L'actualité infosec de la semaine - 39ème numéro (11 Janvier au 15 Janvier 2017)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
Les soldats de l'armée israélienne bernés par une femme imaginaire
Les espions du mouvement Palestinien ne manquent pas d'imagination. Désireux d'en apprendre plus sur les moyens de leurs voisins, les soldats de l'armée israélienne, ils ont monté de toutes pièces plusieurs comptes Facebook soi-disant tenus par de belles jeunes femmes souhaitant rencontrer des soldats de leur âge, et auraient entrepris de commencer à flirter avec des soldats israéliens. Plusieurs hommes seraient tombés dans le panneau, et croyant avoir développé une relation de confiance avec leur interlocutrice, auraient dévoilé de nombreuses informations et détails personnels aux espions de Palestine. L'armée israélienne, ayant découvert le subterfuge, a publié les détails de l'enquête afin que ce genre d'incidents ne se reproduise pas, et défend ses soldats en affirmant que la prise de contact avec une inconnue sur les réseaux sociaux est un acte tout à fait légitime.
Source: http://www.lemonde.fr/proche-orient/...1449_3218.html
KillDisk - Quand un redoutable logiciel malveillant se transforme en rançongiciel
KillDisk, le célèbre logiciel malveillant capable remonter la trace de nombreux dossiers et de les détruire, responsable des pertes de données de milliers d'utilisateurs et de la coupure d'une centrale électrique, s'est désormais transformer en rançongiciel. En effet, pourquoi se déranger à détruire des fichiers quand on peut les échanger contre une rançon de 216 000$ ? Le logiciel avait été très actif ces deux dernières années, mais ce changement de cap se révèle étonnant, surtout lorsque l'on s'aperçoit de la somme proposée en guise de rançon: 200 000$ ! C'est une somme bien plus élevée que la plupart des autres rançongiciel présents actuellement sur le Net.
La seule maigre consolation, c'est qu'il existe une faiblesse dans le chiffrement des dossiers sous Linux qui permet, quoique difficilement, de récupérer ses fichiers.
Source: https://www.undernews.fr/malwares-vi...-bitcoins.html
Microsoft - Retour en arrière pour la gestion de la vie privée
S'il y a bien un sujet qui fait grincer des dents les utilisateurs de Windows, c'est bien la grande question de la gestion de la vie privée et des données personnelles. Mais voilà que le grand géant semble se racheter une conscience. Microsoft a publié cette semaine un billet de blog dans lequel il annonce quelques mesures pour permettre aux utilisateurs d'avoir de nouveau un peu plus de pouvoir sur leur vie privée.
Premièrement, Microsoft prévoit de clarifier les réglages lors de l'installation de son système d'exploitation: Windows 10. Jusque-là, on avait le droit entre une installation par défaut ou une installation personnalisée, qui comprenait trois pages de texte illisible et incompréhensible sur la gestion des données. Microsoft prévoit de simplifier cette installation pour que chaque utilisateur puisse choisir précisément où vont ses données.
Deuxièmement, Microsoft a ouvert une nouvelle section qui regroupe tous les comptes des services de l'entreprise (Skype, Outlook...) où il est possible de voir les données que Microsoft a en sa possession et d'en demander la suppression.
De belles promesses en perspective, mais simple coup de communication ou réel désir de se racheter ?
Source: http://www.numerama.com/tech/224198-...t-changer.html
La FTC attaque D-Link pour les négligences affectant ses caméras IP
La marque D-Link, dont certains de ses produits ont été compromis afin de participer aux récentes attaques de déni de service distribué, a été attaqué par la FTC (Federal Trade Commission) pour ne pas avoir pris les mesures nécessaires afin de s'en prémunir.
Cette plainte à l'encontre du constructeur taïwanais est la troisième déposée à ce jour en rapport avec ces attaques. Celles-ci font suite à la découverte de vulnérabilités qui auraient facilement pu être corrigées selon la FTC.
Pour rappel, les vulnérabilités affectant les produits D-Link incluaient :
- Des identifiants codés en dur ;
- Des injections de commandes permettant le contrôle à distance illégitime ;
- La divulgation d'une clé privée utilisée pour signer les programmes D-Link, exposée sur son propre site internet ;
- Un défaut de sécurité au sein de son application mobile, exposant le mot de passe de la caméra en clair.
Sources:
- http://www.v3.co.uk/v3-uk/news/30020...security-flaws
- http://www.linformaticien.com/actual...ameras-ip.aspx
La fonctionnalité de remplissage automatique des navigateurs peut être exploitée pour mener des campagnes d'hameçonnage
La fonctionnalité de remplissage automatique proposée par les navigateurs Web permet à l'utilisateur de créer un profil dans lequel il renseigne des informations personnelles. Les informations contenues dans ce profil peuvent être ensuite utilisées pour remplir automatiquement des formulaires sur des sites web.
Un développeur Web a publié une démonstration d'un possible abus de cette fonctionnalité par un attaquant dans le cadre d'une campagne d'hameçonnage. La démonstration consiste en une page web contenant un formulaire. Deux champs sont alors affichés : un pour le nom et un pour le courriel. Le formulaire contient également d'autres champs cachés, comme le code postal ou le numéro de téléphone. Si l'utilisateur utilise la fonctionnalité de remplissage automatique de son navigateur, les champs cachés seront également remplis, à son insu.
Un attaquant pourrait donc pousser une cible à remplir un formulaire proposé sur une page web spécialement conçue. Si la cible utilise la fonctionnalité de remplissage automatique, l'attaquant peut récupérer des informations précises lui permettant de se faire passer pour la victime, voire des données de carte bancaire.
Le formulaire de démonstration est disponible à l'adresse suivante : https://anttiviljami.github.io/brows...fill-phishing/.
Source: https://www.bleepingcomputer.com/new...shing-attacks/
900 Go de données dérobés à la société despionnage Cellebrite
L'entreprise spécialisée dans les outils de piratage d'appareils mobiles est connue pour son produit Universal Forensic Extraction Device (UFED), un appareil de la taille d'un ordinateur portable capable d'extraire des informations de plusieurs milliers de modèles d'appareils mobiles. Les données extraites lors d'une analyse contiennent, entre autres, les SMS, les courriels et l'historique des appels.
Les produits de Cellebrite sont très populaires chez les organisations étatiques, notamment la police américaine et probablement le FBI. Les données subtilisées suggèrent également que plusieurs régimes répressifs, comme la Russie, la Turquie ou les Émirats Arabes Unis, figurent parmi les clients de Cellebrite.
Les données dérobées proviendraient en partie d'un serveur Web de Cellebrite. Elles contiendraient les informations de connexion à un portail utilisé par les clients de l'entreprise, et des informations de contact, dont la nature n'a pas été révélée. Les mots de passe dérobés seraient hachés, mais aucune information n'a été communiquée sur la robustesse de l'algorithme utilisé.
Des logs du produit UFED et des fichiers extraits d'appareils mobiles seraient également inclus dans ces données.
Cellebrite a déclaré avoir lancé une enquête à propos de la fuite. L'entreprise a également conseillé à ses clients de changer leur mot de passe. D'après ses déclarations, il semble envisageable que le pirate ait effectué d'autres actions sur le serveur de Cellebrite. Son action aurait un but politique, le pirate serait apparemment en désaccord avec l'adoption de lois de surveillance des citoyens par les gouvernements occidentaux.
Source : https://motherboard.vice.com/read/ha...ellebrite-data
TheShadowBrokers disparait après un dernier grand coup de maitre
Le groupe TheShadowBrokers a pas mal fait parler de lui ces derniers temps. Ce groupe de hackers qui affirmaient avoir piraté la NSA avait déjà fait fort en divulguant des informations et des logiciels de cette organisation. Cette semaine, ils ont posté leur dernière fuite de données avant de tirer leur révérence.
Cette fuite concerne un package de logiciels pour pirater Windows. Les logiciels semblent avoir 3 ans d'âge(ce qui n'est fait pas spécifiquement un bon cru pour autant) mais pourraient tout de même poser de graves problèmes de sécurité. Certains d'entre eux seraient en effet détectés par seulement 12 des 58 antivirus proposés par VirusTotal. Ils auraient été produits par l'élite des pirates à la NSA, par l'équipe même qui serait en charge de pénétrer les services des gouvernements ennemis des États-Unis.
Sources :
- http://arstechnica.com/security/2017...g-world-stage/
- https://www.meritalk.com/articles/sh...hacking-tools/
MongoDB, Elasticsearch, l'infection continue
Nous vous en avons déjà parlé, les bases de données MongoDB subissent actuellement une très lourde exploitation. Celle-ci consiste en la suppression des bases de données du serveur et du chiffrement de ce dernier par un rançongiciel. Elle exploite un défaut connu de longue date dans le serveur qui implique que ce dernier ne nécessite aucune connexion pour accéder aux données.
La semaine dernière, 10 000 instances de MongoDB étaient infectées, cette semaine, ce chiffre monte à 37 000
Ceci peut être dû à la prise de conscience du groupe de pirates "Kraken" (spécialisés dans les rançongiciels) de la facilité d'exploitation de cette vulnérabilité qui est, il faut bien le dire, assez stupide. Il semblerait également que les pirates redirigent leurs attaques vers les instances de base de données Elasticsearch.
