cryptosec

Lectures de la semaine - 2022

26 septembre 2022

Vulnérabilité sur Microsoft Teams, qui permet à un attaquant ayant accès au système de fichiers où est installé Teams de dérober des tokens d’authentification. Pour les entreprises les plus exposées (défense, domaines stratégiques...) la recommandation est de n’utiliser que le Teams en ligne :
https://www.scmagazine.com/analysis/cloud-security/vulnerability-allows-access-to-credentials-in-microsoft-teams

Le groupe nord-coréen UNC4034 utilise une nouvelle méthode d’attaque qui commence par du social engineering puis induit le téléchargement d’un .iso qui contient une version corrompue de PuTTY :
https://thehackernews.com/2022/09/north-korean-hackers-spreading.html

Analyse de malwares arrivant sous la forme de .iso, particulièrement fréquents ces derniers temps :
https://isc.sans.edu/diary/rss/29062

L’attaque contre Uber se confirme, et ce qui semble en cause est l’absence de cloisonnement interne et d’application du principe du besoin d’en connaitre qui limite l’accès en interne de tous à tout :
https://www.schneier.com/blog/archives/2022/09/massive-data-breach-at-uber.html
https://www.theregister.com/2022/09/19/uber_admits_breach/

Conséquence immédiate : les offres d’emploi cyber chez Uber ont fleuri comme des escargots après la pluie à la suite de l’attaque. Un peu tard... :
https://www.itpro.co.uk/security/cyber-attacks/369096/uber-launches-infosec-hiring-spree-after-attributing-breach-to-lapsus

Nouvelle proposition de loi en Inde : permettre aux autorités de pouvoir contourner le chiffrement proposé par certaines plateformes d’échanges de messages et d’appels telles que WhatsApp, Telegram, Google Meet et Signal. Ce contournement serait envisagé « en cas d’urgence publique ou dans l’intérêt de la sécurité publique ». Sale temps pour les principes démocratiques fondamentaux :
https://www.firstpost.com/tech/news-analysis/government-proposes-new-law-to-intercept-encrypted-messages-and-calls-on-platforms-like-whatsapp-11316421.html

Analyse de la pertinence de se séparer de son équipe sécurité interne au profit d’une externalisation. Une citation de l’article : "No matter how knowledgeable a contractor is, a contractor will never have the same buy-in that you get from your internal employee managing your systems at your company. After all, contractors look at a system because they’re contracted to and will never fully integrate into the company culture."
https://thehackernews.com/2022/09/firing-your-entire-cybersecurity-team.html

Focus sur une technique déjà évoquée dans cette newsletter : la "MFA Fatigue" qui permet de contourner la sécurité apportée par une double authentification. Lorsque l’authentification multifacteurs est configurée pour pousser une notification à l’employé via une invite sur son appareil mobile, l’attaquant exécute un script qui génère cette notification encore et encore, ce qui peut amener la victime a finalement accepter la demande par inadvertance, par "ras le bol" ou incluencé par une nouvelle sollicitation directe de social engineering :
https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/

Enfin, un jeu. Exercez-vous à négocier avec un gang de rançonneurs :
https://grahamcluley.com/how-to-have-fun-negotiating-with-a-ransomware-gang/

16 septembre 2022

Des appliances Mitel VoIP utilisées par les attaquants opérant le rançongiciel Lorenz pour prendre pied dans le réseau des entreprises :
https://thehackernews.com/2022/09/lorenz-ransomware-exploit-mitel-voip.html

Nouvelles vulnérabilités iOS et MacOS. N’installez pas n’importe quelle app (lire des livres est meilleur pour la santé mentale et ophtalmique que de passer son temps sur l’écran d’un téléphone), mettez à jour vos appareils :
https://www.theregister.com/2022/09/12/apple_patched_exploited_flaws/

Le FBI étasunien alerte sur les risques induits par l’obsolescence des logiciels installés sur les appareils médicaux :
https://www.scmagazine.com/analysis/device-security/fbi-legacy-medical-devices-pose-risk-of-exploit-patient-safety-impacts

Mise en lumière d’une campagne iranienne de longue haleine contre des opposants et dissidents, utilisant en particulier des malwares Android (Vinethorn et Pineflower), apparemment distribués par SMS et capables d’enregistrer des appels, de dérober messages et contenus multimédia et d’accéder à la géolocalisation des appareils :
https://thehackernews.com/2022/09/iranian-apt42-launched-over-30.html

