Archives de catégorie : Patch

Android, Chiffrement, Communiqué de presse, Cybersécurité, ID, Identité numérique, IOT, Logiciels, Mise à jour, Patch, Sécurité, Securite informatique, Smartphone, Téléphonie

Vulnérabilité dans les applications Xiaomi

Les smartphones sont généralement fournis avec des applications préinstallées, dont certaines sont utiles et d’autres ne sont jamais utilisées. Un utilisateur ne s’attend toutefois pas à ce qu’une application préinstallée soit réellement dommageable pour sa vie privée et sa sécurité.

Check Point Research a récemment découvert une vulnérabilité dans l’une des applications préinstallées de Xiaomi, l’un des plus importants fabricants de téléphones mobiles au monde, qui avec près de 8 % de parts de marché en 2018, se classe troisième sur le marché de la téléphonie mobile. Ironiquement, l’application de sécurité préinstallée « Guard Provider », qui est censée protéger les téléphones contre les logiciels malveillants, expose les utilisateurs à des attaques.

En raison de la nature non sécurisée du trafic réseau entre Guard Provider et les différents SDK utilisés par l’application, un pirate pourrait se connecter au même réseau wifi que la victime et déclencher une attaque de type Man-in-the-Middle. Des failles dans les communications entre les différents SDK permettraient au pirate d’injecter n’importe quel logiciel malveillant de son choix, par exemple pour dérober des mots de passe ou surveiller les activités de l’utilisateur, un logiciel rançonneur ou tout autre type de logiciel malveillant. Pour plus de détails techniques, veuillez consulter Check Point Research.

Comme toutes les applications préinstallées telles que Guard Provider, ce type d’application est présent sur tous les appareils mobiles et ne peut être supprimé. Conformément à sa politique de communication responsable, Check Point a notifié Xiaomi, qui a publié un correctif peu de temps après.

Les avantages et les inconvénients des SDK

 Un kit de développement logiciel (SDK) est un ensemble d’outils de programmation permettant aux développeurs de créer des applications pour une plate-forme spécifique. Dans le cas des appareils mobiles, les SDK mobiles permettent aux développeurs de gagner du temps en leur évitant d’avoir « à réinventer la roue » et d’améliorer la stabilité du back-end pour les fonctionnalités qui ne sont pas liées au cœur de leur application.

À mesure que le développement de SDK s’accroit, de nouvelles opportunités d’apporter de meilleures fonctionnalités à leurs utilisateurs se présentent aux développeurs d’applications.

Mais lorsque de plus en plus de codes tiers s’ajoutent à une application, les efforts pour maintenir la stabilité de son environnement de production, protéger les données des utilisateurs et contrôler les performances, deviennent beaucoup plus complexes.

SDK fatigue

On emploie le terme « d’usure par SDK » (de l’anglais « SDK fatigue ») pour décrire cette utilisation accrue de plusieurs SDK au sein de la même application, qui rend l’application plus vulnérable à des problèmes de plantage, de virus, de logiciels malveillants, de failles de confidentialité, de consommation d’énergie, de ralentissement et bien d’autres problèmes.

Les inconvénients cachés de l’utilisation de plusieurs SDK au sein d’une même application résident dans le fait qu’ils partagent tous le contexte et les autorisations de l’application. Ces principaux inconvénients sont :

  1. Un problème dans un SDK compromettant la protection de tous les autres.
  2. Les données de stockage privées d’un SDK ne peuvent pas être isolées et sont donc accessibles à un autre SDK.

Selon un rapport récent, l’utilisation de plusieurs SDK dans une seule application est beaucoup plus courante qu’on ne le pense. Plus de 18 SDK sont implémentés en moyenne dans la même application. Ce faisant, les développeurs exposent les entreprises et les utilisateurs à des dangers potentiels qui peuvent être exploités par les pirates pour perturber le fonctionnement normal des appareils.

2 + 2 n’est pas toujours = à 4

Le personnel de sécurité informatique d’une entreprise n’est pas censé connaître les tenants et les aboutissants des kits de développement logiciel (SDK) utilisés pour créer les applications que les employés installent éventuellement sur leurs appareils. Il est cependant important de savoir que la façon dont les applications sont développées peut comporter des risques pour la sécurité. On pourrait supposer que les éléments utilisés dans une application de sécurité sont sécurisés, mais comme le montre la vulnérabilité dans les applications préinstallées de Xiaomi, c’est loin d’être le cas.

