SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retours sur l'actualité de la semaine du 24 au 30 juillet 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité.

Veille cybercriminalite

Découverte d'un malware pour Mac présent depuis de nombreuses années

Un ancien agent de la NSA, Patrick Wardle, a découvert un malware, Fruitfly, qui serait présent sur des centaines de Mac depuis des années. Ce malware a la possibilité de prendre des captures d'écran, démarrer la webcam, écouter les touches tapées et voler des données.
En l'analysant, le chercher a pu identifier des noms de domaines des serveurs de "Command and Control" inscrit dans le code de l'application qu'il a ensuite enregistré. Environ 400 machines ont alors essayé de se connecter sur son serveur.
Wardle pense que ce malware a été délaissé par son créateur mais que les victimes sont tout de même exposées à un attaquant en mesure de créer un faux serveur de C&C.

Veille vulnérabilité

Fin de vie pour Adobe Flash prévue en 2020

Adobe a annoncé que Flash ne sera plus supporté après 2020. L'objectif de Flash était d'offrir une plateforme de rendu graphique et d'interaction unifiée. Aujourd'hui, les technologies Web ont évolué (canvas, WebGL, Javascript, ...) et rendent obsolète l'utilisation de Flash.
D'ici 2020, Adobe continuera à apporter des mises à jour à Flash, notamment liées aux problèmes de sécurité.

Microsoft ouvre son programme de Bug Bounty à l'ensemble de ses produits

Dans un objectif de sécuriser au maximum ses produits, dont son système d'exploitation Windows, Microsoft a développé des outils de défense traditionnelle (DEP, ASLR, Device Guard, ...). La firme Américaine souhaite élever son niveau de sécurité en ouvrant plus largement son programme de Bug Bounty (présent depuis 2013) dont les récompenses pourront aller de 500$ à 250 000$.
Le but de ce programme est de pouvoir corriger les vulnérabilités avant qu'elles ne soient publiées par les chercheurs.

Indicateurs de la semaine

Le leak de la semaine

Une large quantité de données (1.5TB) a été volée de la chaine HBO, en particulier des scripts de la série "Game Of Thrones". Bien qu'aucun fichier n'ait encore été diffusé, la chaine a confirmé avoir été victime d'une attaque informatique sans donner plus d'informations sur le mode opératoire.
Ce type d'attaque est de plus en plus fréquente [1] et se rapproche du hack de Sony en 2014.

L'exploit de la semaine

Après quelques soirées passées à comprendre les structures Windows, Jean MARSAULT (aka @iansus) a publié, avec l'aide de Maxime MEIGNAN (@th3m4ks) et GentilKiwi, un outil [1] permettant de récupérer les clés AES utilisése par le malware NotPetya pour chiffrer les données d'un disque.
Un dump de la mémoire d'un serveur / poste compromis, sur lequel le malware est en cours d'exécution, est un prérequis à cette opération.

L'attaque de la semaine

Nathan Seidle a créé une machine qui lui permet d'ouvrir un coffre-fort en moins de 15 minutes. Le coffre-fort possède 3 rotors de 100 positons, ce qui pourrait prendre plusieurs mois pour trouver la combinaison avec un brute-force standard.
Seidle a mis en avant plusieurs vulnérabilités permettant de réduire drastiquement le nombre de tentatives pour ouvrir le coffre, réduisant ainsi le temps nécessaire pour trouver la combinaison.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox

Vincent DEPERIERS

Nuit du Hack 2017 - CTF Challenge Writeup - Part 2


The 15th edition of Nuit du Hack took place at Disneyland Paris' New York Hotel Convention Center. Wavestone was present during the day to present its cybersecurity-related activities. Additionally, we were hosting a jeopardy CTF challenge, with the following rewards for the winners:
  1. An XYZ Mini 3D printer
  2. A retro gaming kit based on a RPi 3
  3. A drone

The article below presents the second part of the intended solution of the challenge's author.

