Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, "Recette cybersécurité et SI industriels" par Nicolas NOEL.
Veille cybercriminalité
Le gouvernement déploie une plateforme d’assistance aux victimes de cybermalveillance
Le gouvernement français a déployé une plateforme en ligne visant à assister les victimes de cybermalveillance (rançongiciels, usurpation d’identité sur internet, etc.), et à sensibiliser les utilisateurs.
Le site se propose d’établir un diagnostic de l’incident rencontré par l’utilisateur / l’administration / l’entreprise et à le/la mettre en relation avec des prestataires de service informatique de proximité.
Le site est actuellement en phase de pilote et est limité à la région Hauts-de-France.
Le site se propose d’établir un diagnostic de l’incident rencontré par l’utilisateur / l’administration / l’entreprise et à le/la mettre en relation avec des prestataires de service informatique de proximité.
Le site est actuellement en phase de pilote et est limité à la région Hauts-de-France.
Un adware avancé infecte plus de 250 millions de machines
Un nouvel adware (ou « publiciel ») appelé Fireball se répand depuis le début du mois de juin sur plus de 250 000 machines. Principalement installé conjointement avec des freewares (ou « gratuiciels » ), celui-ci se distingue des autres malwares du genre par des techniques anti-détection avancées, et une stratégie agressive de la « société de marketing » chinoise à l’origine du malware.
Selon les chiffres fournis par CheckPoint, environ 20% des réseaux d’entreprise dans le monde serait concernés par au moins une infection sur leur parc.
Selon les chiffres fournis par CheckPoint, environ 20% des réseaux d’entreprise dans le monde serait concernés par au moins une infection sur leur parc.
Le fournisseur de solution SSO OneLogin victime d’une fuite de données utilisateur
OneLogin, éditeur d’une solution de SSO du même nom permettant aux utilisateurs de se connecter de manière transparente à un ensemble de services (compatibles SAML, OAuth, etc.), a été victime d’une attaque compromettant l’ensemble des données de leurs clients couverts par leur datacenter US. Les attaquants auraient eu accès à des clés d’API AWS utilisées par l’entreprise afin de pouvoir démarrer des instances de serveurs AWS au sein de l’infrastructure, et ainsi démarrer leur intrusion.
Bien que stockées chiffrées, l’entreprise indique de les auteurs de l’attaques pourrait avoir recueilli les données nécessaires à leur déchiffrement, et invite l’ensemble de ses clients à renouveler l’ensemble de leurs certificats SAML, jetons OAuth, clés d’API, etc.
La solution est utilisée par environ 2000 entreprises dans 44 pays différents.
Bien que stockées chiffrées, l’entreprise indique de les auteurs de l’attaques pourrait avoir recueilli les données nécessaires à leur déchiffrement, et invite l’ensemble de ses clients à renouveler l’ensemble de leurs certificats SAML, jetons OAuth, clés d’API, etc.
La solution est utilisée par environ 2000 entreprises dans 44 pays différents.
Sources :
Veille Vulnérabilité
Une vulnérabilité présente sur sudo permet une élévation de privilèges (non souhaitée)
L’outil sudo, permettant d’encadrer les élévations de privilèges sur la plupart des distributions Linux, a été affecté par une vulnérabilité dont l’exploitation permet l’obtention des privilèges maximums sur le système. Paradoxalement, la vulnérabilité n’est présente que sur les systèmes SElinux.
L’exploitation de cette vulnérabilité implique deux race conditions et nécessite l’autorisation de lancer au moins une commande avec sudo. Un code d’exploit fonctionnel sera bientôt publié par Qualys, à l’origine de la découverte.
La vulnérabilité est étiquetée « CVE-2017-1000367 » et « CVE-2017-1000368 », le second numéro correspondant à une vulnérabilité résiduelle à la suite d’un premier patch incomplet.
L’exploitation de cette vulnérabilité implique deux race conditions et nécessite l’autorisation de lancer au moins une commande avec sudo. Un code d’exploit fonctionnel sera bientôt publié par Qualys, à l’origine de la découverte.
La vulnérabilité est étiquetée « CVE-2017-1000367 » et « CVE-2017-1000368 », le second numéro correspondant à une vulnérabilité résiduelle à la suite d’un premier patch incomplet.
