– LE RETOUR- L’actualité cyber sécurité de la semaine dernière (27 août au 2 septembre 2018)

de | 4 septembre 2018

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : les données de 130 millions de clients de la chaîne d’hôtel chinoise Huazhu Hotels Group Ltd en vente dans le  dark web. Le gouvernement chinois a démantelé toutes les opérations américaines d’espionnage en Chine… à cause d’une faille dans les systèmes de la CIA. Les constructeurs des américaines des machines à voter ne souhaitent toujours pas que la sécurité de leurs produits soit testée. Importantes vulnérabilités, avec POC associés, divulguées sur Ghostscript et Microsoft Windows task scheduler.

Des développeurs qui travaillent pour la chaîne d’hôtel chinois Huazhu Hotels Group Ltd ont accidentellement téléchargé dans Github une base donnée de 141.5GB et contenant notamment les données de 130 millions de ses clients. Au début du mois d’août, une personne malveillante a récupéré cette base de données pour la mettre en vente dans le dark web au prix de 8 bitcoins soit 49 000$. La base de données contient les données personnelles des clients ainsi que les informations relatives à leurs séjours. Les 13 marques de la chaîne, qui représentent 5,162 hôtels réparties dans 1 119 villes chinoises, sont concernées par la fuite de données : Hanting Hotel, Grand Mercure, Joye, Manxin, Novotel, Mercure, CitiGo, Orange, All Season, Starway, Ibis, Elan, Haiyou.

Source :
Data of 130 Million Chinese Hotel Chain Guests Sold on Dark Web Forum


Le gouvernement chinois a emprisonné ou assassiné, en 2010 et 2011, plus de 30 personnes localisées en Chine qui fournissaient des informations à la C.I.A. Sur cette période, toutes les opérations en Chine de l’agence avaient été démantelées.

Les investigations font état d’une faille qui a été exploitée dans le système des communications chiffrées entre la C.I.A et ses informateurs. Le système permet la mise en place d’un canal de communication provisoire entre les agents de la C.I.A et un nouvel informateur le temps de vérifier qu’il ne s’agissait pas d’un agent double. Ainsi, la compromission du canal provisoire ne permet pas de disposer d’informations sur les communications du canal principal avec les autres informateurs vérifiés. Sauf que chaque composant du canal provisoire dispose d’un canal de communication vers les serveurs centraux du système de communication, serveurs qui gèrent également les communications du canal principal. C’est à travers ce canal de communication que les attaquant ont réussi à s’introduire dans les serveurs centraux et collecter les informations sur les informateurs de la C.I.A. Il semble que l’intrusion a été initiée à la suite de la fourniture au gouvernement chinois des informations d’accès au canal de communication provisoire par… un agent double ! A suivre !

Source :
Botched CIA Communications System Helped Blow Cover of Chinese Agents


Le constructeur américain Election Systems & Software (ES&S) a refusé officiellement de participer au DEF-CON 26 qui a eu lieu à Las Vegas au mois d’août. Ce refus fait planer le doute sur la sécurité ses produits même si le constructeur se défend en mettant en avant un certain nombre de partenariats avec des agences gouvernementales américaines pour la sécurisation de leurs produits. Le constructeur a été interpellé par des sénateurs afin qu’il soumette ses produits à des évaluations indépendantes, dont les white hackers, seul gage de transparence et de sécurité.

Affaire à suivre avant les prochains votes !

Source :
Voting Machine Maker Defends Refusal of White-Hat Hacker Testing at DEF-CON


Deux importantes vulnérabilités ont été divulguées la semaine dernière :

  • Ghostscript : la vulnérabilité permet à une personne malveillante de transmettre un fichier malveillant aux formats PDF, PostScript, XPF ou EPS. Il s’agit d’une faille dans l’option -dSAFER qui est censé protéger les exécutions PostScript (snif !). Par ailleurs, l’exploitation de la vulnérabilité permet le bypass des sandboxs. Un PoC qui exploite cette vulnérabilité est disponible sur Exploit Database. La bonne nouvelle est que des correctifs sont disponibles.

Sources :
Vulnerability Note VU#332928 : Ghostscript contains multiple -dSAFER sandbox bypass vulnerabilities
POC Ghostscript – Multiple Vulnerabilities

  • Microsoft Windows task scheduler : la vulnérabilité, une fois exploitée localement (ça c’est pour la bonne nouvelle), permet une escalade de privilège vers le niveau SYSTEM. Un exploit est public : son fonctionnement a été confirmé pour la version 64-bit de Windows 10 ainsi que pour Windows Server 2016. Il semble compatible avec la version 32-bit de Windows 10 modulo quelques adaptations. Les correctifs seront disponibles lors du Patch Tuesday du 11 septembre. D’ici là, l’ensemble des systèmes semblent vulnérables (ça c’est pour la mauvaise nouvelle). Le lien ci-dessous propose des solutions pour détecter si la vulnérabilité a été exploitée dans vos systèmes.

Source :
Task Scheduler ALPC exploit high level analysis

Une réflexion au sujet de « – LE RETOUR- L’actualité cyber sécurité de la semaine dernière (27 août au 2 septembre 2018) »

  1. Ping : Veille Cyber N198 – 10 septembre 2018 |

Les commentaires sont fermés.