Publicité en cours de chargement...

Publicité en cours de chargement...

SambaCry et MacSpy viennent boucler une folle semaine d’actu sécu !

13 juin 2017 - 10:55,
Tribune - Charles Blanc-Rolin
Le moins que l’on puisse dire, c’est que la semaine qui vient de passer aura été mouvementée ! Des vulnérabilités à revendre, des logiciels malveillants et des attaques dans tous les sens. Il y en a aura pour tout le monde, peu importe votre système, qu’il soit symbolisé par une fenêtre, une pomme ou bien un pingouin. Si vous avez raté tout ça, petite séance de rattrapage !

#WINDOWS

Les utilisateurs Windows et plus particulièrement, les utilisateurs de la suite Office ont été visés par des campagnes de messages non sollicités accompagnés de pièces jointes ayant le rôle de « dropper » téléchargeant un logiciel malveillant, et plus précisément un cheval de Troie en quête de données bancaires. La première campagne portait sur des fichiers au format Powerpoint pour lesquels, même sans activation des macros, le simple survol du lien malicieux lançait le téléchargement de la charge utile :

ppsx

Seuls les utilisateurs disposant d’une version d’Office 2013 ou 2016 avaient une chance de s’en sortir, à condition qu’ils n’aient pas autorisé l’exécution du contenu bloqué nativement :

ppsx_protected

La seconde campagne, plus ciblée a été repérée par les chercheurs de la société Fortinet. Les pièces jointes au format RTF exploitaient une vulnérabilité Office (la CVE-2017-0199 patchée en avril), mais également Windows, pour les utilisateurs ne disposant que de Wordpad pour ouvrir ce type de fichiers, même combat.

Là encore, le fichier jouait le rôle de « dropper » initiant le téléchargement d’un cheval de Troie conçu pour faire de l’exfiltration de données.

rtf drop

Pour continuer sur Windows, la vulnérabilité corrigée par le constructeur de processeurs Intel le mois dernier, fait déjà le bonheur du groupe Platinum qui avait déjà sévit il y a quelques mois en Asie. La vulnérabilité exploitée, permet d’exfiltrer des documents de la machine infectée sans aucun contrôle par le système (le trafic serial over lan représenté en rouge sur le schéma ci-dessous), en évitant donc d’être intercepté par le pare-feu applicatif et une éventuelle détection par un antivirus… #NIVUNICONNU

 intel

#LINUX

sambacry

La vulnérabilité Samba CVE-2017-7494, cousine de la MS17-010 sur Windows (largement exploitée par Wannacry et Adylkuzz), récemment corrigée dans la plupart des distributions Linux se voit à son tour exploitée par le logiciel malveillant SambaCry. Tout comme pour Adylkuzz sur les systèmes Windows, là encore, le but est de générer et faire transiter la crypto monnaie Monero. Pour résumer, si vous avez dans votre SI un serveur Linux non patché et avec le protocole samba ouvert vers l’extérieur, il y a de grande chance que celui soit exploité pour faire transiter de l’argent sale.

Le « minage » de crypto monnaie étant une activité lucrative et très tendance, les boitiers Raspberry Pi se voient eux aussi visés par un trojan Linux détecté par l’éditeur d’« antivi-Russe » Dr Web. Le logiciel malveillant s’immiscerait dans les boitiers dont le mot de passe constructeur n’a pas été modifié, par le biais du port SSH accessible depuis l’extérieur.

#MAC

macransom

Adeptes du Mac, ne désespérez pas, il y en a pour vous aussi, MacSpy (un cheval de Troie « super espion ») et MacRansom (un rançongiciel chiffrant) sont proposés en mode « Malware-as-a-Service » sur le réseau TOR. 

#IOT

Le matériel, et notamment les routeurs WiMAX ne sont, eux non plus, pas épargnés. Une importante vulnérabilité dans le processus d’authentification sur l’interface d’administration Web a été découverte sur plusieurs routeurs Huawei, ZyXEL, GreenPacket, MADA et ZTE. Et malheureusement, pas de patch de prévu, seul moyen de contournement possible, restreindre l’accès à l’interface d’admin.

La palme ira au constructeur Foscam, spécialisé dans les caméras IP, qui, aussi peu préoccupé par la sécurité que les constructeurs de Pacemakers, intègre le mot de passe d’administration de ses caméras en dure dans le firmware et donc non modifiable par les utilisateurs (le top du top en matière de mauvaises pratiques), comme le précise un récent rapport de l’éditeur F-Secure

L’application des mises à jour et le bon sens, sont une fois de plus, de rigueur…

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie

27 juin 2025 - 14:47,

Actualité

- DSIH

L’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Naissance de SoFIA-Santé : une société savante francophone dédiée à l’intelligence artificielle en santé

Naissance de SoFIA-Santé : une société savante francophone dédiée à l’intelligence artificielle en santé

23 juin 2025 - 11:53,

Brève

- DSIH

La Société Francophone de l’Intelligence Artificielle en Santé (SoFIA-Santé) annonce officiellement sa création. Cette nouvelle société savante a pour ambition de devenir un acteur de référence dans le développement éthique, responsable et scientifique de l’intelligence artificielle (IA) dans le dom...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.