CERT-W Newsletter Janvier 2021

Ethical Hacking & Incident Response

Publié le

Indicateurs du mois

TOP ATTACKDans le sillage de l’attaque solarwinds
Les présumés hackeurs de Solarwinds ont créé en ce 11 janvier le site « solarleaks.net » sur lequel ils vendent plusieurs gigaoctets de données volées auprès des entreprises piratées. Les tarifs des données sont élevés. Ainsi, il faut compter 600 000 dollars pour les données de Microsoft, 500 000 dollars pour celles de Cisco et 250 000 pour celles de SolarsWinds. Les données de FireEye sont les plus abordables, car elles ne valent « que » 50 000 dollars. La totalité du stock est vendue pour la somme d’un million de dollars. D’autres données seraient proposées dans les prochaines semaines. « Considérez cela comme un premier jet », soulignent les hackeurs.

Parallèlement, la liste des victimes continue d’être révélée au compte-goutte, les hackeurs de Solarwinds semblent avoir tendance à cibler les entreprises spécialisées en cyber sécurité comme CrowdStrike, MalwaresBytes, Mimecast, FireEye, Fidelis, ou encore Palo Alto Network.

TOP EXPLOITLe malware gamarue detecte sur des ordinateurs distribues aux ecoliers anglais
Durant le confinement britannique, certains écoliers se sont vu offrir des ordinateurs portables par le gouvernement, malheureusement ces derniers se sont avérés être infectés par le malware Gamarue. Aussi connu sous le nom d’Andromède, Gamarue fait partie d’une famille de chevaux de Troie qui compromet les appareils victimes via des pièces jointes malveillantes. Il est capable d’utiliser ses victimes pour envoyer des messages de spam, télécharger et installer d’autres logiciels malveillants, et se copier à des supports amovibles, tels que les clés USB. Pour le moment, 23.000 ordinateurs ont été détectés comme infectés.
TOP LEAKFuite 2.28 de fiche utilisateur d’un site de rencontre
1,2 Go de données provenant d’un site de rencontres ont été partagées en téléchargement gratuit sur un forum de piratage accessible au public et connu pour son commerce de bases de données piratées. Parmi les points de données les plus sensibles on peut retrouver les noms, les adresses e-mail, la ville, l’état et le code postal, les descriptions physiques, les préférences en matière de rencontres, l’état civil, les dates de naissance, la latitude et la longitude, les adresses IP, les mots de passe des comptes hachés par cryptage, les identifiants et les jetons d’authentification Facebook. Unique point positif : les messages échangés par les utilisateurs ne sont pas inclus dans les données divulguées.

Veille sur la cybercriminalité

Arrestation et saisie de site internet en lien avec le ransomware netwalker
Les autorités américaines et bulgares ont saisi un site publiant sur le dark web les données volées par les utilisateurs du ransomware NetWalker. NetWalker est un ransomware-as-a-service, c’est-à-dire que les « abonnés » louent l’accès au code du malware, continuellement mis à jour, en échange d’un pourcentage des fonds extorqués aux victimes. A la suite de cette saisie, les agents de la Gendarmerie royale du Canada et de la police de Gatineau ont appréhendé Sébastien Vachon-Desjardins, 33 ans. Le FBI le soupçonnant d’avoir empoché 27,6 M$ US (35 M$ CAN) en rançons grâce à NetWalker.
Le Botnet Emotet démentelé par Europol
Europol annonce qu’une opération d’envergure a permis de démanteler et de prendre le contrôle du réseau d’ordinateurs infectés par Emotet. L’opération est le résultat de deux années d’efforts conjoints entre les forces de police des Pays-Bas, des Etats-Unis, de l’Allemagne, du Royaume-Uni, de la France, de la Lituanie, du Canada et de l’Ukraine. Plusieurs serveurs ont été saisis dans le cadre de cette opération. La police fédérale allemande précise ainsi avoir saisi 17 serveurs utilisés par les cybercriminels sur son territoire, et d’autres serveurs ont été saisis aux Pays-Bas, en Lituanie et en Ukraine. De l’argent et du matériel informatique ont notamment été saisis, comme en témoigne la vidéo publiée par les autorités ukrainiennes montrant deux perquisitions menées dans le cadre de l’affaire.
Covid-19 : deux individus arrêtés pour avoir vendu illégalement des données de citoyens néerlandais
La police néerlandaise a arrêté deux personnes accusées d’avoir vendu des données provenant des systèmes Covid-19 du ministère de la Santé néerlandais au marché noir. Ces arrestations ont eu lieu après que Daniel Verlaan, journaliste de RTL Nieuws, ait découvert des publicités en ligne pour des données de citoyens néerlandais, diffusées sur des applications de messagerie instantanée comme Telegram, Snapchat et Wickr. Les annonces publicitaires présentaient des photos répertoriant les données d’un ou de plusieurs citoyens néerlandais, en effet les deux accusés étant en télétravail, il leur était très facile de prendre en photo leur écran d’ordinateur sans se faire repérer.

Veille sur les vulnérabilités

CVE-2021-1300CISCO SD-WAN vulnerability
CVSS score: 9.8 CRITICAL

Cette vulnérabilité de dépassement de mémoire tampon provient d’une mauvaise gestion du trafic IP; un attaquant pourrait exploiter la faille en envoyant du trafic IP spécialement conçu via un périphérique affecté, ce qui peut provoquer un dépassement de mémoire tampon lorsque le trafic est traité. En fin de compte, cela permet à un attaquant d’exécuter du code arbitraire sur le système d’exploitation sous-jacent avec des privilèges root.

CVE-2021-1257CISCO digital network architecture CSRF vulnerability
CVSS score : 8.8 HIGH

Cette vulnérabilité est due à l’insuffisance des protections CSRF pour l’interface de gestion basée sur le web d’un dispositif affecté. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l’interface de gestion basée sur le web de suivre un lien spécialement conçu à cet effet. Une exploitation réussie pourrait permettre à l’attaquant d’effectuer des actions arbitraires sur le dispositif avec les privilèges de l’utilisateur authentifié. Ces actions comprennent la modification de la configuration du dispositif, la déconnexion de la session de l’utilisateur et l’exécution des commandes du Command Runner.

CVE-2021-1647Microsoft defender remote code execution vulnerability
CVSS score : 7.8 HIGH

Cette vulnérabilité affectant le moteur antivirus « Microsoft Malware Protection Engine » (mpengine.dll) embarqué par défaut dans Windows, de la version 7 à la dernière version 20H2 de Windows 10 (et versions équivalentes côté serveurs) pourrait permettre à un attaquant de réaliser une exécution de code arbitraire. Microsoft a reconnu avoir observé son exploitation dans certaines attaques, cette faille aurait même pu être utilisée lors de la gigantesque attaque estimée comme étant de niveau étatique ayant visé l’éditeur SolarWinds.