SecurityInsider
Le blog des experts sécurité Wavestone

CERT-Solucom : retour sur l'actualité de la semaine du 21 juin 2015



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité.
Retrouvez également notre compte-rendu de la conférence Hack In Paris 2015.

[Brève] La compagnie aérienne polonaise LOT suspend 10 vols suite à la compromission supposée du système de contrôle au sol de ses avions
Aucune information technique concernant cette attaque n’a été dévoilée si ce n’est qu’il n’était plus possible de créer des plans de vol.
Sources :
http://www.welivesecurity.com/2015/06/22/polish-airline-lot-grounded-first-attack-kind/
[Brève] L’ANSSI met à disposition des outils facilitant l’homologation de sécurité
L’homologation est une étape obligatoire pour les systèmes d’information traitant d’informations classifiées de défense (IGI 1300) et ceux permettant des échanges entre une autorité administrative et les usagers, ou entre autorités administratives (RGS).
Sources :
http://www.ssi.gouv.fr/actualite/lanssi-met-a-disposition-des-outils-facilitant-lhomologation-de-securite/
http://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/

[Brève] Le CERT-FR propose une méthode de détection des attaques Kerberos Golden et Silver Ticket au sein des journaux d’évènements Windows
Il a été remarqué que les outils disponibles permettant de forger des tickets à titre éducatif, tel l’outil PyKek développé par Sylvain MONNE, intègrent aux champs des évènements générant des éléments permettant de les différencier.
Le CERT-FR rappelle néanmoins que les méthodes de détection proposées peuvent facilement être contournées par des attaquants, en modifiant les champs identifiés.
Sources :
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-025/CERTFR-2015-ACT-025.html
http://adsecurity.org/?p=1515

[Brève] Microsoft publie une version d’évaluation de la solution Advanced Threat Analytics réalisant une supervision sécurité des attaques sur les domaines Windows
La version dévoilée supporte notamment les critères de détection suivants :
  • Vol et rejeu de crédentiels : Pass the hash, Pass the ticket, Over-Pass the hash etc.
  •  La famille d’exploits des vulnérabilités MS14-068 ;
  • Utilisation de Golden Ticket ;
  • Reconnaissance DNS ;
  • Bruteforce de mot de passe.

Sources :
http://adsecurity.org/?p=1583
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics


[Brève] Cisco publie des patchs de sécurité pour ses produits WSAv, ESAv et SMAv en réponse à la présence de clés SSH par défaut sur ces appliances virtuelles
Un attaquant récupérant une telle clé sur une seule appliance serait notamment en mesure de s’authentifier avec le compte utilisateur root sur toute appliance non patchée.
Sources :
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport
http://www.tripwire.com/state-of-security/latest-security-news/cisco-issues-patches-for-multiple-default-ssh-keys-vulnerabilities/


[Brève] Des chercheurs de MWRLabs publient le détail de vulnérabilités utilisées lors du Mobile Pwn2Own 2014 affectant le smartphone Amazon Fire Phone
En combinant toutes ces vulnérabilités, les chercheurs ont réussi à mettre en évidence le scénario suivant :
  • L’utilisateur consulte une page Web malveillante ;
  • Cette page retourne du code JavaScript utilisant une interface spécifique permettant d’exécuter du code natif, afin d’installer une application arbitraire, en l’occurrence un agent Drozer ;
  • Enfin, cet agent Drozer exfiltre tous les SMS et passe des appels à l’insu de la victime.

Sources :
https://labs.mwrinfosecurity.com/blog/2015/06/25/set-fire-to-the-phone/
https://www.mwrinfosecurity.com/products/drozer/

[Brève] La solution de mise à jour des logiciels Samsung sur Windows désactive Windows Update à l’insu des utilisateurs
Sources :
http://bsodanalysis.blogspot.ro/2015/06/samsung-deliberately-disabling-windows.html

[Brève] Le clavier virtuel SamsungIME pour Android vulnérable à une exécution de code arbitraire lors de son étape de mise à jour
Dans la mesure où cette application est installée directement par Samsung sur la couche Android, celle-ci bénéficie du niveau de privilège maximum sur le système.
Sources :
https://www.nowsecure.com/keyboard-vulnerability/
https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-phones/

[Brève] La société Context dévoile des statistiques concernant les vulnérabilités applicatives découvertes lors d’audits de sécurité déroulés depuis 2013 sur 3,475 applications Web
La tendance globale montre que :

  • Le nombre de vulnérabilités applicatives et leur impact reste le même ;
  • Le nombre de vulnérabilités liées à l’infrastructure est en baisse, notamment sur le périmètre externe exposé sur Internet.

