L'actualité infosec de la semaine - 17ème numéro (18 au 24 juillet)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
HTTPOXY la vulnérabilité refait surface
10 ans après sa découverte, la vulnérabilité HTTPOXY refait surface.
Cette faille, extrêmement simple à mettre en oeuvre est issue d'un conflit de nom entre deux variables d'environnement et touche divers environnements CGI (Perl, Python, PHP, etc.). Concrètement, un attaquant suite à l'envoi d'une requête forgée, serait en mesure d'écouter le trafic et de réaliser une attaque "man-in-the-middle".
Plus précisément la requête forgée contient un entête HTTP "proxy" auquel serait attaché le serveur proxy de l'attaquant, le serveur HTTP réceptionnant la requête interprète mal la valeur (par le biais de CGI), et fait transiter tout le reste des requêtes du thread en cours via le serveur proxy contrôlé par l'attaquant.
Cependant nuançons un peu les choses, même si l'exploitation est simple, il faut un certain nombre de conditions pour qu'un système soit vulnérable : environnement CGI vulnérable + script CGI émettant directement des requêtes sortantes. Pas de panique, et appliquez les derniers patchs de sécurité
Si vous souhaitez plus de détail, nous sommes en train d'écrire un article complet sur l'exploitation de cette faille. À venir ce week-end.
La fin de KickassTorrents (KAT)
Artem Vaulin, c'est le nom du propriétaire du site de téléchargement illégal KickassTorrents (KAT). KickassTorrents compte 50 millions de visiteurs mensuel et ses revenus publicitaires sont estimés entre 12 et 22 millions de dollars. Mais voilà, Artem Vaulin vient d’être arrêter par la police américaine et polonaise. On lui reproche notamment d'avoir partagé 1 milliards d’œuvre copyrightées et de ne pas respecter le DMCA (Digital Millennium Copyright Act). Les autorités mis la main sur le serveur principale, mettant ainsi définitivement hors ligne le site web. On peut donc dire adieu a KAT, et shouaitez bonne chance à Artem Vaulin.
La CNIL rappelle à l'ordre Microsoft
La CNIL a décidée de sévir Microsoft quant à son système d'exploitation Windows 10 qui serait actuellement un véritable aspirateur de données personnelles. La Cnil a constaté « de nombreux manquements » à la loi informatique et libertés commis par Microsoft. Elle donne trois mois à Microsoft pour effectuer des changements, sous menace d'une amende maximale de 50 000 euros. Le principale problème reste bien entendu l’identifiant publicitaire, qui permet à la firme de cibler la publicité en fonction du profil qu’il dessine progressivement en accumulant des données sur l’utilisateur.
Mozilla commence la suppression en douceur de Flash
Flash disparait progressivement d'Internet. Après Microsoft et Google, c'est à Mozilla d'entamer la suppression de Flash, et ceux pour plusieurs raisons, notamment pour des questions de sécurité, de consommation et durée de vie de batterie mobile. Il faudra par contre attendre 2017 pour que Firefox demande l'autorisation de l'utilisateur pour activer Flash, et ce, quel que soit le site. Mozilla demande donc aux sites qui utilisent Flash ou Silverlight de migrer sur autre chose « dès que possible ».
Des Vulnérabilités importante dans des produits antivirus
Tomer Bitton et Udi Yavo, des experts en sécurité d’une start-up nommée enSilo, spécialisée dans la détection des attaques en temps réel ont découvert des vulnérabilités sur des produits antivirus dont (Kapersky, AVG…) pour ne citer que ces produits.
Cette faille permet de prendre le contrôle du programme et d’exécuter un code malveillant dans une zone mémoire malgré la présence de systèmes comme ASLR ou le DEP pour empêcher ce type d’attaque.
La société enSilo a mis en disposition un outil afin de vérifier les programmes vulnérables dont les antivirus : https://github.com/BreakingMalware/A...abilityChecker
Sources :
- http://www.silicon.fr/des-trous-de-s...us-153481.html
- http://blog.ensilo.com/the-av-vulner...es-mitigations
Téléchargement du code source de Vine : C'est ici !
Avash un bug bounty hunter a découvert une faille dans Vine un service de partage de vidéo dont les durées sont de 6 secondes.
Le chercheur a téléchargé le code source, ses clés API et les clés secrets de Vine par l’intermédiaire d’une image Docker accessible publiquement. En utilisant le moteur de recherche Censys.io Avash aurait trouvé plus de 80 images de Docker dont un nommé " vinewww " identique au dossier www utilisé pour les serveurs web.
Après avoir averti Vine, le chercheur à été récompensé d’environ 10.000 $ et la faille corrigée en 5 minutes.
Source :
Le forum Ubuntu en ligne piraté
Selon la société Canonical principale partenaire du système Ubuntu, le forum Ubuntu en ligne a subi une attaque, ce forum contient plus de 2 millions utilisateurs. Les attaquants ont exploité une faille SQLi (une attaque pour injecter des commandes SQL malveillantes) non corrigée.
Cette attaque a compromis les bases de données du forum et permettre l’accès aux tables ainsi que les informations personnels des utilisateurs (nom, prénom, adresse ip, adresse mail…). Les mots de passes ne sont pas compromis car ils étaient hashé et salé.
La faille est à présent corrigée, cela prouve encore que nul n’est à l’abri d’une faille de sécurité et qu’il est important de toujours vérifier la sécurité de notre système.
Source :
By Anonyme77, Gohy, Bioshock & _47
Commentaire