Alertes CERTA

Syndiquer le contenu
CERT-FR (Centre d'Expertise gouvernemental de Reponse et de Traitement des Attaques informatiques).
Mis à jour : 25 min 51 sec ago

CERTFR-2015-ALE-003 : Nouvelle campagne d'hameçonnage de type rançongiciel (06 février 2015)

Lun, 2015-02-23 12:37
Depuis le début du mois de février 2015, le CERT-FR constate une nouvelle vague importante de compromissions de type rançongiciel, qui utilise cette fois principalement le programme malveillant appelé CTB-Locker. Un rançongiciel est un code malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles en écriture à l'utilisateur dont la session est compromise. À travers une boîte de dialogue, la victime est ensuite invitée à verser de l'argent afin de récupérer la clé qui permettra de déchiffrer les documents ciblés (Bitcoin, Paypal, carte bleue). Il n'existe pas de moyens fiables pour récupérer la clé utilisée par le code malveillant. Attention, le CERT-FR tient à souligner que le recouvrement des données après paiement n'est en aucun cas garanti. Au-delà du fait que cela encourage ce type d'attaque, le recours à un moyen de paiement par carte bleue expose la victime à des utilisations frauduleuses de celle-ci. Méthode d'attaque: Dans le cas présent, la propagation constatée repose sur une campagne d'hameçonnage. Les messages malveillants reçus prétendent être accompagnés d'un fax en pièce jointe, qui en réalité est un programme malveillant. Ce code s'installe localement sur le poste par différents moyens : • fichier avec l'extension SCR ; • fichier avec l'extension SCR compressé dans un fichier au format zip (parfois il s'agit de compressions imbriquées) ; • fichier avec l'extension CAB ; • fichiers exécutables classiques (.EXE). Le fichier avec l'extension SCR est un fichier exécutable : ce dernier télécharge ensuite le code malveillant réalisant le chiffrement des fichiers. 4 - Recommandations Mesures préventives Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes de type SCR, CAB ou EXE. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir de messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Le CERT-FR recommande également de filtrer les fichiers portant l'extension SCR, EXE et CAB en pièce jointe des messages électroniques. Si l'échange de tels fichiers est indispensable dans certains contextes fonctionnels, il convient de bloquer ces fichiers globalement et de ne les autoriser que pour les boites de messageries qui le nécessitent absolument. Par ailleurs, si la passerelle de messagerie le permet, il est recommandé de réaliser ce filtrage également dans les fichiers des archives ZIP. Plus généralement, il convient de mettre à jour les postes utilisateur, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires : • Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies : □ %OSDRIVE%Users*AppData □ %OSDRIVE%WindowsTemp • Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies : □ %UserProfile%AppData □ %SystemRoot%Temp (cf les recommandations de l'ANSSI à ce sujet dans la partie "Documentation") Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution. Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateur, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier. Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production. Mesures réactives Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes. Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. Une liste d'URL connues du CERT-FR est fournie en annexe, toutefois il est bien précisé qu'elle n'est pas exhaustive. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs Enfin, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais. Néanmoins, le CERT-FR souhaite faire remarquer que des fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert. Annexes : marqueurs de CTB-Locker Cette liste de marqueurs n'est pas exhaustive et susceptible d'être mise à jour ultérieurement. Champs "Objet" de messages malveillants [Fax server] +07909 546940 copy from +07540040842 Message H4H2LC68B7167E4F4 New incoming fax message, S8F8E423F9285C5 Incoming fax from +07843-982843 [Fax server]:+07725-855368 Fax ZC9257943991110 New fax message from +07862-678057 Liens utilisés pour le téléchargement du logiciel malveillant hxxp://agatecom.fr/voeux/doom.tar.gz hxxp://aspiroflash.fr/cai/abc.tar.gz hxxp://baselineproduction.fr/Modules/doom.tar.gz hxxp://bikeceuta.com/templates/nero.tar.gz hxxp://breteau-photographe.com/tmp/pack.tar.gz hxxp://cargol.cat/IESABP/nero.tar.gz hxxp://cds-chartreuse.fr/locales/sancho.tar.gz hxxp://cognacbrown.co.uk/ChromeSetup.exe hxxp://collection-opus.fr/_gfx/cario.tar.gz hxxp://compassfx.com/OLD/cario.tar.gz hxxp://dariocasati.it/logs/dostanes_do_drzky.tar.gz hxxp://dequinnzangersborne.nl/language/upupup.tar.gz hxxp://dieideenwerkstatt.at/css/abc.tar.gz hxxp://evalero.com/img/cario.tar.gz hxxp://fbrugues.com/language/hiser.tar.gz hxxp://firststepbahamas.com/PDF/abc.tar.gz hxxp://fotocb.de/php/upupup.tar.gz hxxp://funnydeando.com/pdthm0/moon1.exe hxxp://hotel-mas-saint-joseph.com/css/pack.tar.gz hxxp://Icedjungle.com/pdthm0/dan2.exe hxxp://integritysites.net/files/nero.tar.gz hxxp://jbmsystem.fr/jb/pack.tar.gz hxxp://joefel.com/easyscripts/sancho.tar.gz hxxp://krzysztofkarpinski.pl/log/hiser.tar.gz hxxp://locamat-antilles.com/memo/sancho.tar.gz hxxp://maisondessources.com/assets/pack.tar.gz hxxp://m-a-metare.fr/media/sancho.tar.gz hxxp://masterbranditalia.com/downloader/cario.tar.gz hxxp://microneedle.com/menu_files/pack.tar.gz hxxp://mmadolec.ipower.com/me/cario.tar.gz hxxp://n23.fr/asstempo/doom.tar.gz hxxp://necaps.org/pagestyles/mine.tar.gz hxxp://ohayons.com/dostanes_do_drzky.tar.gz hxxp://ourtrainingacademy.com/LeadingRE/sancho.tar.gz hxxp://peche-sportive-martinique.com/wp-includes/pack.tar.gz hxxp://pinballpassion.fr/images/mine.tar.gz hxxp://pleiade.asso.fr/piwigotest/pack.tar.gz hxxp://ppc.cba.pl/cache/nero.tar.gz hxxp://prevencionprl.com/im/hiser.tar.gz hxxp://pubbliemme.com/plugins/doom.tar.gz hxxp://scolapedia.org/histoiredesarts/pack.tar.gz hxxp://shop-oye.it/XXXinstallXXX/abc.tar.gz hxxp://siestahealthtrack.com/media/pack.tar.gz hxxp://smartoptionsinc.com/data-test/nero.tar.gz hxxp://sp107.home.pl/logs/dostanes_do_drzky.tar.gz hxxp://springtree.cba.pl/modules/cario.tar.gz hxxp://stevenblood.com/ChromeSetup.exe hxxp://stmarys-andover.org.uk/audio_files/upupup.tar.gz hxxp://telasramacrisna.com.br/ramacrisna/mine.tar.gz hxxp://telasramacrisna.com.br/site/lightbox/hiser.tar.gz hxxp://thelastxmas.com/ChromeSetup.exe hxxp://thehollow.co/ChromeSetup.exe hxxp://thinkonthis.net/style/dostanes_do_drzky.tar.gz hxxp://thomasottogalli.com/webtest/sancho.tar.gz hxxp://voigt-its.de/fit/pack.tar.gz hxxp://wcicinc.org/flv/dostanes_do_drzky.tar.gz hxxp://wireandwoods.ru/pdthm0/042.exe hxxp://www.baddadclub.com/ChromeSetup.exe
Catégories: Sécurité