Les autorités chinoises accusent la NSA, et plus précisément la TAO (unité de l’agence dont se souviendront ceux qui ont lu les révélations Snowden de 2013, qui s’était entre autres illustrée par ses compétences à ouvrir des colis de livraison de routeurs et à insérer des mouchards dans les appareils) d’avoir espionné des entités de recherche liées à l’armement. Avec, particularité notable, deux 0days sur le vénérable SunOS :
https://thehackernews.com/2022/09/china-accuses-nsas-tao-unit-of-hacking.html
https://www.washingtonpost.com/world/national-security/us-spy-agencies-mounted-231-offensive-cyber-operations-in-2011-documents-show/2013/08/30/d090a6ae-119e-11e3-b4cb-fd7ce041d814_story.html

Google renforce sa cyber en rachetant Mandiant 5.4 millliards :
https://www.securityweek.com/google-completes-54-billion-acquisition-mandiant

Le Qualis Cloud Agent vulnérable à une élévation de privilège, ce qui est un comble pour un scanner.... (révélé par des responsible disclosure, c’est à dire des signalements, contre récompense en général) :
https://blog.qualys.com/product-tech/2022/08/15/qualys-security-updates-cloud-agent-for-linux

Ça a gazouillé (to tweet) toute la journée sur le sujet, possible que ce soit vrai : Uber investigue une attaque d’ampleur sur ses systèmes :
https://thehackernews.com/2022/09/uber-says-its-investigating-potential.html

9 septembre 2022

Pendant longtemps, MacOS, moins ciblé par les malwares, était réputé n’avoir pas besoin d’antivirus. Puis les utilisateurs Mac ont été invités à utiliser un antivirus tiers. C’en est fini : Apple annonce l’introduction de son propre antivirus sur ses OS, XProtect Remediator, comme Microsoft :
https://www.01net.com/actualites/ni-vu-ni-connu-apple-deploie-un-veritable-antivirus-dans-ses-mac.html

Changement de doctrine de l’Etat en matière de paiement des rançons. Le gouvernement devrait éclaircir la zone grise qui couvre le paiement des rançons par les victimes de rançongiciels et leur remboursement par les assureurs. Moyennant une plainte, dont l’intérêt sera de faire remonter des informations aux agences de lutte contre les cyberdélinquants, le paiement deviendra tout à fait possible. Il est cependant probable que la doctrine de non-paiement subsiste pour les administrations et établissements publics :
https://www.lefigaro.fr/flash-actu/le-gouvernement-va-valider-l-indemnisation-des-rancons-de-cyberattaques-20220907

Une liste de risques associés à de mauvaises pratiques sur l’utilisation et la sécurisation des APIs :
https://thehackernews.com/2022/09/6-top-api-security-risks-favored.html

2 septembre 2022

Conditionnez vos accès ! Description d’une attaque, observée par Microsoft, qui permet aux malandrins de dérober des authentifiants de connexion en mettant un proxy (man-in-the-middle) entre l’utilisateur et le serveur légitime. Et l’attaque marche même si la victime utilise une authentification multi-facteurs, qui reste une mesure très efficace. Pour contrer ce type d’attaques qui, à n’en pas douter, vont proliférer, la mise en œuvre d’accès conditionnels – par exemple en n’autorisant les connexions que depuis des postes de travail maitrisés, est la mesure la plus efficace :
https://arstechnica.com/information-technology/2022/07/microsoft-details-phishing-campaign-that-can-hijack-mfa-protected-accounts/

L’hôpital de Corbeil-Essonnes paralysé par un rançongiciel, retour au papier et au crayon. Pas certain que les attaquants aient choisi une bonne cible, les services publics et administrations française ayant pour instruction ferme de ne pas payer de rançon :
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-lhopital-de-corbeil-essonnes-pirate-par-des-hackers_5320897.html#xtor=CS2-765-%5Bshare%5D-

De nouvelles vulnérabilités critiques affectent les dispositifs Apple, dont l’exploitation par un attaquant peut permettre de prendre le contrôle de votre Mac ou iPhone via un simple lien sur lequel vous cliqueriez. Deux CVE qui sont d’après le CISA et Apple exploitées dans la nature affectent le WebKit (Engine de navigation Web). Passez à iOS 15.6.1 et MacOS Monterey 12.5.1 :
https://support.apple.com/fr-fr/HT213412

Pegasus, suite. Conséquence des révélations d’espionnage, souvent illégal, utilisant les technologies de la firme NSO, son PDG débarqué :
https://www.reuters.com/technology/israeli-spyware-company-nso-group-announces-new-ceo-2022-08-21/

