Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Mahdi BRAIK, Thomas DEBIZE et Arnaud SOULLIE de la DEFCON 25.
Veille cybercriminalite
Plusieurs fuites de données dues à des dépôts S3 mal configurés
Des milliers de données personnelles de vétérans de l'armée américaine ont été exposées sur un répertoire Amazon S3 accessible sans mot de passe, durant les mois de Juillet et Ao017. En cause, la société de sécurité TigerSwan, qui aurait stocké plus de 9 400 CV et candidatures de vétérans de l'armée américaine, la plupart fournissant des détails sur leurs missions passées au sein des Nations Unies, des Services Secrets américains, du Département de la Défense, ... Les fichiers contenaient également des données sensibles sur leur niveau d'habilitation de sécurité, leurs numéros de passeport, de permis de conduire et une partie de leurs numéros de sécurité sociale.
Quelques semaines plus tard, c'est plus de 600 Go de données de la société Time Warner Cable ont également été découvertes sur deux dépôts S3 non protégés. Ceux-ci contenaient des copies de bases de données comportant des informations utilisateurs, des journaux d'accès, et même des authentifiants de comptes techniques. Plus de 4 millions d'utilisateurs étaient directement affectés par cette fuite d'informations.
Quelques semaines plus tard, c'est plus de 600 Go de données de la société Time Warner Cable ont également été découvertes sur deux dépôts S3 non protégés. Ceux-ci contenaient des copies de bases de données comportant des informations utilisateurs, des journaux d'accès, et même des authentifiants de comptes techniques. Plus de 4 millions d'utilisateurs étaient directement affectés par cette fuite d'informations.
Sources :
- https://www.darkreading.com/cloud/amazon-s3-bucket-leaks-expose-classified-us-veteran-data-/d/d-id/1329802
- https://threatpost.com/four-million-time-warner-cable-records-left-on-misconfigured-aws-s3/127807/
- https://www.theregister.co.uk/2017/09/05/twc_loses_4m_customer_records/
TheShadowBrokers publie le manuel d'une Trojan utilisé par EquationGroup
TheShadowBrokers, dont la présentation n'est plus nécessaire, vient de publier le manuel d'utilisation du logiciel UNITEDRAKE, utilisé par le groupe EquationGroup prétendument rattaché à la NSA. Cet outil est un cheval de Troie avancé visant les systèmes Windows, et permettant le contrôle et la collecte de nombreuses données sur les systèmes infectés.
L'outil lui-même est vendu par TheShadowBrokers pour un montant actuel d'environ 185 000 .
L'outil avait été mentionné dans les différents documents dévoilés par Edward Snowden concernant la NSA, crédibilisant ainsi l'authenticité des outils dévoilés par TheShadowBrokers.
L'outil lui-même est vendu par TheShadowBrokers pour un montant actuel d'environ 185 000 .
L'outil avait été mentionné dans les différents documents dévoilés par Edward Snowden concernant la NSA, crédibilisant ainsi l'authenticité des outils dévoilés par TheShadowBrokers.
Sources :
- https://www.schneier.com/blog/archives/2017/09/shadowbrokers_r.html
- https://assets.documentcloud.org/documents/3987443/The-Shaow-Brokers-UNITEDRAKE-Manual.pdf
- http://www.zdnet.com/article/shadowbrokers-return-with-the-release-of-unitedrake-exploit/
Veille vulnerabilite
Une faille de sécurité découverte dans la carte d'identité estonienne
Une vulnérabilité affectant l'utilisation numérique des cartes d'identité estoniennes a été découverte le 30 aoernier. Toutes les cartes délivrées après Octobre 2014, soit environ 750 000 cartes, seraient affectées par cette vulnérabilité.
Les cartes d'identité estoniennes disposent en effet de puces stockant un certificat propre à chaque utilisateur, leur permettant notamment de s'authentifier auprès de services publiques en ligne, de signer électroniquement des documents, ou même de voter aux diverses élections nationales.
Si la nature exacte de la vulnérabilité n'a pas été publiée, les mesures prises par le gouvernement n'en sont pas moins inquiétantes : l'accès à la base de données nationale des clés publiques des différentes cartes a été temporairement coupé par principe de précaution.
