SecurityInsider
Le blog des experts sécurité Wavestone

CERT-Solucom : retour sur l'actualité de la semaine du 15 au 19 août



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

[Brève] Shadow Brokers, les hackers de la NSA
Un groupe de hackers nommé Shadow Brokers affirme avoir réussi à récupérer les exploits présents sur un serveur de la NSA qu’ils auraient compromis.
Estimés à une valeur de 500 millions de dollars, ils ont prouvé la validité de certains d’entre eux, notamment EXTRABACON et EPICBANANAS, deux exploits ciblant les appliances Cisco.
Sources :
http://arstechnica.com/security/2016/08/group-claims-to-hack-nsa-tied-hackers-posts-exploits-as-proof/
https://blogs.cisco.com/security/shadow-brokers


[Brève] #OpGhoul, nouvelle opération à grande échelle ciblant plus de 30 pays
Détectée par Kaspersky, Ghoul est une nouvelle campagne d’attaque, ciblant plus de 130 entreprises des secteurs de l’industrie, de la production et de l’ingénierie et particulièrement active au Moyen-Orient.
Les malwares sont distribués par spear-phishing et récoltent a minima les informations sensibles des postes qu’ils infectent.
Sources :
https://securelist.com/blog/research/75718/operation-ghoul-targeted-attacks-on-industrial-and-engineering-organizations/


[Brève] PowerShell open-source et disponible pour Linux et Mac
Peu après l’introduction de Bash sous Windows, Microsoft rend open-source PowerShell, offrant alors une possibilité d’utilisation sous d’autres systèmes que Windows.
Sources :
https://azure.microsoft.com/en-us/blog/powershell-is-open-sourced-and-is-available-on-linux/
https://github.com/PowerShell/PowerShell


[Brève] Une nouvelle version de RowHammer permet de cibler les VM Linux hypervisées
Sous le nom de RowHammer sont regroupées les attaques de type bit-flip permettant de modifier le contenu de données en mémoire par répétition d’opération triviales (ex : assignation d’une valeur à une variable).
Les dernières avancées dans le domaine ont été présentées à la conférence USENIX et permettent à un attaquant possédant une VM gérée par un hyperviseur d’attaquer les autres VM gérées par cet hyperviseur.
Sources :
https://www.schneier.com/blog/archives/2016/08/powerful_bit-fl.html
http://news.softpedia.com/news/new-ffs-rowhammer-attack-targets-linux-vm-setups-507290.shtml
https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_razavi.pdf


[Brève] FalseCONNECT, la vulnérabilité qui cible les proxy
Encore une attaque sur SSL/TLS ? Oui, mais pour une fois, ce dernier n’est pas ciblé directement.
Il s’agit d’une attaque sur l’implémentation par certaines outils de l’authentification sur les proxy et de la gestion des codes d’erreur HTTP/407.
Sources :
http://falseconnect.com/
https://news.slashdot.org/story/16/08/16/0322244/falseconnect-vulnerability-affects-software-from-apple-microsoft-oracle-more


[Brève] Windows : Yet another UAC bypass
Les attaques sur le contrôle de compte d’utilisateur (UAC) sont monnaie courante, puisque ce dernier se présente comme l’ultime barrière lors de la compromission d’un compte administrateur.
Ce dernier contournement possède la particularité de ne pas se servir du système de fichiers, l’attaquant gagnant par conséquent en furtivité.
Sources :
https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
https://threatpost.com/latest-windows-uac-bypass-permits-code-execution/119887/


[Brève] Firefox et Chrome vulnérables à une attaque sur la barre d’adresse du navigateur
Le chercheur Rafay Baloch a présenté à la Black Hat Asia une attaquant ciblant la barre d’adresse des navigateurs Chrome et Firefox.
En utilisant des caractères Unicode permettant de contrôler le sens de lecture d’un texte, un attaquant peut leurrer un utilisateur en lui faisant croire qu’il navigue sur un site différent du site sur lequel il se trouve.
Sources :
https://threatpost.com/browser-address-bar-spoofing-vulnerability-disclosed/119951/


[Brève] Spooky action at a (space) distance : un PoC par la Chine
Baptisée « Spooky action at a distance » par Einstein, l’intrication quantique est le phénomène au cœur de l’informatique quantique.
Le 15 août, la Chine a placé en orbite avec succès QUESS, le premier satellite dédié à l’étude de ce phénomène et son impact en cryptographie, lors de communications entre le satellite et le centre de contrôle.
Sources :
http://english.cas.cn/newsroom/news/201608/t20160816_166485.shtml
https://techcrunch.com/2016/08/16/china-launches-the-first-quantum-communications-satellite-and-what-is-that-exactly/


[Brève] Hausse importante dans le nombre d’infections des hôpitaux par Locky au Japon et aux US
Le ransomware Locky, toujours actif, continue à faire des ravages dans le milieu médical.
Un pic d’activité a été atteint en août au Japon et aux US, Locky totalisant désormais 69% des pièce jointes malveillantes dans les emails.
Sources :
http://www.theregister.co.uk/2016/08/18/fireeye_warns_massive_ransomware_campaign_hits_us_japan_hospitals/

Jean MARSAULT

Aucun commentaire:

Enregistrer un commentaire