CERTFR-2015-ALE-002 : Vulnérabilité dans Adobe Flash Player (05 février 2015)

Ven, 2015-02-20 06:37
Une vulnérabilité a été découverte dans Adobe Flash Player. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Catégories: Sécurité

CERTFR-2015-AVI-055 : Vulnérabilité dans Adobe Flash Player (05 février 2015)

Mer, 2015-02-18 06:37
Une vulnérabilité a été corrigée dans Adobe Flash Player. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service.
Catégories: Sécurité

CERTFR-2015-AVI-054 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu (04 février 2015)

Mar, 2015-02-17 00:37
De multiples vulnérabilités ont été corrigées dans le noyau Linux de Ubuntu. Elles permettent à un attaquant de provoquer un déni de service, une atteinte à la confidentialité des données et une élévation de privilèges.
Catégories: Sécurité

CERTFR-2015-AVI-053 : Multiples vulnérabilités dans VLC Media Player (03 février 2015)

Mar, 2015-02-17 00:37
De multiples vulnérabilités ont été corrigées dans VLC Media Player. Elles permettent à un attaquant de provoquer une exécution de code arbitraire.
Catégories: Sécurité

CERTFR-2015-AVI-052 : Multiples vulnérabilités dans IBM Tivoli Storage Manager (03 février 2015)

Lun, 2015-02-16 12:37
De multiples vulnérabilités ont été corrigées dans IBM Tivoli Storage Manager. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et une élévation de privilèges.
Catégories: Sécurité

CERTFR-2015-AVI-051 : Multiples vulnérabilités dans le noyau Linux de Red Hat (02 février 2015)

