Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Mahdi BRAIK et Thomas DEBIZE de la conférence HITB GSEC 2017.
Veille cybercriminalite
nRansom, le malware qui vous vend sur le deep web
Probablement issu d'une blague entre développeurs, le malware nRansom réveille nos souvenirs de 2012 puisqu'il s'agit d'un bloqueur d'écran (Screen Locker). Contrairement aux ransomwares, ce type de malware ne fait que vous empêcher d'accéder aux applications qu'il masque en se positionnant en plein écran au premier plan. Le principe demeure cependant le même, l'écran n'étant payé que sur versement d'une rançon.
Dans le cas de nRansom, la rançon est particulière, puisque les auteurs du malware exigent une dizaine de photos de nu de l'utilisateur qui, après vérification, seront revendues sur le deep web.
A la fois l'instabilité de l'application, la facilité de découverte du code de déverrouillage (12345) ou encore son aspect non sophistiqué laissent à penser qu'il s'agit d'une blague ou d'un test.
Dans le cas de nRansom, la rançon est particulière, puisque les auteurs du malware exigent une dizaine de photos de nu de l'utilisateur qui, après vérification, seront revendues sur le deep web.
A la fois l'instabilité de l'application, la facilité de découverte du code de déverrouillage (12345) ou encore son aspect non sophistiqué laissent à penser qu'il s'agit d'une blague ou d'un test.
Sources :
- https://nakedsecurity.sophos.com/2017/09/26/whats-at-risk-from-nransom-your-memories-of-thomas-the-tank-engine/
- https://www.bleepingcomputer.com/news/security/nransom-joke-locker-demands-nude-pics-as-payment-/
- https://www.youtube.com/watch?v=CmjlBzMs39E
The Dark Overlord est de retour
Le groupe de pirates "The Dark Overlord" ou "TheDarkOverlord Solutions" avait fait parler de lui via la demande de rançon pour la cinquième saison de la série "Orange is the new black" (qui a tout de même été diffusée sur le web, malgré le paiement de la rançon). Quelques mois plus tard, le groupe était à l'origine de la revente du code source et des clés de signature de logiciels utilisés dans les hôpitaux.
Cette fois-ci, le groupe de pirates a franchi une nouvelle ligne en s'introduisant dans le système d'information des écoles du district "Columbia Falls", récupérant dossiers scolaires, dossiers médicaux et informations personnelles sur les élèves et enseignants. Le point de non-retour a été franchi après la demande de rançon et l'émission de menaces de morts à destination des parents des élèves concernés. Plus de 30 écoles ont été touchées et ont arrêté les cours durant cette crise.
Cette fois-ci, le groupe de pirates a franchi une nouvelle ligne en s'introduisant dans le système d'information des écoles du district "Columbia Falls", récupérant dossiers scolaires, dossiers médicaux et informations personnelles sur les élèves et enseignants. Le point de non-retour a été franchi après la demande de rançon et l'émission de menaces de morts à destination des parents des élèves concernés. Plus de 30 écoles ont été touchées et ont arrêté les cours durant cette crise.
Sources :
- https://nakedsecurity.sophos.com/2017/09/21/hackers-holds-entire-school-district-to-ransom/
- http://securitydaily.org/hacker-organization-dark-overlord-steal-us-montana-school-district-data-ransom/
- https://www.cbsnews.com/news/ransom-note-released-after-cyber-threats-to-montana-schools/
A la recherche d'un signal GPS...
Il ne s'agit pas d'une nouvelle version du James Bond "Demain ne meurt jamais", mais bien d'un incident qui s'est produit depuis quelques mois en Mer Noire. A l'origine prouvé par des étudiants, il est possible de fausser les données GPS reçues par un navire marin en envoyant continuellement de fausses informations à la cible, jusqu'à écraser le signal GPS actuel. Ces mêmes étudiants avaient réalisé une démonstration à l'aide de 1.000$ de matériel, à l'encontre d'un yacht de 80.000.000$.