Un très bon article sur le mirage des cryptomonnaies et des NFT, qui souligne en particulier comment l’idéal de monnaies alternatives à celles émises par les banques centrales s’est converti en réalité volatile et spéculative :
https://www.kaspersky.com/blog/crypto-actually-blockchains-and-cryptocurrencies/45181/

Cinq apps de home banking mettent en péril les empreintes biométriques de 300 000 personnes. Des chercheurs en sécurité ont en effet découvert que ces apps utilisaient des authentifiants AWS codés en dur dans le code. Cela souligne aussi le danger d’utiliser un facteur biométrique, leur particularité étant qu’elles ne sont pas révocables. Vous ne pouvez pas en changer. Une seule fuite d’information majeure et vos empreintes sont connues et révélées... :
https://www.theregister.com/2022/09/01/mobile_apps_leaked_biometrics/

La récente attaque contre les systèmes informatiques du gouvernement du Montenegro revendiquée par le groupe Cuba, qui semble être un groupe d’attaquants russophone. Ils utilisent comme vecteur initial la messagerie, puis des classiques Mimikatz, Cobalt Strike... :
https://www.itpro.co.uk/security/ransomware/368918/cuba-ransomware-group-claims-attack-on-montenegro-government

Afin de traiter le problème des bugs – et donc des potentielles vulnérabilités - dans les logiciels Open Source, Google lance un bug bounty (des récompenses aux gens qui trouvent des bugs exploitables), dans le cadre de son programme Open Source Software Vulnerability Rewards Program (OSS VRP). De 100 (pour les petits bugs) à 31337 dollars :
https://www.securityweek.com/google-launches-bug-bounty-program-open-source-projects

Dites à vos enfants de mettre à jour TikTok : une équipe sécurité de Microsoft révèle une vulnérabilité qui permet, via un simple lien malveillant, de prendre le contrôle du profil de l’utilisateur. Bon, vos enfants... peut-être pratiquez-vous ces curieuses courtes vidéos... peu importe, même recommandation : mettez à jour.
https://thehackernews.com/2022/09/microsoft-discover-severe-one-click.html

19 août 2022

APT29, un groupe para étatique russe, continue de cibler efficacement O365. Si l’authentification multi-facteurs est une sécurité nécessaire, elle n’est pas toujours suffisante. Mandiant détaille comment ce groupe d’attaquants - et d’autres - réussissent à outrepasser cette sécurité, en particulier en ciblant les phases d’enregistrement... Raison pour laquelle Microsoft a mis en œuvre sa fonction d’accès conditionnel, qui n’autorise les connexions à O365 que depuis des postes et appareils maitrisés par l’entreprise :
https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft

Le 16 août 2022, Microsoft a publié une nouvelle version de System Monitor (Sysmon) avec une nouvelle option "FileBlockExecutable" qui permet de bloquer la création et l’écriture sur disque d’exécutables malveillants, tels que les fichiers EXE, DLL et SYS, pour une meilleure protection contre les logiciels malveillants :
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Cisco Talos, la branche sécurité du géant des réseaux, a confirmé avoir été victime d’un rançongiciel en mai 2022, sans donner davantage de détails. Il semble néanmoins que la synchronisation par certains employés de leurs accès avec leurs gmail personnels ait été exploitée et qu’ici encore l’authentification multi-facteur a été contournée (grâce en particulier à des techniques d’ingénierie sociale) et que des données ont été dérobées :
https://www.itpro.co.uk/security/data-breaches/368794/cisco-talos-confirms-data-breach-ransomware-gang

Mac et Windows ciblés par un nouveau vecteur produit par Lazarus, le groupe d’attaquants nord-coréen. Dans ce cas, c’est un PDF contenant un exécutable, détaille ESET dans son compte-rendu d’analyse :
https://twitter.com/ESETresearch/status/1559553324998955010

Au cours de la grande conférence cyber mondiale BlackHat, un chercheur montre comment il a piraté un terminal Starlink, en y ayant accès physiquement :
https://www.theregister.com/2022/08/12/starlink_terminal_hack_black_hat/

Juste après BlackHat, à Las Vegas, se tient la DEFCON, célébrissime conférence cyber, dont c’était la trentième édition. Les organisateurs ont banni le media pro-Trump OAN pour violation des conditions de privacy : prises de vues et photos y sont effet interdites, ce que les envoyés de ce "media" n’ont pas respecté :
https://www.vice.com/en/article/88qxdz/hacker-conference-def-con-bans-pro-trump-outlet-oan

