| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Kaspersky Security Bulletin : Prédiction des menaces de 2018

newsletter cert opmd

Kaspersky a procédé à son rapport annuel de prédiction des principales menaces que nous allons voir en 2018.
Costin Raiu , Juan Andrés Guerrero-Saade et Kurt Baumgartner nous présentent dans cet article à la fois un bref retour sur ce qui avait été justement prédit en 2017 par Kaspersky Lab, mais aussi et surtout les nouvelles tendances de malware pour 2018.
Un top 9 des types de menace, qui vont de l’amélioration des supply-chains attacks comme on a pu le voir avec CCleaner, à l’expansion des malwares sur terminaux mobiles.
On peut aussi y lire ce que beaucoup ont ressenti : un besoin des attaquants de mieux connaître leur cible et donc d’avoir de plus en plus de compromissions BeEF-like avec du web profiling, qui est expliqué par le prix de plus en plus élevé d’un exploit. En effet si l’exploit est trop cher, il serait “dommage” pour un attaquant de le lancer dans le premier honeypot venu.

 

https://securelist.com/ksb-threat-predictions-for-2018/83169/ [EN]

Terror Exploit-Kit et le HTTPS : Une analyse de MalwareBytes

newsletter Cert OPMD

MalwareBytes présente sur son blog une analyse de Terror-EK, qui est un dropper du célèbre malware SmokeLoader (cf. le lien), et son utilisation en full HTTPS depuis peu, ce qui complique notamment la tâche des administrateurs système et des analystes sécurité pour détecter ce malware.
Contrairement à RIG exploit kit, qui utilise des URI prédictibles, Terror-EK évade systématiquement en utilisant plusieurs chaînes de malvertising (publicités malveillantes), sans referer static, combiné à des séquences de drops en HTTPS.
L’article décrit le travail de recherche de MalwareBytes et fournit des IOC sur Terror-EK.

 

https://blog.malwarebytes.com/threat-analysis/2017/11/terror-exploit-kit-goes-https-all-the-way/  [EN]

https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/ [EN]

Windows 10 et le system-wide ASLR : Quelques petits bugs

L’ASLR (Adress Space Layout Randomization) est un mécanisme de protection mis en place afin de mitiger des attaques telles que des exécutions de code à des adresses prédictibles de la mémoire.
Ce mécanisme a été mis en place par Microsoft depuis Windows Vista pour contrer les attaques sur la mémoire.
Cependant, Microsoft a introduit une erreur dans Windows 8 avec une fonctionnalité appelée System-wide ASLR.
Will Dormann a découvert ce problème : en activant cette fonctionnalité, les programmes sont bien réalloués, mais toujours à la même adresse.
Cela nuit donc à la sécurité du système.
Dormann donne donc un workaround (correctif temporaire) sur le problème, que nous vous invitons à suivre si vous avez activé cette fonctionnalité.

newsletter cert-opmd

Fuite d’information : UBER achète le silence des pirates à 100 000$

La firme Uber est une nouvelle fois sur le devant de la scène, cette fois après avoir révélée qu’ils avaient payé 100 000$ à des pirates informatiques afin de garder le secret sur une brèche découverte l’an dernier qui a permis d’exposer les données personnelles de 57 millions de comptes.
Il est contraire à la loi de certains pays de couvrir un tel événement de sécurité, et pour avoir fait cela, Uber risque plusieurs amendes, comme au Royaume-Uni où cela est puni par la loi avec une peine pouvant aller jusqu’à 500 000£.

Un bucket Amazon S3 contenant des informations de la NSA a été découvert

Il y a quelques semaines, des données sensibles des divisions CENTCOM et PACOM de l’armée américaine ont été exposées sur un Bucket Amazon S3 non sécurisé. Des experts de la firme de sécurité UpGuard ont trouvé des téraoctets de surveillance des médias sociaux militaires américains.
Cette fois ci encore la même équipe d’UpGuard a découvert un autre serveur Amazon bucket S3 contenant des documents de l’INSCOM, une agence conjointe de l’armée américaine et de la NSA impliquée dans les opérations de renseignement, de sécurité et d’information.

MacOS : une nouvelle vulnérabilité critique découverte - root:

Sur les Mac exécutant la dernière version de High Sierra – 10.13.1 (17B48) – il semble que n’importe qui peut se connecter avec l’utilisateur root simplement en mettant « root » dans le champ du nom d’utilisateur et laissant le champ mot de passe vide.
C’est une vulnérabilité extrêmement critique pour les gens qui n’ont pas déjà modifié le mot de passe root de leur machine. Apple va probablement le patcher sous peu.
En attendant nous vous conseillons de modifier le password root de votre machine pour vous protéger de cette faille (voir 2eme lien)

Il n’y a certainement pas de pénurie d’applications d’espionnage commercial pour Android, la plupart étant enregistré sur le store comme des outils de contrôle parental. En réalité, ces applications diffèrent à peine des logiciels espions, à l’exception peut-être de la méthode d’installation. Il n’est pas nécessaire de recourir au navigateur Tor ou à toute autre activité darknet, il vous suffit de taper quelque chose comme « app d’espionnage android » dans Google.
Ces logiciels sont appelés “Commercial” puisqu’en quelques clics et pour quelques dollars, n’importe qui peut en obtenir un.
C’est pourquoi Kaspersky Lab a décidé d’analyser les features de quelques uns de ces spywares.

“TEMPESTSDR” : un outil pour écouter les ondes radio non intentionnelles d’un écran

Si vous ne connaissez pas déjà sa définition, « TEMPEST » se réfère à des techniques utilisées par certaines agences d’espionnage pour espionner les équipements électroniques via leurs émissions radio non intentionnelles (ainsi que via les sons et les vibrations). Tous les composants électroniques émettent des sortes de signaux RF non intentionnels, et en capturant et en traitant ces signaux, certaines données peuvent être récupérées. Par exemple, les signaux involontaires provenant d’un écran d’ordinateur pourraient être capturés et reconvertis en une image en direct de ce que l’écran affiche.

 

https://www.rtl-sdr.com/tempestsdr-a-sdr-tool-for-eavesdropping-on-computer-screens-via-unintentionally-radiated-rf/ [EN]

cert@opmd.fr