SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
27 01 17 JANVIER
MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
MÉCOMPTES
DE LA CRYPT32.DLL
cations réseau. La faille est une erreur d’implémen-
tation et non une faille intrinsèque aux protocoles
Une vulnérabilité affectant la bibliothèque cryptographiques qui restent sûrs, comme le rap-
crypt32.dll de Microsoft Windows 10, Windows pelle la NSA.
Server 2016 et Windows Server 2019 a été dévoi-
lée le mardi 14 janvier 2019. Microsoft a publié un Pour la première fois, la NSA a alerté l’éditeur de Re-
correctif qu’il est vivement conseillé d’appliquer dmond de la découverte de la CVE-2020-0601, per-
au plus tôt sur les machines concernées par cette mettant à Microsoft de développer un correctif dans
faille. La découverte de cette vulnérabilité n’est les plus brefs délais. L’agence a communiqué les dé-
due ni à un chercheur en sécurité, ni à une société tails techniques de la vulnérabilité à Microsoft grâce
privée, ni à des universitaires mais à la National Se- à la procédure Vulnerabilities Equities Process (VEP).
curity Agency (NSA).
Cette procédure a été définie dans les années
La vulnérabilité référencée CVE-2020-0601 affecte 2008/2009. Elle précise, au cas par cas, les critères
la validation de certificats ECC (Elliptic Curve Crypto- qui doivent inciter les agences fédérales améri-
graphy ou Cryptographie sur les Courbes Elliptiques) caines à informer les éditeurs de logiciels lors de la
par la CryptoAPI de Windows. L’utilisation des pro- détection de menaces critiques de type 0-day. La
priétés des courbes elliptiques en cryptographie procédure VEP a été partiellement révélée au grand
permet de réduire la taille des clés cryptographiques public en 2016 suite à une demande de la fondation
pour un niveau de sécurité équivalent. L’exploitation EFF (Electronic Frontier Foundation). Elle a été plus
de la faille CVE-2020-0601 permet à un attaquant amplement dévoilée en 2017 à la suite de la mise en
de tromper la CryptoAPI lors de la validation de la ligne de logiciels appartenant à la NSA par le groupe
signature d’un logiciel, de mener des interceptions The Shadows Brokers (TSB). Contrairement à la pro-
de type entre-deux ou de déchiffrer des communi- cédure TSB, la procédure VEP est une façon moins
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
27 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 17 JANVIER 2020
TLP WHITE
MÉCOMPTES DE LA CRYPT32.DLL
“violente” et plus contrôlée de divulguer des 0-day aux petits oignons. Dès le 13 janvier, le blogueur Brian
et devrait éviter que celles-ci soient intégrées à des Krebs, visiblement mis dans la confidence, annonçait sur
codes malveillants comme ce fut le cas pour Eter- son site que le Patch Tuesday de Microsoft de janvier
nalBlue. corrige une vulnérabilité critique dans la bibliothèque
crypt32.dll. L’objectif de cette “fuite” organisée était de
L’agence de Fort Meade n’a donné aucun détail sur préparer le terrain à la publication du correctif et de cap-
le contexte de cette découverte ni sur la date de ter la vigilance des responsables IT chargés de l’appli-
celle-ci, ce qui fait dire à certaines “mauvaises” lan- quer. Une sorte de teasing (ou d’amuse-gueule).
gues que la vulnérabilité a pu être exploitée par la
NSA avant d’être communiquée à Microsoft de peur Durant la conférence de presse qu’elle a tenue hier, Anne
que d’autres acteurs ne l’utilisent à leur tour. Si la Neuberger, directrice de la Cybersécurité de la NSA a
NSA a appris des leçons de son passé récent, aucun longuement insisté sur la volonté de l’agence d’aider
Edward Snowden ni aucun contractuel travaillant à les acteurs du marché, en commençant par les éditeurs
distance ne pourront cependant confirmer ni infirmer de logiciels, à renforcer la sécurité de leurs produits et,
cette hypothèse. dans le même temps, la sécurité nationale. Cette pre-
mière utilisation de la procédure VEP, ainsi que l’accep-
Microsoft n’est pas non plus très prolixe sur cette tation par la NSA de se voir attribuer la maternité de la
faille et ne donne aucun détail technique pour ne découverte de la CVE-2020-0601, s’inscrivent à la suite
pas faciliter la tâche de celles et ceux qui seraient de la publication en 2019 du logiciel Ghidra (logiciel de
tentés de développer des codes offensifs tirant profit rétro-ingénierie de code/logiciel).