Les développeurs et les entreprises doivent également comprendre qu’un élément sécurisé associé à un autre élément sécurisé dans une application sur un téléphone ne signifie pas nécessairement que l’ensemble restera sécurisé lorsque ces deux éléments seront mis en œuvre conjointement.

La seule défense contre ces menaces cachées et obscures consiste à garantir que le parc d’appareils mobiles de votre entreprise est protégé contre les attaques de type Man-in-the-Middle.

backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Des pirates mettent la main sur des mises à jour du logiciel ASUS

Des pirates informatiques ont réussi à s’infiltrer dans les mises à jour du constructeur Coréen ASUS. Ils ont installé, durant plusieurs semaines, des backdoors sur des milliers d’ordinateurs.

Imaginez, 12% des ordinateurs ASUS en France seraient concernés par cette infiltration. Selon des chercheurs de la société de cybersécurité Kaspersky Lab, « des pirates ont réussi l’année dernière à installer des logiciels malveillants à plus d’un million de propriétaires de PC de la marque ASUS – l’un des plus grands fabricants d’ordinateurs au monde –« . Ils auraient exploité le système de mise à jour logicielle du fabricant. Le fichier malveillant a été signé avec des certificats numériques ASUS légitimes pour donner l’impression qu’il s’agit d’une mise à jour logicielle authentique de la société.

Les certificats de signature de code utilisés pour savoir quelles sont les mises à jour à faire et quelles sont les machines à qui nous pouvons faire confiance. Ils sont dans les applications qui alimentent les voitures, les ordinateurs portables, les avions et plus encore. Presque tous les systèmes d’exploitation dépendent de la signature de code, et nous verrons beaucoup plus de certificats dans un avenir proche en raison de l’essor des applications mobiles, des DevOps et des périphériques IoT. « Cependant, les cybercriminels considèrent les certificats de signature de code comme une cible précieuse en raison de leur puissance extrême. explique à Data Security Breach Kevin Bocek, VP security strategy and threat intelligence chez Venafi. Avec un certificat de signature de code, les hackers peuvent donner l’impression que leurs logiciels malveillants sont dignes de confiance et échapper aux systèmes de protection contre les menaces.« 

Infiltration et manipulation

Malheureusement, dans de nombreuses organisations, la protection des processus de signature de code incombe principalement aux développeurs qui ne sont pas prêts à défendre ces actifs. En fait, la plupart des équipes de sécurité ne savent même pas si leurs développeurs utilisent la signature de code ou qui peut avoir accès au processus de signature de code. « Il est impératif que les organisations sachent quels certificats de signature de code elles utilisent et où, d’autant plus qu’il est probable que des attaques similaires se produiront à l’avenir.« 

Cette nouvelle attaque utilisant le matériel ASUS est parfaitement emblématique du nouveau cyber-monde dans lequel nous vivons. Elle présente toutes les caractéristiques d’une opération précise : ciblée, exige beaucoup de ressources et presque impossible à détecter. « Tout acteur menaçant aurait besoin de ressources et d’un soutien considérables pour acquérir les certificats authentiques d’ASUS afin de faire son entrée dans la chaîne logistique. Ceci initie bien sûr le jeu qui consiste à deviner qui pourrait être derrière la campagne et il n’est pas exagéré de prétendre que des États manquant de lois sur les cyber-infractions et hébergeant des réseaux internationaux de cyber-crimes pourraient être à l’origine de cette activité. » indique Justin Fier, de chez Darktrace.

Ciblage !

Mais la nature très ciblée de l’attaque est peut-être encore plus alarmante: c’est là que nous devrions concentrer notre attention. Dans le monde entier, ces pirates ne ciblaient que 600 machines. Ce n’est qu’une question de temps avant que nous apprenions que ces machines ou ces personnes ciblées ont un fil conducteur unique les reliant entre elles. Pour l’instant, la question pour toutes les entreprises utilisant du matériel ASUS devrait être d’identifier si l’une de leurs machines se trouvait dans la cible. Et au-delà de cela, toutes les organisations doivent réaliser qu’ASUS n’est qu’une seule entreprise. Y aura-t-il des attaques similaires contre Dell et Apple ?

