L’actualité de la semaine dernière (du 11 au 17 septembre 2017)

de Sabri Khemis 

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : attaque endiguée contre de grandes entreprises à travers des routeurs Netgear vulnérables, 3.1 terabytes de données de la société Vevo publiées… à cause d’une insulte, épilogue de la fuite de données d’Equifax qui n’a pas patché ses serveurs, une vulnérabilité Bluetooth expose plus 5 milliards de terminaux à une attaque invisible, l’antivirus Kaspersky Lab bani de l’administration américaine, la messagerie Linkedin vecteur de compromission des ordinateurs et enfin prise de contrôle des assistants digitaux grâce aux ultrasons.

Sur la partie outil, détection de l’outil Empire de command et de contrôle de systèmes compromis, gestion simplifiée des incidents de sécurité, recherche de vulnérabilités à travers les résultats des recherches Google.

Une variante du malware RouteX a été détectée par la société Forkbombus Labs qui édite une solution de leurre destinée à piéger les personnes malveillantes (cf. dans les sources mon article sur le sujet). La variante compromet à distance des routeurs de la marque Netgear afin d’y faire relayer du trafic vers les infrastructures des 500 plus riches entreprises. L’objectif étant de submerger ces infrastructures afin de les rendre indisponibles (déni de service distribué). Cette attaque semble être attribuée à des personnes basés en Russie.

… le malware exploite une vulnérabilité qui date de 2016 qui ne semble toujours pas corrigée dans des routeurs Netgear exposés sur Internet (CVE-2016-10176)

Sources :

Le groupe de pirate ourMine a publié 3,1 terabytes de données volées à Vevo, plateforme en ligne de vidéos musicales, après une compromission de leurs systèmes. Afin de justifier la publication, le groupe a invoqué des paroles irrespectueuses promulguées par un employé de Vevo à l’encontre de l’un des membres du groupe. Le membre du groupe avait contacté un employé de Vevo afin de l’informer du piratage, ce dernier ayant répondu : “Fuck off”… oui même les pirates ont un égo !

Vevo a confirmé le piratage et la fuite de données associées. Le piratage est la conséquence de la compromission des accès d’un des collaborateur de Vevo à travers LinkedIn… voir plus loin dans cette revue comment ce réseau social professionnel est utilisé comme vecteur d’attaque.

Les données ne sont plus accessibles.

Sources: OurMine Hacks Vevo After Employee Was Disrespectful to Hackers on LinkedIn

De nombreux experts en cyber sécurité avaient conclu que la fuite de données Equifax de 145 millions de consommateurs américains qui a eu lieu au printemps est liée à l’exploitation d’une nouvelle faille de sécurité critique. La faille a été découverte le 4 septembre, faisant planer le risque de la disponibilité d’un Zero-Day-Exploit.

Le 13 septembre 2017, Equifax a confirmé qu’il s’agit d’une vulnérabilité d’Apache Struts…  vulnérabilité qui a été découverte le 10 mars 2017 (CVE-2017-5638) et qui démontre qu’il s’agit, encore, une fois d’une carence liée à la non installation d’un correctif de sécurité !

Préalablement à la confirmation, la fondation Apache qui incube le projet Apache Struts s’est excusée de la fuite de données suite à l’exploitation par ce Zero-Day-Exploit et a rappelé quelques fondamentaux de sécurité pour protéger ces données, qui permettent de limiter les conséquences de l’exploitation d’une future vulnérabilité dans un système.

Sources :

La société Armis, spécialisée dans la sécurité des objets connectés, a publié une vulnérabilité critique, désignée par BlueBorne, qui affecte les implémentations du Bluetooth dans plus de 5 milliards de terminaux qui font tourner Android, Windows, Linux ou iOS.

L’exploitation de la vulnérabilité, qui peut se faire à distance, permet de prendre le contrôle de terminaux avec le Bluetooth actif. Ainsi, une personne malveillante peut développer un ver qui peut se propager entre différents terminaux à porter du Bluetooth du terminal infecté.

