Category Archives: Latest Article

Google a publié une nouvelle mise à jour de sécurité – Stagefright 2.0 En Nexus Dispositif

android_lollipop-680x400

Ce lundi, Google a publié sa nouvelle mise à jour de sécurité pour les appareils Nexus, qui est très bien pour but de supprimer un découvert dernièrement question des vulnérabilités de sécurité critiques. Cette question est, moteur de lecture multimédia dans Android, connue sous le nom Stagefright 2.0.

Comme le Zimperium, une entreprise de sécurité divulgué la semaine dernière, la question touchée libutils et libstagefright, et aussi tous les appareils Android qui comprend également une aide de 1,0 plate-forme de la version qui a été publié en l’an 2008. Les deux failles a été classé critique et il est dit qu’ils pourraient résulter en l’exécution de code à distance sur un périphérique affecté.

Les deux vulnérabilités sous libutils ont été patché en Octobre ici à 2015 Nexus Bulletin de sécurité de Google, qui dispose Common Vulnerabilities and Exposures (CVE) identificateurs CVE-2015-6602 et CVE-2015 à 3875. L’existence de deux failles trouvées dans le traitement des fichiers audio qui ont touché tous les appareils Android 5.1 et la version ci-dessous.

Comme Zimperium signalé, la question a trouvé dans le traitement des métadonnées des fichiers, cela signifie que la vulnérabilité sera déclenchée, même si l’utilisateur veut juste un aperçu de fichier vidéo MP4 compromis ou audio MP3. Tous les appareils plus anciens basés Android seront affectés au cas où les fonctions vulnérables Les libutils utilisés à travers quelques applications tierces, la fonctionnalité opérateur ou fournisseur pré-chargé.

Pour un attaquant d’exploiter la vulnérabilité, il est nécessaire de pousser un fichier conçu très spécial sur le dispositif compromise. Lorsque ce traité, il conduit rapidement à la corruption de la mémoire et de l’exécution de code à distance dans un service en utilisant la bibliothèque de libutils et aussi mediaserver. Plusieurs applications utilisent cette fonctionnalité et le contenu à distance peuvent être reçus par MMS, e-mail ou avec la lecture du navigateur.

Maintenant, les nouvelles applications Google Hangout Messenger et sont capables de jeter l’attaque primaire de MMS en raison de laquelle tout attaquant essayant d’exploiter la vulnérabilité devra utiliser le navigateur Web pour exécuter l’attaque. L’attaquant devra convaincre l’utilisateur de visiter une URL malveillante qui dirige finalement à certains sites Web nuisibles.

Le même réseau exécutant appareil concerné, un attaquant peut exploiter la question via un truc Man-in-the-Middle (MiTM). Ajouté à cela, les applications tierces telles que instantanée Messenger joueurs, les médias, etc., en utilisant également la bibliothèque vulnérables pourraient se exploitée.

La nouvelle mise à jour de sécurité de Google pour les Nexus patchs d’unités exactement 15 vulnérabilités dans le libstagefright, qui peuvent tous être exploitées pendant le traitement des données et des médias fichier d’un fichier très spécialement conçu qui conduit alors à la corruption de la mémoire et aussi l’exécution de code à distance. Les vulnérabilités notés critique touche tous les Android 5.1 et les versions suivantes.

Au total, 20 failles de sécurité ayant pointage de sécurité critiques ont été corrigés par Google contenant tout nouvel ensemble de mises à jour pour les utilisateurs de Nexus et celui existant dans la lecture de fichiers multimédia. En outre, avec le libstagefright et libutlis, il ya beaucoup plus de composants affectés par les vulnérabilités qui comprend Skia, libFLAC et Sonivox. Aussi, quand un fichier multimédia conçu spécial traite l’exploitation a lieu.

stagefright

L’introduction de Stagefright 2.0 vulnérabilité semble être plus terrible alors que l’on trouve dans les mois Juillet de cette année. Ceci parce que la nouvelle a été connue pour affecter plusieurs dispositifs puis précédente et aussi la nouvelle offre différents vecteurs d’attaque. Il n’a pas été prévu toute exploit proof-of-concept pour la vulnérabilité récemment publié pour la diffusion publique, même si le Zimperium introduit un PoC exploiter au début de Septembre pour la vulnérabilité d’origine.