En effet, de nombreuses attaques ont été recensées avec un mode opératoire identique à celui utilisé contre MongoDB. Un premier nombre de 360 instances avait été avancé mais il semblerait que les derniers recensements montent ce chiffre à 3000. Pour vous protéger, il est conseillé d'adopter une bonne politique de sauvegarde et de limiter les accès aux bases de données Elasticsearch aux réseaux internes ou sécurisés.
Sources :
- http://www.silicon.fr/epidemie-pour-...ge-166955.html
- https://www.bleepingcomputer.com/new...earch-servers/
Deux nouvelles failles dans Microsoft Edge
Un exploit présenté comme une preuve de concept a été développé par une firme à Austin aux USA pour exploiter les vulnérabilités CVE-2016-7200 et CVE-2016-7201. Deux jours seulement après l'annonce de ces vulnérabilités, une utilisation malicieuse avait déjà été trouvée par un chercheur en sécurité informatique français connu sous le pseudonyme de Kafeine.
Le chercheur ajoute que c'est la seconde fois qu'une faille découverte par cette société est exploitée peu après sa sortie pour être intégrée dans les kits d'exploitation malveillants. La faille est due au moteur JavaScript Chakra inclus dans Microsoft Edge et permettrait l'exécution de code à distance.
Elle permettrait ainsi une exploitation totale du navigateur attaqué.
Source : https://threatpost.com/two-new-edge-...it-kit/122974/
LEAKS de la semaine :
- La base de données de Sanrio Town a fuité sur Internet. Des mineurs concernés !
On a appris le 11 Janvier par le chercheur en sécurité informatique Vickery que les informations personnelles de 3 345 168 d'utilisateurs de Sanrio Town. L'éditeur, plus connu sous le nom de ses marques, respectivement (Hello Kitty, My Melody Kerropi), connaît actuellement une énorme déconvenue car sa base de données fuite sur Internet. Ce ne serait pas un piratage mais un vol de données dû à une mauvaise sécurisation de leur base de données sous MongoDB suite à une maintenance en novembre 2016 (plausible mais non confirmé). Le plus problématique pour eux actuellement c'est les quelques 186 261 identités numériques mineures contenues dans cette base de données. Celles-ci contiennent les noms, prénoms, la date de naissance, le sexe, le pays, l'adresse électronique, les questions de sécurité et le mot de passe sous SHA-1. Du côté de l'éditeur, un avis de sécurité a été publié mais pour eux les données seraient datées de 2015. Affaire à suivre donc ! Plus d'information ici.
- La base de données des forums de MrExcel.com a fuité, cela concerne tous les utilisateurs inscrits avant le 6 Décembre 2016 ce qui représente plus de 375 000 utilisateurs. La base de données a été obtenue à la suite d'un piratage via une faille VBulletin le 5 Décembre 2016. Plus d'information ici.
Total d'identités dérobées au cours de la semaine passée: 3 720 168
I Love You est sûrement un des vers informatiques le plus connu au monde. Apparut pour la première fois le 4 mai 2000, c'est un des premiers en son genre, les dégâts causés furent donc considérables. On estime à environ 8 milliards de dollars les pertes dues au ver dans le courant des années 2000. Visant principalement les systèmes Windows, le ver agissait de manière particulièrement efficace. Glissé dans de fausses lettres d'amour (doù le nom) répandues partout dans le monde grâce à de nombreuses campagnes d'hameçonnage, le ver modifiait tous vos fichiers personnels, les remplaçant par des morceaux de codes corrompus de son propre script VBS. Programmé pour se lancer à chaque démarrage de Windows et pour s'envoyer à tous les contacts de la victime via sa messagerie Microsoft Outlook, ce ver fût une menace sérieuse. En France, et ailleurs en Europe, de nombreuses entreprises ont stoppées leurs activités en ligne de crainte que le ver ne sinfiltre sur leurs réseaux. Fort heureusement, dès les premiers morceaux de code du ver en ligne, les développeurs de solutions antivirus se sont précipités pour trouver une parade fiable. Un ver informatique d'un tout nouveau genre, qui aura causé de nombreux dégâts.
Sources:
- http://www.liberation.fr/futurs/2000...uelques_324715
- https://fr.wikipedia.org/wiki/I_love...r_informatique
- http://www.itespresso.fr/le-virus-i-...ions-4719.html
By L'OMBRE, Bioshock, Anonyme77 & _47
Commentaire