Sources :
http://www.contextis.com/resources/blog/vulnerability-statistics-trends-2015/


[Brève] La société Quarkslab publie les résultats de l’audit de l’application de messagerie instantanée sécurisée ChatSecure
Sources :
http://blog.quarkslab.com/security-assessment-of-instant-messaging-app-chatsecure-when-privacy-matters.html
[Brève] La NSA et le GCHQ cherchent des vulnérabilités au sein de la solution antivirale Kaspersky
Sources :
https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky/
https://www.virusbtn.com/blog/2015/06_23.xml


[Brève] Un chercheur en sécurité de Google trouve des vulnérabilités au sein des solutions antivirales d’ESET permettant d’exécuter du code arbitraire à distance sans besoin d’interaction des utilisateurs
Sources :
http://googleprojectzero.blogspot.fr/2015/06/analysis-and-exploitation-of-eset.html
http://www.networkworld.com/article/2940193/critical-flaw-in-eset-products-shows-why-spy-groups-are-interested-in-antivirus-programs.html


[Brève] FireEye détaille la vulnérabilité 0day CVE-2015-3113 affectant Adobe Flash utilisée par le groupe APT3 lors de l’opération « Clandestine Fox »
Sources :
https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html


[Brève] Une gang de cybercriminels suspectés de développer et d’exploiter les malwares bancaires ZeuS et SpyEye arrêté en Ukraine
Sources :
https://www.europol.europa.eu/newsletter/major-cybercrime-ring-dismantled-joint-investigation-team


[Brève] Une équipe de chercheur démontre qu’il est possible de recouvrir une clé de chiffrement en réalisant une écoute passive de l’activité électromagnétique du processeur
Sources :
http://www.tripwire.com/state-of-security/latest-security-news/hackers-can-use-pita-bread-to-steal-laptop-encryption-keys-say-researchers/


[Brève] Le fonctionnement du malware Dridex détaillé
Sources :
http://www.tripwire.com/state-of-security/latest-security-news/hackers-can-use-pita-bread-to-steal-laptop-encryption-keys-say-researchers/


[Brève] VeraCode publie les résultats d’une analyse sur la sécurité des applications
Sources :
http://www.networkworld.com/article/2941393/software-developers-are-failing-to-implement-crypto-correctly-data-reveals.html
https://www.veracode.com/sites/default/files/Resources/Reports/state-software-security-report-june-2015-report.pdf


[Brève] La société RecordedFuture publie un rapport sur la fuite d’identifiants fédéraux (.gov) lors d’attaques de sites publics
"Recorded Future identified the possible exposures of login credentials for 47 United States government agencies across 89 unique domains. As of early 2015, 12 of these agencies, including the Departments of State and Energy, allowed some of their users access to computer networks with no form of two-factor authentication."
Sources :
https://www.recordedfuture.com/government-credentials-report/
http://www.wired.com/2015/06/hundreds-gov-credentials-found-public-hacker-dumps/


[Brève] Symantec publie le scénario d’attaque d’une boite mail en connaissant uniquement l’adresse mail et le numéro de téléphone associé
"Security firm Symantec is warning people about a new password recovery scam that tricks users into handing over their webmail account access to the attackers."
Sources :
http://www.symantec.com/connect/blogs/password-recovery-scam-tricks-users-handing-over-email-account-access/


[Brève] Le site web hotels.com victime de phishing
Sources :
http://threatpost.com/hotels-com-phishing-scam-duping-travelers/113457


[Brève] Selon le FBI, les ransomwares auraient rapportés plus de 18 millions de dollars à leurs exploitants
Sources :
http://arstechnica.com/security/2015/06/fbi-says-crypto-ransomware-has-raked-in-18-million-for-cybercriminals/


[Brève] Rappel : le support de Windows Server 2003 par Microsoft se termine le 14 juillet 2015
Le CERT-US rappelle que les 12 millions de serveurs fonctionnant encore sous cette version ne recevront plus de mise à jour logicielle et de sécurité, ni de support technique de la part de Microsoft.
Le principal risque de sécurité à ne pas migrer ces serveurs étant l’augmentation de la surface d’attaque pour des vulnérabilités qui seraient découvertes a posteriori.
Sources :
http://www.microsoft.com/en-us/server-cloud/products/windows-server-2003/
https://www.us-cert.gov/ncas/alerts/TA14-310A

Thomas DEBIZE, Romain MEILLERAIS, Soufiane JOUMAR & Thomas REMOND

Aucun commentaire:

Enregistrer un commentaire