[Vulnérabilité] La semaine a été
chargée en vulnérabilités. À commencer par le Patch Tuesday de Microsoft et ses 82 vulnérabilités dont 27 critiques et une vulnérabilité de type zero-day impactant le framework
.NET.
Cette dernière a été utilisée en juillet dernier par un groupe d’attaquants, qui aurait
tenté de cibler un public russophone. L’exploitation de cette vulnérabilité
repose sur l’envoi d’un document Word spécialement forgé, sans macros et ayant
pour finalité l’installation du logiciel d’espionnage FinFisher.
La deuxième faille de sécurité critique de la
semaine se nomme Blueborne et concerne l’exploitation de la pile
protocolaire Bluetooth. Des chercheurs de la société Armis, après avoir
disséqué les quelques 2 822 pages de spécifications, ont pu mettre en avant
plusieurs vulnérabilités permettant au final d’exploiter le système
d’exploitation des périphériques ayant le Bluetooth d’activé. Ainsi, les 8.2 milliards de périphériques Bluetooth, fonctionnant sous Linux,
Android, Windows et iOS sont potentiellement exploitables. Il est donc
recommandé de tenir à jour son système d’exploitation et de désactiver le
Bluetooth lorsqu’il n’est pas utilisé.
[Monnaies virtuelles] Les crypto monnaies,
bien qu’étant dans le collimateur des régulateurs chinois, restent attrayantes
pour les cybercriminels. Une étude récente a démontré la recrudescence de malware ayant pour but de miner des jetons de monnaies
virtuelles et la hausse de leur présence sur des serveurs d’entreprise.
[Fuite d’informations] Une nouvelle fuite de
données concernant le vote électronique a été découverte par une équipe de
chercheurs en sécurité. Elle concerne les données de 593 328 citoyens
américains
(électeurs de l’état de l’Alaska) qui étaient publiquement accessibles sur
Internet suite à une mauvaise configuration de la base de données.
Il ne faut pas
sous-estimer l’importance d’une bonne communication lors d’une gestion de
crise comme l’a appris à ses dépens la plate-forme de contenu multimédia
Vevo. En effet, le groupe d’attaquants Our Mine, a contacté Vevo via Linkedin
pour les informer qu’ils avaient exfiltrés des documents internes mais qu’ils
ne seraient pas publiés. Cependant, la réponse virulente apportée n’était
visiblement pas la bonne, puisque les 3,12 To de données internes ont été
rendues publiques dans la foulée.
Des malwares tirent profit des mauvaises
configurations de serveurs Elastic Search pour y déposer les malwares impactant
les terminaux de paiement. Pas moins de 4 067 serveurs distribuent ainsi ces
souches et servent également de serveurs de commande et de contrôle.
[Justice] Sean Caffrey a été condamné à 18 mois
de prison avec sursis. Il avait dérobé les comptes et adresses mail de 800
utilisateurs d’un système de communication par satellite du Département de la
Défense américain
en 2014.
[Equifax] Suite à l’annonce la semaine dernière de la fuite de données de près de
143 millions de résidents américains par le président d’Equifax, de nouvelles
informations ont été dévoilées. Equifax a ainsi reconnu que la compromission
résulte d’une procrastination dans la mise à jour de certains serveurs
concernant une faille de sécurité publiée en mars dernier visant Apache Struts
(CVE-2017-5638). Selon les investigations, les attaquants
auraient eu accès au réseau d’Equifax entre le 13 mai 2017 et le 30 juillet
2017 leur permettant également d’exfiltrer les informations personnelles de
résidents britanniques et canadiens.
[Menace]
La nouvelle tendance des cybercriminels
s’oriente vers les « Supply chain attack » qui s’attaque aux systèmes
de mise à jour d’éditeurs de logiciels. Cette fois-ci le système de mise à jour de CCleaner d’Avast a été visé. Selon Talos,
seraient incriminées la version 32 bits v5.33 et la version Cloud 1.07.3191,
mises en ligne entre le 15 août 2017 et le 11 septembre 2017. La finalité du
code malveillant n’est pas encore claire à l’heure actuelle. Selon l’éditeur
Avast, les versions impactées auraient été installées sur plus de 2 millions de
machines. Il est vivement recommandé de mettre à jour CCleaner dans les plus
brefs délais.
Fonctionnement du code
malveillant embarqué dans CCleaner v5.33 – Source Talos
Source
