulnerability-in-hp-ilo.html
Le leak de la semaine - Swisscom
L'opérateur télécom suisse Swisscom a été victime en août 2017 d'une exfiltration de données client (nom, adresse, date de naissance, numéro de téléphone). 800.000 clients seraient touchés par cette fuite de données. L'opérateur Swisscom indique que la fuite provient d'un partenaire qui disposaient d'un accès à ces données pour prévenir les clients de la fin prochaine de leur contrat.
Sources :
- https://www.tripwire.com/state-of-security/featured/swisscom-data-breach-exposes-customers/
- https://www.swisscom.ch/en/about/medien/press-releases/2018/02/20180207-mm-swisscom-verschaerft-sicherheitsmassnahmen-fuer-kundenangaben.html
- http://www.zdnet.com/article/swisscom-data-breach-800000-customers-affected/
L'attaque de la semaine - Newtek live customer phishing
Newtek est une entreprise américain fournissant des services dans le domaine du web, dont la fourniture et la gestion de plus de 100.000 noms de domaine. Le 10 février 2018, les clients de Newtek ont reçu un email les encourageant à visiter le site de l'entreprise, suite à de nouvelles mesures de sécurité. Ledit site avait en réalité été compromis par un pirate Vietnamien, qui avait alors procéder à l'installation d'un chat web pour échanger avec les clients et leur extorquer des informations sensibles.
Sources :
- https://krebsonsecurity.com/2018/02/domain-theft-strands-thousands-of-web-sites/
- https://www.mediapost.com/publications/article/314530/
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Jean MARSAULT