← Link to part 1

Introducing - the connected missile

Now that we are admin on the platform, we can start messing around with the nuclear missiles. We are given an OVA file that contains a connected nuclear missile interface, with the following open ports:
  • HTTP on port 8080
  • SSH on port 2222
If you try to play with the missile interface online, you will end up with the following alert:


In order to progress further, we need to connect the virtual missile to our online platform so that missile can be initialized. The initialization interface looks like this:


Once the correct information has been entered, the missile contacts the platform to retrieve its configuration and awaits for orders, while the online platform shows that our missile now has init set:



World War III - 1

The first scenario described as dangerous for world peace is USA attacking North Korea, or the other way around. This scenario is easy to set up, as we only need to:
  • Log in to the USA admin account using the SQL injection
  • Create a new missile
  • Initialize the missile
  • Launch it against North Korea
Once these steps have been performed, the flag appears:


World War III - 2

The second scenario is almost easier. You need to log in as France, and attack China. Unfortunately, a popup prevents that behavior since China is your current ally.
This is a classic example of client-side access control, that can easily be bypass by loading directly the target URI: /view_missile.php?id=1&command=launch&target=4:



Suicide

The name of this flag is self-explanatory. You basically need to nuke yourself, which could be done multiple ways. However, if you try to launch a missile at yourself, a popup appears telling you that "You cannot attack yourself".
Another method that can be leveraged is the missile self-destruct feature. It can be performed when a missile has been launched against a country to cancel the attack. If we contact directly the URI used to trigger self-destruction (?id=XX&command=selfdestruct) while the missile is still in the silo, we can get the flag:



Rooting the connecting missile

This section was intented to be solved in multiple steps. It consisted in elevating our privileges on the virtual machine up to the root account. 
However, some teams, including the winners, decided to try another method, which you can read here: https://securite.intrinsec.com/2017/06/26/nuit-du-hack-2017-writeup-for-the-last-steps-of-wavestone-challenge/.

SNMSH - Secure Nuclear Missile Shell

In this step, you need to pop a shell on the missile. The fact that the port 2222 is open and that the flag looks like SSH gives some hints.
The first thing to notice was that using the command parameter, you could send arbitrary commands to the missile. Specific commands will trigger specific actions, and the rest will be run and be returning Unknown action....
This parameter, in its interpretation by the virtual missile, is vulnerable to command injection. Let's see what happens when we add ;ls to our command payload:


If we want to access the system, we should write our own public key to the authorized_keys file on the system. Here is a gist of the commands sent to the host to perform that:


Then, using our private key, we can connect with the www-data user account and get the first flag:



Please backup your data

Now we have a user account on the system, but we are not yet root. We need to find a way to elevate our privileges. An interesting file is the README.md file in the /var/www/html directory:

There are backups created every minute, with the /var/www/backups/backup.sh script:


This is a classic example of wildcard exploit in the tar command. Basically, the user is able to add command line switches to tar using files beginning with dashes. This can be leveraged by an attacker to execute commands on the system. We could use the same public key technique as before, but this time I will show another method, which we will reuse.

The goal is to design a small C code, that can be compiled under a compromised user account, and then used by a normal user account to elevate his privileges to the compromised one, in an interactive shell. We will be forced to use SUID programs and setresuid() C function:


Then the compiling script, which also sets the SUID bit:


The final step is to tell tar to execute our binary (which for me was in /tmp). We have to create two files in the /var/www/html directory, and a symbolic link pwn.sh to /tmp/pwn.sh:

  • --checkpoint=1
  • --checkpoint-action=exec=sh pwn.sh
Finally, we execute /tmp/elevate_to_backup and we can read the flag:



W00t R00t?

The last flag consisted in a root-owned file at /flag. The most common mistake granting root privileges is a misconfiguration of the sudo utility. We can list the action that can be executed using sudo -l. It is possible for us to execute /usr/bin/scp without providing a password as the "ackup-admin user.
Searching for scp special command line switches, we find that it is possible to execute commands using /usr/bin/scp -S <execfile> x y:. We can reuse the previous script:


Finally, running sudo -l with this account tells us that we are allowed to execute everything as root, without password. Let's use it to catch the flag!