Cette fois, il s'agit d'une attaque à plus large échelle. Confirmée par différentes sources, il semblerait que les navires situés en Mer Noire à proximité des côtes russes soient victimes d'une telle attaque, la position leur étant annoncée par le signal GPS étant modifiée, certains apparaissant au milieu des terres, d'autres au milieu d'un aéroport.
L'entité derrière ce phénomène n'est pas encore clair, mais il n'est pas exclu que des agences russes soient en train de tester leur capacité à dérouter les systèmes reposant sur la localisation GPS.
Cette fois, il s'agit d'une attaque à plus large échelle. Confirmée par différentes sources, il semblerait que les navires situés en Mer Noire à proximité des côtes russes soient victimes d'une telle attaque, la position leur étant annoncée par le signal GPS étant modifiée, certains apparaissant au milieu des terres, d'autres au milieu d'un aéroport.
L'entité derrière ce phénomène n'est pas encore clair, mais il n'est pas exclu que des agences russes soient en train de tester leur capacité à dérouter les systèmes reposant sur la localisation GPS.
Sources :
- http://maritime-executive.com/editorials/mass-gps-spoofing-attack-in-black-sea
- https://nakedsecurity.sophos.com/2017/09/26/suspected-mass-spoofing-of-ships-gps-in-the-black-sea/
- https://www.youtube.com/watch?v=FU_pY2sTwTA
Veille vulnerabilite
Apple déploie iOS 11.0.1 et corrige 8 vulnérabilités
Tout juste une semaine après le déploiement public de la version 11.0 d'iOS, Apple fournit la mise à jour 11.0.1. Outre la corrections de nombreux bugs, cette version corrige pas moins de 8 vulnérabilités, dont :
- La possibilité d'écraser un téléphone durant la mise en place de la connexion avec Exchange, suite à un défaut de validation TLS
- Trois dénis de services dans les applications iBooks, MessageUI et Messages
- Une vulnérabilité ciblant Safari, permettant de grandement faciliter la réalisation d'attaques par phishing puisqu'impactant la barre d'adresse
- La possibilité d'écraser un téléphone durant la mise en place de la connexion avec Exchange, suite à un défaut de validation TLS
- Trois dénis de services dans les applications iBooks, MessageUI et Messages
- Une vulnérabilité ciblant Safari, permettant de grandement faciliter la réalisation d'attaques par phishing puisqu'impactant la barre d'adresse
9 vulnérabilités corrigées par WordPress
L'éditeur de CMS WordPress a déployé mardi 19 septembre la version 4.8.2, corrigeant au passage pas moins de neuf vulnérabilités. Sur les neuf, cinq d'entre elles sont des vulnérabilités de type Cross-Site Scripting, deux sont des Path Traversal et une vulnérabilité de type Open Redirect.
La dernière vulnérabilité est liée au coeur de WordPress, bien que son exploitation ne dépende que des modules tiers qui l'utilise. Elle se situe au sein de la fonction de préparation des requêtes SQL et peut, sous certaines conditions, permettre l'exécution de requêtes SQL non protégées, malgré l'utilisation de requêtes préparées par le module.
La dernière vulnérabilité est liée au coeur de WordPress, bien que son exploitation ne dépende que des modules tiers qui l'utilise. Elle se situe au sein de la fonction de préparation des requêtes SQL et peut, sous certaines conditions, permettre l'exécution de requêtes SQL non protégées, malgré l'utilisation de requêtes préparées par le module.
Sources :
- https://www.scmagazine.com/wordpress-patches-nine-security-vulnerabilities/article/689988/
- https://codex.wordpress.org/Version_4.8.2
Mac OS High Sierra expose vos mots de passe
Le chercheur en sécurité Patrick Wardle a récemment publié un tweet dans lequel il explique avoir trouvé un exploit sur Mac OS High Sierra (a minima) lui permettant d'accéder aux mots de passe en clair de l'utilisateur. Ces mots de passe sont stockés dans un conteneur "Keychain", normalement protégé par un mot de passe maître. Les applications tierces non signées ne devraient donc pas être en mesure d'accéder au contenu en clair de ce conteneur.