La chanson de Janet Jackson Rhythm Nation classifiée malware / exploit par Microsoft. L’auteur de l’article s’en étonne, relevant que la chanson n’est pas si mauvaise... Mais il se trouve que la chanson contient des passages qui entrent en résonance avec certains modèles de disque dur à 5400 RPM, et font crasher l’ordinateur :
https://www.theregister.com/2022/08/18/janet_jackson_video_crashes_laptops/

12 août 2022
Sus à l’objet ! Pour commencer, cette fois, parlons langages de programmation, avec ce très intéressant point de vue sur les travers des langages orientés objet, comme C++ ou Java. L’auteur commence par citer l’exemple de voitures Toyota qui ont causé des accidents mortels parce qu’elles... accéléraient au lieu de freiner. En examinant le code qui pilotait le freinage et l’accélération, les experts ont montré qu’il y avait près de 10 millions de différentes possibilités pour que la voiture accélère alors qu’elle était sensée freiner. L’auteur attribue cela à l’utilisation de code objet qui fait ressembler le code à un plat de spaghettis indémêlable. La plupart des langages objet, qui partagent tout par référence, semblent "propres", mais ils ne font qu’encapsuler la complexité, qui n’est plus visible. Le code en devient inmaintenable, peu sûr. Et surtout, non prédictif. Or cela devrait être l’essence et l’objectif de tout programme : être prédictif, déterministe. Une fonction qui freine doit toujours freiner. Exemples à l’appui, il explique comment la modification de valeurs à l’extérieur des fonctions peut causer des modifications du retour de ces fonctions avec les mêmes paramètres d’entrée. Ce qui est aberrant. En conclusion : le code orienté objet est une énorme erreur de l’industrie informatique, qui a déjà causé des centaines de morts et coûte très cher (en particulier en sécurité, puisque là où il y a bug, il y a vulnérabilité ; mais aussi en ressources – électricité, air conditionné, puissance de calcul nécessaire… – , parce que c’est souvent du code que l’on optimise beaucoup moins). Probablement aussi que l’abstraction des langages que permet l’objet donne l’impression que l’on peut coder sans effort, embaucher de mauvais développeurs... Et de conclure par une prédiction : ceux qui à l’avenir continueront à développer en objet seront vu comme des dinosaures (votre serviteur ayant commencé à développer - un peu - en TurboPascal, Fortran 90 et C, sans jamais passer à l’objet, ne peut qu’approuver ce point de vue ;)
https://suzdalnitski.medium.com/oop-will-make-you-suffer-846d072b4dce

Évolutions et différents métiers dans les équipes de blue team (équipes de détection et réaction) et quelques pistes de mesures de leur efficacité. Une idée nous semble particulièrement fertile afin de maintenir motivation et progression au sein d’une équipe cyber : permettre aux membres de l’équipe de changer de rôle régulièrement :
https://thehackernews.com/2022/08/the-benefits-of-building-mature-and.html

Smap, un scanner de ports construit autour des API de http://shodan.io, un moteur de moteur de recherche d’appareils connectés à l’Internet, qui scanne (balaye) massivement l’Internet à la recherche de tous les appareils qu’il peut y avoir derrière chaque adresse IP visible :
https://github.com/s0md3v/smap/

Complexité de la géopolitique cyber : des entités liées à la défense en Ukraine et en Russie simultanément ciblées par un groupe paraétatique chinois à l’aide de vieilles vulnérabilités Office :
https://www.itpro.co.uk/security/malware/368764/defence-enterprises-and-government-agencies-in-russia-and-ukraine-targeted-by-state-hackers

5 août 2022

35000 repositories GitHub clonés et auxquels des attaquants ont ajouté des malwares, que les développeurs se trompant de repos auraient chargés sur leurs environnements :
https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/

Des chercheurs en sécurité découvrent un rootkit UEFI utilisé depuis fin 2016 et passé inaperçu depuis. Ces rootkits sont des malwares particulièrement pénibles parce qu’ils sont embarqués sur les firmware des cartes mères, et donc aussi particulièrement difficiles à coder puisque leur exécution se déroule avant que Windows ne soit chargé :
https://www.itpro.co.uk/security/malware/368655/researchers-uncover-mysterious-windows-rootkit-actively-exploited-2016

Sale temps pour la planète. La police Espagnole arrête pour cyberattaque, après une longue enquête, deux employés d’un sous-traitant en charge de la maintenance du réseau de capteurs de radiations nucléaires. Certains des capteurs concernés étaient dans les centrales...
https://thehackernews.com/2022/07/spanish-police-arrest-2-nuclear-power.html

