juin 15th, 2017

Le très sérieux et très gouvernemental Cert-US alerte les citoyens (de tous pays) et Etats-Uniens en particulier, du risque d’intensification des attaques de Hidden Cobra, une infrastructure de botnets soupçonnée d’être l’œuvre de l’armée de Corée du Nord. Au nombre des failles exploitées par les outils employés par Hidden Cobra, on compte les vulnérabilités suivantes :

CVE-2015-6585 : traitement de texte Hangul

CVE-2015-8651 : Adobe Flash Player 18.0.0.324 et 19.x

CVE-2016-0034 : Microsoft Silverlight 5.1.41212.0

CVE-2016-1019 : Adobe Flash Player 21.0.0.197

CVE-2016-4117 : Adobe Flash Player 21.0.0.226

Le communiqué s’achève par les recommandations d’usage : déployez les correctifs le plus rapidement possible, restreignez et contrôlez les accès aux services stratégiques de vos systèmes d’information, installez Applocker et Emet de Microsoft, bloquez les ICMP, chassez les exécutables douteux….

Outre cette alerte, les agents de l’Agence-qui-n’existe-pas font la tournée des rédactions en répandant le « scoop » suivant : Wannacry, outil utilisant de véritables morceaux d’exploits made-in-NSA, serait l’œuvre de codeurs Nord-Coréens. Le Washington Post relaie cette thèse dans trois articles différents.

Plantureux à souhait, le mardi des rustines Microsoft du mois de juin. 94 failles comblées dont 27 exploitables à distance, estiment les chercheurs de Qualys. Exploitables et exploités, puisque dans le lot se trouve CVE-2017-8543, une faille SMB qui n’est pas sans rappeler celle estampillée « for NSA eyes only » dans les décombres de Wannacry. Toujours à propos des « NSA sponsored bugs », ajoutons à la liste les armes fatales portant les noms de code EsteemAudit (CVE-2017-0176) et EnglishmanDentist (CVE-2017-8487). Visiblement, l’Agence Nationale de Sécurité (sic) a donc accepté de prévenir les éditeurs de la nature de certaines des armes numériques dérobées dans leur arsenal.

Un communiqué regroupant les antiques failles OLE, RCE et SMB a été rédigé de manière séparée et s’adresse notamment aux possesseurs de systèmes anciens, génération XP et suivants. Attention, ces mises à jour doivent être récupérées « manuellement », et ne font pas partie du lot déployé par Windows/Microsoft update ou SUS. La procédure de déploiement dépend de la version de système utilisé (XP, Server 2003, Vista), explique une page consacrée aux « vieilles machines en danger ».

Chez Adobe, 9 petits trous sont à combler sur Flash Player et un seul sur Shockwave player. Tous sont qualifiés de «critiques ».

Vendues en grande surface de bricolage, bon nombre de caméras sous étiquette Thomson, Opticam, Novodio, Nexxt ou Netis ont en fait une seule et même provenance, un OEM Chinois (en l’occurrence Foscam dans le cas soulevé par F-Secure). Car les modèles C2 et I5 sont presque des encyclopédies de la faille par l’exemple : identifiants codés « en dur » dans le firmware, accès admin avec mot de passe par défaut universel, fuites de créances, XSS, injection de commandes, interface Web et accès ftp fragiles (avec notamment une totale absence de limitation du nombre de « logon » erronés ), élévation de privilèges… Le roman noir de ces caméras IP vendues principalement aux USA, France, Espagne, Italie, Allemagne et Grande Bretagne se termine assez mal : averti des négligences et des défauts de conception, le vendeur aurait mis plusieurs mois avant de répondre aux chercheurs de F-Secure, et aucun correctif n’aurait été publié à ce jour

Britney Spears (plus précisément les commentaires « toxic » de son compte Instagram) utilisée comme intermédiaire vers le centre de control et de commande (C&C) d’un malware du gang Turla : une découverte originale de l’équipe de recherche d’Eset

L’école du hacking doit commencer dès la plus tendre enfance, estime Tom Webb, dans un billet du quotidien du Sans. L’auteur dresse une liste très complète des outils d’initiation à la logique et à l’approche des sciences et techniques informatiques destinés aux 8/15 ans… et plus