Sélection de l’actualité de la semaine

Une attaque de phishing ciblant les utilisateurs de Microsoft exploite un faux système Google reCAPTCHA.

Une campagne de phishing visant à voler des informations d’identification Office 365 a récemment été révélée par les équipes de ThreatLabZ, l’équipe de recherche sur les menaces de Zscaler. Les attaquants ajoutent un air de légitimité à la campagne en exploitant un faux système Google reCAPTCHA et des pages webs reprenant les logos des entreprises des victimes. Google reCAPTCHA est un service qui aide à protéger les sites Web contre le spam et les abus, en utilisant un test de Turing pour distinguer les humains et les robots (en demandant à un utilisateur de cliquer sur une borne d’incendie à partir d’une série d’images, par exemple). Dans le cas de l’attaque élaborée ici, les victimes sont ciblées par un mail de phishing indiquant un message vocal en attente, disponible par un lien attaché au mail. Lorsque les victimes cliquent, elles arrivent sur une page reCAPTCHA ; une fois le test reCAPTCHA « réussi », elles sont ensuite redirigées vers une page de destination de phishing, qui leur demande leurs informations d’identification Office 365. Si les victimes renseignent leurs informations, un message de « succès » est renvoyé et l’attaque est terminée. L’utilisation de faux reCAPTCHA n’est pas nouvelle, elle permet aux attaquants de renforcer la crédibilité de leurs mails de phishing et ainsi espérer avoir plus de succès. Méfiance donc, lors des redirections depuis des emails : pensez toujours à vérifier la légitimité des sites web (et notamment les noms de domaine) et privilégiez une vérification par un autre moyen.

F5 affecté par de multiples failles, dont plusieurs critiques

F5, le fabriquant spécialisé dans la sécurité des applications, la gestion du trafic ainsi que l’automatisation et l’orchestration des déploiements réseaux, a récemment publié une alerte de sécurité dans laquelle sont identifiés 7 failles affectant leurs produits, dont 4 évaluées comme critiques. Parmi elles, la CVE-2021-22986, les CVE-2021-22987, CVE-2021-22991 et CVE-2021-22992. Ces vulnérabilités permettent aux attaquants non authentifiés disposant d’un accès réseau via l’interface de gestion Big-IP d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers, de désactiver des services, ou encore d’aboutir à des DoS. F5 précise que « l’exploitation [des ces vulnérabilités] peut conduire à une compromission complète du système ». F5 a poussé des mises à jour intégrant des patchs de sécurité, et propose des solutions pour les solutions qui n’ont pas encore reçu ces mises à jour.

Google Play abritait des applications contenant des logiciels malveillants et des chevaux de Troie espions

Check Point Research a déclaré que des applications disponibles sur le Google Play, à première vue légitime, contenaient des droppers pour des chevaux de Troie. Pour ne pas être détecté par les protections de sécurité de Google, Firebase a été utilisé comme plateforme de Command and Control et Github a été utilisé pour le téléchargement de charges utiles. Selon les chercheurs, l’infrastructure Command and Control du dropper caché, contenait des paramètres (activation ou désactivation) qui, en fonction du cycle de vie de l’application, pouvaient déclencher les fonctions malveillantes de l’application. Le paramètre est réglé sur « false » jusqu’à ce que Google ait publié l’application, puis le piège se déclenche. Baptisé Clast82, le Check Point Research indique que le nouveau dropper a été conçu pour diffuser des logiciels malveillants financiers. La victime téléchargeait l’application malveillante sur le store, contenant l’injecteur Clast82, le Clast82 communiquait alors avec le serveur de Command and Control pour recevoir la configuration. Clast82 téléchargeait la charge utilise via Github et l’installait sur l’appareil Android. L’attaquant pouvait ensuite accéder aux informations financières de la victime et à contrôler totalement son téléphone. Les principales applications concernées étaient : BeatPlayer, Cake VPN, Deux versions d’eVPN, Music Player, Pacific VPN, QR/Barcode Scanner MAX,  QRecorder et tooltipnattorlibrary.