Voler des certificats authentiques et les utiliser pour signer des codes malveillants ne fait que renforcer les arguments en faveur de technologies d’IA sophistiquées capables d’identifier même les plus petites anomalies indiquant une menace. Ce type de comportement serait si proche de la normale que seule l’IA pourrait comprendre la différence entre normal et malveillant. En luttant contre des attaques aussi sophistiquées que celles-ci, les approches traditionnelles deviendront inefficaces: la cyber IA doit être la voie à suivre.

Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Sécurisation des prothèses bioniques pour les personnes porteuses de handicap

Des experts en cybersécurité enquêtant sur les infrastructures cloud expérimentales utilisées pour les prothèses bioniques avancées ont identifié plusieurs failles de sécurité jusque-là inconnues, qui pourraient permettre à des tiers l’accès, la manipulation, le vol voire la suppression de données privées et d’autres éléments appartenant aux utilisateurs de ces appareils. Ces constatations ont été communiquées au fabricant Motorica, une start-up russe qui développe des prothèses bioniques de membres supérieurs destinées à des personnes en situation de handicap, afin que l’entreprise puisse remédier à ces problèmes de sécurité.

 L’Internet des objets ne se limite plus aux montres ou aux maisons connectées mais englobe également des écosystèmes complexes de plus en plus automatisés, notamment dans le domaine de la santé. A l’avenir, ces technologies pourraient ne plus servir uniquement à des équipements d’assistance, pour se généraliser et être utilisés par des consommateurs désireux d’étendre les pouvoirs ordinaires du corps humain grâce à un processus de cybernétisation.

Il importe donc que tout risque en matière de cybersécurité, susceptible d’être exploité par des acteurs malveillants, soit réduit au maximum par l’investigation et la correction des problèmes de sécurité touchant les produits actuels ainsi que les infrastructures sur lesquelles ils s’appuient.

Les chercheurs de Kaspersky Lab ICS CERT, en partenariat avec Motorica, ont entrepris d’évaluer la cybersécurité d’une solution logicielle de test pour une prothèse de main numérique conçue par la start-up russe. La solution elle-même est un système cloud distant, une interface permettant de suivre le statut de tous les équipements biomécaniques référencés. Ce système met également à la disposition des autres développeurs une palette d’outils pour analyser l’état technique d’équipements tels que des fauteuils roulants connectés ou encore des mains ou des pieds artificiels.

Les recherches initiales ont identifié plusieurs problèmes de sécurité, portant notamment sur une connexion http non sécurisée, des opérations incorrectes sur les comptes ou encore une validation insuffisante des informations saisies. En cours d’utilisation, la prothèse de main envoie des données au système cloud. A travers les failles détectées, un pirate pourrait :

  • accéder à des informations conservées dans le cloud à propos de tous les comptes connectés (notamment des identifiants et mots de passe en clair pour toutes les prothèses et leurs administrateurs) ;
  • manipuler, ajouter ou effacer des informations de ce type ;
  • ajouter ou supprimer leurs propres utilisateurs, normaux ou privilégiés (avec droits administrateurs).
  • « Motorica est une entreprise de haute technicité, fiable et socialement responsable, qui se donne pour mission de venir en aide aux personnes atteintes d’un handicap physique. Alors que l’entreprise se prépare à une phase de croissance, nous souhaitions l’aider à veiller à la mise en place des mesures de sécurité appropriées. Les résultats de notre analyse rappellent de manière opportune que la sécurité doit être intégrée dans les nouvelles technologies dès le départ. Nous espérons que les autres développeurs d’équipements connectés avancés accepterons de collaborer avec le secteur de la cybersécurité afin d’analyser et de corriger les failles de leurs appareils et systèmes, en traitant la sécurité des équipements comme faisant partie intégrante du développement », commente Vladimir Dashchenko, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

« Les nouvelles technologies nous ouvrent un nouveau monde d’équipements d’assistance bioniques. Il devient aujourd’hui crucial pour les développeurs de ces technologies de collaborer avec les fournisseurs de solutions de cybersécurité. Cela nous permettra de rendre impossibles des attaques, même théoriques, contre le corps humain », conclut Ilya Chekh, CEO de Motorica.