L'exploit publié par le chercheur montre qu'il est possible, à l'aide d'une application non signée (qui doit tout de même être exécutée manuellement), d'accéder au contenu en clair des Keychains, contournant ainsi les mécanisme de sécurité en place. Pour citer l'auteur : "je ne vais pas m'avancer en disant que cet exploit est élégant - mais il fait l'affaire, ne requiert pas les droits root, et marche dans tous les cas".
L'exploit publié par le chercheur montre qu'il est possible, à l'aide d'une application non signée (qui doit tout de même être exécutée manuellement), d'accéder au contenu en clair des Keychains, contournant ainsi les mécanisme de sécurité en place. Pour citer l'auteur : "je ne vais pas m'avancer en disant que cet exploit est élégant - mais il fait l'affaire, ne requiert pas les droits root, et marche dans tous les cas".
Sources :
- https://twitter.com/patrickwardle/status/912254053849079808
- http://thehackernews.com/2017/09/macos-high-sierra-keychain.html
- http://www.zdnet.com/article/apple-macos-high-sierra-password-vulnerable-to-password-stealing-hack/
Indicateurs de la semaine
L'attaque de la semaine - Supply-chain attack sur Ccleaner
Le logiciel de nettoyage de poste de travail Ccleaner a été victime d'une attaque de type "supply-chain". Ce type d'attaque, dont NotPetya fait partie, consiste à introduire du code malveillant au sein d'une mise à jour d'un logiciel massivement utilisé. Ce code peut alors se comporter comme un Remote Access Trojan (RAT) et communiquer avec un centre de Command and Control (C2).
Dans le cas de CCleaner, la version touchée est la version 5.33.6162, distribuée entre le 15 août le 12 septembre 2017. La présence de code malveillante a été découverte par la société Morphisec, qui a remonté l'information en parallèle à Avast, nouvel acquéreur de l'éditeur de CCleaner Piriform, et Cisco. L'investigation s'est donc poursuivie sous la direction de l'équipe de réponse à incident de Cisco, Talos Intelligence.
Les conclusions de l'investigation indiquent la compromission d'un serveur de Piriform, l'utilisation malveillant de leur certificat de signature de code, l'introduction d'un RAT dans le code de CCleaner, et pas moins de 700.000 victimes. Parmi celles-ci, il n'y aurait eu qu'une vingtaine de postes sur lesquels une charge supplémentaire aurait été exécutée à l'aide du RAT.
Dans le cas de CCleaner, la version touchée est la version 5.33.6162, distribuée entre le 15 août le 12 septembre 2017. La présence de code malveillante a été découverte par la société Morphisec, qui a remonté l'information en parallèle à Avast, nouvel acquéreur de l'éditeur de CCleaner Piriform, et Cisco. L'investigation s'est donc poursuivie sous la direction de l'équipe de réponse à incident de Cisco, Talos Intelligence.
Les conclusions de l'investigation indiquent la compromission d'un serveur de Piriform, l'utilisation malveillant de leur certificat de signature de code, l'introduction d'un RAT dans le code de CCleaner, et pas moins de 700.000 victimes. Parmi celles-ci, il n'y aurait eu qu'une vingtaine de postes sur lesquels une charge supplémentaire aurait été exécutée à l'aide du RAT.
Sources :
- https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
- http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
- http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
Le leak de la semaine - Fuite de données de Verizon (encore)
Pour la troisième fois en moins de 2 ans, la société de télécommunication Verizon a été victime d'une faille de sécurité, exposant des données sensibles. Il ne s'agit cette fois-ci pas d'un groupe de pirate, les données récupérées n'ont donc pas été publiées. Des chercheurs en sécurité sont à l'origine de la découverte d'un bucket Amazon S3 non protégé, renfermant des données potentiellement sensibles du point de vue de Verizon.