Apple publie un patch de sécurité pour une vulnérabilité affectant plusieurs de ses produits

Apple a publié un patch de sécurité à destination de Safari, macOS, watchOS, iOS et iPadOS. La faille corrigée est identifiée par une CVE : CVE-2021-1844. La faille pourrait être exploitée par des attaquants à distance pour exécuter du code arbitraire sur des appareils vulnérables en incitant les utilisateurs à visiter un contenu web malveillant. La vulnérabilité est due à un problème de corruption de mémoire qui pourrait être déclenché pour provoquer une exécution de code arbitraire lors du traitement d’un contenu web spécialement conçu. Si dans son billet d’alerte, Apple reste vague sur la gravité de la vulnérabilité, sa publication soudaine suggère qu’il s’agit d’une vulnérabilité sérieuse qui devrait être corrigée de toute urgence. Découverte par Clément Lecigne du groupe d’analyse des menaces de Google et Alison Huffman de l’équipe de recherche en faille des navigateurs de Microsoft, apple s’est empressé de publier son patch de sécurité afin de sécuriser les appareils vulnérables.

L’ANSSI publie un rapport sur l’état de vulnérabilités des établissements de santé

Suites aux nombreuses attaques et fuites de données qui ont ciblé les établissements de santé, l’ANSSI a publié un rapport dans lequel l’agence établit une appréciation des risques affectant les établissements du secteur. Le constat n’est pas positif, c’est le moins que l’on puisse dire : l’ANSSI a constaté « plusieurs vulnérabilités importantes » qui « mettent en danger immédiat l’ensemble des ressources », et évalue un « niveau de risque global élevé » sur les établissements audités. Le manque de ressources, l’hétérogénéité des systèmes d’information, les interconnexions multiples ou encore une diminution volontaire du niveau de sécurité concourent à globalement affaiblir le niveau de sécurité des établissements. De plus, les attaquants, conscients de ces lacunes, n’hésitent pas à cibler le secteur de la santé pour espérer obtenir des rançons rapidement et facilement. L’ANSSI rappelle toutefois que les autorités ont mis en place des mesures d’accompagnement et que les établissements de santé ont fait des efforts pour remédier à la situation.

Les serveurs Microsoft Exchange attaqués de toute part

Microsoft révélait il y a quelques jours l’existence de plusieurs vulnérabilités 0-day qui affectaient plusieurs versions des serveurs Exchange et pour lesquelles des patchs de sécurité ont été publié. Depuis, de nouvelles informations ont été fournies sur l’étendue des dégâts causés par l’exploitation de ces vulnérabilités. S’il a fallu environ deux mois à Microsoft pour patcher les CVE et notifier les victimes, l’exploitation des vulnérabilités a inévitablement connu un pic suite à leur publication par Microsoft : ainsi, les équipes d’ESET Security ont identifié pas moins de 10 acteurs de types APT qui se sont rués sur les vulnérabilités pour compromettre les serveurs et y installer des backdoors. Parmi eux, des habitués des ransomwares, des groupes affiliés à des Etats, et des groupes criminels plus ou moins connus. Fait surprenant, certains de ces groupes semblent avoir exploité les vulnérabilités avant que Microsoft ne les révèle. Il est grand temps, si ce n’est pas déjà fait, de suivre les instructions de Microsoft et de patcher les serveurs si vous êtes concernés.

Y’a plus, je laisse ?

Comme beaucoup, ACCEIS a été affecté par l’incendie qui a frappé les data centers d’OVH à Strasbourg ; conséquence inattendue du sinistre, près d’un tiers des serveurs C2 utilisés pour des APT et hébergés chez OVH ont été mis hors service. Charming Kitten, APT39, Bahamut et OceanLotus en ont souffert.