Adacis vous propose un condensé de l’actualité dans sa newsletter. On espère que ça vous plaira ! Toute la Team Adacis vous souhaite une bonne semaine.
Au menu:
News
6/04/2022 https://www.tomsguide.fr/dark-… : Hydra, la plus grande plateforme de transactions illégales du Dark Web, a été démantelée par les autorités allemandes
5/04/2022 https://techcrunch.com/2022/04… : Affaire Pegasus : Des victimes ciblées des semaines après les injonctions d’Apple envers la société NSO
8/04/2022 https://medium.com/@Medusa0xf/… : Exploitation d’une XSS avec Javascript et JPEG Polyglot
10/04/2022 https://jrsinclair.com/article… : Composition de fonctions JavaScript : quel est le problème ?
12/04/2022 https://www.europol.europa.eu/… : La cellule Cybercrime d’Europol annonce l’arrestation des administrateurs du site RaidForums, rendu inaccessible le mois dernier. L’opération, appelée TOURNIQUET, a impliqué de nombreuses agences européennes (Suède, Roumanie, Portugal, Allemagne), une agence britannique mais également des services secrets américains (ainsi que du FBI).
12/04/2022 https://www.lemonde.fr/pixels/… : L’Ukraine affirme avoir déjoué une cyberattaque de la Russie contre son réseau électrique. Derrière cette tentative se cacherait l’unité 74455 du GRU (service de renseignement militaire russe), qui avait préparé une nouvelle mouture d’un malware déjà aperçu en 2016 mais qui a bénéficié de nouvelles implémentations plus sophistiquées. L’Ukraine a été alerté par un partenaire qu’elle n’a pas souhaité nommer quandt à la présence des hackers russes au sein de son réseau de distribution électrique.
12/04/2022 https://thehackernews.com/2022… : Suite à un tweet du groupe APT BlueHornet, les développeurs de Nginx ont communiqué sur une faille de sécurité dans l’implémentation d’une authentification avec un annuaire LDAP pour la version 1.18 de la solution.
13/04/2022 https://www.aege.fr/news/ctf-o… : Un CTF spécialisé en OSINT, organisé par l’AEGE.
14/04/2022 https://www.cert.ssi.gouv.fr/a… : CVE-2022-26809 : Une nouvelle vulnérabilité dans le protocole RPC affecterait plus de 700.000 machines exposées sur Internet (via Shodan)
18/04/2022 https://thehackernews.com/2022… : Les autorités américaines mettent en garde contre une recrudescence d’activité d’une APT liée à la Corée du Nord visant des activités de block-chain
18/04/2022 https://thehackernews.com/2022… : GitHub notifie ses utilisateurs d’une potentielle compromission de leurs connexions via une solution tierce d’OAuth
25/04/2022 https://thehackernews.com/2022… : Une vulnérabilité présente dans ExifTool a permis à des chercheurs d’obtenir une RCE sur les serveurs de VirusTotal en soumettant un fichier piégé. Le fichier a également été partagé à d’autres serveurs et partenaires, les chercheurs obtenant alors un accès à des infrastructures clés à hauts privilèges.
Menace
21/04/2022 https://medium.com/@airlockdig… : Phishing via VSTO – Article décrivant l’utilisation de Visual Studio Tools for Office (VSTO) pour créer des documents Office à des fins de phishing.
Vulnérabilité
1/04/2022 https://about.gitlab.com/relea… : Patch de sécurité pour Gitlab avec correction d’une vulnérabilité critique : Présence d’un mot de passe codé en dur défini lors de l’enregistrement d’une compte à travers OmniAuth (OAuth, LDAP, SAML). Les versions GitLab CE/EE 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2 sont concernées il est fortement recommandé de mettre à jour la solution.
13/04/2022 https://msrc.microsoft.com/upd… : Vulnérabilité d’exécution de code à distance dans DiskUsage.exe – Rapport de Microsoft sur la CVE-2022-26830
13/04/2022 https://github.blog/2022-04-12… : Failles de sécurité sur Git : une version corrective a été déployée pour corriger les 2 CVE découvertes (CVE-2022-24765 et CVE-2022-24767).
21/04/2022 https://github.blog/2022-04-12… : Vulnérabilités Git (Windows) – Deux vulnérabilités ont été corrigées dans la nouvelle version de Git qui sont exploitables sur Windows. La première est une exécution de commandes via la création d’un fichier de config dans un dossier parent qui sera lu par toute invocation git. La seconde est une élévation de privilège dans le désinstalleur (DLL hijack).
21/04/2022 https://posts.specterops.io/co… : Forcer une authentification Net-NTLM sur SCCM – Article présentant l’outil et la technique permettant de solliciter une authentification NTLM sur le service SCCM via la fonctionnalité Client Push Installation. Pour s’affranchir de ce vecteur d’attaque : Désactiver « Allow connection fallback to NTLM » dans la configuration de Client Push Installation, cette valeur est activée par défaut.
Outil
7/04/2022 https://red.0xbad53c.com/red-t… : Le service IIS interprète par défaut les fichiers .soap, cette extension peu connue peut servir de webshell. Exemple typique de l’utilité de réduire la surface d’attaque par désactivation de toute fonctionnalité ou service non nécessaires : si les besoins métiers le permettent, désactiver l’interprétation de l’extension .soap dans les paramètres IIS.
7/04/2022 https://github.com/arget13/DDe… : DDExec permet d’exécuter des binaires sur linux de façon discrète (fileless), cette technique repose sur l’exploitation de /bin/dd par lui-même (Reflective Injection).
Guide
8/04/2022 https://payatu.com/blog/anubha… : Vulnérabilités standards sur l’oAuth2 – article décrivant les principales vulnérabilités sur l’implémentation de l’authentification oAuth2, d’un point de vu de l’attaquant.
14/04/2022 https://parsiya.net/blog/2022-… : Revue de code à l’aide de semgrep : traitement des « hotspots » dans le code (parties du code porteur potentiellement de vulnérabilité et qui doivent être revue manuellement).
21/04/2022 https://vanmieghem.io/blueprin… : Techniques d’évasion EDR – Description de différentes techniques utilisées dans les loaders de shellcode pour contourner les détections EDR : chiffrement du payload, réduction de l’entropie, évasion du bac à sable, obfuscation de la table Import, désactivation des traces ETW, appels system call, supprimer les hooks ntdll.dll, …
