C’est en tout cas l’analyse de Breaking3zero et BlueCoat :

Un exploit java aurait été utilisé pour obtenir un premier accès à une machine qui aurait ensuite permis d’uploader un vbscript déjà connu par les antivirus (on est loin de stuxnet !) qui va chercher ses commandes sur un serveur C&C (via HTTP).

, ,

Twitté par Arrêt sur images et par d’autres :

Dans une vidéo france2 qui a eu lieu dans les locaux de TV5Monde on peut clairement voir en arrière plan sur des post-it des mots de passe pour des réseaux sociaux… FAIL

Le pare-feu OpenOffice n’aura pas suffit !

Via Full-Disclosure :

Un groupe qui se fait appeler BFD9000Sec a pris le contrôle du site 0xrage sur lequel on pouvait trouver le binaire du packer/crypter rcrypt.

Maintenant sur le site on trouve aussi le code source du packer pour ceux que ça intéresse.

Le site était vulnérable à une bête faille d’inclusion PHP.

, ,

Ça c’est du bug : sous RHEL 6.7 un bug sévère semble supprimer tous les fichiers du système quand on tente de redémarrer le service Squid (proxy http).

Le bug devrait être lié à une variable d’environnement d’après une discussion sur HN.

Le problème provient sans doute d’une erreur de packaging et doit être spécifique à la version de RedHat et la version du package Squid.

, ,

Superfish est le adware créé par Komodia qui installe de faux certificats sur une machine dans le but d’intercepter (pour surveillance et/ou modification) le trafic encrypté.

Découvert sur les PCs Lenovo, la présence de cet adware a fait beaucoup de bruit en particulier parce que le certificat utilisé par Komodia était facilement cassable permettant ainsi à n’importe qui de déchiffrer le trafic SSL/TLS émit par un poste infecté.

Dans un article, Journal du Net a fait un bon résumé de cette histoire.

, ,

Voici une nouvelle bien chantante :)

Un finlandais qui disposait d’un simple compte email sur le Microsoft Live finlandais (live.fi) s’est demandé s’il pouvait enregistrer une adresse paraissant comme étant du staff Crosoft et en faire quelque chose d’intéressant.

Comme Live.com permet, comme d’autres messageries connues, d’enregistrer des alias il en a profité pour obtenir l’adresse hostmaster@live.fi.

La suite ? Il a envoyé un email à Comodo pour demander un certificat SSL/TLS valide estampillé Microsoft et il l’a obtenu… sans que son identité ne soit vérifiée.

, , ,

Oups… Ce n’est pas la première fois que ça arrive chez les éditeurs d’antivirus mais c’est toujours embarrassant : une mise à jour de la base de signature de Panda a provoqué la détection de certains fichiers systèmes de l’antivirus comme étant eux même vérolés.

Les utilisateurs qui ont eu le malheur de faire la mise à jour puis de redémarrer leur système ont au mieux un système très instable et au pire un système qui ne démarre plus…
Les utilisateurs de Panda sont donc appelés à ne pas redémarrer leur système tant qu’ils n’ont pas récupéré la dernière mise à jour corrective.

,

Via TechCrunch :

Uber a révélé l’existence d’une intrusion qui a eu lieu sur leurs serveurs en septembre 2014.
Les intrus ont pu accéder aux informations (nom et numéro d’immatriculation du véhicule) d’environ 50.000 personnes.

Suite au piratage de Google Vietnam, il apparaît que c’était bien le registrar malaisien webnic.cc qui a été piraté par le groupe Lizard Squad.

D’après des sources obtenues par Brian Krebs, les intrus ont profité d’une faille d’injection de commande et sont ensuite parvenu à accéder au système de gestion des DNS.

Avec cet accès, ils ont plus récemment détourné le site de Lenovo en prétextant une punition contre l’adware Superfish présent sur les ordinateurs de la marque.

Webnic.cc est connu pour son laxisme concernant la surveillance des domaines (sur le plan légal) ce qui amène les carders et autres cybercriminels à s’enregistrer chez ce registrar. Il faut croire qu’il n’est pas très regardant non plus sur sa propre sécurité.

, ,

Via HN :

Le groupe Lizard Squad est parvenu à défacer la page de Google Vietnam.

Tout ce que l’on sait c’est que le DNS de google.com.vn pointait sur une adresse CloudFlare au lieu de résoudre à son adresse habituelle.
On ne sait pas si c’est le registrar ou une autre entité qui a été touché.

,