Special flags

Versioning #1 / #2

The hint for these flags was in the name of the flag. Versioning refered to the fact that a Version Control System was used for the web application. In our case, it was linked to Github, so a .git directory was present and could be browsed using the Path Traversal vulnerability (f=../../.git):


Git is mostly using SHA-1 checksums for its objects to handle:
  • Data storage
  • Object relationships
  • etc
Data is store inside objects using Zlib compression, but going through every commit and every object of this repositorty by hand will be too difficult. Instead, why not rely on the standard git utility, provided we have a valid .git directory?
We can use the Path Traversal to list recursively .git sub-directories, then use the LFI to download the files in each directory. We designed a script that automates this task:


Then, we can cd to the root directory and call our favorite commands:

We can investigate further the commit 45bccb292520b4251fe68b3c13b37ab0ec64711b, where a flag was deleted:



I believe I can fly(er)

This flag was hidden in the first version of the flyer that was released on our Twitter account @SecuInsider. The difficulty that most contestants encountered was to find the correct picture to use. Our first tweet was providing a link to the original .png file in an answer:



We needed the original PNG file since the first step was using the LSB steganography technique to hide data. This could be solved using common stego tools, though the bit order was not the classic R-G-B one, and there was some header data before the actual file. 
The simplest way to solve it was to search for PNG LSB steganography on Google and to use the first result. Then, after easily installing OpenCV for Python, you could decode the image:


The new PNG file seems to be empty. However, using Photoshop/Gimp's magic wand or MSPaint's filling tool allowed the revelation of an underlying Brainfuck code:


This can be copied by hand in any online JS-based Brainfuck interpretor, but the failure risk is too high. Why not use a free OCR implementation, such as gOCR (which for an unknown reason did not seem to be able to recognize >):


Then, after a run in an interpretor:



I hope this is impossible

This flag was only intended as a motivation not to break our platform shoud a contestant find a way to compromise our server.
Luckly for us, that did not happen, and I still am the only one with this validation!

← Link to part 1

Thanks for playing with us,
Jean MARSAULT

Nuit du Hack 2017 - CTF Challenge Writeup - Part 1


The 15th edition of Nuit du Hack took place at Disneyland Paris' New York Hotel Convention Center. Wavestone was present during the day to present its cybersecurity-related activities. Additionally, we were hosting a jeopardy CTF challenge, with the following rewards for the winners:
  1. An XYZ Mini 3D printer
  2. A retro gaming kit based on a RPi 3
  3. A drone

The article below presents the intended solution of the challenge's author.

Intro: Registration & validation interface

The challenge was hosted online and available for everyone at https://wargame.aperture-science.fr. Let's register on this HTML1.0 platform and pwn the challenge like a real hacker security expert:


Upon successful login, we see that there are many flags to find, and so many teams already registered...


So let's not lose time, and click on "My vhost".

Platform recon & first flagz

Once the root certificate has been installed, I can access my virtual host securely:


The challenge has been designed for everyone, from beginner to expert, so while not all flags are easy, there must be easy ones. Therefore, we can start by searching for flags that would not require us to be authenticated.

Asimov's laws are wrong

The robots.txt file is intended for search engines' bots. This file indicates which file should not be indexed by which bot (with specific targeting based on the User-Agent). While our most sensitive pages will not be indexed, the robot.txt file is also a way of giving up every sensitive URI to a human attacker.
In this case:


In addition to the flag, I have just discovered a new directory: "lol_i_renamed_admin":


In this directory, there are two pictures and one not sensitive file. Always be curious, click the link:



Busted!

Next step in our recon phase would be to scan for known directory names. This can be used to discover hidden features, admin interfaces, etc. In order to perform the scan, I used the tool Pyrbuster and a wordlist from Dirbuster:

Browsing to that URL gives us the next flag:



Web attacks

Who are you now?