Antivirus, Argent, Arnaque, Chiffrement, Communiqué de presse, cryptolocker, Cyber-attaque, Cybersécurité, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Securite informatique

Déchiffrer les nouvelles versions de GandCrab

Europol, la police roumaine, plusieurs autres organisations policières et privées publient un nouvel outil de déchiffrement pour les dernières versions du ransomware GandCrab.

 Europol, l’agence Roumaine DIICOT (Direction des enquêtes sur le crime organisé et le terrorisme) et plusieurs organisations policières et privées, dont Bitdefender, proposent une nouvelle version de l’outil de déchiffrement mis à disposition des victimes de GandCrab, pour lutter contre les dernières versions du ransomware. GandCrab est à ce jour reconnu comme étant l’une des familles de ransomware les plus prolifiques et les plus dangereuses du monde.

Le nouvel outil de déchiffrement permet aux victimes de retrouver l’accès à leurs propres données sans payer de rançon aux cybercriminels. En plus des versions 1, 4 et des premières versions 5, le nouvel outil s’attaque maintenant aux infections par les versions 5.0.4 à 5.1 – les plus récentes utilisées par les cybercriminels diffusant GandCrab.

L’outil précédent a déjà été téléchargé plus de 400 000 fois, aidant près de 10 000 victimes à économiser plus de 5 millions de dollars en frais de déchiffrement. Depuis son émergence en janvier 2018, GandCrab a infligé des centaines de millions de dollars de pertes dans le monde.

GandCrab Familly

La famille de ransomware GandCrab a été extrêmement active au cours de la dernière année, surpassant les autres familles de ransomware en popularité et en viralité.

L’année dernière, certaines versions de GandCrab ont commencé à attaquer des organisations via des instances de Remote Desktop Protocol exposées ou en se connectant directement avec des identifiants de domaine volés. Après s’être authentifié sur un PC compromis, les attaquants lancent manuellement le ransomware et lui demandent de se répandre sur tout un réseau. Une fois le réseau infecté, les attaquants effacent leurs traces et contactent ensuite la victime avec une offre de déchiffrement. Depuis fin 2018 et début 2019, GandCrab a radicalement transformé son mécanisme de diffusion, ses opportunités d’affiliation et amélioré sa résistance à la plupart des solutions de cybersécurité.

Pour prévenir les infections des logiciels de rançon, les utilisateurs doivent mettre en œuvre une solution de sécurité avec des défenses anti-ransomware en couches, sauvegarder régulièrement leurs données et éviter d’ouvrir les pièces jointes fournies avec les messages non sollicités. Il ne faut pas céder aux exigences des opérateurs de ransomware, notamment GandCrab et penser à sauvegarder l’information chiffrée et aviser la police immédiatement.

Actions de GandCrab

D’abord, après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu sa présence sur la machine, puis force l’arrêt des processus logiciels selon une liste définie par le malveillant utilisateur. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique.

Ensuite, le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque rendu illisible dans un thread différent. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.

Pour conclure, le nouvel outil de décryptage est disponible immédiatement et peut être téléchargé gratuitement sur No More Ransom Project.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday : 74 vulnérabilités dont 20 critiques

Le patch Tuesday de ce mois de février 2019 propose la correction de 74 vulnérabilités, dont 20 critiques.

Le Patch Tuesday de ce mois-ci est très volumineux et porte sur la résolution de 74 vulnérabilités dont 20 classées critiques. 15 de ces vulnérabilités critiques concernent le moteur de script et des navigateurs, les 5 autres sont liées à GDI+, SharePoint et DHCP. Microsoft a également publié un avis de sécurité pour un exploit Zero-Day affectant Exchange ainsi qu’un patch pour l’une des deux vulnérabilités signalées. De son côté, Adobe a publié des mises à jour pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script et GDI+ sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multiutilisateurs en mode postes de travail distants.