Sources :
- http://www.openwall.com/lists/oss-security/2017/05/30/16
- https://www.sudo.ws/alerts/linux_tty.html
- https://threatpost.com/patches-available-for-linux-sudo-vulnerability/125985/
L’initiative de crowdfunding visant à accéder aux prochaines publications de vulnérabilités par The Shadow Brokers avortée après 48h
Le groupe The Shadow Brokers annonçait le 30 mai dernier les détails sur leur « service de souscription mensuel » à leurs publications d’outils prétendument utilisés par la NSA. Leurs « abonnés » devront payer un montant de 100 ZCash (cryptomonnaie, environ 24 000 €) afin de recevoir la prochaine publication.
A la suite de cette annonce, les chercheurs Matthew Hickey et x0rz ont lancé une initiative de crowdfunding, visant à recueillir 25 000 $ pour avoir accès à la prochaine publication, et ainsi pouvoir prévenir les éditeurs concernés des vulnérabilités affectant leurs produits.
Après avoir récolté 3 900$ auprès de 40 contributeurs en l’espace de 48h, la levée de fond a été annulée (et les participants remboursés) à la suite de nombreux avertissements reçus sur les dangers de cette initiative sur le plan légal.
A la suite de cette annonce, les chercheurs Matthew Hickey et x0rz ont lancé une initiative de crowdfunding, visant à recueillir 25 000 $ pour avoir accès à la prochaine publication, et ainsi pouvoir prévenir les éditeurs concernés des vulnérabilités affectant leurs produits.
Après avoir récolté 3 900$ auprès de 40 contributeurs en l’espace de 48h, la levée de fond a été annulée (et les participants remboursés) à la suite de nombreux avertissements reçus sur les dangers de cette initiative sur le plan légal.
Sources :
- https://twitter.com/x0rz/status/870196720768090113/photo/1
- https://steemit.com/shadowbrokers/@theshadowbrokers/theshadowbrokers-monthly-dump-service-june-2017
- https://threatpost.com/crowdfunding-effort-to-buy-shadowbrokers-exploits-shuts-down/126010/
- https://nakedsecurity.sophos.com/2017/06/01/hackers-shelve-crowdfunding-drive-for-shadow-brokers-exploits/
Indicateurs de la semaine
Le leak de la semaine
Dans sa série de leaks « Vault7 » sur les outils de hacking prétendument utilisés par la CIA, WikiLeaks a dévoilé l’existence d’un outil permettant d’infecter des postes sur un réseau local via la manipulation de partages de fichier.
Le malware, appelé Pandemic, corrompt le service de partage de fichier SMB d’un poste ou serveur Windows, afin de remplacer à la volée les fichiers exécutables par des malwares au moment de leur téléchargement par des utilisateurs distants. Les fichiers « remplacés » par cette méthode ne sont en réalité pas altérés et peuvent toujours être correctement utilisés par le poste/serveur infecté les partageant.
Le malware, appelé Pandemic, corrompt le service de partage de fichier SMB d’un poste ou serveur Windows, afin de remplacer à la volée les fichiers exécutables par des malwares au moment de leur téléchargement par des utilisateurs distants. Les fichiers « remplacés » par cette méthode ne sont en réalité pas altérés et peuvent toujours être correctement utilisés par le poste/serveur infecté les partageant.
Sources :
- https://wikileaks.org/vault7/releases/#Pandemic
- https://arstechnica.com/security/2017/06/wikileaks-says-cias-pandemic-implant-turns-servers-into-malware-carriers/
L'outil de la semaine - DeathStar
@byt3bl33d3r, principalement connu pour l’outil CrackMapExec, vient de publier un nouvel outil nommé DeathStar. Son objectif : rendre la compromission de domaine aussi automatisé que possible.
L’outil utilise le framework de post-exploitation Empire pour gérer les sessions compromises, recherche où sont authentifiés les administrateurs de domaine et réalise automatiquement les opérations d’élévations de privilèges ou de pivot en conséquence jusqu’à parvenir à compromettre un de ces précieux comptes.
Un outil « push-button » à tester !
Sources :
L’outil utilise le framework de post-exploitation Empire pour gérer les sessions compromises, recherche où sont authentifiés les administrateurs de domaine et réalise automatiquement les opérations d’élévations de privilèges ou de pivot en conséquence jusqu’à parvenir à compromettre un de ces précieux comptes.
Un outil « push-button » à tester !
Sources :
- https://byt3bl33d3r.github.io/automating-the-empire-with-the-death-star-getting-domain-admin-with-a-push-of-a-button.html
- https://github.com/byt3bl33d3r/DeathStar
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
Maxime MEIGNAN