Now that the recon phase is over, we can start fooling around with the web application. There is a login form with no apparent credentials (admin/admin is not working). However, there are some hints in the source code:


We can use this testaccount account to log in to every country present on the interface. However, there is not much to do, since we only have access to the user list:


There must be something to see in this list that can get us to the next level. We observe that every country has its admin and testaccount accounts. However, France has an additional account called supervisor:


Since the login and passwords were identical for testaccount, we can try the same thing with the supervisor account. It works and gives us the flag:



Unauthorized discovery

The supervisor account has acces to a new feature, the store:


The URI is /store.php?f=missiles. If you try to perform a local file inclusion by modifying the f parameter, you end up redirected to this exact page. 
However, path traversal payloads trigger a different response, as shown with the value "..":


There is a possibility of listing files and directories using this features. There are protections in place to prevent me from going up too many levels. However, the value "../../" gives us a flag:



Forgotten past

Coming back to the main store page, it is possible to click on pictures to enlarge them. The user is redirected to a new page: view.php?name=static/img/missiles/1.jpg.
We can try to mess around with the name parameter, for example with the static/img/missiles/1.txt value as observed in the store:


This looks like a local file inclusion, but we need to now if the raw source file is read (with fopen for example) or if it is executed (with include / require). Positioning the name parameter to index.php shows that the source code has been executed. Therefore, there is an LFI vulnerability.
Remember the not sensitive file we came across with the help of robots.txt? Let's try to include that one:



GOD MODE

Now it is time to try and connect as admin. It is possible to spot an SQL injection on the login page, using the following payloads to connect as testaccount:
  • Login is testaccount' AND 'a'='a, password is testaccount → login is successful
  • Login is testaccount' AND 'a'='b, password is testaccount → login is denied
Some teams tried to use this SQL injection to dump data. However, direct output was not available, undifferenciated error messages prevented boolean-base blind, leaving only the time-based blind option. Given the stability of the network, this attack was not practical, and would not have been useful anyway.

Basic SQL injection payload, such as testaccount' AND 1=1# were not working. The login logic most likely relies on:
  • User account object retrieval based on the username
  • Comparison of the hash of the given password to the stored hash
In this scenario, we cannot use the injection to bypass the authentication wihtout knowing exactly how it works. But we can use the LFI vulnerability in combination with PHP wrappers to retrieve the source code:


The following code performs the necessary checks before enabling a user to log in and confirms our suspicions:


Using SQL's UNION statement, we can craft a query result from the database and make it appear as a real user object. The payload that was used to connect to a country, with password toto, is:


Using it gives us a new flag, a new menu "My missiles" and a new category of attacks!



MySQL Dumpster

The name of the flag almost gives it all. There is most likely a flag hidden in the database, which we will need to find using a standard SQL injection. The new menu allows us to add missiles to our stocks:


We can then view it at /view_missile.php?id=1. This sounds like SQL injection, which we can confirm by /view_missile.php?id=1 UNION SELECT 1,2,3,4,5,6,7,8,9%23:


Using the famous SQLMap, or by hand, we find the flags table, and the flag value. We can then dump the table to see the next flag (example by hand at  /view_missile.php?id=0 UNION SELECT flag,2,3,4,5,6,7,8,9 FROM flags LIMIT 1,1%23):



Link to part 2 →

Jean MARSAULT

CERT-W : Retour sur l'actualité de la semaine du 17 au 23 juillet


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le writeup (EN) du challenge présenté par Wavestone à la Nuit du Hack 2017.

Veille cybercriminalité

La vulnérabilité vieille de sept ans SambaCry utilisée pour déployer un malware sur des systèmes NAS

La vulnérabilité SambaCry (CVE-2017-7494) corrigée récemment, et permettant l’exécution de code à distance sur les logiciels Samba depuis la version 3.5.0 vieille de sept ans, a été utilisée par le malware SHELLBIND qui vise les équipements NAS. Le malware exploite SambaCry afin d’écrire une bibliothèque malveillante sur un partage, causant ainsi son exécution. Le payload injecté par le malware permettrait le minage de cryptomonnaies.