Exchange

Fin janvier, un exploit Zero-Day a été annoncé pour Microsoft Exchange. Ce dernier utilise plusieurs vulnérabilités connues dans Exchange et Active Directory. L’attaquant qui exploite ces vulnérabilités peut élever ses privilèges jusqu’au rang d’administrateur de domaine. La semaine dernière, Microsoft a publié un avis de sécurité concernant cet exploit et donné certaines recommandations pour atténuer les vulnérabilités. Cependant, deux mises à jour ont été publiées aujourd’hui (CVE-2019-0686 et CVE-2019-0724) qui remplacent l’atténuation suggérée en amont. Le déploiement de ces mises à jour est hautement prioritaire dans tous les environnements Exchange.

SharePoint

Les deux vulnérabilités dans SharePoint (CVE-2019-0594 et CVE-2019-0604) permettent à un utilisateur malveillant d’exécuter du code dans le contexte d’un pool d’applications SharePoint et du compte de la ferme de serveurs SharePoint. L’utilisateur malveillant a besoin de droits spéciaux pour réaliser cette action. Le correctif est hautement prioritaire pour tous les serveurs SharePoint.

DHCP

Une vulnérabilité affecte le serveur DHCP de Windows. Classée comme critique. Elle peut faciliter l’exécution de code à distance.

Tout attaquant qui envoie des paquets à un serveur DHCP. Ce correctif doit donc être une priorité pour tous les déploiements DHCP Windows.

Correctifs Adobe

Pour conclure, Adobe a également publié des correctifs pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud. Les patches Acrobat/Reader corrige 71 CVE.

Classé comme important par Adobe, le patch pour Flash corrige une vulnérabilité de type « lecture hors limites » pouvant entraîner la divulgation d’informations. Pour sa part, Microsoft considère cette vulnérabilité comme critique et pouvant entraîner une exécution de code à distance.

Le correctif pour ColdFusion permet de traiter deux vulnérabilités, l’une étant classée comme critique. La vulnérabilité de désérialisation Java doit être corrigée dès que possible car son exploitation peut entraîner l’exécution de code à distance. Une procédure plus complète sera peut-être nécessaire après le déploiement de la mise à jour. (Par Jimmy Graham/Qualys)

Android, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Securite informatique, Smartphone, Social engineering, Téléphonie

Google Play : le premier malware capable de détourner des crypto-monnaies par copier-coller.

Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.

« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.

Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.

Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).

Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !

Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.

Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.

« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.

Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.

Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.

Pour se protéger de tels malwares Android, nous vous conseillons

  • Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
  • Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
  • Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
  • Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.
Android, backdoor, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Patch, Piratage, Securite informatique, Smartphone, Social engineering, Téléphonie

Google corrige 3 failles critiques : l’une d’elle permet de piéger une image

Google a corrigé une faille critique dans son système d’exploitation Android. La faille permettait à un pirate d’envoyer un fichier image PNG spécialement conçu pour pirater un périphérique cible.

PNG dangereux ?! Le nombre total de problèmes critiques corrigés en ce mois de février 2019 est de 11. Le géant de la technologie a traité un total de 42 problèmes, dont 30 ont été classés comme graves.

Parmi les failles, trois vulnérabilités critiques CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988 corrigées.

Elles affectent des millions d’appareils Android exécutant des versions du système d’exploitation Google, allant d’Android 7.0 Nougat à la dernière Android 9.0 Pie. Google a corrigé les trois vulnérabilités du projet Open Source Android (AOSP) dans le cadre de ses mises à jour de sécurité Android en ce mois de février 2019. Même si Google a corrigé les failles, chaque fournisseur devra distribuer le correctif pour ses modèles et ce processus sera long, très long !

Les chercheurs de Google n’ont pas fourni de détails techniques sur les failles, le géant de la technologie a seulement indiqué que les mises à jour de sécurité traitaient une « faille de dépassement de mémoire tampon », « d’erreurs dans SkPngCodec » et de vulnérabilités dans certains composants générant des images PNG.

