Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité.
Veille cybercriminalite
Découverte d'un malware pour Mac présent depuis de nombreuses années
Un ancien agent de la NSA, Patrick Wardle, a découvert un malware, Fruitfly, qui serait présent sur des centaines de Mac depuis des années. Ce malware a la possibilité de prendre des captures d'écran, démarrer la webcam, écouter les touches tapées et voler des données.
En l'analysant, le chercher a pu identifier des noms de domaines des serveurs de "Command and Control" inscrit dans le code de l'application qu'il a ensuite enregistré. Environ 400 machines ont alors essayé de se connecter sur son serveur.
Wardle pense que ce malware a été délaissé par son créateur mais que les victimes sont tout de même exposées à un attaquant en mesure de créer un faux serveur de C&C.
En l'analysant, le chercher a pu identifier des noms de domaines des serveurs de "Command and Control" inscrit dans le code de l'application qu'il a ensuite enregistré. Environ 400 machines ont alors essayé de se connecter sur son serveur.
Wardle pense que ce malware a été délaissé par son créateur mais que les victimes sont tout de même exposées à un attaquant en mesure de créer un faux serveur de C&C.
Veille vulnérabilité
Fin de vie pour Adobe Flash prévue en 2020
Adobe a annoncé que Flash ne sera plus supporté après 2020. L'objectif de Flash était d'offrir une plateforme de rendu graphique et d'interaction unifiée. Aujourd'hui, les technologies Web ont évolué (canvas, WebGL, Javascript, ...) et rendent obsolète l'utilisation de Flash.
D'ici 2020, Adobe continuera à apporter des mises à jour à Flash, notamment liées aux problèmes de sécurité.
D'ici 2020, Adobe continuera à apporter des mises à jour à Flash, notamment liées aux problèmes de sécurité.
Sources :
- https://arstechnica.com/information-technology/2017/07/with-html5-webgl-javascript-ascendant-adobe-to-cease-flash-dev-at-end-of-2020/
- https://blogs.adobe.com/conversations/2017/07/adobe-flash-update.html
Microsoft ouvre son programme de Bug Bounty à l'ensemble de ses produits
Dans un objectif de sécuriser au maximum ses produits, dont son système d'exploitation Windows, Microsoft a développé des outils de défense traditionnelle (DEP, ASLR, Device Guard, ...). La firme Américaine souhaite élever son niveau de sécurité en ouvrant plus largement son programme de Bug Bounty (présent depuis 2013) dont les récompenses pourront aller de 500$ à 250 000$.
Le but de ce programme est de pouvoir corriger les vulnérabilités avant qu'elles ne soient publiées par les chercheurs.
Le but de ce programme est de pouvoir corriger les vulnérabilités avant qu'elles ne soient publiées par les chercheurs.
Sources :
- https://blogs.technet.microsoft.com/msrc/2017/07/26/announcing-the-windows-bounty-program/
- https://technet.microsoft.com/fr-fr/security/dn425036
- https://arstechnica.com/information-technology/2017/07/microsoft-expands-bug-bounty-program-to-cover-any-windows-flaw/
Indicateurs de la semaine
Le leak de la semaine
Une large quantité de données (1.5TB) a été volée de la chaine HBO, en particulier des scripts de la série "Game Of Thrones". Bien qu'aucun fichier n'ait encore été diffusé, la chaine a confirmé avoir été victime d'une attaque informatique sans donner plus d'informations sur le mode opératoire.
Ce type d'attaque est de plus en plus fréquente [1] et se rapproche du hack de Sony en 2014.
Ce type d'attaque est de plus en plus fréquente [1] et se rapproche du hack de Sony en 2014.
Sources :
- http://www.securityinsider-solucom.fr/2017/05/cert-w-actualite-2-5-mai-avril-2017.html
- https://www.wired.com/story/game-of-thrones-leak-hbo-hack/
L'exploit de la semaine
Après quelques soirées passées à comprendre les structures Windows, Jean MARSAULT (aka @iansus) a publié, avec l'aide de Maxime MEIGNAN (@th3m4ks) et GentilKiwi, un outil [1] permettant de récupérer les clés AES utilisése par le malware NotPetya pour chiffrer les données d'un disque.
Un dump de la mémoire d'un serveur / poste compromis, sur lequel le malware est en cours d'exécution, est un prérequis à cette opération.
Un dump de la mémoire d'un serveur / poste compromis, sur lequel le malware est en cours d'exécution, est un prérequis à cette opération.
L'attaque de la semaine
Nathan Seidle a créé une machine qui lui permet d'ouvrir un coffre-fort en moins de 15 minutes. Le coffre-fort possède 3 rotors de 100 positons, ce qui pourrait prendre plusieurs mois pour trouver la combinaison avec un brute-force standard.
Seidle a mis en avant plusieurs vulnérabilités permettant de réduire drastiquement le nombre de tentatives pour ouvrir le coffre, réduisant ainsi le temps nécessaire pour trouver la combinaison.
Seidle a mis en avant plusieurs vulnérabilités permettant de réduire drastiquement le nombre de tentatives pour ouvrir le coffre, réduisant ainsi le temps nécessaire pour trouver la combinaison.
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox |
Vincent DEPERIERS