Les élections régionales devant avoir lieu le mois prochain seront probablement repoussées, le gouvernement estonien annonçant un délai de 2 mois avant de pouvoir corriger la vulnérabilité.
Les cartes d'identité estoniennes disposent en effet de puces stockant un certificat propre à chaque utilisateur, leur permettant notamment de s'authentifier auprès de services publiques en ligne, de signer électroniquement des documents, ou même de voter aux diverses élections nationales.
Si la nature exacte de la vulnérabilité n'a pas été publiée, les mesures prises par le gouvernement n'en sont pas moins inquiétantes : l'accès à la base de données nationale des clés publiques des différentes cartes a été temporairement coupé par principe de précaution.
Les élections régionales devant avoir lieu le mois prochain seront probablement repoussées, le gouvernement estonien annonçant un délai de 2 mois avant de pouvoir corriger la vulnérabilité.
Sources :
- https://source.com/unhttps://www.politsei.ee/en/nouanded/isikut-toendavad-dokumendid/id-kaardi-ja-mobiil-id-kasutajale.dot
- http://estonianworld.com/technology/possible-security-risk-affects-750000-estonian-id-cards/
- https://www.schneier.com/blog/archives/2017/09/security_flaw_i.html
Une vulnérabilité présente dans le noyau Windows depuis Windows 2000
Une vulnérabilité présente dans le noyau Windows a été découverte par la société enSilo et affecte toute les versions de Windows depuis Windows 2000.
Le bug concerne l'API "PsSetLoadImageNotifyRoutine", normalement utilisée pour notifier un composant logiciel lorsqu'un exécutable est chargé en mémoire : cette fonction pourrait renvoyer un nom d'exécutable erroné dans certains cas. Cette API pouvant être utilisée par des antivirus, un logiciel malveillant pourrait ainsi exploiter cette vulnérabilité afin de se charger dans la mémoire du noyau sans que l'antivirus n'en soit notifié.
Microsoft n'a néanmoins pas prévu de corriger cette vulnérabilité via un patch de sécurité, considérant la vulnérabilité comme peu impactante.
Le bug concerne l'API "PsSetLoadImageNotifyRoutine", normalement utilisée pour notifier un composant logiciel lorsqu'un exécutable est chargé en mémoire : cette fonction pourrait renvoyer un nom d'exécutable erroné dans certains cas. Cette API pouvant être utilisée par des antivirus, un logiciel malveillant pourrait ainsi exploiter cette vulnérabilité afin de se charger dans la mémoire du noyau sans que l'antivirus n'en soit notifié.
Microsoft n'a néanmoins pas prévu de corriger cette vulnérabilité via un patch de sécurité, considérant la vulnérabilité comme peu impactante.
Sources :
- https://www.theregister.co.uk/2017/09/08/microsoft_says_it_wont_fix_kernel_flaw_its_not_a_security_issue_apparently/
- https://www.darkreading.com/endpoint/new-microsoft-kernel-bug-could-permit-malicious-modules/d/d-id/1329812
- https://threatpost.com/microsoft-programming-error-is-behind-dangerous-kernel-bug-researchers-claim/127858/
La faible sécurité du logiciel de vote électronique en Allemagne dénoncée par le Chaos Computer Club
Le groupe de chercheurs en sécurité allemands connu sous le nom de "Chaos Computer Club" (CCC) a analysé la sécurité du logiciel utilisé pour le vote électronique en Allemagne. Le résultat est sans appel, la sécurité du logiciel et de l'infrastructure est loin de l'état de l'art. Dans un rapport de 20 pages, les chercheurs décrivent des vulnérabilités aux impacts forts. Notamment, l'intégrité des mises à jour téléchargées par le logiciel de vote n'est pas vérifiée, celles-ci sont téléchargées via HTTP et les serveurs récupérant les données de vote étaient accessibles avec des authentifiants triviaux tels que "guest" ou "test", permettant ainsi à un attaquant présent sur Internet de manipuler les résultats des votes.
