| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

1.4 Milliards d’identifiants découverts dans le dark web

Encore un nouveau dump de 41 Go d’identifiants et de mots de passe en clair trouvés dans le darknet. Selon @4iQ, l’auteur de cette découverte, c’est la plus large agrégation de leaks de passwords jamais découverte. Ce dernier précise que les mots de passe sont en clair et que la plupart qu’il a testé sont fonctionnels. Le dump est bien structuré et contient au total 252 leaks différents dont LinkedIn.

Windows 10 : Vulnérabilité critique dans le gestionnaire de mot de passe

Le chercheur Tavis Ormandy, de l’équipe Project-Zero de Google a publié une vulnérabilité critique dans le gestionnaire de mots de passe préinstallé par défaut sur les systèmes Windows 10. La présence de ce gestionnaire de mots de passe nommé Keeper avait été signalée il y a 1 mois sur le forum Reddit. En l’espace de quelques Tweets, le chercheur a réussi à exploiter une vulnérabilité très similaire à celle qu’il avait trouvé sur Keeper en 2016. Cette dernière permet à n’importe quel site internet de dérober n’importe quel mot de passe stocké dans Keeper. L’équipe de développement de Keeper a corrigé la vulnérabilité avec la version 11.4. Cependant la question à laquelle on n’a pas encore de réponse, c’est pourquoi ce gestionnaire de mot de passe est préinstallé ?

Apple : iOS 11.1.2 jailbreak

Le chercheur Ian Beer, de l’équipe Project-Zero de Google a publié une technique permettant de jailbreak “déverrouiller” la version 11.1.2 d’iOS. La technique utilise le kernel task port (tfp0) comme vecteur d’attaque. Vous trouverez plus de détails dans l’article ci-dessous.
Il faut noter que le jailbreak d’iOS a perdu en popularité depuis quelque mois, ce qui a causé la fermeture récente de 2 des 3 plus grands repositories Cydia.

Windows : Patch tuesday décembre 2017

Durant le traditionnel Patch Tuesday de Microsoft pour ce mois de décembre, 34 vulnérabilités ont été corrigées. Parmi ces dernières, 21 sont classées critiques et 13 importantes. Dans ce lot de 34 vulnérabilités, on note le bulletin ADV170021 dans lequel Microsoft informe que le protocole DDE, exploité par la vulnérabilité CVE-2017-11826, est maintenant désactivé par défaut.
Les autres vulnérabilités impactent des solutions de Microsoft telles que Scripting engine, MMPE (Microsoft Malware Protection Engine), Exchange, Office et Sharepoint.

Triton : une attaque élaborée par l’Iran et destinée à l’Arabie-Saoudite ?

Des experts en sécurité des entreprises FireEye et Dragos ont publié la semaine dernière un article sur un nouveau malware nommé Triton (TRISIS) et spécialement dédié aux infrastructures industrielles (ICS). Ce dernier a été découvert suite à une mission de réponse à incident pour un client localisé au Proche-Orient et dont le nom est tenu secret. Le malware a été produit dans le but de causer des dommages physiques ou de neutraliser des opérations critiques qui reposaient sur le contrôleur Schneider Electric’s Triconex Safety Instrumented System.
La souche de ce malware a par la suite été analysée par des chercheurs de l’entreprise CyberX. D’après eux, le malware a été développée par l’Iran et il cible l’Arabie-Saoudite.

Trois personnes liées au botnet Mirai arrêtées et jugées

Trois suspects, dont deux identifiés depuis Janvier 2017 par Brian Krebs, ont été jugés et reconnus coupables d’être les auteurs du botnet Mirai, par le département de justice des USA. Mirai est un botnet de machines connectées (IoT) qui a marqué les esprits en début 2017 notamment avec des attaques DDoS qui ont paralysé des géants tel que OVH. Une souche du malware a été analysée pour la première fois en 2016 sur le forum MalwareMustDie. Son code source a par la suite fuité sur internet.
Les auteurs de Mirai détenaient une entreprise nommée Protraf Solutions LLC, une compagnie qui proposait des solutions anti-DDoS. Ils faisaient du chantage aux entreprises en échange de ne pas les cibler avec Mirai, ou bien après attaques DDoS, ils proposaient leur service aux entreprises ciblées. Les auteurs ont aussi reconnu avoir mené des attaques de type click & fraud en utilisant le botnet Mirai.

Dridex Malware : Un banquier incarcéré pour 6 ans

Un banquier du nom de Jinal Pethad, travaillant pour Barclays, a été jugé et reconnu coupable pour association de malfaiteur avec un réseau de cybercriminels. En effet, il aurait profité de sa position d’employé dans la banque Barclays afin d’aider deux cybercriminels possesseurs d’un botnet du malware Dridex, dans le blanchiment de leurs gains. Pour se faire, il a créé plus de 105 faux comptes bancaires afin d’y répartir plus de 3 millions de dollars que ces complices cybercriminels ont amassé avec Dridex entre 2014 et 2016. Pour rappel, Dridex est un malware visant à voler vos données bancaires afin de pouvoir faire des virements ou encore vendre vos codes de carte bleu.

PRILEX : le malware qui cible les DAB (ATM) au Brésil

Des chercheurs de TrendMicro ont trouvé plus de détails sur le malware PRILEX, découvert par Kaspersky en octobre. D’après le rapport de TrendMicro, les patterns contenus dans les DLL ciblées permettent de conclure que le malware vise des banques brésiliennes.
Ce dernier intercepte les codes des cartes bancaires en injectant une interface graphique par dessus celle de l’application légitime du DAB. Une fois le code saisi par la victime, le malware le récupère et le transfert vers son serveur C&C, ce qui est une chose très rare chez les malwares ciblant les ATM.