Les patchs sont en cours de déploiement par l’ensemble des éditeurs, sauf pour Apple qui ne corrigera pas les versions antérieurs à iOS10. En attendant, il est nécessaire de désactiver le Bluetooth de son terminal si celui-ci n’est pas nécessaire… compliqué pour les utilisateurs de montres connectés et de casques sans-fil.

Sources :

Une attaque basée sur la messagerie LinkedIn, InMail, a été identifiée par la société Malwarebytes Labs. L’attaque est basée sur la diffusion d’un lien raccourci avec Ow.ly. Le lien renvoi vers une page qui tente d’exploiter une vulnérabilité sur le poste de travail afin d’installer un malware ou vers un faux fichier google docs qui nécessite une authentification sur Google, la page d’authentification servant à enregistrer l’identifiant et le mot de passe de la victime.

Le lien malicieux est diffusé à travers deux canaux :

  1. Utilisation d’un compte LinkedIn préalablement compromis (par exemple à travers un phishing ciblé = Spear phishing). Un message InMail LinkedIn (messagerie interne LinkedIn), contenant le lien malicieux, est transmis aux contacts du compte compromis.
  2. Réception d’un mail dans sa messagerie normal (gmail, yahoo, etc.) d’une fausse notification de réception d’un InMail LinkedIn. Ce mail présente le message ainsi que le lien malicieux : l’objectif est que l’utilisateur clique directement sur le lien malicieux sans passer par sa boite InMail LinkedIn… vide

Source : Compromised LinkedIn accounts used to send phishing links via private message and InMail

Actualité qui date de la semaine précédente : des chercheurs de l’université chinoise Zhejiang ont élaboré une attaque, baptisée par DolphinAttack, qui permet de prendre le contrôle d’assistants digitaux tels que Apple Siri, Amazon Alexa et Google Now en utilisant les ultrasons générés avec 3$ de composants électroniques.

Les chercheurs ont réussi à déverrouiller les appareils en transmettant des commandes inaudibles (fréquences supérieures à 20 kHz) de type « Hey Siri » « Ok Google » et « Alexa ».  Ils ont réussi à  exécuter les commandes « Call 1234567890 » « Facetime 1234567890 » « Open dolphinattack.com, » et « Turn on airplane mode » sans toucher aux terminaux. Une vidéo de l’attaque a été mise en ligne.

A suivre…

Sources :

Le département de la sécurité du territoire américain (DHS) a interdit aux agences américaines l’utilisation de l’antivirus de l’éditeur d’antivirus russe Kaspersky Lab. L’éditeur est soupçonné de connivence avec les agences de renseignements russes.

Le DHS a fixé un délai de 30 jours aux agences pour inventorier les installations des solutions de l’éditeur et 60 jours pour totalement les supprimer.

Cette position du DHS ouvrira probablement le débat de la souveraineté de l’informatique en Europe qui dispose de très peu d’alternative aux produits extra-européennes.

Sources :

Outils :

NorkNork : Empire est un outil avancé qui permet de créer une infrastructure de commande et de contrôle (C&C). Des ordinateurs compris peuvent être contrôlés à distance. NorkNork est un outil qui permet détecté si Empire est déployé sur des ordinateurs Microsoft Windows : https://github.com/n00py/NorkNork

FIR (Fast Incident Response) – Cyber Security Incident Management Platform : est un outil qui permet de mettre en place un système de gestion des incidents de sécurité. Il permet de créer et de suivre efficacement les incidents de sécurité https://github.com/certsocietegenerale/FIR

Dorkbot (rien à voir avec la botnet datant de 2015) : est un outil qui permet d’utiliser les pages retournées par une recherche Google afin d’y trouver des vulnérabilités : https://github.com/utiso/dorkbot

Source : http://cybersecurite-hq.fr/2017/09/lactualite-cyber-securite-de-la-semaine-derniere-du-11-au-17-septembre-2017/