Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, compte-rendu d'une conférence présentée à HITB 2017 sur les injections de fautes.
Veille cybercriminalité
HP supprime un keylogger sur plusieurs de ses modèles
Hewlett-Packard a émis une mise à jour de sécurité sur plusieurs des modèles d’ordinateurs portables, dont les Elitebook, ProBook et Zbook, afin de retirer un composant (MicTray64.exe) agissant comme keylogger au sein du driver audio Conexant HD. Ce composant enregistrait les frappes utilisateurs dans un fichier (C:\Users\Public\MicTray.log) présent sur le poste, exposant des informations sensibles (mots de passe, numéros de cartes bancaire, etc) pour quiconque dispose d’un accès au système de fichiers.
Cette fonctionnalité était utilisée à des fins de débogage et aurait été déployée par erreur sur les postes destinés aux utilisateurs.
Cette fonctionnalité était utilisée à des fins de débogage et aurait été déployée par erreur sur les postes destinés aux utilisateurs.
Sources :
Jaff, le dernier ransomware de la famille Locky
Des chercheurs ont découvert un nouveau ransomware, baptisé « Jaff », dont le comportement et le portail de paiement sont très similaires à ceux des ransomwares Dridex, Locky et Bart. La campagne de contamination actuelle consiste en un email dont la pièce jointe est un fichier PDF. Ce dernier contient un fichier DOCM attaché, qui une fois ouvert demande l’activation des macros.
S’en suit le chiffrement des fichiers de la victime et la demande de rançon de 1.79 bitcoins (environ 3300$).
S’en suit le chiffrement des fichiers de la victime et la demande de rançon de 1.79 bitcoins (environ 3300$).
Sources :
Un malware WordPress vole les sessions des utilisateurs
Le malware dont il est question ajoute du code JavaScript à la fin d’un fichier légitime utilisé par WordPress. Cette portion de code filtre les requêtes effectuées par les robots des moteurs de recherche, puis envoie les cookies de l’utilisateur actuel sur un site externe. Ce dernier utilise la technique de typosquatting pour ressembler à l’un des noms de domaines WordPress officiels, code.wordpr(e)ssapi.com.
Sources :
https://threatpost.com/session-hijacking-cookie-stealing-wordpress-malware-spotted/125586/Veille vulnérabilité
WordPress password reset – CVE-2017-8295
Une vulnérabilité affecte la fonctionnalité de remise à zéro du mot de passe des versions de WordPress avant 4.7.4 (comprise). L’attaquant, via l’écrasement d’une variable serveur, usurpe l’adresse email d’expéditeur du mail de remise à zéro. Trois scenarii ont été imaginés pour profiter de cette vulnérabilité :
- Un déni de service préalable de la boîte aux lettres de la victime, provoquant un renvoi de l’email à l’expéditeur ;
- Une réponse automatique, incluant le mail d’origine ;
- Répéter l’attaque afin de provoquer une réponse manuelle de l’utilisateur auprès de l’expéditeur.
Sources :
Cisco WebEx – Fuite d’informations – CVE-2017-6651
Une vulnérabilité présente dans le générateur de fichiers « robots.txt », et exploitable sous certaines conditions, peut permettre à un attaquant de récupérer les URL de meetings programmés à l’avance. Il lui serait alors possible de participer de manière non autorisée à ces réunions.
Sources :
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170510-cwmsIndicateurs de la semaine
Le leak de la semaine – #MacronLeaks
Le 5 mai 2017, 9 Go de données liées à la campagne électorale d’Emmanuel Macron ont été publiées[1] sur 4Chan, puis Wikileaks. Les métadonnées liées aux fichiers semblent indiquer que l’entreprise « Evrika ZAO », d’origine russe, est derrière ce piratage[2]. Des informations semblent indiquer que le piratage pourrait également être relié au groupe APT28 (Pawn Storm), et que les techniques utilisées sont similaires à celles qui ont pu être mises en œuvre à l’encontre d’un parti allemand[3] et pendant les élections présidentielles aux USA.
Il semblerait cependant que les données récupérées consistent en une stratégie « écran de fumée » mise en place par Mounir Mahjoubi, responsable du numérique de l’équipe « En Marche », afin de pallier ce type de campagne de piratage pré-élections[4].
Il semblerait cependant que les données récupérées consistent en une stratégie « écran de fumée » mise en place par Mounir Mahjoubi, responsable du numérique de l’équipe « En Marche », afin de pallier ce type de campagne de piratage pré-élections[4].
Sources :
L’exploit de la semaine – CVE-2017-0290 – “Crazy bad vuln”
Deux chercheurs de l’équipe Project Zero (Google) ont découvert une vulnérabilité[1][2] permettant l’exécution arbitraire de code au sein du Malware Protection Engine de Microsoft (MMPE). Les chercheurs ont qualifié cette vulnérabilité de « wormable ».
La vulnérabilité exploite une faille dans la gestion des types du moteur de contrôle des fichiers, permettant l’exécution de code JavaScript. L’un des exploits de cette CVE rentre dans un unique tweet[3] et permet de réaliser un déni de service sur le serveur cible.
Microsoft a immédiatement produit un patch pour corriger la vulnérabilité[4].
La vulnérabilité exploite une faille dans la gestion des types du moteur de contrôle des fichiers, permettant l’exécution de code JavaScript. L’un des exploits de cette CVE rentre dans un unique tweet[3] et permet de réaliser un déni de service sur le serveur cible.
Microsoft a immédiatement produit un patch pour corriger la vulnérabilité[4].
Sources :
L’attaque de la semaine – Google Docs
Le 3 mai, les utilisateurs du service Gmail ont été victimes d’une attaque de type phishing, conduite à large échelle[1]. L’attaque a duré pendant près d’une heure et a ciblé environ un million d’utilisateurs (0.1% du total), pour lesquels seules les informations de contact ont été accédées[2].
Elle se déroule en deux étapes :
Les victimes de cette attaque ont été leurrés par la fiabilité du service d’autorisation OAuth utilisé par Google, et par le nom et logo de l’application malveillante. Des réflexions sont en cours sur les possibilités dont dispose Google pour prévenir ce type d’attaque sur le long terme, dont l’utilisation de certificats X.509 pour les utilisateurs de l’API OAuth.
Elle se déroule en deux étapes :
- La victime reçoit un email de phishing imitant une demande de partage Google Docs, de la part d’un contact potentiellement connu ;
- Elle est redirigée vers une fenêtre d’autorisation OAuth, demandant à la victime d’autoriser l’application « Google Docs » pour la gestion des emails.
Les victimes de cette attaque ont été leurrés par la fiabilité du service d’autorisation OAuth utilisé par Google, et par le nom et logo de l’application malveillante. Des réflexions sont en cours sur les possibilités dont dispose Google pour prévenir ce type d’attaque sur le long terme, dont l’utilisation de certificats X.509 pour les utilisateurs de l’API OAuth.
Sources :
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
Jean MARSAULT