Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.
Correctifs
Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés pour le navigateur Firefox [1]. L’exploitation des deux vulnérabilités corrigées permettait à un attaquant de prendre le contrôle d’un système à distance.
Codes d’exploitation
La semaine dernière, deux codes d’exploitation ont été publiés.
Le premier affecte le système Android. Il permet d’envoyer des paquets spécifiquement conçus à une cible afin de provoquer un arrêt du service Bluetooth. Un correctif est disponible. [2]
Le second affecte le composant « JavaStart » de Bomgar Remote Support. La preuve de concept permet de créer un serveur Web malveillant. En incitant un utilisateur à accéder à cette page malveillante, et à accepter l’exécution de l’applet, un pirate est alors en mesure de créer, modifier, ou supprimer des fichiers présents sur le poste de la victime. [3]
Informations
Malware
Des chercheurs de Symantec ont identifié une nouvelle version du logiciel malveillant nommé FakeBank et visant les plateformes Android. Ce dernier, actuellement actif en Corée du Sud, est capable d’intercepter les appels émis vers la banque de la victime. [4]
Le 13 mars 2018, des chercheurs du laboratoire de recherche en sécurité informatique Kaspersky ont constaté une recrudescence d’attaques sophistiquées et très ciblées sur les secteurs pharmaceutiques et de la santé. Ces attaques, souvent menées via le malware « PlugX », ont pour objectif de récupérer des informations stratégiques sensibles comme des formules chimiques concernant des médicaments, des certificats d’équipements médicaux ou toute autre donnée médicale ou pharmaceutique pouvant représenter un intérêt financier. [5]
International
Le 9 mars, Kapersky a publié des informations sur un logiciel malveillant, nommé Slingshot, ayant compromis des milliers d’appareils dans divers pays d’Afrique et du Moyen-Orient. Des responsables anonymes du renseignement américain auraient révélé à CyberScoop que Slingshot était en réalité un programme militaire de cyberespionnage ciblant Al-Qaida et l’État islamique. [6]
Attaques
Le New York Times rapporte qu’en août dernier, une entreprise spécialisée dans les produits pétrochimiques en Arabie Saoudite a été visée par un nouveau type d’attaque informatique. Selon les experts de Mandiant, l’attaque n’était pas simplement destinée à détruire des données ou à arrêter la production, mais bien à provoquer une explosion. Celle-ci n’a pas eu lieu, vraisemblablement à cause d’un bug présent dans une partie du code malveillant. [7]
Les systèmes informatiques de la ville d’Atlanta, dans l’état de Géorgie aux États-Unis, ont subi une attaque informatique via un ransomware. Certains services en ligne n’étaient ainsi plus disponibles et les données de certains travailleurs municipaux pourraient être compromises. Le FBI, le DHS ainsi que des ingénieurs de Cisco et Microsoft ont été dépêchés sur place afin d’accélérer la reprise des activités au plus vite. [8]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
[1] CXA-2018-1149
[2] CXA-2018-1221
[3] CXA-2018-1235
[4] CXN-2018-1146
[5] CXN-2018-1151
[6] CXN-2018-1189
[7] CXN-2018-1173
[8] CXN-2018-1232