Sortie de la version 2.0 du TLP (Traffic Light Protocol), la nomenclature que nous utilisons en cyber pour déterminer la possibilité de partage d’une information sensible avec, en particulier, le remplacement du TLP:WHITE par le TLP:CLEAR et l’introduction d’un TLP:AMBER+STRICT :
https://www.first.org/tlp/

Des nouvelles de la cryptographie post-quantique : l’un des algorithmes candidats pour l’ère post-quantique est tombé. Les détails sont pour les plus matheux d’entre nous :
https://nakedsecurity.sophos.com/2022/08/03/post-quantum-cryptography-new-algorithm-gone-in-60-minutes/
https://www.schneier.com/blog/archives/2022/08/sike-broken.html

29 juillet 2022

Après une pause - un retour-arrière - dans le blocage des macros Office, Microsoft réimplémente le blocage. Ils sortent aussi une nouvelle fonction de blocage des comptes sur RDP (en Windows 11), afin de se prémunir des attaques par force-brute sur ce protocole, très courantes lorsque l’authentification multi-facteur n’est pas mise en œuvre :
https://www.theregister.com/2022/07/22/microsoft-windows-vba-macros/

Mais avec le blocage des macros les attaquants cherchent de nouveaux vecteurs d’attaque : la distribution de payloads (charges utiles) via des macros a chuté de 66% depuis Q3 2021 et les attaquants se tournent désormais vers de nouveaux formats de fichiers tels qu’ISO, RAR, ZIP ou LNK.
https://www.bleepingcomputer.com/news/security/as-microsoft-blocks-office-macros-hackers-find-new-attack-vectors/

Vous n’aimez pas cliquer sur de la pub ? Bonne pratique de sécurité, aussi. Des attaquants ont payé des Ads Google pour faire monter en premiers résultats des faux site web imitant des sites biens connus comme YouTube, Amazon, Facebook, mais qui étaient faits des plateforme d’arnaques :
https://www.itpro.co.uk/security/368621/hackers-hiding-malicious-links-in-top-google-search-results

Le marché des cyber-mercenaires se structure, ce qui n’est pas une bonne nouvelle, exemple dans cet article avec le groupe AIG (Atlantis Cyber-Army). Ce groupe propose un service "VIP", faisant bénéficier - disent-ils - de contacts avec des forces de l’ordre en Europe pour se renseigner sur des individus ciblés. Pour rebondir sur la première nouvelle, plus haut, RDP-the-risky : "most of the databases for sale are government-related and that access to Remote Desktop Protocol (RDP) clients and webshells tend to come from organizations in the finance, education, and manufacturing industries" :
https://www.theregister.com/2022/07/25/aig-unique-cybercrime-business/

D’ailleurs, un groupe Autrichien serait en train de vendre un kit d’attaque - Subzero - qui contiendrait des 0-day Windows et Adobe Reader qui permet de déployer des keylogger, d’enregistrer des captures d’écran, de sortir des fichiers, de lancer des commandes à distance... :
https://thehackernews.com/2022/07/microsoft-uncover-austrian-company.html

Wanted ! Si vous avez des informations qui pourraient conduire à arrêter les activités des groupes para-étatiques Nord-Coréens, 10 millions de dollars vous attendent, annonce le Département d’État US :
https://thehackernews.com/2022/07/us-offers-10-million-reward-for.html

22 juillet 2022

D’après un rapport - interviews de 500 décideurs IT dans le secteur financier - 8 attaques réussies sur 10 ont été possibles du fait de faiblesses d’authentification. Les organisations sont devenues trop tolérantes concernant leurs mode d’authentifications, point le rapport :
https://www.scmagazine.com/analysis/identity-and-access/authentication-weakness-responsible-for-80-of-financial-breaches

Voilà pourquoi il faut faire attention aux apps que vous installez, et cloisonner vos accès professionnels des autres apps : après plus de 3 millions de téléchargements et 6 mois de présence sur le store de Google, 8 apps sont supprimées parce que malveillantes :
https://thehackernews.com/2022/07/several-new-play-store-apps-spotted.html

APT29, groupe d’attaquants para-étatique russe, utilise activement DropBox et Google Drive pour distribuer ses malwares. Raison supplémentaire pour se méfier de ces services "gratuits" :
https://thehackernews.com/2022/07/russian-hackers-using-dropbox-and.html

Des vulnérabilité sur un tracker GPS utilisé dans de nombreuses voitures (plus de 1.5 millions) peuvent permettre d’avoir accès à la localisation de la voiture, son trajet, d’interférer avec la gestion du carburant, ou de désactiver diverses alarmes. A force de mettre des gadgets, on finit par s’exposer à de bêtes mots de passe en dur et à des XSS...
https://thehackernews.com/2022/07/unpatched-gps-tracker-bugs-could-let.html