Lun, 2015-02-16 12:37
De multiples vulnérabilités ont été corrigées dans le noyau Linux de Red Hat. Elles permettent à un attaquant de provoquer un déni de service et une élévation de privilèges.
Catégories: Sécurité

CERTFR-2015-AVI-050 : Multiples vulnérabilités dans les produits IBM (02 février 2015)

Ven, 2015-02-13 00:37
De multiples vulnérabilités ont été corrigées dans les produits IBM. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Catégories: Sécurité

CERTFR-2015-AVI-049 : Vulnérabilité dans EMC Avamar (02 février 2015)

Jeu, 2015-02-12 06:37
Une vulnérabilité a été corrigée dans EMC Avamar. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Catégories: Sécurité

CERTFR-2015-AVI-048 : Vulnérabilité dans VMware VDP (30 janvier 2015)

Mer, 2015-02-11 12:37
Une vulnérabilité a été corrigée dans VMware VDP. Elle permet à un attaquant de provoquer une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Catégories: Sécurité

CERTFR-2015-AVI-047 : Vulnérabilité dans Xen (30 janvier 2015)

Mer, 2015-02-11 12:37
Une vulnérabilité a été corrigée dans Xen. Elle permet à un attaquant de provoquer un déni de service.
Catégories: Sécurité

CERTFR-2015-AVI-046 : Multiples vulnérabilités dans Asterisk (30 janvier 2015)

Mer, 2015-02-11 12:37
De multiples vulnérabilités ont été corrigées dans Asterisk. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Catégories: Sécurité

CERTFR-2015-AVI-045 : Vulnérabilité dans Cisco Prime Service Catalog (30 janvier 2015)

Mer, 2015-02-11 12:37
Une vulnérabilité a été corrigée dans Cisco Prime Service Catalog. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.
Catégories: Sécurité

CERTFR-2015-AVI-044 : Multiples vulnérabilités dans VMware (28 janvier 2015)

Mer, 2015-02-11 12:37
De multiples vulnérabilités ont été corrigées dans VMware. Elles permettent à un attaquant de provoquer un déni de service et une élévation de privilèges.
Catégories: Sécurité

CERTFR-2015-ALE-001 : Vulnérabilité dans Adobe Flash Player (30 janvier 2015)

Mer, 2015-02-11 12:37
Une vulnérabilité a été découverte dans Adobe Flash Player. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Catégories: Sécurité

CERTFR-2014-ALE-011 : Vulnérabilité de l'implémentation Kerberos dans Microsoft Windows (30 janvier 2015)

Mer, 2015-02-11 12:37
Une vulnérabilité a été découverte dans l'implémentation du KDC Kerberos de Microsoft Windows. Elle permet à un attaquant d'altérer certaines propriétés d'un ticket de service sans que ces modifications soient détectées. L'attaquant peut ainsi éléver ses privilèges au niveau administrateur de domaine. Microsoft a indiqué avoir connaissance d'attaques limitées et ciblées exploitant cette vulnérabilité.
Catégories: Sécurité

CERTFR-2014-ALE-010 : Vulnérabilité de l'implémentation des protocoles SSL/TLS dans Microsoft Windows (30 janvier 2015)

Mer, 2015-02-11 12:37
Une vulnérabilité a été découverte dans le composant qui permet l'établissement des sessions SSL/TLS sur la plateforme Microsoft Windows. Une attaque réussie permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Catégories: Sécurité

CERTFR-2014-ALE-008 : Vulnérabilité dans Drupal (30 janvier 2015)

Mer, 2015-02-11 12:37
Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification préalable.
Catégories: Sécurité

CERTFR-2015-AVI-043 : Vulnérabilité dans glibc (28 janvier 2015)

Mar, 2015-02-10 06:37
Une vulnérabilité a été corrigée dans glibc. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
Catégories: Sécurité
« premier‹ précédent456789101112suivant ›dernier »

Get started with Drupal 7

Marques les plus citées

toutes les marques

acheter sur OSInet

Accès direct

Recherche

Le mot du jour

ANDF

Architecture-Neutral Distribution Format

in | |

RFT de l'OSF pour un format de distribution des programmes indépendant du processeur et de la variante système utilisée. Après l'insuccès commercial prolongé de cette spécification devenue par… 

Syndiquer le contenu

Dernières définitions

Chrome - Chromium - digitaalisen kuilun - ghetto sharding - HTTP - MongoDB - PNaCl - QUIC - Skia - SPDY

Un mot au hasard

IDMS : Interactive Distributed Multimedia Systems  

Alertes CERTA