Pour finir, selon l’avis de sécurité publié par Google, la plus grave des trois vulnérabilités pourrait permettre la création d’une image piégée, au format PNG. Image malveillante qui peut exécuter du code arbitraire sur les appareils Android vulnérables. Les experts ont souligné qu’un attaquant pourrait exploiter cette faille en incitant les victimes potentielles à ouvrir un fichier image PNG malicieusement conçu sur leur Android.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cybersécurité, Entreprise, Mise à jour, Patch, ransomware, Securite informatique

Matrix et les ransomwares ciblés : petites attaques mais grand danger

Dans sa dernière étude « SophosLabs 2019 – Rapport sur les menaces », l’éditeur annonce une recrudescence des attaques ciblées par des ransomwares. Le procédé utilisé est déjà bien connu, notamment l’attaque Matrix. Une cyberattaque ciblée de type agile qui ne cesse d’évoluer depuis sa découverte en 2016.

Des attaques moins sophistiquées que celles de SamSam, ne s’en prenant qu’à une seule machine à la fois, un ransomware tel que Matrix représente un véritable danger. Il a en effet développé de nouvelles variantes capables de scanner le réseau à la recherche de nouvelles victimes potentielles, une fois introduit dans le réseau.

Sophos, spécialiste de la sécurité, présente son nouveau rapport « Matrix: A Low-Key Targeted Ransomware », dans lequel il dévoile ses recommandations afin de garantir un niveau de protection optimal :

  • Limiter l’accès aux applications de contrôle à distance telles que Remote Desktop (RDP) et VNC.-
  • Réaliser des analyses complètes et régulières et des tests d’intrusion sur le réseau. Correction au plus vite afin de ne pas laisser la porte ouverte aux cybercriminels.
  • Mettre en place une authentification multi-facteurs pour les systèmes internes sensibles, que ce soit pour les employés travaillant en LAN ou en VPN.
    Créer des sauvegardes hors ligne et hors site, et développer un plan de reprise après attaque qui couvre la restauration des données et des systèmes pour toute l’organisation de façon simultanée.

Pour de plus amples informations sur le sujet, vous pouvez d’ores et déjà parcourir le rapport « Matrix: A Low-Key Targeted Ransomware ».

A noter que le contrôle du RDP est à prendre très au sérieux. Des boutiques du black market commercialisent des accès RDP piratés. Comme le révèle le site ZATAZ, du business juteux à l’image du portail Xdedic dont les trois administrateurs ont été arrêtés en Ukraine. Gain estimé par le FBI, 68 millions de dollars !

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, Securite informatique

De multiples vulnérabilités zéro day découvertes dans les technologies d’accès aux bâtiments

Un commentaire

Un attaquant pourrait prendre le contrôle sur des bâtiments en exploitant des failles non corrigées pour créer des badges frauduleux et désactiver les serrures des bâtiments.

La société de « Cyber Exposure » Tenable, annonce avoir découvert plusieurs vulnérabilités du système de contrôle d’accès PremiSys™ développé par IDenticard. Lorsqu’elle est exploitée, la vulnérabilité la plus grave donne à l’attaquant un libre accès à la base de données du système de badges, ce qui lui permet d’entrer clandestinement dans les bâtiments en créant des badges frauduleux et en désactivant les serrures des bâtiments. D’après les informations disponibles sur son site Web, IDenticard compte des dizaines de milliers de clients dans le monde entier, y compris des entreprises Fortune 500, des écoles primaires et secondaires, des universités, des centres médicaux et des agences gouvernementales.

Zero-day

Aujourd’hui, toute entreprise dispose d’une infrastructure numérique extrêmement complexe composée à la fois d’actifs classiques et récents – depuis les postes de travail, les serveurs sur site jusqu’aux systèmes de sécurité des bâtiments. Sans oublier les dispositifs intelligents. Ce niveau de complexité a rendu de plus en plus difficile pour les équipes de sécurité d’établir des réseaux sécurisés. D’autant plus que les environnements d’entreprises en perpétuelle évolution.

Les « zero-days » nous rappellent que l’adoption massive des technologies émergentes brouille les frontières entre la sécurité physique et numérique. Cette découverte survient quelques mois à peine après que Tenable Research ait découvert une autre faille appelée Peekaboo, dans des logiciels de vidéosurveillance déployés à l’international.

Accès illimités

La technologie PremiSys permet aux clients d’accorder et de restreindre l’accès aux portes. Mais aussi aux installations de verrouillage et à la vidéosurveillance.