Pour ceux qui se souviennent de Spectre, la vulnérabilité affectant les processeurs via leurs méthodes de calcul "prédictif" - speculative execution - ... la correction de 2018 est elle-même vulnérable. Les éditeurs commencent à sortir de nouveaux correctifs pour Retbleed. Mais ces vulnérabilités sont très compliquées à corriger, parce qu’elles touchent à la conception fondamentale des processeurs Intel et AMD :
https://www.securityweek.com/software-vendors-start-patching-retbleed-cpu-vulnerabilities
https://thehackernews.com/2022/07/new-study-finds-most-enterprise-vendors.html

Le titre est aguicheur, mais le risque est réel : utilisation d’un proxy IIS malveillant - SessionManager - et d’une vraie authentification Microsoft légitime pour écrire et exécuter des fichiers sur la cible et progresser vers l’intérieur du SI via le serveur compromis :
https://www.lemondeinformatique.fr/actualites/lire-des-serveurs-microsoft-iis-compromis-par-le-backdoor-sessionmanager-87279.html
https://securelist.com/the-sessionmanager-iis-backdoor/106868/

La Commission européenne sous la menace d’une procédure pour... non-respect du RGPD. En l’occurrence, le site web d’une Conference of the Future of Europe, hébergé sur AWS, transfère aux USA des données personnelles comme des adresses IP, ce qui est contraire à l’arrêté Schrems II de la Cour de justice européenne :
https://www.euractiv.com/section/data-protection/news/european-commission-sued-for-violating-eus-data-protection-rules/

15 juillet 2022

Méfiez-vous des offres d’emploi trop belles pour être vraies. La première étape de l’attaque contre Axie Infinity en mars 2022, dont le préjudice a finalement été de 540 millions de dollars, fut une fausse offre d’emploi. Un ingénieur a répondu à une offre sur LinkedIn. Fausse. Il a reçu une proposition en PDF, l’a ouverte, et boum. L’offre était très attractive. Un grand classique.
https://thehackernews.com/2022/07/hackers-used-fake-job-offer-to-hack-and.html

Des attaquants sortent 20 gigaoctets de données de chez Mariott, dont des numéros de cartes de crédit et autres informations confidentielles. Le groupe d’attaquants fait a priori partie de ceux qui demandent des rançons sans perturber le fonctionnement des cibles. Fait notable, l’intrusion semble avoir été réalisée par une technique d’ingénierie sociale pure, puisque les victimes ont été convaincues de donner accès à un ordinateur :
https://www.itpro.co.uk/security/data-breaches/368456/marriott-hit-by-data-breach-through-social-engineering

Rust, un langage relativement récent - 2015 - et très prisé des développeurs... aussi adopté par les attaquants. Les rançongiciels Hive et BlackCat ont ainsi récemment été réécrits en Rust, par exemple. Les malwares en Rust bénéficient d’une meilleure gestion de la mémoire et des processus de ce langage : ils en deviennent plus fiables et sécurisés qu’écrits en C++ ou Python. Les méthodes de compilation complexes de Rust rendent aussi le code-machine résultant plus complexe à analyser par les experts sécurité :
https://www.itpro.co.uk/security/ransomware/368476/why-are-ransomware-gangs-pivoting-to-rust

HavanaCrypt, une nouvelle famille de rançongiciels qui se travestissent en mises à jour Google. Le malware contient également des fonctions visant à vérifier qu’il ne s’exécute pas sur une VM d’analyse sécurité, par exemple recherche de services typiques comme VMware Tools et vmmouse, ou de fichiers typiquement présents dans les VM :
https://www.theregister.com/2022/07/11/havanacrypt-ransomware-google-update/

Bien qu’indispensable, les authentifications multi-facteurs (MFA, 2FA) ne protègent pas, en soi, des attaques par phishing :
https://www.theregister.com/2022/07/13/aitm-phishing-microsoft/

Digital Operational Resilience Act (DORA), une nouvelle réglementation de l’UE - secteur financier, banque, assurance... Il y aura en particulier des obligations de traiter certains risques reasonably identifiables, de traiter les risques liés aux tiers, d’obligations de notification. L’objectif est de renforcer la résilience du secteur. Bien que les modalités pratiques d’application ne soient pas encore toutes claires, il y a fort à parier que cette nouvelle réglementation aura d’importantes conséquences sur la gestion de la sécurité des SI :
https://www.itpro.co.uk/business/policy-legislation/368414/eu-digital-operational-resilience-act-dora

