Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu des PHDays 2017 par Thomas DEBIZE.
Veille cybercriminalité
La chaine de restaurants Chipotle piratée
La chaine de restaurant Chipotle a notifié ses utilisateurs d'une compromission de ses terminaux de paiements entre les 24 mars et 18 avril. Le code malveillant aurait infecté des terminaux de 47 états différents, la liste des restaurants affectés étant accessible ici.
La compagnie affirme avoir assaini l'ensemble de ses systèmes, mais les utilisateurs ayant utilisé leur carte bancaire dans l'un des restaurants durant cette période doivent rester vigilant concernant toute transaction illégitime effectuée depuis leur compte en banque.
La compagnie affirme avoir assaini l'ensemble de ses systèmes, mais les utilisateurs ayant utilisé leur carte bancaire dans l'un des restaurants durant cette période doivent rester vigilant concernant toute transaction illégitime effectuée depuis leur compte en banque.
Le système de reconnaissance biométrique du Galaxy S8 facilement contourné
Une caméra infrarouge, une lentille de contact, et une imprimante, c'est tout ce qu'il a fallu au groupe de chercheurs "Chaos Computer Club" pour contourner le scanner oculaire du Samsung Galaxy S8.
Pour tromper le capteur, les attaquants ont simplement pris une photo du propriétaire à quelques mètres de distances, imprimé celle-ci et déposé la lentille de contact au niveau de l'œil pour imiter sa courbure.
Pour tromper le capteur, les attaquants ont simplement pris une photo du propriétaire à quelques mètres de distances, imprimé celle-ci et déposé la lentille de contact au niveau de l'œil pour imiter sa courbure.
Les auteurs du ransomware WannaCry semblent parler couramment chinois
Des chercheurs de l’entreprise Flashpoint ont analysé les différentes demandes de rançons proposées par le ransomware WannaCry et ont découvert que les notes de rançons chinoises sont significativement plus développées que celles des autres langages, ce qui laisserait penser que les auteurs du ransomware parlent couramment cette langue.
Cette nouvelle information intervient après l'attribution du malware à la Corée du Nord qu'ont pu faire certains experts.
Cette nouvelle information intervient après l'attribution du malware à la Corée du Nord qu'ont pu faire certains experts.
Sources :
Veille Vulnérabilité
Des millions de terminaux Android exposés à la vulnérabilité "Cloak and Dagger"
Cette attaque, découverte par des chercheurs du Georgia Institute of Technology, pourrait permettre une prise de contrôle totale des terminaux Android allant jusqu'à la version 7.1.2. La vulnérabilité ne se situe pas au niveau du système d'exploitation Android, mais plutôt au niveau de deux permissions utilisées par de nombreuses applications :
- SYSTEM_ALERT_WINDOW (“draw on top”) – qui donne le droit à l'application de se mettre au premier plan
- BIND_ACCESSIBILITY_SERVICE (“a11y”) – qui permet la saisie à l'aide de commandes vocales et la fonctionnalité de description vocale.
Sources :
- http://cloak-and-dagger.org/
- https://www.theregister.co.uk/2017/05/25/cloak_dagger_android_vuln/
- https://threatpost.com/android-overlay-and-accessibility-features-leave-millions-at-risk/125888/
Une "nouvelle" vulnérabilité critique dans le logiciel Samba
En cas d’infection d’une machine Windows XP ou Windows 7 par le rançongiciel WannaCrypt, il est parfois possible de récupérer la clé privée utilisée pour chiffrer les clés de chiffrement de fichiers, et ainsi de récupérer ses fichiers.
Sources :
- http://securityaffairs.co/wordpress/59435/breaking-news/cve-2017-7494-samba-vulnerability-patch-your-installation-now.html
- https://www.samba.org/samba/security/CVE-2017-7494.html
- https://threatpost.com/samba-patches-wormable-bug-exploitable-with-one-line-of-code/125915/
Un nouveau patch de sécurité pour le système de protection antiviral de Microsoft
Microsoft a corrigé une nouvelle vulnérabilité critique dans son système de protection antiviral qui pourrait permettre l'exécution de code à distance à l'aide d'un exécutable spécialement formé.
Sources :
- https://threatpost.com/microsoft-quietly-patches-another-critical-malware-protection-engine-flaw/125951/
- https://bugs.chromium.org/p/project-zero/issues/detail?id=1260
Indicateurs de la semaine
Le leak de la semaine – Crysis
Le leak de la semaine est un peu particulier puisqu'il ne s'agit pas d'informations ou d'outils récupérés lors d'une attaque mais plutôt de plus de 200 clés de déchiffrement des dernières versions du ransomware Crysis.
Pour rappel les fichiers chiffrés par ce ransomware portent les extensions .wallet ou .onion. Un outil permettant le déchiffrement a déjà été proposé par la compagnie d'antivirus ESET et est disponible ici.
Pour rappel les fichiers chiffrés par ce ransomware portent les extensions .wallet ou .onion. Un outil permettant le déchiffrement a déjà été proposé par la compagnie d'antivirus ESET et est disponible ici.
Sources :
- http://securityaffairs.co/wordpress/59427/malware/crysis-ransomware-decripting-tool.html
- https://www.bleepingcomputer.com/news/security/wallet-ransomware-master-keys-released-on-bleepingcomputer-avast-releases-free-decryptor/
L’exploit de la semaine – Hacked in translation
L'exploit de la semaine concerne une preuve de concept rendue publique par une équipe de chercheurs de l'entreprise Check Point, et qui vise à utiliser des sous-titres malveillants pour permettre l'exécution de code à distance. Les chercheurs ont controlés différents lecteurs vidéos tels que VLC media Player, Kodi, Stremio ou Popcorn Time et ont trouvé différentes vulnérabilités spécifiques à chacun permettant cette exécution de code.
Seules les vulnérabilités affectant le logiciel VLC media player ont pour le moment été rendue publique puisque l'éditeur a proposé des mises à jour de sécurité.
Seules les vulnérabilités affectant le logiciel VLC media player ont pour le moment été rendue publique puisque l'éditeur a proposé des mises à jour de sécurité.
Sources :
- http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
- http://securityaffairs.co/wordpress/59443/hacking/subtitles-hack.html
- https://threatpost.com/subtitle-hack-leaves-200-million-vulnerable-to-remote-code-execution/125868/
Le hack de la semaine
Le hack de la semaine concerne le projet de Tavis Ormandy, chercheur de vulnérabilités Windows pour le Project Zero de Google, et qui a tout simplement décidé de porter Windows Defender sur Linux, ce qui lui permet de faire des tests en ayant le moins d'effets de bord possible, et de disposer des outils de la plateforme Linux qui d'après lui sont plus performants.
Sources :
Sources :
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
Nicolas DAUBRESSE