La faille la plus grave donnerait l’accès à l’ensemble de la BDD du système de badges. un accès via le terminal de service PremiSys Windows Communication Foundation (WCF). En utilisant les privilèges d’administrateur, les attaquants peuvent effectuer différentes actions. Télécharger le contenu intégral de la base de données du système, modifier son contenu ou supprimer des utilisateurs.

Bâtiments à l’ère numérique

« L’ère numérique a rapproché les mondes cybernétique et physique grâce, en partie, à l’adoption de l’IoT. La sécurité d’une organisation ne repose plus sur un pare-feu, des sous-réseaux ou un périmètre physique – elle n’a maintenant plus de frontières. C’est pourquoi il est essentiel que les équipes de sécurité aient une visibilité complète sur l’endroit où elles sont exposées et dans quelle mesure« , a déclaré Renaud Deraison, co-fondateur et directeur de la technologie chez Tenable. « Malheureusement, de nombreux fabricants d’IoT ne comprennent pas toujours les risques des logiciels non corrigés, laissant les consommateurs et les entreprises vulnérables à une cyberattaque.« 

Dans ce cas, les organisations qui utilisent PremiSys pour le contrôle d’accès courent un risque énorme. Les correctifs ne sont pas disponibles.

Au-delà de cette problématique spécifique, l’industrie de la sécurité a besoin d’un dialogue plus large sur les systèmes embarqués. Sans oublier leur maintenance dans le temps.

La complexité de l’infrastructure numérique ainsi que sa maintenance augmentent. Les fournisseurs doivent s’engager à livrer les correctifs de sécurité en temps opportun et de façon entièrement automatisée. Tenable Research s’engage à collaborer avec les fournisseurs qui le souhaite. Mission, coordonner les diffusions afin d’assurer la sécurité des consommateurs et des organisations. La collaboration de l’industrie est essentielle pour aider les clients à gérer, mesurer et réduire leur exposition.

Cinq CVE

Pour conclure, Tenable Research a divulgué les vulnérabilités (CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3908, CVE-2019-3909). Ils affectent la version 3.1.190 chez IDenticard selon les procédures standard décrites dans sa politique de diffusion de vulnérabilité. L’équipe a tenté à plusieurs reprises de communiquer avec le fournisseur. Le 19 novembre 2018, Tenable a informé le CERT.

Pour réduire les risques, les utilisateurs doivent segmenter leur réseau. S’assurer que les systèmes comme PremiSys sont isolés autant que possible des menaces internes et externes.

Pour plus d’informations, lisez l’article du blog Tenable Research Advisory.

Cybersécurité, Linux, Mise à jour, Patch

System Down pour les distributions Linux

Des vulnérabilités, baptisées System Down, découvertes dans plusieurs distributions Linux.

Le laboratoire de la société Qualys vient de révéler trois vulnérabilités exploitables localement dans systemd-journald, un composant central présent dans toutes les distributions Linux. Ces vulnérabilité sont baptisée « System Down » en référence au groupe de Rock, System of a Down. L’avis de sécurité complet est ici.

CVE-2018-16864 et CVE-2018-16865, deux corruptions de mémoire (alloca () s) contrôlé par l’attaquant;

CVE-2018-16866, une fuite d’informations (lecture en dehors des limites).

CVE-2018-1686, avril 2013 (systemd v203). Exploitable depuis février 2016 (systemd v230). Une preuve de concept (PoC) mis en place pour CVE-2018-16864. iL gagne le contrôle eip sur i386.

CVE-2018-16865 date de décembre 2011 (systemd v38). Exploitable en avril 2013 (systemd v201).

CVE-2018-16866 introduit en juin 2015 (systemd v221),  corrigée en août 2018. Un exploit pour CVE-2018-16865 et CVE-2018-16866 permet d’obtennir un shell racine local en 10 minutes sur i386 et 70 minutes Amd64, en moyenne. « Nous publierons notre exploit dans un proche avenir » indique Qualys.

À notre connaissance, toutes les distributions Linux basées sur systemd sont vulnérables.

SUSE Linux Enterprise 15, openSUSE Leap 15.0, Fedora 28 et 29 sont « safe ». Leur espace utilisateur sous compilation GCC’s -fstack-clash-protection.