Des attaquants volent les données de près d’un milliard de chinois dans une base de données de la police de Shanghai. 23 To en vente pour 10 Bitcoins (environ 190 K$). Il semblerait que le vol des données ait eu lieu via un dashboard, communiquant avec une base de données, laissé sur internet sans mot de passe pendant près d’un an. Des responsable de chez Alibaba - le fournisseur cloud - convoqués par les autorités. Il y a fort à parier qu’ils passent un mauvais - long - quart d’heure. La sécurité étant un domaine qui progresse souvent par traumatisme, il est aussi probable qu’ils fassent drastiquement évoluer leurs pratiques :
https://www.itpro.co.uk/security/data-breaches/368416/hackers-steal-personal-data-of-over-a-billion-people-in-china
https://www.wsj.com/articles/alibaba-executives-called-in-by-china-authorities-as-it-investigates-historic-data-heist-11657812800

Comment la guerre influence le marché des assurances cyber, avec, en particulier, ce curieux paradoxe apparent : alors que la guerre Russie-Ukraine entraine une augmentation de la souscription d’assurances cyber, la plupart des polices ne couvriront pas les attaques de groupes soutenus par des États, voire de rançongiciels :
https://threatpost.com/war-impact-cyber-insurance/180185/

8 juillet 2022

Après l’Autriche et la France, l’Italie déclare l’utilisation de Google Analytics non conforme aux lois européennes. Les autorités transalpines soulignent en particulier la possibilité pour les autorités et services de renseignement US d’accéder à des données personnelles collectées via Analytics et dont le transfert n’est pas correctement cadré :
https://thehackernews.com/2022/06/italy-data-protection-authority-warns.html
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics

Du code malveillant passé par le copier-coller :
https://isc.sans.edu/diary/rss/28784

Recommandations et bonnes pratiques de la Microsoft Detection and Response Team (DART) pour contrer les rançongiciels : prévention, détection, utilisation des services Microsoft... :
https://docs.microsoft.com/en-us/security/compass/incident-response-playbook-dart-ransomware-approach

Microsoft revient sur la politique qu’ils avaient adoptée il y a quelques mois, le blocage par défaut des macros Office provenant d’internet. Ils disent que cela a posé des problèmes à de nombreux clients, sans préciser lesquels. Cela réjouira certainement aussi les attaquants :
https://www.bleepingcomputer.com/news/microsoft/microsoft-rolls-back-decision-to-block-office-macros-by-default/

Le NIST annonce la sélection d’un premier groupe d’algorithmes cryptographiques "post-quantiques", c’est à dire résistants aux cryptanalyses des ordinateurs quantiques à venir :
https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms

24 juin 2022

Le grand cryptographe Bruce Schneier - "Applied cryptography", sa somme sur la cryptographie, fit entrer nombre d’entre-nous dans notre métier - a écrit au Congrès US pour leur expliquer que les cryptomonnaies étaient un "désastre" et les blockchains souvent inutiles. Le cœur du problème est que c’est une solution à des problèmes qui n’existent pas vraiment. Schneier explique que l’immense majorité des use case pourraient être traités autrement, sans blockchain, de façon plus élégante et efficace. L’absence de régulation pose des problèmes très sérieux ; on ne remplace pas la confiance par une technologie ; cette technologie ne peut pas résoudre les problèmes économiques et politiques liés aux monnaies. Il demande enfin : donnez un seul exemple où les blockchains sont la seule et la meilleure solution. Les avis de Bruce Schneier sont de ceux qu’il faut écouter :
https://www.schneier.com/blog/archives/2022/06/on-the-dangers-of-cryptocurrencies-and-the-uselessness-of-blockchain.html

Très belle liste de services (810) aidant à faire de l’OSINT, Open Source Intelligence, c’est à dire, en français, renseignement de sources ouvertes :
https://cipher387.github.io/osint_stuff_tool_collection/

Décodage d’un base64 obfusqué :
https://isc.sans.edu/diary/rss/28758

Defender, la solution anti-malware de Microsoft, désormais disponible sur toutes les plateformes (macOS, iOS, Android...), y compris celles contenant leur propre anti-virus. Defender les intégrera a priori dans son dashboard. La stratégie sécurité de Microsoft continue d’étonner par sa pertinence.
https://www.theregister.com/2022/06/17/microsoft_defender/