Toutefois, Google a déclaré qu’il n’a pas trouvé ou reçu aucun rapport concernant l’exploitation dans Stagefright 2.0 vulnérabilités et déjà informé ses partenaires sur la question il ya quelques semaines. Après les mises à jour publiées pour appareils Nexus, le code source de correctifs sera poussée dans Android Open Source Project (PSBA) du référentiel. Cela rendra les fabricants d’appareils libèrent les mises à jour pour leurs produits.

Comme dit par Chris Wysopal, CTO et CISO, VeraCode à l’SecurityWeek, en raison de la vulnérabilité Stagefright 2.0 dans le dispositif Android, “met en évidence un problème de sécurité fondamentale à travers le spectre complet du logiciel”.

Les développeurs sont à la recherche pour accélérer le temps d’accès au marché intégrant souvent les bibliothèques de code vulnérable dans leurs applications sans aucune connaissance de l’inclusion des failles de sécurité. En cas de trac, les développeurs a la confiance sur la bibliothèque que parce qu’il est un moyen de gérer les fichiers multimédia Android par défaut.

Wysopal dit, “Patcher des vulnérabilités Stagefright semblent continuer à être un défi pour la communauté Android. Google a fait un bon travail délivrance des mises à jour, cependant, attendre que les constructeurs de terminaux ou transporteurs à délivrer un patch est avérée problématique, car un grand nombre des 1,0 correctifs ont toujours pas été mis en œuvre pour les utilisateurs finaux. Les entreprises ont besoin pour gérer le risque posé par les menaces de système et des applications d’exploitation en utilisant des outils tels que les plates-formes de MDM en conjonction avec le logiciel de sécurité d’applications mobiles “.

D’Apple confirme logiciel malveillant Sur Apps Store – XcodeGhost Malware En Chine

article-3Comme comme le Google Play Store, le célèbre anche mondial App Store d’Apple ne permet pas l’application malveillante d’envahir dans l’écosystème Apple en mettant un contrôle de sécurité très serré. Mais, la sécurité ne peut plus travailler comme des millions d’applications nuisibles sono stati réussi à trouvé un moyen à l’intérieur des magasins d’applications officielles d’Apple qui est connu pour avoir ensuite téléchargé par des millions d’iPhone et iPad propriétaires. Les Palo Alto Networks ont liste de 39 applications dangereuses, mais pourtant légitimes qui a fait chemin dans l’App Store d’Apple publié.

Première attaque sur Apple App Store par XcodeGhost malware

La première attaque majeure par des logiciels malveillants sur l’Apple App Store est nommé XcodeGhost en cui a été utilisé certaines versions de logiciel qui les développeurs de logiciels utilisent pour générer les applications iOS et OS X.

Selon la firme de sécurité Palo Alto Networks, le malware XcodeGhost a été développé avec thatn renifler secrètement de l’information à partir de l’appareil de l’utilisateur, puis télécharger les informations à des attaquants serveur sans l’autorisation de l’utilisateur. Les applications ont été connus pour être infectés Lorsque la version de Xcode malveillants a été utilisé par les développeurs – la boîte à outils développeur Apple développe les applications de Mac OS X et iOS.

Palo Alto a découvert que les auteurs peuvent envoyer des avertissements faux anche sur le dispositifs concernés pour tromper les propriétaires d’appareils à révéler des informations confidentielles. En outre, ils sont portatili lire et modifier des informations de presse-papiers de l’appareil est compromise, à travers laquelle ils peuvent voir les logins et copié à partir des outils de gestion de mot de passe.

Les téléchargements de Xcode peuvent être faites directement auprès d’Apple sans aucun coût ou peuvent être de quelques autres sources comme les forums de développeurs. Baidu Yunpan, le service de partage de fichiers en Chine offrent aux utilisateurs des versions de Xcode qui comprend une certaine ligne supplémentaire de codes. Les variantes nocifs de Xcode est effectivement doublés en XcodeGhost qui a été essentiellement analysés par les chercheurs de Alibaba.

