Adacis vous propose un résumé de l’actualité sécurité de la semaine dans sa newsletter !

Au menu:

L’actualité marquante de la semaine :

Quelques semaines après les cyberattaques de WannaCry et la découverte d’EternalRocks, c’est au tour de Petwrap (nommé aussi NotPetya) de faire des dégâts importants.

Le virus a d’abord touché la centrale nucléaire de Tchernobyl en Urkaine, puis les banques ukrainiennes, l’aéroport de Kiev, le fournisseur national d’électricité et quelques administrations. Très vite il s’est propagé dans d’autres pays tels que la Russie, les Etats-Unis ou encore la France dans l’usine de manufacture Saint-Gobain. D’autres entreprises issues du CAC40, des sociétés et des institutions européennes semblent être intentionnellement visées.

Le 27 Juin, le CERT-FR a émis un bulletin d’alerte concernant cette campagne de rançongiciels aux multiples capacités de propagation. L’ANSSI a aussi publié une procédure à suivre dans le cas d’une infection.

L’équipe de Kaspersky Lab a publié un article pour mieux comprendre le fonctionnement de Petya et la façon de s’en prémunir.

D’autre part, il est de mise de conserver un peu de recul sur cette actualité. En effet, les premières informations à ce sujet considéraient NotPetya comme un ransomware. Or il s’agirait d’un « wiper« , virus destiné à engendrer des dégâts importants, et non à récolter des gains financiers comme un ransomware classique.

Les nouvelles de la semaine :

• L’ENISA vient de publier un questionnaire pour évaluer la maturité de gestion des incidents. Classé selon 4 critères (organisationnel, humain, outils et processus), l’ensemble des questions permet de cerner l’écart entre la maturité actuelle de SIM3 (modèle de gestion des incidents de sécurité) et celle nécessaire à un niveau basique, intermédiaire ou encore certifiant.
• Retour sur le RSSIA 2017 organisé le 16 Juin dernier à l’ENSEIRB Bordeaux.
  • « Quand un pentester développe un password manager » par Florian Gaultier
  • « Cybersécurité et protection des données » par PWC
  • « MacronLeaks et WannaCry » par HSC
  • Digital Security Blockchain et sécurité
  • « Les enjeux de la RGPD » par la CNIL
  • « La cyber-intelligence » par BertinIT
• Les Shadow Brokers dévoilent une première vague d’exploits aux abonnés de son service. Pour rappel, l’accès à ces outils est possible pour la somme d’environ 21 000$/mois. Etant donné le franc succès rencontré pour le mois de Juin, le groupe a décidé d’augmenter ses tarifs pour le mois suivant avec comme principal argument : « Ne laissez pas la société être victime d’une nouvelle cyber-attaque ».
• Alessandro Groppo nous présente une étude sur le fonctionnement des anti-virus, les différentes vulnérabilités et les zones sombres existantes.
• Le 17 et 18 Juin dernier, Google organisait sa seconde édition CTF (Capture The Flag) pour tester ses compétences. Pas moins de 1900 personnes ont participé à ce challenge pour résoudre des énigmes de sécurité diverses et variées. BinaryStudio revient sur cette expérience et explique sa démarche de résolution.
• Vous avez dit Ransomware? Pas de problème, voici de quoi composer vous-mêmes vos propres virus! Une des grandes tendances de l’année 2016 a été la propagation de la cybercriminalité-as-a-service. Autrement dit, acheter rapidement et facilement les outils nécessaires pour mettre tous types d’attaques en place, au même titre qu’une prestation de service. Cet article présente un nouveau portail de RaaS (Ransomware-as-a-Service) et vous explique son fonctionnement.

Vulnérabilités et patchs de sécurité :

• Microsoft a publié un patch pour la vulnérabilité CVE-2017-8613 présente dans Azure Active Directory et qui concerne l’escalade de privilèges.
• CVE-2017-9445 : découverte par Chris Coulson, cette vulnérabilité permet à des attaquants d’utiliser des paquets TCP pour tromper l’initialisation du système et permettre l’exécution de code malveillant.
• La vulnérabilité CVE-2017-3095 concerne les versions d’Adobe Digital Editions 4.5.4 et permettent de faire une corruption de mémoire dans le moteur d’analyse PDF.
• Les caméras Foscam C1 présentent une vulnérabilité CVE-2017-2828 offrant la possibilité d’injecter du code arbitraire à partir d’une simple requête HTTP.

Les outils de sécurité :

• getsploit, un utilitaire en lignes de commande pour rechercher et télécharger des exploits.
• Cave Miner permet de rechercher des « codes caves » dans des fichiers binaires (ELF, PE et Mach-o) et d’y injecter un payload.
• Winpayloads est un outil permettant de générer une charge utile indétectable sous Windows.

L’équipe Adacis vous souhaite à toutes et à tous une très bonne semaine !