Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Mahdi Braik de la conférence "When Two-Factor Authentication is a Foe: Breaking Apple’s iCloud Keychain" présentée à la Hack-In-The-Box 2017 Amsterdam.
Veille cybercriminalité
Un nouveau malware écrit en Lua infecte des hôtes Linux sur de multiples architectures
Baptisé Linux/Shishiga, ce malware infecte des machines Linux de multiples architectures (MIPS, ARM, SPARC, SH-4, M68k, PowerPC et x86) ayant un service SSH ou Telnet accessible. Le malware embarque des dictionnaires d’authentifiants faibles, et infecte d’autres machines en scannant des plages aléatoire d’IP sur Internet et en tentant de s’authentifier sur les hôtes exposant les services cités.
Une fois installé, le malware expose plusieurs backdoors, contacte son C&C afin de récupérer sa liste de tâches, et maintient à jour ses fichiers de configuration via le protocole BitTorrent.
Sources :
https://www.welivesecurity.com/2017/04/25/linux-shishiga-malware-using-lua-scripts/
Sources :
[1] https://below0day.com/2017/04/23/doublepulsar-global-implants/
[2] https://github.com/countercept/doublepulsar-detection-script/
https://threatpost.com/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/125165/
Sources :
[1] https://below0day.com/2017/04/23/doublepulsar-global-implants/
[2] https://github.com/countercept/doublepulsar-detection-script/
https://threatpost.com/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/125165/
Sources :
https://threatpost.com/locky-ransomware-roars-back-to-life-via-necurs-botnet/125156/
https://nakedsecurity.sophos.com/2017/04/24/ransomware-hidden-inside-a-word-document-thats-hidden-inside-a-pdf/
Sources :
https://www.theregister.co.uk/2017/04/25/apt28_macron_hack/
http://blog.trendmicro.com/pawn-storm-power-social-engineering/
Les exploits publiés par ShadowBrokers sont utilisés activement sur Internet
Les exploits publiés il y a quelques semaines par le groupe ShadowBrokers sont actuellement utilisés sur Internet par de nombreux hackers opportunistes. Intégrés dans un framework proche de Metasploit nommé FuzzBunch, ces exploits sont aisément utilisables et ont été activement utilisés depuis leur parution. Selon la société below0day[1], plus de 50 000 machines Windows exposées sur Internet présentent une installation de la backdoor DoublePulsar, installée par les exploits susmentionnés.
Un script de détection d’infection[2], développé par la société Countercept, est actuellement disponible sur GitHub.
Sources :
[1] https://below0day.com/2017/04/23/doublepulsar-global-implants/
[2] https://github.com/countercept/doublepulsar-detection-script/
https://threatpost.com/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/125165/
Les exploits publiés par ShadowBrokers sont utilisés activement sur Internet
Les exploits publiés il y a quelques semaines par le groupe ShadowBrokers sont actuellement utilisés sur Internet par de nombreux hackers opportunistes. Intégrés dans un framework proche de Metasploit nommé FuzzBunch, ces exploits sont aisément utilisables et ont été activement utilisés depuis leur parution. Selon la société below0day[1], plus de 50 000 machines Windows exposées sur Internet présentent une installation de la backdoor DoublePulsar, installée par les exploits susmentionnés.
Un script de détection d’infection[2], développé par la société Countercept, est actuellement disponible sur GitHub.
Sources :
[1] https://below0day.com/2017/04/23/doublepulsar-global-implants/
[2] https://github.com/countercept/doublepulsar-detection-script/
https://threatpost.com/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/125165/
Une nouvelle vague de propagation du ransomware Locky
Une recrudescence significative du ransomware Locky et du botnet Necurs a été signalée, avec plus de 35 000 emails envoyés en quelques heures. Ces derniers contiennent un fichier PDF joint (ou un lien vers ce fichier), qui contient lui-même un document Word incluant des macros malveillantes.
Cette technique d’infection en « poupée russe », nécessitant plusieurs interactions de l’utilisateur pour être effective, a pu contourner les détections des moteurs d’analyse en sandbox effectuées par de nombreux filtres anti-spam.
Sources :
https://threatpost.com/locky-ransomware-roars-back-to-life-via-necurs-botnet/125156/
https://nakedsecurity.sophos.com/2017/04/24/ransomware-hidden-inside-a-word-document-thats-hidden-inside-a-pdf/
Le groupe APT28 (ou Pawn Storm, Fancy Bears, etc…) prend pour cible la campagne de Emmanuel Macron
Le groupe APT28 serait à l’origine d’une campagne de phishing visant à récupérer des authentifiants des membres du groupe politique En Marche, notamment via l’enregistrement de domaines tels que « onedrive-en-marche.fr » ou « mail-en-marche.fr ».
