| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Google Chrome : Plus de 20 millions d’utilisateurs victime de plugins malicieux destinés à bloquer les publicités

Le chercheur en sécurité Andrey Meshkov a identifié 5 extensions malveillantes contenues dans le store de Google Chrome. Ces extensions ou plugins se faisant passer pour des bloqueurs de pubs (ad blockers) ont été installées sur au moins 20 millions de postes utilisateurs. Les menaces de type extensions de navigateur sont critiques car elles ont un accès total à toutes les données de navigations : Mots de passe, cartes bancaires, favoris, données personnelles…
D’après les analyses de Meshkov, les 5 plugins malveillants retrouvés, utilisent des versions modifiées de plugins légitimes dans lesquelles ils rajoutent du code malveillant ayant pour but de renvoyer vos données personnelles à un serveur distant ou même de recevoir des commandes à exécuter.
Google a retiré ces plugins de son store après avoir été informé par Meshkov.

https://blog.adguard.com/en/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers/ [EN]

LinkedIn : Le plugin AutoFill expose les informations privées de votre profil

AutoFill est un plugin fourni par LinkedIn qui permet d’auto-compléter un formulaire avec vos données personnelles telles que : Nom, Prénom, numéros de téléphone, adresse, poste et entreprise actuelle… Normalement le plugin est prévu pour ne fonctionner que sur certains sites partenaires de LinkedIn. Cependant un jeune passionné de sécurité a réussi à extraire ces données depuis un site quelconque et à l’insu de l’utilisateur. En effet, dès que l’utilisateur effectue un clic sur n’importe quel page du site malveillant, les données d’AutoFil sont automatiquement récupérées par celui-ci.
Suite à un premier correctif partiel, LinkedIn a annoncé la mise en place de restrictions plus strictes empêchant l’accès à ces données en dehors des sites partenaires. Toutefois ces données restant toujours accessibles aux partenaires, elles peuvent donc être récoltées à l’insu de l’utilisateur.
Cette découverte n’est pas en soit une faille critique, mais dans le contexte du récent scandale Cambridge Analytica de Facebook, l’accès aux données personnelles via des moyens détournés est devenu un réel problème de sécurité surtout pour un géant du web comme LinkedIn.

https://lightningsecurity.io/blog/linkedin/ [EN]

CCleaner : Retour sur les circonstances de l’intrusion chez Piriform

Vers fin 2017, l’éditeur Piriform avait subi une intrusion informatique ayant entraîné une modification du célèbre logiciel de nettoyage CCleaner provoquant ainsi l’infection de nombreuses machines à travers le monde. A la suite de la détection de cette attaque de type supply-chain, des investigations ont été menées et les résultats nous sont présentés dans cet article.
On y apprend que les attaquants se sont introduits dans le réseau de Piriform cinq mois avant la distribution de la version infectée de CCleaner. Cette intrusion se serait produite le 11 mars 2017 via une session TeamViewer d’une machine appartenant à un développeur. Les attaquant auraient utilisé des mots de passe du développeur retrouvés dans des bases de données ayant fuité sur internet. Ensuite les attaquants se sont déplacés latéralement dans le réseau via RDP. Ils auraient fait usage de la backdoor ShadowPad ainsi que d’un keylogger afin de garder une persistance sur le système d’information de Piriform et de récolter des informations. Ce n’est qu’à partir du 2 août 2017, après l’acquisition de Piriform par Avast, que les attaquants ont modifié la version de CCleaner téléchargeable par tous les clients. Cette distribution massive a impacté plus de 2 millions d’utilisateurs avant que des chercheurs de Talos ne découvrent la menace le 13 septembre 2017.

https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer [EN]
https://thehackernews.com/2018/04/ccleaner-malware-attack.html [EN]

Actualité : Le CERT-FR lance l’alerte suite aux campagnes d’attaques ciblant les équipements réseaux

Suite aux récentes attaques mondiales visant les équipements réseaux, le CERT-FR a émis un bulletin d’alerte visant à sensibiliser les entreprises. En effet, comme vous avez pu le remarquer dans nos précédentes newsletters, des campagnes d’attaques ciblant les switch Cisco en Russie et en Iran ont récemment été détectées. De plus une vulnérabilité critique impactant le service Smart Install des switches Cisco a récemment été découverte accompagnée d’un code d’exploitation public.
Compte tenu de ce contexte, et de la “négligence” constatée en terme de gestion de vulnérabilités sur les équipements réseaux, l’ANSSI et le CERT-FR ont décidé de publier ce bulletin. Une piqûre de rappel sur les dangers de l’exposition de services tels que SNMPV2, CISCO Smart Install, UPNP, TFTP et les interfaces d’administration sont disponibles dans le bulletin.
Pour information, en France près de 4300 switch Cisco appartenant parfois à des entités sensibles (défense, bancaire, télécom…) exposent le service vulnérable Smart Install.