de cette vulnérabilité. Dans son communiqué publié
le 14 janvier, la NSA insiste sur le risque que des at- La NSA espère peut-être, en paraissant plus “ouverte”,
taquants (réellement) avancés identifient très vite les effacer les souvenirs des précédentes anni horribiles -
leviers à actionner pour exploiter cette vulnérabilité. affaire Edward Snowden, publication de logiciels par le
Une méthode classique pour cela consiste à analy- groupe TSB et différents incidents aussi fâcheux - en
ser le correctif pour trouver comment, au mieux, pro- remplumant son blason et se refaire une «bonne» répu-
duire un module MetaSploit, au pire, introduire une tation.
nouvelle fonctionnalité dans un rançongiciel ou une
porte dérobée. Sources & références
Le fait est que la course à l’exploit a très certai- https://krebsonsecurity.com/2020/01 /cr yptic-ru-
nement été lancée dès la publication du correctif mblings-ahead-of-first-2020-patch-tuesday/
par Microsoft, et a été remportée rapidement. Des
preuves de concept ont fait leur apparition sur gi- https://media.defense.gov/2020/Jan/14/2002234275/-
thub dès le 16 janvier. 1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
La CVE-2020-0601 est suffisamment critique pour https://portal.msrc.microsoft.com/en-US/security-gui-
que la Cybersecurity and Infrastructure Security dance/advisory/CVE-2020-0601
Agency, qui dépend du U.S. Department of Home-
land Security, publie une directive ordonnant aux https://www.cyberscoop.com/windows-10-vulnerabi-
agences fédérales civiles américaines d’appliquer lity-nsa-public-disclosure/
le correctif sous 10 jours ouvrés. Les organismes qui
dépendent du ministère de la Défense auraient déjà https://www.bleepingcomputer.com/news/security/
eu ce patch en avance de phase. nsas-first-public-vulnerability-disclosure-an-effort-to-
build-trust/
Selon Microsoft, aucune exploitation de cette faille
n’a encore été détectée. Les communiqués de la https://www.zdnet.com/article/proof-of-concept-ex-
NSA sont plus évasifs sur ce point. ploits-published-for-the-microsoft-nsa-crypto-bug/
Une chose semble sûre : la divulgation de la CVE-
2020-061 a bénéficié d’un plan de communication
227 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 17 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[ARS TECHNICA] EXPLOITATION DE LA FAILLE CVE-2019-19781
Une vulnérabilité critique identi- seraient vulnérables à cette faille Une trentaine de charges utiles dif-
fiée en décembre 2019 dans les qui permet une exécution de code férentes ont été identifiées par le
produits Citrix ADC et Gateway est à distance. Citrix a annoncé que les chercheur Didier Stevens, allant de
désormais activement exploitée correctifs ne seront pas disponibles simples modules de reconnaissance
depuis le 10 janvier. avant le 20 janvier 2020 et recom- jusqu’à des codes d’exfiltration de
mande d’appliquer en attendant des données en passant par des portes
Des dizaines de milliers de serveurs contre-mesures. dérobées et des wiper.
SOURCES ET RÉFÉRENCES :
https://arstechnica.com/information-technology/2020/01/unpatched-citrix-vulnerability-now-exploited-
patch-weeks-away/
https://support.citrix.com/article/CTX267679
MOTS CLEFS : CITRIX, ADC, CVE-2019-19781
[CYBERSCOOP] SOUPÇONS DE TENTATIVE DE COMPROMISSION DE LA SOCIÉTÉ
UKRAINIENNE BURISMA
L’entreprise Burisma a été la cible La procédure de mise en accusation la campagne d’hameçonnage de
d’une campagne d’hameçonnage (impeachment) en cours à l’encontre décembre et en a attribué la paterni-
ciblé. Burisma est une société du président américain a été lancée té au mode opératoire APT28 (Fancy
ukrainienne pour laquelle a travail- après que celui-ci a tenté d’obtenir Bear).
lé Hunter Biden, le fils de Joe Biden, de son homologue ukrainien l’ou-
un des adversaires probables de verture de poursuites judiciaires Cette affirmation n’est cependant
Donald Trump pour l’élection pré- contre Hunter Biden. pas corroborée par d’autres élé-
sidentielle américaine de cette ments que les noms de domaines
année. Dans ce contexte, la société califor- usurpés par les auteurs de la cam-
nienne Area 1 a publié un rapport sur pagne de phishing.
