Cyber Watch Report : Mai 2018

Co-écrit par Florian Boudot et Charles Le Reun.

Alors que les derniers concours et examens approchent, les cybercriminels révisent leurs gammes ! Au programme ce mois-ci, une campagne de phishing RGPD, l’application de messagerie Signal mise à mal et enfin une nouvelle technique de vol de mots de passe via un fichier PDF.

RGPD, attention aux faux mails de consentement

Comme vous le savez, le Règlement Général sur la Protection des Données est devenu applicable depuis le 25 mai dernier. Difficile de ne pas s’en rendre compte quand vous recevez un mail d’information et/ou une demande de consentement pour chaque entreprise dans laquelle vous avez un compte utilisateur.

Et c’est d’ailleurs là-dessus que misent les cybercriminels. Une campagne de faux mails d’information sur la RGPD a été découverte. Les attaquants ont imité le format de mail d’Airbnb et demandé aux victimes, afin de pouvoir continuer à utiliser leur service, de renseigner de nombreuses données personnelles, comme le numéro de carte bancaire ou encore le mot de passe du compte en suivant un lien.

Utiliser une campagne d’information sur le traitement des données privées pour dérober des données personnelles aux utilisateurs, ironique non ? Dans cette campagne contre les utilisateurs d’Airbnb, les attaquants se sont limités à la récolte de données personnelles. Mais des campagnes plus intrusives et dangereuses peuvent être lancées, comme le déploiement d’un rançongiciel. Soyons vigilants !

Signal perdu

Une équipe de chercheurs a découvert deux failles de sécurité dans la version bureau de l’application de messagerie sécurisée Signal dans la même semaine.

Ces failles permettent à l’attaquant d’envoyer du code HTML/JavaScript malveillant au destinataire. Ce code est alors exécuté automatiquement par l’application, ne nécessitant aucune interaction de l’utilisateur.

Les chercheurs ont alors essayé d’exploiter au maximum cette vulnérabilité, et ont réussi à créer un PoC permettant de récupérer toutes les conversations Signal de la victime en clair, ce qui est totalement l’opposé de l’objectif de Signal…

En allant plus loin, il serait aussi possible de récupérer les mots de passe de la victime en l’amenant à se connecter à un partage SMB spécialement configuré pour réussir à récupérer le hash du mot de passe de session de la victime.

Le bon point est que ces failles ont été très rapidement corrigées, et qu’il suffit de mettre à jour l’application bureau de Signal pour être protégé contre ces attaques.

Les fichiers PDF, un vecteur d’attaque sûr

Ce n’est pas une découverte, les fichiers PDF sont un vecteur d’attaque extrêmement prisé par les cybercriminels. Partie intégrante de la plupart des campagnes de phishing, une nouvelle technique de vol d’identifiants vient d’être découverte.

La particularité de cette attaque est que l’attaquant utilise des fonctionnalités natives à PDF afin de mener à bien son attaque, et ne s’appuie pas sur l’exploitation de failles d’autres produits. Le fonctionnement est le suivant : lorsque l’utilisateur ouvre le fichier, ce dernier contact un serveur SMB distant contrôlé par l’attaquant. Seulement, le fonctionnement de SMB fait que lorsqu’une demande de connexion est effectuée, le demandeur envoie ses identifiants sous forme de hash. Ces hash sont alors récupérés par l’attaquant, et peuvent être utilisés pour retrouver les identifiants originaux, ou pour mener d’autres attaques.

Malheureusement, Adobe n’a pas l’intention de corriger ce problème. En effet, Adobe estime que la solution a déjà été fournie par Microsoft en donnant la possibilité à l’utilisateur de désactiver l’authentification NTLM SSO.

Nos recommandations du mois :

  • Penser à vérifier l’origine d’un mail, si vous avez un doute, contactez votre département sécurité, et surtout, ne cliquez sur aucun lien ou pièce jointe !
  • Patch, patch, patch….

Bonus :

Vous les pensiez traitées, corrigées, oubliées ? Désolé de vous décevoir, mais les vulnérabilités Spectre et Meltdown ne sont pas encore éradiquées… Deux nouvelles variantes ont été identifiées et des correctifs sont en cours de déploiement par les constructeurs.