Une nouvelle vulnérabilité dans Ethereum a permis le vol de 30 millions de dollars

Une vulnérabilité dans les portefeuilles Web d’Ethereum a permis le vol de 30 millions de dollars sous la forme de trois transactions représentant un total de 150 milles Ether. Suite à l’annonce par la société Parity de la vulnérabilité, demandant aux utilisateurs de déplacer leurs Ether, près de 380 milles autres Ether à risques ont été déplacés par des White Hat vers des portefeuilles sécurisés en utilisant cette même vulnérabilité, empêchant ainsi leur potentiel vol.

Le Segway miniPRO peut être compromise en moins de 20 secondes

Le chercheur en sécurité Thomas Kilbride de la compagnie IOActive a découvert de multiples vulnérabilités sur le modèle d’hoverboard Segway Ninebot miniPRO, pouvant aboutir à sa prise de contrôle totale. En analysant l’application mobile permettant le contrôle du Segway, le chercheur a en effet découvert différentes vulnérabilités exploitables au travers d’une connexion Wi-FI, parmi lesquelles :
  • L’absence de nécessité de code PIN pour se connecter à l’équipement ;
  • L’absence de chiffrement des communications ;
  • L’absence de vérification d’intégrité du firmware ;
  • La possibilité de récupérer des informations sur la localisation de Segway proches.


Veille Vulnérabilité

Une vulnérabilité permettant l’exécution de code à distance découverte sur un serveur Paypal

Le chercheur Vikas Anil Sharma a découvert, dans le cadre du BugBounty proposé par Paypal, une vulnérabilité permettant l’exécution de code à distance. Pour découvrir cette vulnérabilité, le chercheur a commencé par chercher les différents sous domaines associés à l’adresse « https://*.paypalcorp.com » présente dans le Content-Security-Policy des réponses renvoyées par le serveur de BugBounty. Cette recherche lui a permis de découvrir le sous-domaine brandpermission.paypalcorp.com qui pointe vers un site exposant une fonctionnalité d’upload de documents. Cette fonctionnalité n’effectuant aucun contrôle sur les fichiers téléchargés, il a ainsi pu déposer un webshell lui permettant d’exécuter du code directement sur le serveur hébergeant l’application.
Sources :

La vulnérabilité BroadPwn corrigée dans la version 10.3.3 d’iOS

La vulnérabilité CVE-2017-9417 affectant les puces Wi-Fi Broadcom BCM43xx et corrigée plus tôt ce mois sur les appareils Android a été patchée sur les équipements iOS avec la version 10.3.3. Cette vulnérabilité, découverte par Exodus Intelligence, permet l’exécution de code arbitraire sur les équipements disposant de telles puces vulnérables.


Indicateurs de la semaine

Le leak de la semaine - Des millions de données de l’agence de transport Suédoise rendues publiques

L’histoire rendue publique récemment date en fait de 2015 quand l’agence nationale de transport Suédoise a contractualisé avec IBM le déplacement de ses données dans le cloud. Les données de l’ensemble des véhicules du pays, incluant les véhicules de police et militaires, ont alors été transmises en clair par mail aux commerçants en relation avec l’agence. Une fois l’erreur découverte, l’agence a simplement envoyé une nouvelle version de la base de données ne contenant pas les informations illégitimes, sans même demander la suppression des données précédemment envoyées.

Sources : 

L'exploit de la semaine – CVE-2107-8464

Microsoft a corrigé une vulnérabilité affectant ses derniers systèmes d’exploitation et permettant l’exécution de code arbitraire utilisant un fichier .LNK malveillant qui est incorrectement manipulée par les applications qui traitent l’icône du lien. Des chercheurs ont rapidement publié un POC, et un module metasploit a été soumis pour exploiter cette vulnérabilité.

Source : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

Nicolas DAUBRESSE

Hack.lu - Open-Source Security Software Hackathon


Les 2 et 3 mai 2017, Wavestone a participé à l'Open-Source-Security Software Hackathon (O3S), événement mis en place pour la première année par l’équipe organisatrice de la conférence Hack.lu.
Le hackathon s’est tenu dans les locaux de l’université du Luxembourg, et de nombreux projets étaient présents pour cet événement.

