X
Peekaboo vous espionne

News Partenaire

Peekaboo vous espionne

Tenable Research a découvert une faille logicielle majeure, baptisée Peekaboo, qui permet aux cybercriminels de contrôler certaines caméras de vidéosurveillance, leur permettant de surveiller secrètement, de manipuler et même de désactiver les flux. Voici un aperçu de ce que Tenable a découvert.

Petya/NotPetya : l’exploit EternalRomance au centre du ransomware (MàJ)

Même si l’impact du ransomware semble relativement limité, l’attaque en elle-même est techniquement intéressante dans la mesure où elle utiliserait une variante de l’exploit EternalRomance notamment. 

« Nous pouvons confirmer que des versions modifiées des exploits EternalBlue & EternalRomance sont utilisés pour la propagation de la menace sur les réseaux d’entreprise ». Kaspersky est sûr de son fait et à mesure que les heures défilent, les informations sur Petya/NotPetya, qui vient aussi d’être renommé ExPetr, affluent. 

Toutefois, ce qui suit est encore à prendre avec des précautions car le ransomware est scruté à la loupe actuellement par des dizaines d’experts à travers le monde. Il semble cependant désormais presque certain que malgré certaines similitudes avec Petya (qui date de 2016), ExPetr possède en fait des fonctionnalités bien différentes. 

Par ailleurs, le ransomware (peu importe son nom) est aussi différent de la récente attaque Wanacrypt qui a fait des dégâts ces dernières semaines. C’est surtout le mode de propagation donc qui diffère : ExPetr se diffuserait uniquement via le protocole SMB de Windows mais sur un réseau local. Cela confirmerait l’exploit d’EternalRomance, lui aussi issu du leak de Shadow Brokers à la NSA. 

Propagation via MeDoc et grâce à Mimikatz

Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de ExPetr semble plus lente. En fait, elle serait survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. L’information selon laquelle MeDoc est le vecteur initial n’est pas encore confirmée et l’éditeur nie les faits. 

(Mise à jour 28/06/2017 12:26) : Microsoft confirme que le vecteur de contamination était bien le logiciel MeDoc

Les informations sur cette image ne sont pas vérifiées, mais elles sont confirmées par certains experts. Crédit @thedefensedude

Enfin, ExPetr se serait aussi propagé sur les réseaux locaux via WMIC (Windows Management Instrumentation Commandline) et en recueillant des informations grâce à l’utilisation de l’outil Mimikatz qui propose une fonction de « pass-the-hash ». Il a d’ailleurs été créé par le Français Benjamin Delpy qui confirme, après un reverse engineering, que certains fichiers ont été recompilés avec Mimikatz. 

Les trois vecteurs de propagation

Pour résumer, il existe trois vecteurs de propagation de ExPetr. Tout d’abord contre le mécanisme de mise à jour de MeDoc comme expliqué plus haut. Fortunato Guarino de Guidance précise que lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l'API CredEnumerateW. Le rançongiciel dispose de plusieurs capacités pour se propager sur le réseau:

  • en utilisant les identifiants récupérés sur la machine
  • en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010)

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu'une vérification de l'intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la MFT (Master File Table). Cela rend inaccessible les fichiers présents sur la machine. Enfin, le malware s'installe à la place du secteur de démarrage de Windows afin d'afficher le message de rançon.

Inutile de payer pour recevoir la clé, le serveur de réception a été neutralisé, donc vous ne recevrez aucune clé en retour de votre paiement ! 

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-2017-0146 ; Windows SMB Remote Code Execution Vulnerability ; Microsoft CVE-2017-0147: Windows SMB Information Disclosure Vulnerability; Microsoft CVE-2017-0143: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0145: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0148: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0144: Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7,8, Windows 2008 et 2008 R2 sur le port 445 (Bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP en ce qui concerne uniquement la France.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider


Les alternatives à GitHub

Les alternatives à GitHub

Microsoft venant tout juste d’officialiser le rachat de GitHub, certains usagers de la plate-forme seront sans doute tentés de chercher des alternatives. Nous allons voir dans ces lignes quelles plates-formes peuvent la remplacer et...

RSS
Afficher tous les dossiers

STOCKAGE NOUVELLE GÉNÉRATION - Prélèvement à la source : les éditeurs confiants - Multicloud : les Français entrent dans la danse - DEV : les langages à connaître... et ceux à éviter - Se former à l'IoT gratuitement - IPV6 : il est plus que temps ! - Rencontre avec Jean-Noël de Galzain, fondateur de Wallix et d'Hexatrust...

 

SÉCURITÉ IT : LES ENJEUX POUR 2019 - Quel O.S. pour l'auto numérique ? - GENZ, le serveur du futur - Rencontre avec Mounir Mahjoubi - Préparer l'après RTC - Au coeur d'Hexatrust : IDnomic ou l'identité innovante - Langages informatiques : quoi de neuf ? - Digital Learning Manager, le métier qui monte...

