SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : retour sur l'actualité de la semaine du 15 au 21 mai 2017



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, l'analyse des #MacronLeaks par Mahdi BRAIK.

Veille cybercriminalité

WannaCrypt n’est que le premier

WannaCrypt, la rançongiciel ayant compromis plusieurs centaines de milliers de machines, n’est que le premier à tirer parti des vulnérabilités rendues publique par le groupe ShadowBrokers. Actuellement, à minima deux autres logiciels malveillants exploitent la même faille de sécurité :

  • Adylkuzz, un logiciel malveillant qui exploite les ressources matérielles des machines infectées pour « miner » une crypto-monnaie nommée Monero.
  • UIWIX, un rançongiciel qui ne se propage pas de lui-même.
  • EternalRocks, qui embarquerait de nombreux exploits des ShadowBrokers en plus d’ETERNALBLUE

Le site Zomato piraté

Le site de recherche de restaurants Zomato a été victime d’une attaque qui a permis aux attaquants de voler notamment 17 millions de comptes, avec un mot de passe stocké en MD5.


YahooBleed

En envoyant un email contenant une pièce-jointe spécialement créée, un chercheur en sécurité a réussi à prouver qu’il pouvait obtenir partiellement des images appartenant à d’autres emails, y compris dans d’autres boîtes aux lettres.
La vulnérabilité réside dans la bibliothèque de manipulation d’image ImageMagick. En envoyant une image au format RLE spécialement formatée, l’attaquant récupère alors des données provenant de mémoire non-initialisée, et qui pourrait permettre de récupérer le contenu d’autres images étant traitées par les serveurs Yahoo.


Veille Outillage

Intégration des ACLs dans BloodHound

BloodHound est un logiciel permettant permettant d’identifier des chemins d’attaque dans un environnement Active Directory, inspiré des travaux d’Emmanuel Gras et Lucas Bouillot d’Alsid.
La dernière version intègre certaines vérifications sur les ACLs et permet ainsi d’identifier de nouveau chemins permettant la compromission de l’Active Directory.

Sources :

Déchiffrement des fichiers WannaCrypt

En cas d’infection d’une machine Windows XP ou Windows 7 par le rançongiciel WannaCrypt, il est parfois possible de récupérer la clé privée utilisée pour chiffrer les clés de chiffrement de fichiers, et ainsi de récupérer ses fichiers.

Sources : 

Désactiver la journalisation d’événements Windows

Lors d’un test d’intrusion, il peut être utilise de désactiver la journalisation d’événements de la cible afin d’éviter que les équipes du SOC ne détectent l’intrusion. Le projet Invoke-Phantom permet de supprimer tous les fils d’exécution du processus de journalisation Windows. Ainsi, le service apparaît actif mais les éléments ne sont pas journalisés.

Sources :

Indicateurs de la semaine

Le leak de la semaine – Travis CI

Une vulnérabilité a été identifiée dans la manière dont Travis CI, une solution hébergée d’intégration continue, gère la journalisation des commandes Git.
Certains tokens d’authentification OAuth pour Github pouvait se retrouver journalisés dans des logs accessibles publiquement.
Ces informations sont désormais remplacées par la chaîne de caractères « [secure ] » dans les logs.
Travis CI et Github ont collaboré pour révoquer les tokens d’authentification présents dans les logs.

Sources : 


L’exploit de la semaine – CVE-2017-0148

L’exploit de la semaine est évidemment celui correspondant au bulletin MS17-010, aussi connu sous le nom de code ETERNALBLUE. Faisant partie des exploits publiés par les ShadowBrokers il permet l’exécution de code à distance via le protocole SMB v1.
Originellement fonctionnel uniquement sur Windows 7 et Windows Server 2008, il vient d’être intégré au framework Metasploit, et une version ciblant Windows 8 et Windows Server 2012 vient également d’être publiée.

Sources : 


L’attaque de la semaine – Google Docs

Difficile cette semaine de ne pas mentionner le cas du rançongiciel WCry.
Très classique dans son fonctionnement, il se distingue par sa capacité à se répliquer via l’exploitation d’une faille dans le protocole SMB (MS17-010). Les entreprises et institutions publiques sont fortement touchées, de par le fonctionnement de type « vers » : un poste infecté tentera d’infecter tous les postes vulnérables du réseau.

Sources : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

Arnaud SOULLIE

Aucun commentaire:

Enregistrer un commentaire