Présentation

L’objectif de l’O3S était de rassembler les équipes en charges de projets open-source liés à la sécurité, afin de collaborer sur les thèmes suivants :
  • Évolutions des outils existants ;
  • Interfaçage des projets existants ;
  • Réflexions autour de nouveaux outils.


L’O3S a eu lieu sur 2 jours et a permis aux différentes équipes de découvrir les projets en cours de développement et d’interagir sur les thématiques liées à la sécurité.

Principaux projets représentés

Les projets suivants ont été représentés durant le hackathon :


MISP




Le projet « Malware Information Sharing Platform », ou MISP, est un projet initialement développé par l’OTAN, puis par le CIRCL. Il a pour but la collection, le stockage et le partage d’indicateurs de compromission (IOC) liés aux incidents de sécurité gérés par une entité.
Une instance MISP permet notamment :
  • Le stockage des IOC en base, qu’ils soient d’ordre techniques ou non ;
  • La corrélation automatique des IOC afin de rapprocher des incidents de sécurité similaire ;
  • Le partage des IOC avec d’autres instances MISP, en respectant des niveaux de partages permettant de garantir la confidentialité de données sensibles ;
  • L’accès aux données au travers d’une interface web et d’une API ;
  • Le développement de modules complémentaires en Python.

MONARC




Method for an Optimised aNAlysis of Risks by CASES, ou MONARC, est un outil développé par le Cyberworld Awareness and Security Enhancement Services (CASES).
L’outil est développé à destination des PME, pour lesquels les formalisations classiques d’analyses de risques sont des processus longs et parfois coûteux. MONARC propose une gestion automatisée et simplifiée de l’analyse, construite autour de la norme ISO 27005:2011 et divisée en 4 étapes :
  • Définition du contexte
  • Modélisation des risques
  • Évaluation et traitement des risques
  • Surveillance et contrôle

CVE-Search


CVE-Search est un outil permettant l’import, la recherche et le traitement des éléments suivants :
  • Common Vulnerabilities and Exposures (CVE) : alias désignant par un nom unique une vulnérabilité sur un produit
  • Common Platform Enumeration (CPE) : standardisation sous un format unique des noms, éditeur et versions des produits affectés par les CVE
L’objectif principal de l’outil est d’accélérer les recherches de CVE / CPE parfois longues sur les plateformes publiques.


ICC Analysis – JSMF-Android




JSMF Android est un outil qui repose sur la bibliothèque JSMF pour l’analyse des communications inter-composants sur Android.
Le format d’entrée est un fichier APK, et l’outil permet différents types de visualisation pour observer les liens entre les différents composants de l’application (activités, instructions, points de sorties, etc).
Une démonstration en ligne est disponible à cette adresse : http://jsmf-android-visualization.list.lu 


VIPER



Viper est un framework d’analyse et de gestion de binaires. Il permet de stocker efficacement un ensemble de fichiers malveillants. 
Tel Metasploit, Viper permet ensuite d’exécuter un ensemble de scripts sur ces binaires, adaptés à chaque format :
  • Exécutables
  • Fichiers Office (OLE)
  • Fichiers email
  • Documents HTML
  • Images…

Shotovuln




Shotovuln est un outil récent (mars 2017) permettant d’automatiser la recherche de possibilités d’élévation de privilèges. 


CERTitude


CERTitude est un outil du CERT-Wavestone visant à aider les investigateurs dans leur tâche d’évaluation du périmètre compromis en cas d’attaque.
La particularité de CERTitude est qu’il s’agit d’un outil agissant à distance sur les  postes de travail, sans agent, et offrant un vue centralisée des résultats.
La participation au Hackathon nous a permis entre autres de :
  • Corriger un certain nombre de bugs / erreurs présents ;
  • Planifier des évolutions futures ayant pour but d’améliorer de manière signifiante les performances ; 
  • Introduire de nouvelles fonctionnalités, en accord avec les besoins actuels :
    • Recherche de mutex
    • Évaluation de règles Yara (en cours de développement)

Jean MARSAULT

CERT-W : Retour sur l'actualité de la semaine du 5 au 11 juin


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Jean MARSAULT du hackathon organisé par la Hack.lu.