 

LOGICIELS D'ENTREPRISE : UNE TRANSFORMATION PROFONDE - Licences logicielles : éditeurs/entreprises, le clash ! - La 5G sort des labos - Windows Subsystem for Linux - Recherche désespérément ingénieurs système - 3 solutions pour booster le réseau WiFi - Rencontre avec Serge Tisseron : nous devons savoir à tout moment avec qui/quoi nous interagissons...

 

Afficher tous les derniers numéros

Au fur et à mesure que votre exposition à d’autres entreprises augmente, votre exposition au risque augmente également. Il ne s’agit pas uniquement de vos propres fournisseurs mais également les leurs. Comment pouvez-vous suivre toutes ces relations afin de gérer vos risques?


Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Tous les Livres Blancs
Derniers commentaires
 les conditions de travail dans les usines en Chine qui fournissent Les géants mondiaux de l'électronique contribuent au suicide d'employés, affirme une étude publiée mercrediStress lié aux cadences, crainte de perdre son emploi, sanctions: les conditions de travail dans les usines en Chine qui fournissent les géants mondiaux de l'électronique contribuent au suicide d'employés, affirme une étude publiée mercredi. [Lire la dépêche...]

Un employé sur le toit d'un un Apple store de PékinLes entreprises technologiques, qui ont mené Wall Street à ses sommets, vivent une période particulièrement chahutée à la Bourse par crainte de voir leurs fabuleux bénéfices s'étioler. [Lire la dépêche...]

Jadis quartier industriel, Long Island City (LIC), où va s'implanter Amazon, a déjà vu pousser des dizaines de tours, le LIC pris en photo le 7 novembre 2018  Avec ses milliers d'emplois et ses investissements massifs, l'implantation d'une partie du nouveau siège d'Amazon à Long Island City, annoncée mardi, a ravi certains New-Yorkais tandis que d'autres dénonçaient un marché de dupes. [Lire la dépêche...]

Abou Ahmad, un étudiant de l'association des Dans le nord-ouest syrien, une dizaine de non-voyants réunis dans une salle pianotent sur leur smartphone, apprenant à suivre les instructions d'un guide vocal. A l'origine de l'application: un ex-combattant rebelle, aveugle depuis une blessure sur le champ de bataille. [Lire la dépêche...]

(ILLUSTRATION) Environ 400 personnes utilisent déjà le service de taxis sans chauffeur de WaymoWaymo, filiale d'Alphabet, va "petit à petit" ouvrir son service de voitures autonomes à plus de clients dans la région de Phoenix (Arizona), a annoncé mardi John Krafcik, le PDG de l'entreprise. [Lire la dépêche...]

Un panneau d'accueil à Crystal City photographié le 7 novembre et où amazon va installer l'un de ses nouveaux siègesAmazon installera ses deux nouveaux sièges à New York et aux portes de la capitale américaine, ainsi qu'un centre d'excellence de gestion de ses opérations à Nashville. En jeu: des milliards de dollars d'investissement, des dizaines de milliers d'emplois et beaucoup de subventions. [Lire la dépêche...]

Le logo d'Orange apparaît sur l'écran d'une tablette, le 19 avril 2018 à ParisÀ compter de jeudi, Orange ne proposera plus en boutique d'offres de téléphonie fixe utilisant le réseau téléphonique RTC, né au XIXe siècle, que l'opérateur historique va abandonner au profit d'une autre technologie, le protocole IP. [Lire la dépêche...]

Binny Bansal, cofondateur du site Flipkart, le 30 octobre 2015 à Hyderabad en IndeLe cofondateur du site d'e-commerce indien Flipkart, le trentenaire Binny Bansal, a démissionné mardi de ses fonctions de PDG du groupe à l'issue d'une enquête pour "inconduite personnelle grave", d'une nature non précisée. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT
Jalios Digital Summit 2018 est une journée de conférences, sessions thématiques et ateliers pour bien préparer un projet collaboratif. Elle a lieu le 15 novembre 2018 à Paris La Défense. Organisée par Jalios.

MAKER FAIRE

Du 23 au 25 novembre 2018, la Cité des sciences et de l’industrie à Paris accueille pour la deuxième fois la Maker Faire Paris. Organisée par Leroy Merlin.

TRUSTECH

Cet événement international dédié aux "technologies de la confiance" est organisé à Cannes (palais des festivals) du 27 au 29 novembre 2018. Organisé par Comexposium.

CLOUD EXPO EUROPE

Conjointement avec Data Centre World, Cloud Security Expo et Smart IoT Paris, le salon Cloud Expo Europe se tient les 27 et 28 novembre 2018 à Paris, Porte de Versailles. Organisé par CloserStill Media.
RSS
Voir tout l'AgendaIT