La question délicate des termes et conditions de assurances cyber, avec, en particulier les clauses d’exclusions pour faits de guerre :
https://thehackernews.com/2022/06/do-you-have-ransomware-insurance-look.html

Les deeps fakes seront de plus en plus présents dans les attaques cyber, d’après Cisco. C’est probable. De façon inattendue, il est possible que cela entraine un retour du besoin de l’humain. Du contact humain, réel. Et aussi, dans le domaine de l’information, un retour de l’importance des témoins, c’est-à-dire des journalistes (probablement les journalistes, français en particulier, devront-ils cultiver davantage la culture de l’investigation et de l’impartialité) :
https://www.itpro.co.uk/security/phishing/368299/deepfake-attacks-expected-to-be-next-big-threat-to-businesses

Pegasus, la suite. NSO, l’éditeur du logiciel d’espionnage confirme qu’au moins 5 pays de l’EU ont acheté et utilisé Pegasus :
https://thehackernews.com/2022/06/nso-confirms-pegasus-spyware-used-by-at.html

Des nouvelles des délires technoides : Amazon a montré que son truc parlant, Alexa, pouvait lire une histoire du soir à un enfant en imitant la voix de sa grand-mère morte. Ils n’ont pas annoncé mettre cette option à disposition. Mais il est probable que ce soit le cas dans un futur proche. Outre les risques d’utilisation d’une telle fonction pour créer des deep fakes vocaux, on peut vraiment se demander si tous ces ingénieurs et ces ressources n’ont rien de plus utile à faire :
https://grahamcluley.com/amazon-alexa-dead-grandma/

17 juin 2022

Les attaquants ne restent pas le même temps au sein des SI compromis avant de lancer leurs offensives, d’après ce rapport de Sophos. Plus de 50 jours pour les entreprises de moins de 100 personnes, une vingtaine pour les entreprises de 5000 personnes. L’explication paraît relativement simple : les petites entreprises ont probablement moins de moyens "sécurité", y rester longtemps est donc moins risqué. Sur le front des vecteurs de compromission : achat d’accès compromis (souvent sans authentification multi-facteur, on suppose) et exploitation de vulnérabilité non corrigées. Business as usual, en somme :
https://www.itpro.co.uk/security/cyber-attacks/368116/cyber-criminals-are-spending-longer-inside-business-networks

Une vulnérabilité sur les processeur M1 d’Apple, qui permet théoriquement d’exécuter du code arbitraire découverte par des chercheurs du MIT, nommée Pacman. Complexe, elle reste assez théorique pour le moment (c’est-à-dire difficile à exploiter en conditions réelles). Mais elle a une particularité : elle ne peut pas être corrigée. Ce qu’on appelle une vulnérabilité... ou une feature, by design :
https://thehackernews.com/2022/06/mit-researchers-discover-new-flaw-in.html

Offensive Security, les créateurs de la distribution Kali Linux - et ceux qui proposent les certifications de pentest les plus exigeantes au monde - vont proposer des sessions de training en livestream :
https://www.itpro.co.uk/security/penetration-testing/368217/kali-linux-team-free-cyber-security-training-twitch

Convergence des équipes de sécurité physique et logique par le biais des activités d’OSINT (recherches en sources ouvertes) :
https://www.securityweek.com/facilitating-convergence-physical-security-and-cyber-security-open-source-intelligence

Quelques critères pour détecter des fraudes, comme examiner les comportements, les requêtes entrantes, se concentrer sur la qualité et non la quantité... :
https://www.securityweek.com/lessons-better-fraud-decision-making

Un opérateur malveillant (APT) chinois utilise une 0day sur un pare-feu pour compromettre sa cible. L’exploitation de failles sur des pare-feu est suffisamment rare pour être remarquée :
https://thehackernews.com/2022/06/chinese-hackers-exploited-sophos.html

Des nouvelles du crime. Un meurtrier présumé admet avoir utilisé un Apple AirTag dissimulé dans la voiture de sa victime pour surveiller ses allées et venues. Ce machin permet de localiser l’objet auquel il est attaché... Sans doute devrions nous nous poser la question de l’utilité de développer de tels gadgets :
https://nakedsecurity.sophos.com/2022/06/14/murder-suspect-admits-she-tracked-cheating-partner-with-hidden-airtag/


 
cryptosec
17 juin 2022

 
 
 
 
 
Partager sur Twitter  |  Partager sur LinkedIn
 
Creative Commons - BY - NC - ND

Tous les textes, images et sons de cryptosec sont publiés selon les termes de la licence Creative Commons - Attribution - Pas d’Utilisation Commerciale - Pas de Modification - 3.0