https://www.cert.ssi.gouv.fr/actualite/CERTFR-2018-ACT-007/ [FR]

Cisco Webex : Une vulnérabilité critique permet d’exécuter du code à distance

Une vulnérabilité critique a été découverte sur Cisco WebEx Business Suite clients, et Cisco WebEx Meetings. Un attaquant distant et authentifié, peut l’exploiter afin d’exécuter du code arbitraire sur le système.
Cette vulnérabilité est due à une mauvaise validation des données fournies par l’utilisateur via le client Cisco WebEx. Pour exploiter cette vulnérabilité l’attaquant peut envoyer une invitation sous forme d’un fichier flash (.swf) malveillant via la fonctionnalité de partage de fichier du client. Lorsque l’invité ouvre la fichier swf malveillant la vulnérabilité est automatiquement exploitée.
Il n’existe pas de contre-mesure pour se protéger contre cette vulnérabilité, cependant des versions corrigées sont disponibles.

https://securityaffairs.co/wordpress/71525/breaking-news/cisco-webex-flaw.html [EN]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs [EN]

Stegware : L’usage des techniques de stégano devient de plus en plus fréquent dans les malware

Simon Wiseman, CTO de Deep Secure, a présenté lors de la conférence RSA 2018 les dernières techniques et tactiques de sténographie de plus en plus utilisées par les malwares. Habituellement employée par les services de renseignements ou les terroristes, la stéganographie est désormais utilisée par les pirates.
En effet, les malwares se servent de plus en plus de la stéganographie pas seulement pour infecter des machines, mais pour le contrôle à distance, la furtivité, l’exfiltration de la donnée ou encore comme moyen de substitution au chiffrement.
Les cas qui sont les plus souvent rencontrés par les experts sont des malwares qui se présentent sous la forme d’une image. L’attaque lors des jeux olympiques d’hiver à PyeongChang en est un parfait exemple.

https://threatpost.com/use-of-stegware-increases-in-stealth-malware-attacks/131293/ [EN]

Fox-it : Plusieurs vulnérabilités impactent le lecteur/éditeur pdf

Foxit reader est un lecteur et éditeur de fichier PDF. Alternative à Adobe, il est largement utilisé à travers le monde. C’est ce dernier qui a été utilisé comme vecteur d’attaque initiale lors de l’attaque contre le réseau SWIFT de la banque Vietnamienne.
Dans cet article les chercheurs de Talos nous présentent 5 vulnérabilités critiques impactant Foxit. Trois d’entre elles sont de types “use-after-free”, une de “type confusion” et la dernière de type pointeur non initialisé permettant une exécution de code à distance. Une simple ouverture, depuis le client Foxit ou un navigateur possédant un plugin Foxit, d’un document spécialement conçu, permet une exécution de code avec les privilèges de l’utilisateur.
La version 9.1 de Foxit Reader et Foxit Phantom PDF corrige ces vulnérabilités.

https://www.foxitsoftware.com/support/security-bulletins.php [EN]
https://blog.talosintelligence.com/2018/04/multiple-vulns-foxit-pdf-reader.html [EN]

Fuite d’informations : 48 millions de données personnelles volées à un agence de renseignement privée

Des chercheurs de l’entreprise Upguard ont découvert un serveur Amazon AWS exposant plus de 48 millions de données personnelles. Après investigation ces données ont été collectées depuis plusieurs sources dont Facebook, Twitter et LinkedIn. Les données appartiennent à près de 10 millions d’utilisateurs différents. Le bucket AWS contenait un fichier unique compressé de 151.3 GB, qui décompressé, donne un fichier de 1.2TB. L’analyse des métadonnées du fichier a permi aux chercheurs d’attribuer l’appartenance du fichier à l’entreprise LocalBlox. Il s’agit d’une entreprise spécialisée dans la collecte et la recherche de données. Parmi les données personnelles, on retrouve des noms, adresses, dates de naissance etc. toutes collectées à travers les réseaux sociaux.

https://securityaffairs.co/wordpress/71534/data-breach/localblox-data-leak.html [EN]
https://www.upguard.com/breaches/s3-localblox [EN]