Les applications concernées

Au total, 39 applications de l’App Store d’Apple sono stati trouvé d’être infectés par le Xcode nuisibles. Ces applications sont infectés WeChat – l’application de messagerie instantanée populaires, éditeur de photos Perfect365, at kuaidi – Service chinois Uber-like cabine, CamCard – outils d’analyse de la carte, NetEase – musique service de streaming et beaucoup plus. Sur WeChat, il ya plus de 600 millions d’utilisateurs actifs et il est dit sur un blog que les logiciels malveillants exploité uniquement à la version préalable des applications publiées le 10 Septembre. Mais la version actuelle publié il ya quelques jours est tout propre.

article3

Il est non seulement en Chine, mais les utilisateurs d’Apple en dehors de Chine anche trouvé qu’ils ont été victimes de cette XcodeGhost malware malveillants. Parmi les applications concernées anche comprend l’application de décompression WinZip pilier, l’Musical.ly et anche navigateur Mercury.

L’effet de XcodeGhost?

Comme l’application malveillante installé, en utilisant le code dangereux XcodeGhost inciter les fausses alertes à:

  • Hijack URL
  • Infecter d’autres applications grâce à iOS
  • Lire et écrire des données, comme les mots de passe des victimes iCloud
  • Informations d’identification utilisateur Phish

Comme l’a constaté par les chercheurs et cru l’XcodeGhost est vraiment un morceau dangereux et nocif de logiciels malveillants qui a trouvé un grand succès en contournant la révision du code d’Apple et anche faites ‘attaques sans précédent sur l’écosystème iOS.

Quels essentiellement la technique utilisée dans cette attaque de malware XcodeGhost malware être facilement exploitées par les cyber-criminels et les groupes d’espionnage afin d’accéder dans les victimes de périphériques iOS.

Nouvelle mise à jour

Selon la mise à jour Apple a plus tard retiré maintenant plus de 300 logiciels malveillants infectés applications de son App Store, juste après la version contrefaite des développeurs du kit outil qui a permis de nombreuses applications chinoises pour avoir divulgué les renseignements personnels des utilisateurs pour les pirates.

“Nous avons supprimé les applications de l’App Store que nous savons sono stati créé avec ce logiciel contrefait,” Christine Monaghan, porte-parole d’Apple a déclaré au Guardian. “Nous travaillons avec les développeurs pour vous assurer qu’ils utilisent la version appropriée de Xcode pour reconstruire leurs applications“.

Recruteurs faux sur LinkedIn trouvés Espionnage sur la sécurité experts Intelligence

Un nouveau rapport publié dans la «Semaine de la sécurité» confirme que le compte ou de sécurité LinkedIn chercheurs du monde entier ont été connus pour récents agressé avec le nombre de demandes de certains faux compte utilisateurs qui semble être de tenter de cartographier leurs réseaux. Il a constaté que la jambe de tromper les cibles les faux recruteurs utilise un profil ayant une image attractive dame. Il peut y avoir nombre d’invitations de recrutement reçues par les professionnels de la sécurité ciblés dans la campagne.

Un chercheur principal, Sabari Selvan au Cyber ​​Security & Privacy Foundation parmi la victime qui a obtenu une invitation de faux sur LinkedIn de Jannine Viray qui Sabari a demandé d’envoyer son curriculum vitae mis à jour à l’adresse, jannine.viray [a] v-key.com. Il affirme que la compagnie exige un des chercheurs en sécurité mobiles. Il peut y avoir des invitations de recrutement multiples chaque jour.

Au début de l’alarme a été soulevée par l’expert Yonathan Klijnsma de l’entreprise de sécurité Fox-IT qui est venu à connaître l’affaire il ya seulement quelques semaines. Mais, l’expert ne pouvait pas la providence toute information spécifique concernant l’activité, etc. passe. En outre, les professionnels de la sécurité de Sean Sullivan de F-Secure détectés en détail Que les faux comptes sur LinkedIn est utilisé par le groupe. Ce Sullivan trouvé les comptes LinkedIn faux sont effectivement utilisés par certains individus qui sont censés être travailleur ou Telnet Src (sources de Telnet) et chacun d’eux Semble avoir l’accent sur quelque enfant ou un spécialiste spécifique.