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/russia-hacking-ukraine-burisma-donald-trump-apt28-area-1/
https://www.bbc.com/news/world-us-canada-51103556
MOTS CLEFS : BURISMA, PHISHING, APT28
327 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 17 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[CYBERSCOOP] L’ONG AMNESTY INTERNATIONAL DEMANDE L’ARRÊT DES EXPORTATIONS
DES LOGICIELS DE NSO GROUP
Amnesty International a demandé smartphones sur lesquels il est NSO Group fait déjà l’objet de pour-
à la justice israélienne la révoca- installé. Vendu officiellement à des suites judiciaires suite à une plainte
tion de l’autorisation d’exportation fins de lutte contre la criminalité et déposée par la société WhatsApp
des logiciels de surveillance déve- le terrorisme, Pegasus est soup- dont la messagerie avait été ciblée
loppés par la société NSO Group. çonné d’avoir été utilisé par des par des codes malveillants destinés
gouvernements pour des opérations à installer Pegasus à l’insu des utili-
Le produit vedette de NSO Group, d’espionnage politique contre des sateurs des téléphones visés.
Pegasus, est un logiciel qui per- opposants, des journalistes ou des
met la surveillance complète des membres d’ONG.
SOURCES ET RÉFÉRENCES :
https://www.amnesty.org/en/latest/news/2020/01/israel-nso-spyware-revoke-export-license/
https://www.cyberscoop.com/nso-group-export-license-amnesty-international/
MOTS CLEFS : NSO, PEGASUS, JUSTICE
[NAKED SECURITY] 200 MILLIONS DE ROUTEURS DOMESTIQUES VULNÉRABLES À CABLE
HAUNT
Une vulnérabilité suffisamment appelée analyseur de spectre (SA) vulnérabilité, qui reste cependant
sévère pour qu’on lui ait donné utilisée par les fournisseurs de ser- critique.
un nom - Cable Haunt - associé à vices Internet pour des opérations
un logo et un site Internet affecte de dépannage et de mesure de la L’exploitation de Cable Haunt par un
plusieurs millions de modems qualité de la connexion de leurs attaquant nécessite que ce dernier
câble basés sur la plate-forme abonnés. Cette couche n’étant pas compromette d’abord un ordinateur
Broadcom. accessible depuis Internet, l’exploi- d’un abonné afin de lui faire exécuter
tation de la faille doit se faire depuis un code Javascript.
La faille se trouve dans une couche le réseau domestique de l’abon-
logicielle normalement cachée né, ce qui relativise la gravité de la
SOURCES ET RÉFÉRENCES :
https://nakedsecurity.sophos.com/2020/01/14/cable-haunt-vulnerability-exposes-200-million-cable-
modem-users/
https://cablehaunt.com/
MOTS CLEFS : CABLE HAUNT, MODEM
427 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 17 JANVIER 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Threat Intel 101 — CoA faire en cas d’intrusion ? Cloud Act : entre mythes et réalités
Une des qualités du renseignement sur les menaces Le Cloud Act (Clarifying Lawful Overseas Use of Data)
est d’être actionnable. Cet anglicisme signifie “qui per- est ce qu’on appelle un « cavalier budgétaire » (dispo-
met et guide l’action”. Dans le contexte de la réponse sition d’une loi de finance étrangère au domaine de la
aux incidents ou celui de l’adaptation de la politique de finance) introduit dans un amendement du projet de loi
sécurité et des défenses numériques d’une organisa- de finances par le Président américain Donald Trump, le
tion, la Threat Intelligence doit permettre de répondre à 23 mars 2018. Le Cloud Act, a été adopté par le Congrès
la question posée en 1901 par Vladimir Ilitch Oulianov : américain en l’absence de tout débat. Aucune étude
“Que Faire” ? d’impact ou rapport n’a donc été rédigé en amont de
l’adoption de cette loi fédérale (loi s’appliquant dans
—> Le billet complet les 51 états des Etats-Unis). Seul le DoJ (Department
of Justice) a émis un white paper tendant à clarifier
contenu du Cloud Act. Cette législation a pour objectif
d’octroyer l’accès aux forces de l’ordre américaines
ainsi qu’aux gouvernements étrangers (sous certaines
conditions bien entendu) aux données de fournisseurs
de service Cloud (FSC) de droit américain stockées en
dehors des Etats-Unis.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
16/01/20120 - FL|INT.2020-010
UPDATE#1 - Vulnerability in Citrix ADC and Citrix Bénéficier d’1 mois d’essai gratuit
Gateway exploited in the wild
et sans engagement à notre offre FLINT :
15/01/2020 - FL|INT.2020-012
Critical cryptographic vulnerability in Microsoft https://www.sekoia.fr/flint
Windows clients and servers
flint@sekoia.fr
14/01/2019 - FL|INT.2020-011
PowerTrick: new fileless backdoor developed by
TrickBot actors
527 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 17 JANVIER 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
