| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Flash Player : Une faille zero day exploitée dans la nature

Le CERT sud-coréen KR-CERT, a lancé une alerte mercredi dernier concernant l’exploitation d’une vulnérabilité zero day sur le produit Adobe Flash Player. L’attaque serait menée par un groupe de pirates nord-coréens, ciblant plus particulièrement des citoyens sud-coréens depuis mi-Novembre 2017.
La vulnérabilité, identifiée par la CVE-2018-4878, impacte les versions 28.0.0.137 et inferieures de Flash Player, sur Window, Mac et Linux. Adobe prévoit de fournir un correctif au courant de cette semaine.
Les attaquants utilisent des fichiers offices malveillants envoyés par mail et qui embarquent du contenu Flash destiné à exploiter la vulnérabilité. Il serait aussi possible pour un attaquant d’exploiter cette vulnérabilité en incitant la victime, qui possède un navigateur vulnérable, à visiter une page web distribuant du contenu flash malveillant.

https://thehackernews.com/2018/02/flash-zero-day-exploit.html [EN]

http://www.01net.com/actualites/une-faille-zero-day-dans-flash-permet-de-pirater-les-pc-a-volonte-1364370.html  [FR]

Spectre-Meltdown : Attention les malwares arrivent

La société d’antivirus AV-TEST a signalé Mercredi dernier une augmentation significative du nombre de malwares tentant d’exploiter les vulnérabilités Spectre et Meltdown. En effet le 17 janvier, AV-TEST avait fait état de 77 souches différentes de malware détectées. Ce Mercredi AV-TEST nous apprend que ce chiffre est passé à 139 souches différentes. Ceci montre que des malwares destinés à exploiter ces vulnérabilités sont activement développés en ce moment.
Toutefois les souches récoltées utilisent pour la plupart des codes de “preuves de concepts” déjà disponibles sur GitHub, à l’exemple du code JavaScript destiné à exploiter la faille Spectre depuis un navigateur.
Même si pour le moment ces souches ressemblent plus à des tests, il ne serait pas surprenant, d’ici quelques semaines, de voir dans la nature des malwares complètement capable d’exploiter ces vulnérabilités. Les navigateurs risquent d’être les plus visés par ces attaques notamment via des exploitations basées sur JavaScript.

Micros Oracle POS : 300.000 systèmes de paiement impactés par une vulnérabilité

Une vulnérabilité classique de type “directory traversal” mais aux effets dévastateurs impacte le système MICROS d’Oracle dédié aux points de vente (PoS). En effet l’exploitation de cette vulnérabilité identifiée par la CVE-2018-2636 permet à un attaquant distant d’accéder à des informations sensibles telles que le mot de passe de la base de données connectée au PoS. Ce mot de passe, sous forme de hash, ainsi que l’identifiant sont en effet stockés dans le fichier SimphonyInstall.xml ou Dbconfix.xml.
La faille a été reportée à Oracle par l’entreprise ERPScan. Un correctif a été fourni par l’éditeur dans son bulletin de sécurité de Janvier 2018.
Une preuve de concept permettant de récupérer des informations sensibles sur un système MICROS vulnérable a été fournie par ERPScan.

Strava : La map qui révèle plus que les parcours des joggeurs

Strava, une application spécialisée dans le tracking GPS des IoT fitness tels que les smartphones et les bracelets fitbit a publié une carte répertoriant les activités de l’ensemble des ses utilisateurs en 2017. Malheureusement la carte révèle des choses qu’elle ne “devrait” pas. En effet l’application est largement utilisée par les militaires durant leur jogging surtout de l’armée américaine. Ces derniers, ont ainsi involontairement partagé leurs positions, ce qui a permis à des experts de localiser des bases militaires secrètes américaines à travers le monde (Afghanistan, Syrie et Somalie). La carte révèle aussi la localisation de la base RAF Mount Pleasant du Royaume Uni au Falkland ainsi que des bases militaires russes.
Un chercheur a aussi montré qu’il était même possible d’accéder aux noms des personnes ayant été présentes sur une zone spécifique de la carte.
De son côté Strava assure que les données publiées ont été volontairement partagées par les utilisateurs. En effet ces derniers ont le choix de garder les données en privé ou de les partager.
Ces informations critiques peuvent mettre en danger la vie des militaires sur le terrain. La sensibilisation de ces derniers sur l’usage des IoT devrait être revue.

CISCO VPN : Une faille critique à corriger d’urgence

Une vulnérabilité critique impactant Cisco Adaptive Security Appliance (ASA) a été découverte. Un attaquant distant peut l’exploiter afin de provoquer un redémarrage du système, un blocage de l’authentification des utilisateurs, ou encore pire une exécution de code permettant de prendre le contrôle total du système.
La faille est due à une mauvaise gestion des allocations et libérations de la mémoire lorsque le système traite un paquet contenant des données spécialement assemblées au format XML.
Seules les systèmes ASA ayant activé le service Secure Socket Layer (SSL) ou le service VPN IKEv2 sont vulnérables.
L’éditeur a fourni ce 05 Février un deuxième correctif pour cette vulnérabilité suite à un premier correctif incomplet.

Monnaies électroniques : Prolifération des botnets de minage

La tendance de l’adoption de la cryptomonnaie se fait ressentir jusque dans le milieu cybercriminel. En effet on note une tendance accrue vers les malwares destinés à miner des cryptomonnaies au détriment des ransomwares qui avaient le vent en poupe les années précédentes.
Ces derniers malwares, organisés sous forme de botnet, se propagent de différentes manières.
Le botnet DDG par exemple, se propage en exploitant des vulnérabilités sur les serveurs de bases de données tels que Redis ou OrientDB. Les chercheurs de Qihoo 360 qui ont réussi à s’introduire dans le botnet, révèlent que ce dernier, actif depuis 2016, aurait permis à ses acteurs d’amasser 3,395 Monroe coins ($ 925.383) et 2,428 XMRs ($ 661.759).
Récemment un chercheur de Proofpoint a découvert un autre botnet du nom de Smominru. Ce dernier se propage en exploitant la faille EternalBlue à la manière de WannaMine découvert en octobre 2017 par Panda Security. Le chercheur de Proofpoint qui a réussi à s’introduire dans le botnet Smominru informe que ce dernier, actif depuis Mai 2017, a réussi à amasser 8,900 Monero (équivalent entre $2.8M et $3.6M).

Conférence & Rencontre : CoRI&IN

Cette année encore, l’équipe du CERT-OPMD s’est rendu à l’événement organisé par le CECyF juste avant le FIC : CORI&IN.
La quatrième édition de cette conférence, dédiée aux techniques de la réponse aux incidents et de l’investigation numérique a eu lieu à Lille, et a pour but de permettre aux enquêteurs spécialisés, aux experts judiciaires, juristes, chercheurs, membres de CERTs, etc. de partager et échanger sur les techniques du moment.
Par ce bref retour, le CERT-OPMD vous partage son ressenti sur ces excellentes présentations.