Les comptes ou Apparemment faux recruteurs Talnet Src sur LinkedIn a été trouvé dédié pour le recrutement de certains spécialistes spécifiques appartenant à différents domaines de niches de sécurité cendres comme la sécurité mobile, de l’automobile, de la sécurité et divers autres.

Plus plus, la recherche inversée pour toutes les images utilisées sur les faux profil LinkedIn délecte que les images appartiennent à Instagram légitime et LinkedIn compte-qui ont été tout simplement renversé.

Tout événement de thèse peut pointer vers un effort concerté pour cartographier les professionnels de la sécurité des liens sociaux, outre qu’il peut être possible que OOK l’événement pourrait être la recherche de quelqu’un ou parler sur l’ingénierie sociale et de la sécurité.

Le compte avec photo de profil d’une dame utilisée par de faux recruteurs Doesnâ obtient entièrement disparu eventhough l’image ainsi que les détails du compte sont modifiées. Il a été utilisé une légitime logo-qui est en fait copié à partir de la vraie entreprise à la recherche. Ceci est de faire croire victime et il est dit que la jambe Twitter compte hasnt mis à jour depuis le mois, Janvier. Il dit thatthere a été tout deux tweets jamais posté sur le compte et certains ou des comptes LinkedIn en question déjà disparu disparu.

Mais, il est en fait le but de groupe de recrutement de faux comme le principal acteur de la menace qui contrôle le groupe essaie simplement de cartographier les connexions réseau des experts en matière de cybersécurité. L’exploitation de réseau social pour la collecte de renseignements, en particulier un média social professionnel que LinkedIn est connu pour être une pratique courante pour les acteurs de la menace.

Également ajouté dans le rapport de nouvelles, “ont été trouvés Les images de profil de certains de ces soi-disant recruteurs d’être renversé des copies des images sur Instagram et sur certains comptes légitimes LinkedIn, tandis que leurs spécialités et domaines d’intérêt ont été révélés être d’au moins douteuse” .

En l’an 2014, le mois de mai, les Partenaires iSIGHT, cabinet cyber intelligence démasqué un groupe d’acteurs de la menace iranienne, qui ont été trouvés à l’aide de beaucoup plus que d’une douzaine de personnages irréels et faux sur certains célèbres sites de réseautage social. Cela aide à exécuter l’opération de grande tension ou de cyberespionnage depuis l’année 2011.

Il est communiqué du iSIGHT Partners, “Ces personnages crédibles alors connectés, reliés, suivies, et” friended “victimes de cibles, en leur donnant accès à des informations sur la localisation, les activités et les relations de mises à jour et autres contenus commun».

Base Sur UDP Portmap, Nouvelle Facon Pour DDos Attaquants A Amplifier les Attaques

Le Portmapper ou simplement appelé Portmap a été repéré comme une nouvelle façon par le transporteur américaine et exploitant de backbone mondial Level 3, pour les attaques DDos de réflexion. Ce service portmap peut être utilisé pour prendre directement le client à un numéro de port approprié, de sorte que la communication peut se faire facilement avec le Remote Procedure Call demandé (RPC) de service. Les autres services basés sur le protocole UDP comme NTP, DSN avant lui, est utilisé par les assaillants pour cacher l’origine de l’attaque et également pour amplifier son volume.

Les analystes de niveau 3 ont expliqué que, “Portmapper peut fonctionner à la fois port TCP ou UDP 111, UDP étant nécessaire pour la demande falsifiée de recevoir une réponse amplifiée“.

Dans le cas d’une attaque des assaillants envoyer une demande de parodie utilisant le protocole UDP simplement pour recevoir une réponse amplifiée. Mais l’exploit, ont été testés par Level 3 auprès de 68 octets, qui envoient des requêtes puis entraîné dans les réponses qui varie de plus grandes 1930 octets à 486 octets plus petits. Ainsi, il offre finalement le facteur d’amplification entre dans 7 à 27 fois.

Le travail de Portmapper DDos amplification est très bien de la même manière que les autres amplifiés (ou réfléchissants) attaques DDOS trouvés qui utilise le service standard web accessible UDP. Diverses autres comprend l’Chargen utilisant le port UDP 19, SSDP utilisant 1,900 port UDP, et la Netbios qui utilise le port 139 UDP.

