Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, sur "The Shadow Brokers".
Veille cybercriminalité
Orange is the new black
En 2015, les 4 premiers épisodes de la saison 5 de Game of Thrones étaient disponibles sur Internet avant leur sortie, cette semaine une demande de rançon a été envoyée à Netflixpour la série « Orange is the New Black ». Le hackeur, « thedarkoverlord », prétend qu’il a aussi récupérer des séries des chaines Fox, National Geographic et ABC et souhaite réaliser le même type de délit avec ces chaines télévisées.
Le 29 Avril après que Netflix n'ait pas voulu payer la rançon, l'attaquant a posté un lien torrent pointant vers les épisodes 2 à 10.
Sources :
- https://www.welivesecurity.com/2017/04/29/hacker-holds-netflix-ransom-orange-new-black/
- https://arstechnica.com/security/2017/05/orange-is-the-new-hacked-netflix-series-leaked-in-vendor-hack/
Exploitation de la CVE-2017-0199 dans des campagnes de phishing
Comme nous l’évoquions la semaine dernière [1], une vulnérabilité critique permet l’exécution de code lors de l’ouverture d’un document Word piégé. Il n’aura fallu que quelques jours pour que les groupes d’attaquant exploite cette vulnérabilité dans leur campagne de mails malveillants.
ProofPoint [2] a observé l’utilisation de cette faille et en particulier par le groupe Chinois TA459 qui cible des entreprises financières Russe.
Sources :
- [1] http://www.securityinsider-solucom.fr/2017/04/cert-w-actualite-10-14-avril-2017.html
- [2] https://www.proofpoint.com/us/threat-insight/post/apt-targets-financial-analysts
Malware-Hunter, le service permettant de lister les serveurs de C&C
Le projet Malware-Hunter[1], né de la fusion entre Shodanet Recorded Future, permet de scanner Internet à la recherche des serveurs de Command and Control (C&C). Pour cela, l’outil prétend être un hôte infecté qui demande de nouveaux ordres en s’adressant à chaque adresse IP comme si elle était un serveur de C&C. Ainsi, lorsque l’application reçoit une réponse positive, le serveur est alors taggé en tant que C&C.
Les résultats préliminaires [2] indiquent déjà des centaines d’adresses IP répondant aux malwares tels que Gh0st RAT, Dark Comet ou encore njRAT. De plus, ils sont aussi accessibles sur le moteur de recherche Shodan [3].
Sources :
- [1] https://malware-hunter.shodan.io/
- [2] https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf
- [3] https://www.shodan.io/search?query=category%3Amalware
Veille vulnérabilité
Vulnérabilité exploitable à distance sur les plateformes Intel depuis 2008
Une vulnérabilité critique (CVE-2017-5689 [1]) a été découverte sur les outils de gestion d'Intelreposants sur Management Engine (ME), Active Management Technology (AMT) et Standard Manageability (ISM). L’exploitation de cette vulnérabilité permet à un attaquant de prendre le contrôle de ces outils de gestions à distance.
Ces outils offre aux administrateurs un moyen de gérer leur parc uniquement sur un réseau d’entreprise, les vulnérabilités ne sont donc pas présentes sur les puces Intel des ordinateurs personnels.
Selon Intel, la vulnérabilité est présente dans les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 des systèmes de gestion AMT, ISM et SBT. Les versions avant la 6 et après la 11.6 ne sont pas affectées.
Intel a mis à disposition un guide pour déterminer si la machine est vulnérable [2] et un guide de sécurisation [3].
Sources :
- [1] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075
- [2] https://communities.intel.com/docs/DOC-5693
- [3] https://downloadcenter.intel.com/download/26754
- https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/
- http://thehackernews.com/2017/05/intel-server-chipsets.html
- http://securityaffairs.co/wordpress/58656/hacking/intel-management-engine.html
Indicateurs de la semaine
Le leak de la semaine – Scribbles
Cette semaine Wikileaks a publié le code source du programme de la NSA appelé « Scribbles ». L’objectif de cet outil est de pouvoir générer un filigrane unique pour chaque copie d’un document afin de savoir si un document aurait fuité. Cette mesure permettrait donc d’identifier les potentiels lanceurs d’alertes qui sont en possession de documents confidentiels.
Le filigrane consiste en une image transparente insérée dans le document pointant vers une URL unique. Ce système a été testé avec succès les versions de Microsoft Office 1997 à 2016, mais sur les versions de Libre Office et OpenOffice, le filigrane apparait sous forme d’une image et d’une URL.
Le filigrane consiste en une image transparente insérée dans le document pointant vers une URL unique. Ce système a été testé avec succès les versions de Microsoft Office 1997 à 2016, mais sur les versions de Libre Office et OpenOffice, le filigrane apparait sous forme d’une image et d’une URL.
Sources :
L’exploit de la semaine – Compromettre un DC depuis DNSAdmin
Cet article présente comment des comptes non administrateurs de domaine peuvent être utilisés pour compromettre des contrôleurs de domaine, en exploitant des fonctionnalités liées à l’administration des rôles portés par les DC.
Ici, le rôle utilisé est celui de serveur DNS, pour lequel les comptes « DNSAdmin » peuvent réaliser une injection arbitraire de DLL.
Ici, le rôle utilisé est celui de serveur DNS, pour lequel les comptes « DNSAdmin » peuvent réaliser une injection arbitraire de DLL.
Sources :
L'attaque de la semaine – Bug Bounty sur Flickr pour 7,000$
Michael Reizelman a remonté à Yahoo trois vulnérabilités mineures qui, une fois enchainées, permettent de prendre le contrôle d’un compte Flickr [1]. Ce scénario d’exploitation lui a permis de toucher une prime de 7,000$ de la part de Yahoo via le site de Bug Bounty HackerOne.
Les vulnérabilités ne semblent pas critiques lorsqu’elles sont présentées unitairement :
Les vulnérabilités ne semblent pas critiques lorsqu’elles sont présentées unitairement :
- Mauvais contrôle du paramètre de redirection de l’utilisateur après l’authentification de celui-ci, ce qui permet à l’attaquant de contrôler la redirection sur une page de la forme https://www.flickr.com/*
- Chargement d’une image dont l’URL est contrôlé par l’attaquant sur les pages des forums de Flickr
- Absence de contrôle du paramètres « Content Security Policy » sur les pages du forum « https://www.flickr.com/help/forum/en-us/ »
Sources :
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
Vincent DEPERIERS