Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

SambaCry et MacSpy viennent boucler une folle semaine d’actu sécu !

13 juin 2017 - 10:55,
Tribune - Charles Blanc-Rolin
Le moins que l’on puisse dire, c’est que la semaine qui vient de passer aura été mouvementée ! Des vulnérabilités à revendre, des logiciels malveillants et des attaques dans tous les sens. Il y en a aura pour tout le monde, peu importe votre système, qu’il soit symbolisé par une fenêtre, une pomme ou bien un pingouin. Si vous avez raté tout ça, petite séance de rattrapage !

#WINDOWS

Les utilisateurs Windows et plus particulièrement, les utilisateurs de la suite Office ont été visés par des campagnes de messages non sollicités accompagnés de pièces jointes ayant le rôle de « dropper » téléchargeant un logiciel malveillant, et plus précisément un cheval de Troie en quête de données bancaires. La première campagne portait sur des fichiers au format Powerpoint pour lesquels, même sans activation des macros, le simple survol du lien malicieux lançait le téléchargement de la charge utile :

ppsx

Seuls les utilisateurs disposant d’une version d’Office 2013 ou 2016 avaient une chance de s’en sortir, à condition qu’ils n’aient pas autorisé l’exécution du contenu bloqué nativement :

ppsx_protected

La seconde campagne, plus ciblée a été repérée par les chercheurs de la société Fortinet. Les pièces jointes au format RTF exploitaient une vulnérabilité Office (la CVE-2017-0199 patchée en avril), mais également Windows, pour les utilisateurs ne disposant que de Wordpad pour ouvrir ce type de fichiers, même combat.

Là encore, le fichier jouait le rôle de « dropper » initiant le téléchargement d’un cheval de Troie conçu pour faire de l’exfiltration de données.

rtf drop

Pour continuer sur Windows, la vulnérabilité corrigée par le constructeur de processeurs Intel le mois dernier, fait déjà le bonheur du groupe Platinum qui avait déjà sévit il y a quelques mois en Asie. La vulnérabilité exploitée, permet d’exfiltrer des documents de la machine infectée sans aucun contrôle par le système (le trafic serial over lan représenté en rouge sur le schéma ci-dessous), en évitant donc d’être intercepté par le pare-feu applicatif et une éventuelle détection par un antivirus… #NIVUNICONNU

 intel

#LINUX

sambacry

La vulnérabilité Samba CVE-2017-7494, cousine de la MS17-010 sur Windows (largement exploitée par Wannacry et Adylkuzz), récemment corrigée dans la plupart des distributions Linux se voit à son tour exploitée par le logiciel malveillant SambaCry. Tout comme pour Adylkuzz sur les systèmes Windows, là encore, le but est de générer et faire transiter la crypto monnaie Monero. Pour résumer, si vous avez dans votre SI un serveur Linux non patché et avec le protocole samba ouvert vers l’extérieur, il y a de grande chance que celui soit exploité pour faire transiter de l’argent sale.

Le « minage » de crypto monnaie étant une activité lucrative et très tendance, les boitiers Raspberry Pi se voient eux aussi visés par un trojan Linux détecté par l’éditeur d’« antivi-Russe » Dr Web. Le logiciel malveillant s’immiscerait dans les boitiers dont le mot de passe constructeur n’a pas été modifié, par le biais du port SSH accessible depuis l’extérieur.

#MAC

macransom

Adeptes du Mac, ne désespérez pas, il y en a pour vous aussi, MacSpy (un cheval de Troie « super espion ») et MacRansom (un rançongiciel chiffrant) sont proposés en mode « Malware-as-a-Service » sur le réseau TOR. 

#IOT

Le matériel, et notamment les routeurs WiMAX ne sont, eux non plus, pas épargnés. Une importante vulnérabilité dans le processus d’authentification sur l’interface d’administration Web a été découverte sur plusieurs routeurs Huawei, ZyXEL, GreenPacket, MADA et ZTE. Et malheureusement, pas de patch de prévu, seul moyen de contournement possible, restreindre l’accès à l’interface d’admin.

La palme ira au constructeur Foscam, spécialisé dans les caméras IP, qui, aussi peu préoccupé par la sécurité que les constructeurs de Pacemakers, intègre le mot de passe d’administration de ses caméras en dure dans le firmware et donc non modifiable par les utilisateurs (le top du top en matière de mauvaises pratiques), comme le précise un récent rapport de l’éditeur F-Secure

L’application des mises à jour et le bon sens, sont une fois de plus, de rigueur…

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration « La donnée, c’est le socle de la transformation » Entretien-vérité avec Dominique Pon sur l’avenir du numérique en santé

« La donnée, c’est le socle de la transformation » Entretien-vérité avec Dominique Pon sur l’avenir du numérique en santé

11 mai 2025 - 18:19,

Actualité

- DSIH, Dominique Pon (La Poste Santé & Autonomie)

Deux ans après la création de La Poste Santé & Autonomie, Dominique Pon, son Directeur Général, en expose les fondements, les choix structurants et ses priorités. À la veille d’une intervention attendue au salon SantExpo, il aborde sans détour les enjeux du numérique en santé : stratégie industriell...

Illustration À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

08 mai 2025 - 14:46,

Communiqué

-
Philippe VEMCLEFS

Utilisée par plus de 10 000 structures de santé à travers le monde dont 550 000 médecins (1), Dragon Medical One (DMO) est la solution de reconnaissance vocale médicale la plus reconnue, tant chez les médecins spécialistes que chez les radiologues. Devenue une référence incontournable dans le secteu...

Illustration Élargissement de la feuille de route pour la performance des achats et de la logistique

Élargissement de la feuille de route pour la performance des achats et de la logistique

06 mai 2025 - 08:10,

Actualité

- Damien Dubois, DSIH

Le 28 avril, la feuille de route pour la performance des achats et de la logistique des établissements de santé et médico-sociaux a été étendue selon trois axes structurants : Pilotage, Produits de santé et criticité, Pratiques et processus d’achat.

Illustration Le DPI complet GALEON à SantExpo 2025

Le DPI complet GALEON à SantExpo 2025

06 mai 2025 - 00:21,

Communiqué

- GALEON

Plus que quelques semaines avant l’un des plus importants rassemblements annuels du secteur de la santé en France. SantExpo, organisé par la FHF, attend 30 000 participants Porte de Versailles à Paris, du 20 au 22 mai. Cette édition 2025 pourra compter sur la présence du DPI Galeon, qui figurera par...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.