L’actualité cyber sécurité de la semaine dernière (7 au 13 août 2017)

de | 14 août 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : le retour d’EternalBlue, Microsoft ne patchera pas en urgence un bug SMB, la suite du piratage de HBO, le retour du ransonware Mamba et quelques rapports et recherches publiés (des cas de compromission de systèmes industriels, duper l’interprétation des panneaux de signalisation par des véhicules autonomes, compromettre un PC en injectant un exploit dans une séquence ADN)… et quelques outils intéressants.

  • EternalBlue, le kit de la NSA qui exploite la vulnérabilité SMB, utilisée par la suite par les vers Wannacry et Petya, a été utilisé par le groupe APT28 probablement lié aux renseignements militaires russes (GRU) pour espionner les clients des hôtels qui utilisaient les réseaux wifis « invité ». Les hôtels européens, où les diplomates et les hommes d’affaires en sont les principaux clients, sont concernés par cette action d’APT28.
  • Une vulnérabilité qui touche l’ensemble des versions de SMB (1, 2 et 3) sur les systèmes d’exploitation Windows 2000 à Windows 10, ne sera pas corrigée en urgence par Microsoft. L’éditeur considérant qu’il ne s’agit pas d’un problème de sécurité. La vulnérabilité, désignée par SMBLoris et présentée lors du dernier Defcon permet de faire planter à distance un système d’exploitation avec un partage SMB actif… Grâce à 20 lignes de code en Python
  • HBO n’en n’a pas terminé avec les pirates qui ont exfiltré près de 1.5 téraoctets de données confidentielles les scénarios de Game of thrones. Après la publication de documents, HBO a proposé 250 000 $ aux pirates à travers une plate-forme de bug-bounty. La proposition ne semble pas convenir aux pirates puisqu’ils ont publié le mail transmis par HBO. Les objectifs des pirates ne semblent pas très clairs pour le moment. Un dur moment pour la maison mère DE HBO, à savoir la Time Warner qui est en négociation pour fusionner avec AT&T afin de créer un des plus grands conglomérats média
  • L’éditeur de solution de sécurité TrapX a publié un rapport intéressant sur des attaques qui ont ciblé des systèmes industriels. Le rapport présente 5 cas d’usines compromises : pharmaceutique, production de papier, transformation de l’acier, traitement de l’eau et production énergétique.
  • Des chercheurs ont réussi à détourner l’interprétation des panneaux de signalisation par des systèmes basés sur le  machine learning. Leurs travaux impacteront la sûreté de fonctionnement des voitures autonomes. Ainsi, un panneau STOP a été interprété comme un panneau de limitation de vitesse  et un panneau de changement de direction vers la droite comme un panneau de stop. Les chercheurs ont développé un algorithme qui permet d’ajouter des stickers sur les panneaux ou d’en changer l’orientation afin de duper l’interprétation.
  • Des chercheurs ont réussi à encoder un exploit, basé sur un buffer overflow, dans une séquence d’ADN qui exploite des vulnérabilités dans des programmes d’analyse de ces séquences. L’exploit permet de prendre, à distance, le contrôle du PC qui exécute ces programmes. L’encodage est rendu possible suite à une recherche publiée en 2016 qui démontrer qu’il était possible d’utiliser l’ADN comme support de stockage.  Ainsi, le malware a été codé dans une séquence de 175 caractères où les lettres A, G, C et T qui composent une séquence d’ADN représentent des codes binaires  (A=00, C=01, G=10, T=11).

Quelques outils de sécurité glanés sur Internet afin d’enrichir votre arsenal de test et de supervision de la sécurité de votre SI :

  • Spaghetti : un scanner de sécurité dédié aux applications web https://github.com/m4ll0k/Spaghetti
  • Vulscan : un module NMAP qui permet de réaliser des scannes de vulnérabilités. Il est préchargé avec le contenu des principales bases de vulnérabilités (vuldb, cve, osvdb, etc.) https://github.com/scipag/vulscan
  •  Cxtracker : un analyseur de trafic réseau pour auditer les connexions mais aussi pour réaliser une cartographie des équipements connectés. Il peut prendre en charge le trafic en temps ou réel ou à partir d’une capture réseau au format pcap https://github.com/gamelinux/cxtracker

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *