L’actualité cyber sécurité de la semaine dernière (30 octobre au 5 novembre 2017)

de | 5 novembre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : Les ennuis ne sont pas terminés pour Equifax. La CVE-2017-8225, ouvre-t-elle la voie à un nouveau IoT botnet ?. Le service de renseignement canadien dévoile un outil de détection de malwares. Le groupe chinois KeyBoy étend ses activités dans l’ouest. La société Skyhigh a identifié une attaque Man-In-The-Middle qui a, mon sens, n’en est pas une. Eugène Kaspersky admet que ses produits récupèrent des fichiers qui ne sont pas forcément considérés comme malveillants. Une vulnérabilité dans l’électroménager LG permet à un tier d’espionner les clients du constructeur. L’iPhone peut prendre des photos et enregistrer des vidéos sans votre avis. La Corée du Nord nie la création du ransomware Wanacry. Faille critique sur les équipements industriels Siemens SIMATIC PCS 7 : mise à jour urgente à appliquer.


Les ennuis ne sont pas terminés pour Equifax


La CVE-2017-8225, ouvre-t-elle la voie à un nouveau IoT botnet ?


Le service de renseignement canadien dévoile un outil de détection de malwares


Le groupe chinois d’attaquants KeyBoy semble étendre ses activités vers l’ouest. Le groupe, actif depuis 2013, ciblait principalement des organisations basées en Inde et au Vietnam. Le groupe est connu pour avoir ciblé le parlement tibétain entre les mois d’août et d’octobre 2016. L’expert du cabinet d’audit pwc, qui a identifié l’attaque, indique que le groupe utilise un malware avec des fonctions d’espionnage très avancées. Le malware s’installe à travers un fichier Microsoft Word transmis pas mail : le fichier Word télécharge une DLL malicieuse en utilisant le protocole Dynamic Data Exchange, défini par Microsoft et permet l’échange de données entre applications. La DLL désactive des fonctions de protection du système d’exploitation, installe le malware en renommant puis s’efface afin de ne pas laisser de trace !


La société Skyhigh a découvert une “attaque” qui cible les bucket AWS S3 configurées avec un accès public en écriture avec un Man-In-The-Middle MITM. À mon sens, il ne s’agit pas d’une attaque, mais d’une mauvaise configuration des autorisations d’accès qui permet à n’importe qui de modifier le contenu de la bucket sans authentification : pas besoin de MITM pour modifier les donnés. “L’attaque” a été dénommée GhostWritter. Il semble que plus de 1600 buckets sont concernées, des bockets qui appartiennent à des nombreuses grandes organisations des secteurs de la presse, de la grande distribution et à des fournisseurs de services dans le cloud.

Ce type de mauvaise de configuration avait conduit à la divulgation ces derniers mois de nombreuses données personnelles et sensibles cf. mes précédentes revues, rien de nouveau !

Skyhigh propose un outil destiné à tester la configuration des accès à ses bockets S3.


Dans une interview donnée à l’occasion du Reuters Cyber Security Summit, Eugene Kaspersky, fondateur et directeur général de l’éditeur d’outil de sécurité Kaspersky Labs, a admis que sa solution antivirale collecte des fichiers autres que des fichiers infectés par un virus. Il revient sur l’extraction d’outil de piratage développé par la NSA dans le PC d’un des sous-traitants de l’agence : le fichier a été identifié comme malveillant par l’antivirus de l’éditeur et a été transmis au serveur de ce dernier. Eugene Kaspersky a indiqué qu’il a été informé de l’extraction du programme après quelques jours, il a été notifié de la dangerosité du programme en question, dénommé GrayFish et qu’il en a ordonné la suppression des serveurs de l’éditeur, car il s’agissait d’un secret lié au gouvernement américain.

Cette révélation démontre que l’antivirus édité par Kaspersky Labs va au-delà des fonctionnalités attendues et qui justifie le retrait du produit ordonné par le département de la sécurité du territoire américain (DHS) aux agences américaines en septembre dernier.

Par ailleurs, Eugene Kaspersky nie toute collaboration avec le gouvernement russe… mouais !  


L’éditeur de solution de sécurité Check Point a annoncé la découverte d’une vulnérabilité dans l’électroménager connecté fabriqué par le constructeur sud-coréen LG. Sont concernés par la vulnérabilité les équipements qui utilisent la technologie LG SmartThinQ® soit des réfrigérateurs, des fours, des lave-vaisselles, des machines à laver, des sèches linges, des climatiseurs et des aspirateurs autonomes. La vulnérabilité est mise en avant sur les aspirateurs autonomes, car ces derniers disposent d’une caméra afin qu’ils puissent se mouvoir dans l’espace : en exploitant cette vulnérabilité une personne malveillante est capable d’espionner les “heureux” propriétaires de ce produit high tech. La correction de la vulnérabilité nécessite la mise à jour de l’application mobile LG SmartThinQ app vers la dernière version (V1.9.23) puis la mise à jour des micro-programmes des équipements de la maison à travers l’application mobile mise à jour.


l’IOS est doté d’une fonctionnalité qui permet à une application installée sur l’iPhone prendre des photos et enregistrer des vidéos à l’insu de son propriétaire. L’activation de ces fonctionnalités ne nécessite pas l’approbation de l’utilisateur et n’active pas la LED à l’avant : la fonctionnalité semble connue des développeurs IOS et utilisée par des applications d’espionnage telles que Stealth Cam et Easy Calc – Camera Eye !

Les options pour se prémunir contre l’utilisation abusive de cette fonctionnalité voulue par Apple sont limitées : positionner un cache sur les caméras et vérifier si les nouvelles applications installées utilisent ou pas les caméras de votre iPhone.


Suite à l’attribution par Microsoft, le 16 octobre dernier, puis par le gouvernement anglais, la création de WannaCry par le gouvernement nord-coréen, ce dernier a nié formellement cette accusation. Le porte-parole du gouvernement nord-coréen a indiqué que son gouvernement est respectueux de la vie des personnes et ne permettrait pas s’attaquer à des institutions de santé telle que l’agence anglaise de santé, National Health Service (NHS).

Affaire à suivre…


L’ICS-CERT a publié une recommandation pour la mise à jour des équipements industriels Siemens SIMATIC PCS 7. La vulnérabilité peut être exploitée à distance et permet à une personne malveillante de rendre indisponible les équipements ciblés par l’attaque.

Les versions suivantes sont concernées par la vulnérabilité :

  • Les versions préalables à la V8.1 SP1 avec WinCC V7.3 update 13
  • Toutes les version V8.2

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *