Spécial Sécurité : Social-hack Scada à la George Romero
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, portent notre attention sur le piratage du système d’alerte météo de la chaîne de TV américaine KRTV par quelque hackers plutôt drôles. Ils passent brièvement en revue la traditionnelle fournée de rustines Microsoft avant de pointer du doigt l’attaque du réseau interne de Bit9.
Social-hack Scada à la George Romero Le premier à avoir diffusé l’information semble être le blogueur Jim Romenesco, qui signalait le piratage des messages d’urgence de la chaine KRTV (Great Falls, Montana). Ces messages, généralement des alertes météorologiques, sont diffusés en incrustation sur les écrans des chaines TV partout sur le territoire des USA. Le 11 février dernier, l’alarme ne concernait pas une avalanche ou un risque de tornade touchant le Montana, mais l’apparition d’une horde de mort-vivants errant dans les rues de Great Falls, petite ville déjà réputée pour ses apparitions d’Ovnis et pour sa « rivière la plus courte du monde ». Le message incitait les habitants à ne surtout pas approcher ces corps, les zombies étant considérés comme extrêmement dangereux.
Le détournement de systèmes d’adressage public est un phénomène vieux comme le monde. En France, nombreux ont été les panneaux électroniques d’affichage municipaux qui ont servi à diffuser des canulars divers et autres contenus souvent provocateurs. Le hack des systèmes de prévention fait fréquemment l’objet de présentations spectaculaires lors de bien des conférences de sécurité (le système RDS notamment, en a fait les frais). Dans pratiquement tous les cas, ces attaques prouvaient qu’aucun mécanisme de protection ou de contrôle d’accès n’avait été prévu par les concepteurs du système, lesquels estimaient que le médium de diffusion était par trop technique pour être compris par d’éventuels hackers. C’est ainsi que des affichages municipaux se sont vus télécommandés par de simples Minitels et que des terminaux GPS ou RDS ont pu prendre les vessies de hackers malicieux pour des lanternes d’opérateurs légitimes.
L’histoire ne dit pas si Georges Romero, célèbre réalisateur de la « nuit des morts-vivants », a alerté le MPAA dans le but de poursuivre les auteurs de ce hack en vertu de cette évidente atteinte au droit d’auteur.
Calfat Microsoftien du mardi Plantureux, ce correctif de février. 12 bouchons, un total de 57 CVE, et 5 rustines estampillées « critiques » laissant entendre un indice d’exploitation élevé. Ces trous dangereux concernent VML, Echange Server, Internet Explorer (13 CVE à lui tout seul), un mécanisme de décompression de fichiers multimédia, le système Windows XP. On remarquera également le bouchon MS13-016, un correctif « fourre-tout » concernant les pilotes bas niveau de Windows et offrant des possibilités d’exploitation débouchant sur une élévation de privilège : 30 CVE en un seul patch Frère siamois du bulletin mensuel de Microsoft, celui d’Adobe ne compte « que » 17 CVE et concerne toutes les plateformes supportant Flash Player et Air. Il faut dire que c’est la seconde fois de la semaine que l’éditeur « pousse » un lot de correctifs, deux CVE exploités « dans la nature » ayant justifié la publication d’un correctifs hors calendrier. Le Psirt d’Adobe signale, pour sa part, l’exploitation « dans la nature » de failles affectant Adobe Reader ainsi que Acrobat XI (11.0.1) et versions antérieures.
Bit9 utilisé comme vecteur d’attaque Un billet sur le blog de Bit9, fournisseur d’outils et de solutions de sécurité, apprend à ses clients que son propre réseau interne fait l’objet d’une attaque en règle, et qu’au moins trois de ses clients auraient été frappés par un malware « garanti » par un certificat portant le sceau de l’éditeur. Les anciens certificats compromis ont été bien entendu révoqués, mais trop tard pour les victimes visées. Selon l’éditeur, les productions mêmes de Bit9 ne seraient pas affectées par ce hack.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Ivanti MobileIron, Citrix ShareFile : la valse des vulnérabilités critiques se poursuit
-
Vulnérabilité VPN-SSL FortiOS : les étonnantes conclusions de Fortinet
-
Remédiation et SBOM : les deux enseignements de Log4j
-
Serveurs Exchange : ProxyShell, des vulnérabilités au moins aussi préoccupantes que ProxyLogon