Aucune donnée client n'a pu être retrouvée directement, mais on notera tout de même la présence d'informations sur des administrateurs, des emails contenant des informations relatives aux accès, des fichiers journaux, et des fichiers tamponnés "Confidentiel".
L'employé de Verizon hébergeant ce serveur a déclaré qu'il n'y avait aucune information confidentielle qui y était hébergée. Toutefois, le serveur a été coupé suite à ces révélations.
Aucune donnée client n'a pu être retrouvée directement, mais on notera tout de même la présence d'informations sur des administrateurs, des emails contenant des informations relatives aux accès, des fichiers journaux, et des fichiers tamponnés "Confidentiel".
L'employé de Verizon hébergeant ce serveur a déclaré qu'il n'y avait aucune information confidentielle qui y était hébergée. Toutefois, le serveur a été coupé suite à ces révélations.
Sources :
- http://securityaffairs.co/wordpress/63304/data-breach/new-verizon-data-leak.html
- http://www.zdnet.com/article/another-verizon-leak-exposed-confidential-data-on-internal-systems/
- https://www.theregister.co.uk/2017/09/22/verizon_falls_for_the_old_unguarded_aws_s3_bucket_trick_exposes_internal_system/
L'exploit de la semaine - Apache OptionsBleed
Une nouvelle vulnérabilité du type Heartbleed cible les serveurs web Apache dont la version est comprise entre 2.2.34 et 2.4.27. A l'instar de la célèbre vulnérabilité ayant affecté OpenSSL en 2014, OptionsBleed permet la récupération de données mémoires provenant d'une zone non initialisée, contenant potentiellement des informations sensibles, dont le contenu de pages web renvoyées.
Cette vulnérabilité a été découverte en analysant les résultat de l'exécution de la méthode OPTIONS sur le top 1.000.000 Alexa. Certains serveurs présentaient des retours incluant deux fois la même méthode HTTP ou du contenu HTML.
L'origine de cette vulnérabilité réside dans le traitement par Apache de la directive "Limit" parfois positionnée au sein des fichiers .htaccess. Lorsqu'une méthode inexistante ou qu'une méthode identique à un autre VirtualHost est spécifiée, la vulnérabilité peut être déclenchée. Bien qu'actuellement seulement 0.12% des serveurs web soient vulnérable, cette vulnérabilité peut être exploitée sur des serveurs web mutualisés par un attaquant disposant d'un VirtualHost dont il contrôle le fichier .htaccess, et en envoyant de manière répétée des requêtes OPTIONS.
Cette vulnérabilité a été découverte en analysant les résultat de l'exécution de la méthode OPTIONS sur le top 1.000.000 Alexa. Certains serveurs présentaient des retours incluant deux fois la même méthode HTTP ou du contenu HTML.
L'origine de cette vulnérabilité réside dans le traitement par Apache de la directive "Limit" parfois positionnée au sein des fichiers .htaccess. Lorsqu'une méthode inexistante ou qu'une méthode identique à un autre VirtualHost est spécifiée, la vulnérabilité peut être déclenchée. Bien qu'actuellement seulement 0.12% des serveurs web soient vulnérable, cette vulnérabilité peut être exploitée sur des serveurs web mutualisés par un attaquant disposant d'un VirtualHost dont il contrôle le fichier .htaccess, et en envoyant de manière répétée des requêtes OPTIONS.
Sources :
- https://www.cisecurity.org/optionsbleed-vulnerability-for-apache-web-servers/
- https://nakedsecurity.sophos.com/2017/09/19/apache-optionsbleed-vulnerability-what-you-need-to-know/
- https://github.com/hannob/optionsbleed
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Jean MARSAULT