Veille cybercriminalité

Analyse d’un service de DDoS à la demande

Un nouveau rapport démontre l’intérêt de se pencher sur le mode de financement des services de cybercriminalité, dans le cadre de la lutte contre ceux-ci.
Le service de DDoS à la demande étudié ici, a rapporté à ses créateurs jusqu’à plus de $42.000 par mois.

Le revendeur de jeux et matériel électronique Gamestop piraté

La chaîne spécialisée en revente de jeux vidéo Gamestop disposant de plus de 7000 points de vente et possédant notamment l’enseigne Micromania a notifié ses utilisateurs d’une fuite de leurs données de carte bancaire.
Le nombre d’utilisateurs concernés n’a pas été communiqué.

Les Raspberry PI ciblés par un malware de minage de crypto-monnaie

Un nouveau malware intitulé « Linux.MulDrop.14 » cible les Raspberry Pi insuffisamment sécurisés dans l’objectif de miner (fabriquer) de la crypto-monnaie (par exemple Bitcoin) pour le compte de son créateur.
Les possesseurs d’un Raspberry PI doivent s’assurer que le mot de passe du compte par défaut du système (pi) a été modifié.


Veille Vulnérabilité

Le logiciel de véhicule connecté de Subaru affecté par 8 vulnérabilités

Un chercheur sécurité a mis à l’épreuve Starlink, la technologie du constructeur Subaru permettant de contrôler à distance les fonctions multimédia, sécurité et sûreté, et a identifié des vulnérabilités permettant notamment d’agir sur le verrouillage du véhicule, accéder à sa géolocalisation…
Sources :

Utilisation de Intel AMT pour contourner le firewall Windows

Le groupe PLATINUM déjà auteur d’attaques sur les institutions et entreprises du sud et sud-est de l’Asie est connu pour réaliser un nombre d’attaques ciblées limitées par an, développer ses propres outils, utiliser des vulnérabilités non patchées et limiter ses traces au maximum.
Microsoft a découvert une évolution dans l’outillage de PLATINUM pour communiquer avec les hôtes infectés : l’utilisation du canal de communication Serial-over-LAN, via l’utilisation d’Intel AMT (Active Management Technology).
Le trafic réseau utilisé par AMT est entièrement cloisonné du reste du système d’exploitation, ce qui rend impossible l’analyse du trafic par l’OS hôte ou son firewall.


Indicateurs de la semaine

Le leak de la semaine

Le leak de la semaine est signé The Intercept. Il s’agit d’un rapport de la NSA dévoilant les vagues de phishing ayant touché les éditeurs de logiciels de machines de vote électronique et des fonctionnaires électoraux locaux. Le renseignement militaire russe est suspecté.
À noter qu’au passage, The Intercept a involontairement révélé l’identité de sa source en publiant des captures d’écran des documents watermarkés (numériquement tatoués), et l’a ainsi conduite à son arrestation.

Sources : 

L’outil de la semaine - InvokeCradleCrafter

Daniel Bohannon a récemment publié un module Powershell appelé « CradleCrafter ». Ce dernier permet la création de « Cradles », qui correspondent en PowerShell a des étapes d’obfuscation permettant de dissimuler le réel contenu d’un script malveillant.
Cet outil permet l’enchaînement de ces Cradles afin d’obtenir un payload personnalisé quasi indétectable par les antivirus.

Source : 

L'attaque de la semaine

Une étude réalisée par les chercheurs en sécurité chez ESET et Dragos démontre l’existence et l’utilisation d’un malware spécialement créé pour s’attaquer aux réseaux de distribution d’électricité, et pointent sa responsabilité dans l’attaque menée en décembre 2016 contre le réseau électrique Ukrainien ayant abouti aux coupures électriques dans la ville de Kiev pendant une heure.
L’objectif poursuivi par ce malware dénommé CrashOverride/Industroyer est le sabotage. Le groupe ELECTRUM ayant mené l’attaque est suspecté de liens avec la Russie.

Source : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

David CAZUC