Parmi tous les notations de protocoles supportées par les URLs on en trouve des peu utilisées comme tel:// qui permet de lancer un appel téléphonique.

La RFC indique bien sûr que lorsque l’utilisateur clique sur un lien avec ce protocole une demande de confirmation soit affichée.
Seulement chez Apple ils n’ont pas du lire la RFC… Le click sur un tel lien provoque directement le lancement de l’appel téléphonique.

Avec un peu d’astuce html ou javascript on peut imaginer provoquer un déni de service téléphonique ou l’appel de numéros surtaxés…

, ,

Via HN :

Boum ! Le site allemand Netzpolitik.org a publié un article dans lequel il est révélé qu’un ou des pirates se sont introduits dans un serveur de Gamma International, la boîte qui vent le malware FinFisher.

L’intrusion aurait eu lieu via le site finsupport.finfisher.com actuellement offline.

40Go de données internes ont été leakées, mises à disposition via torrent. On y trouve des manuels, documentations… et même le code source d’une appli baptisée FinFly.
On peut trouver le code java décompilé sur ce GitHub.

Trop tard pour les nominations aux Pwnies ?

, ,

Vie TheRegister, NYTimes, LesEchos :

La boîte de sécu Hold Security basée au Milwaukee affirme avoir mis la main sur le pactole d’une bande de hackers russes : 1.2 milliards de mots de passe volés qui proviendraient de plus de 420.000 sites vulnérables (généralement à des injections SQL).
La nature de ces sites n’a pas été révélés mais il s’agirait de n’importe quel type de site… les pirates ont sans doute tapé au hazard et ont dû s’aider d’un botnet. Du coup est-ce que ces données ont une véritable valeur pour du black-market (il y a t-il quelques sites d’importance dans le lot) ?

Ce ne serait pas la première fois que des robots cherchent via les moteurs de recherche des sites potentiellement vulnérables à des SQL injections.
Réel danger ou tout simplement un gros buzz pour une boîte de sécu dont on n’avait jamais entendu parler auparavant ?

,

A lire sur le HP Security Research Blog :

L’auteur de l’article a acheté via eBay un POS (Poste de caisse) de type Aloha qui est courant dans les hôpitaux US afin de tester un peu sa sécurité.

Et ce n’est pas beau à voir : mot de passe VNC déviné à la première tentative (aloha), partages réseaux trop accessibles, passwords de comptes faibles, mises à jour Windows désactivées, communications non chiffrées et l’utilisation d’un keylogger permet de récupérer des infos bancaires…. pas beau à voir.

Symantec révèle que le site l’hébergement de vidéos DailyMotion a été piraté. Les intrus ont placé une iframe dans les pages du site pour faire charger un exploit-kit et infecter les machines des internautes vulnérables (failles dans IE, Java et Flash).
Dailymotion étant dans le top 100 Alexa des sites les plus visités, les pirates doivent maintenant avoir un bon gros botnet.

,

Via /r/NetSec, HN :

Microsoft a annoncé sur le blog TechNet être allé plus loin dans sa lutte contre le spam et les malwares (en particulier les familles de botnet Bladabindi-Jenxcus) : via une action légale il a obtenu le contrôle des 23 domaines de No-IP, la plateforme qui permet d’avoir un nom de domaine gratuit.

La réponse de No-IP ne s’est pas fait attendre : sur leurs blogs ils indiquent que Microsoft n’a jamais pris la peine de les contacter et que, contrairement à ce que prétend Microsoft, il n’y a pas que les noms de domaines utilisés par les malwares qui sont bloqués chez No-IP avec le sinkhole mis en place par Crosoft : ce serait des millions de domaines utilisés légalement qui font les frais du zèle de la société de Redmond.

Un sacré merdier…

, ,

A lire chez PCINpact. Voilà, c’est énorme :p

Malin : un malware se sert de Software Restriction Policies (une fonctionnalité de sécurité de Windows) pour restreindre l’accès des logiciels de sécurité (antivirus & co) sur le système.
Tout ça avec seulement quelques clés de registre.

La technique va sans doute se répandre à grande vitesse.

, , ,

Via Motherboard (Vice.com) :

Project Un1c0rn est un site qui recense des serveurs vulnérables à la faille Heartbleed où à des mauvaises configurations.
Ainsi dans les listes on peut trouver des serveurs dont le port MySQL est accessible depuis l’Internet (c’est moche) et pour lesquels l’utilisateur root n’a même pas de mot de passe (ou un mot de passe faible). Bref open-bar :p

On connaissait déjà des projets similaires pour les sites vulnérables aux attaques XSS (ex: XSSed)

,

Via TheRegister :

Ils doivent l’avoir mauvaise chez Bank of Montreal : deux gamins de 14 ans sont parvenus, durant leur pause midi entre deux cours, à hacker un distributeur de billet en accédant à l’interface d’administration et en saisissant le mot de passe par défaut… trouvé dans un manuel sur le web.