Sources :
https://www.theregister.co.uk/2017/04/25/apt28_macron_hack/
http://blog.trendmicro.com/pawn-storm-power-social-engineering/
Veille vulnérabilité
Une vulnérabilité dans l’application Hyundai Blue Link permet à un attaquant de géolocaliser, déverrouiller et démarrer la voiture de sa victime
L’application mobile Hyundai Blue Link dans ses versions 3.9.4 et 3.9.5 utilise une clé de chiffrement symétrique codée en dur afin de protéger des informations utilisateurs avant de les transmettre en HTTP à un serveur de Hyundai pour journalisation.
Un attaquant ayant extrait la clé symétrique d’une instance de l’application est donc en mesure de déchiffrer ces communications, en écoutant par exemple le trafic effectué par l’application de sa victime sur un réseau ouvert (Wi-Fi public). Les informations déchiffrées contiennent entre autres le login, le code PIN, ainsi que l’historique des positions GPS du véhicule de la victime : l’attaquant pourrait alors retrouver ce véhicule, le déverrouiller et le démarrer, en utilisant les authentifiants usurpés.
Sources :
https://community.rapid7.com/community/infosec/blog/2017/04/25/r7-2017-02-hyundai-blue-link-potential-info-disclosure-fixed
Suite à un faux positif, l’antivirus WebRoot supprime des fichiers systèmes Windows
A la suite d’une mise à jour des signatures de virus le 25 avril dernier, l’antivirus WebRoot s’est mis à considérer des fichiers du système Windows comme des chevaux de Troie, et mettre ceux-ci en quarantaine, rendant les systèmes instables. Ces fichiers étaient néanmoins signés cryptographiquement par Microsoft.
L’éditeur dispose de 30 millions d’utilisateurs, et travaille actuellement au déploiement d’un correctif permettant de réparer les dommages causés.
Sources :
https://www.theregister.co.uk/2017/04/25/webroot_windows_wipeout/
https://www.webroot.com/blog/2017/04/25/critical-service-announcement/
Zimperium publie les deux premiers exploits issus de son programme d’acquisition d’exploits « n-days » pour mobiles
La société israélienne Zimperium, dans le cadre de son programme de rachat d’exploits « n-days » (i.e. exploitant des vulnérabilités déjà connues et corrigées) a publié cette semaine ses deux premiers exploits. Ceux-ci permettent l’élévation de privilèges sur Nexus 9/Android 6.0, et la désactivation de SELinux sur Nexus 5x/Android 6.0.1.Sources :
https://blog.zimperium.com/nday-2017-0102-elevation-of-privilege-vulnerability-in-nvidia-video-driver/
https://blog.zimperium.com/nday-2017-0105-elevation-of-privilege-vulnerability-in-msm-thermal-driver/
Retour d’expérience d’un auditeur sur les 10 erreurs de développement les plus fréquentes en matière de cryptographie
Indicateurs de la semaine
Le leak de la semaine – Manuel d’utilisation de Weeping Angel
Dans sa série de leaks « Vault7 » sur les outils de hacking prétendument utilisés par la CIA, WikiLeaks avait dévoilé l’existence d’un outil permettant de transformer une Smart TV Samsung Série F en dispositif de mise sur écoute microphonique, nommé Weeping Angel.
WikiLeaks a publié en début de semaine le manuel d’utilisation complet de l’outil. D’après le document, celui-ci aurait été réalisé par le MI5 avant d’être partagé avec la CIA.
WikiLeaks a publié en début de semaine le manuel d’utilisation complet de l’outil. D’après le document, celui-ci aurait été réalisé par le MI5 avant d’être partagé avec la CIA.
https://wikileaks.org/vault7/releases/#Weeping%20Angel
http://securityaffairs.co/wordpress/58210/intelligence/cia-weeping-angel-guide.html
L’exploit de la semaine - CVE-2017-0199
Une vulnérabilité affectant quasiment toutes les versions de Microsoft Office a été publié il y a quelques semaines. Cette vulnérabilité affecte le composant Microsoft Word, et permet l’exécution de code arbitraire sur simple ouverture d’un fichier RTF, sans action supplémentaire de l’utilisateur (aucune macros à activer manuellement par l’utilisateur).
Des outils ont depuis été publiés afin d’automatiser la génération de document RTF malveillant, rendant l’exploitation aisée.
Des outils ont depuis été publiés afin d’automatiser la génération de document RTF malveillant, rendant l’exploitation aisée.
Sources :
https://github.com/bhdresh/CVE-2017-0199
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
Maxime MEIGNAN