Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, l'analyse des #MacronLeaks par Mahdi BRAIK.
Veille cybercriminalité
WannaCrypt n’est que le premier
WannaCrypt, la rançongiciel ayant compromis plusieurs centaines de milliers de machines, n’est que le premier à tirer parti des vulnérabilités rendues publique par le groupe ShadowBrokers. Actuellement, à minima deux autres logiciels malveillants exploitent la même faille de sécurité :
- Adylkuzz, un logiciel malveillant qui exploite les ressources matérielles des machines infectées pour « miner » une crypto-monnaie nommée Monero.
- UIWIX, un rançongiciel qui ne se propage pas de lui-même.
- EternalRocks, qui embarquerait de nombreux exploits des ShadowBrokers en plus d’ETERNALBLUE
Le site Zomato piraté
Le site de recherche de restaurants Zomato a été victime d’une attaque qui a permis aux attaquants de voler notamment 17 millions de comptes, avec un mot de passe stocké en MD5.
YahooBleed
En envoyant un email contenant une pièce-jointe spécialement créée, un chercheur en sécurité a réussi à prouver qu’il pouvait obtenir partiellement des images appartenant à d’autres emails, y compris dans d’autres boîtes aux lettres.
La vulnérabilité réside dans la bibliothèque de manipulation d’image ImageMagick. En envoyant une image au format RLE spécialement formatée, l’attaquant récupère alors des données provenant de mémoire non-initialisée, et qui pourrait permettre de récupérer le contenu d’autres images étant traitées par les serveurs Yahoo.
La vulnérabilité réside dans la bibliothèque de manipulation d’image ImageMagick. En envoyant une image au format RLE spécialement formatée, l’attaquant récupère alors des données provenant de mémoire non-initialisée, et qui pourrait permettre de récupérer le contenu d’autres images étant traitées par les serveurs Yahoo.
Sources :
https://scarybeastsecurity.blogspot.fr/2017/05/bleed-continues-18-byte-file-14k-bounty.html Veille Outillage
Intégration des ACLs dans BloodHound
BloodHound est un logiciel permettant permettant d’identifier des chemins d’attaque dans un environnement Active Directory, inspiré des travaux d’Emmanuel Gras et Lucas Bouillot d’Alsid.
La dernière version intègre certaines vérifications sur les ACLs et permet ainsi d’identifier de nouveau chemins permettant la compromission de l’Active Directory.
La dernière version intègre certaines vérifications sur les ACLs et permet ainsi d’identifier de nouveau chemins permettant la compromission de l’Active Directory.
Sources :
Déchiffrement des fichiers WannaCrypt
En cas d’infection d’une machine Windows XP ou Windows 7 par le rançongiciel WannaCrypt, il est parfois possible de récupérer la clé privée utilisée pour chiffrer les clés de chiffrement de fichiers, et ainsi de récupérer ses fichiers.
Sources :
- https://github.com/aguinet/wannakey
- https://github.com/gentilkiwi/wanadecrypt/releases
- https://github.com/gentilkiwi/wanakiwi
Désactiver la journalisation d’événements Windows
Lors d’un test d’intrusion, il peut être utilise de désactiver la journalisation d’événements de la cible afin d’éviter que les équipes du SOC ne détectent l’intrusion. Le projet Invoke-Phantom permet de supprimer tous les fils d’exécution du processus de journalisation Windows. Ainsi, le service apparaît actif mais les éléments ne sont pas journalisés.
Sources :
Indicateurs de la semaine
Le leak de la semaine – Travis CI
Une vulnérabilité a été identifiée dans la manière dont Travis CI, une solution hébergée d’intégration continue, gère la journalisation des commandes Git.
Certains tokens d’authentification OAuth pour Github pouvait se retrouver journalisés dans des logs accessibles publiquement.
Ces informations sont désormais remplacées par la chaîne de caractères « [secure ] » dans les logs.
Travis CI et Github ont collaboré pour révoquer les tokens d’authentification présents dans les logs.
Certains tokens d’authentification OAuth pour Github pouvait se retrouver journalisés dans des logs accessibles publiquement.
Ces informations sont désormais remplacées par la chaîne de caractères « [secure ] » dans les logs.
Travis CI et Github ont collaboré pour révoquer les tokens d’authentification présents dans les logs.
Sources :
L’exploit de la semaine – CVE-2017-0148
L’exploit de la semaine est évidemment celui correspondant au bulletin MS17-010, aussi connu sous le nom de code ETERNALBLUE. Faisant partie des exploits publiés par les ShadowBrokers il permet l’exécution de code à distance via le protocole SMB v1.
Originellement fonctionnel uniquement sur Windows 7 et Windows Server 2008, il vient d’être intégré au framework Metasploit, et une version ciblant Windows 8 et Windows Server 2012 vient également d’être publiée.
Originellement fonctionnel uniquement sur Windows 7 et Windows Server 2008, il vient d’être intégré au framework Metasploit, et une version ciblant Windows 8 et Windows Server 2012 vient également d’être publiée.
Sources :
L’attaque de la semaine – Google Docs
Difficile cette semaine de ne pas mentionner le cas du rançongiciel WCry.
Très classique dans son fonctionnement, il se distingue par sa capacité à se répliquer via l’exploitation d’une faille dans le protocole SMB (MS17-010). Les entreprises et institutions publiques sont fortement touchées, de par le fonctionnement de type « vers » : un poste infecté tentera d’infecter tous les postes vulnérables du réseau.
Très classique dans son fonctionnement, il se distingue par sa capacité à se répliquer via l’exploitation d’une faille dans le protocole SMB (MS17-010). Les entreprises et institutions publiques sont fortement touchées, de par le fonctionnement de type « vers » : un poste infecté tentera d’infecter tous les postes vulnérables du réseau.
Sources :
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
Arnaud SOULLIE