Sources :
- https://ccc.de/en/updates/2017/pc-wahl
- https://motherboard.vice.com/en_us/article/paanjz/hacking-germanys-vote-counting-software-was-trivial-researchers-warn
Indicateurs de la semaine
L'attaque de la semaine - Une vulnérabilité dans toutes les versions d'Android précédant 8.0 Oreo découverte
Des chercheurs de Palo Alto ont découvert une nouvelle vulnérabilité sur Android, affectant toutes les versions précédant la dernière en date (8.0 Oreo). Celle-ci permettrait à une application ne disposant d'aucun privilège particulier de piéger l'utilisateur afin qu'il effectue des actions à son insu (installation d'une autre application demandant tous les privilèges existants, d'un malware, etc.).
La vulnérabilité exploite les notifications "Toast", qui apparaissent à l'écran au-dessus d'autres applications, afin de modifier l'apparence de l'interface, et ainsi inciter un utilisateur à effectuer une série d'actions à son insu.
La vulnérabilité exploite les notifications "Toast", qui apparaissent à l'écran au-dessus d'autres applications, afin de modifier l'apparence de l'interface, et ainsi inciter un utilisateur à effectuer une série d'actions à son insu.
Sources :
- https://researchcenter.paloaltonetworks.com/2017/09/unit42-threat-brief-patch-today-dont-get-burned-android-toast-overlay-attack/
- https://threatpost.com/android-users-vulnerable-to-high-severity-overlay-attacks/127901/
Le leak de la semaine - Equifax victime d'une attaque compromettant les données de 143 millions d'utilisateurs aux US
La société de surveillance du crédit à la consommation Equifax a indiqué le 8 septembre dernier avoir été victime d'une attaque mettant en péril les informations de 143 millions d'utilisateurs aux US, ainsi que plusieurs dizaines de millions au Canada et au Royaume-Uni.
Parmi les données affectées par la fuite, des données bancaires et personnelles, telles que des numéros de sécurité sociale, dates de naissance et numéros de permis de conduire, étaient présentes. La nature des données concernées par la fuite rend les utilisateurs impactés potentiellement vulnérables à des vols d'identité.
Devant l'ampleur de la crise, la société a dblier un site dédié, www.equifaxsecurity2017.com, afin de dialoguer avec les consommateurs potentiellement affectés par la fuite.
Parmi les données affectées par la fuite, des données bancaires et personnelles, telles que des numéros de sécurité sociale, dates de naissance et numéros de permis de conduire, étaient présentes. La nature des données concernées par la fuite rend les utilisateurs impactés potentiellement vulnérables à des vols d'identité.
Devant l'ampleur de la crise, la société a dblier un site dédié, www.equifaxsecurity2017.com, afin de dialoguer avec les consommateurs potentiellement affectés par la fuite.
Sources :
- https://threatpost.com/equifax-says-breach-affects-143-million-americans/127880/
- https://krebsonsecurity.com/2017/09/breach-at-equifax-may-impact-143m-americans/
- https://www.equifaxsecurity2017.com/
L'exploit de la semaine - CVE-2017-9805
Une vulnérabilité critique sur le framework Apache Structs 2 a été découverte la semaine dernière, et permet de l'exécution de code à distance en exploitant une désérialisation de données non filtrées. Cette vulnérabilité date de 2008 et affecte toutes les versions du framework dans les versions inférieures à 2.5.13.
Cette vulnérabilité a pu être découverte de manière automatisée à l'aide d'un outil d'analyse statique, lgtm. Un exploit fonctionnel intégré au framework Metasploit est paru dans les jours qui ont suivi la publication d'Apache sur le sujet.
Cette vulnérabilité a pu être découverte de manière automatisée à l'aide d'un outil d'analyse statique, lgtm. Un exploit fonctionnel intégré au framework Metasploit est paru dans les jours qui ont suivi la publication d'Apache sur le sujet.
Sources :
- https://github.com/rapid7/metasploit-framework/pull/8924/files
- https://lgtm.com/blog/apache_struts_CVE-2017-9805
- http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-285/CERTFR-2017-AVI-285.html
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox |
Maxime MEIGNAN