Ceci est juste pour la raison UDP est en fait une connexion moins protocole qui ne valide pas l’adresse IP source et d’autre part, les attaquants sont connus pour battre facilement la demande et inclure l’adresse IP de la cible.

Plus tôt cette année, l’US-CERT a mis en garde, “Récemment, certains protocoles UDP ont été trouvés à avoir des réponses particulières à certaines commandes qui sont beaucoup plus grande que la demande initiale“. Aussi US-CERT donné une liste des protocoles UDP qui a été trouvé que les vecteurs d’attaque potentiels pour essentiellement ce genre d’attaques. Le Portmap a maintenant été ajouté à cette liste.

Le niveau 3 chercheurs ont fait avec la déclaration, “Quand un client est à la recherche pour trouver le service approprié, l’Portmapper est interrogé pour aider. Cela signifie, quand il est interrogé, la taille de la réponse varie énormément en fonction de laquelle les services RPC opèrent sur le accueillir “.

Le facteur d’amplification sont révélés peuvent varier, mais, conformément à la mesure effectuée, la moyenne de la taille de la réponse a été identifié pour être plus de 18 fois la taille de la requête.

Déclaration ajoutée supplémentaire par eux, “le trafic mondial Portmap a augmenté par un facteur de 22x lorsque l’on compare les 7 derniers jours de Juin avec les 7 jours, se terminant le 12 Août“. Bien qu’il soit utilisé moins puis les autres services de l’UDP, il peut être dit sans aucun doute que les attaquants continueront à exploiter le service jusqu’à ce qu’ils aient été empêchés.

Toutes les organisations et administrations connexes ont été fortement conseillé de vérifier si la disponibilité de Portmap sur le système de parement de l’Internet devrait être maintenue continue, ou de le désactiver si pas droit. Sur le même temps, ils ont été invités à effectuer une évaluation similaire pour le nombre de services Appel de procédure à distance sur les hôtes vulnérables qui sont également connus pour être disponible sur les ports UDP que NIS, NFS et beaucoup d’autres.

Les chercheurs ont également ajouté dans leur déclaration, “Dans les situations où les services doivent rester en direct, firewalling les adresses IP qui peuvent atteindre lesdits services et, par la suite, le passage à TCP-seulement sont des mesures d’atténuation pour éviter de devenir un participant inconnaissance dans des attaques DDoS à l’avenir” .

En outre, le même genre d’attaque a été divulgué à quelques jours en arrière par un groupe de chercheurs: Distribué réfléchissant DOS (DRDOS) attaques peuvent être montés via des clients BitTorrent, en profitant du fait que BitTorrent est également un protocole basé sur l’USB.

BitDefender – Le fabricant de Anti-Virus outil piraté, des données de clients Fuite

Une fois de plus la fameuse phrase, “il ya toujours une clé pour une serrure», a été rappelé avec même les entreprises de sécurité a été prouvé être piraté par des hackers informatiques. Récemment, une société anti-virus très connu dans le monde de la sécurité sur Internet, à savoir BitDefender a été très surprenante piraté par les cyber-criminels. La firme de logiciel primé a été désormais inscrits dans le complot d’extorsion dangereuse qui met en péril plus de 400 millions d’utilisateurs du système.

Le 24 Juillet un pirate de DetoxRansome (DR) au premier utilisé Twitter pour faire chanter l’entreprise avec le message: Je veux $ 15,000 ou I fuite votre clientèle. Suite à ce message un autre tweet est venu avec détails de connexion de deux membres du personnel de comptes Bit Defender et il ya autre qui appartient à un client.

1

Le message de chantage de DorexRansome sur Twitter.

Par la suite, le 25 Juillet l’DetoxRansome fait sa deuxième tentative de monétiser les données nouvellement volés de BitDefender et aussi l’exploit qu’il a utilisé pour procurée. Une liste avec le secteur privé en détail de la vente a été posté par DR à la page de pastee qui est décrit plus tard avec un email comme, ‘accès à tous les noms d’utilisateur et mots de passe constamment à leurs (Bitdefender) produits phares ». Pour prouver ses actions une partie de l’échantillon de données volées a été publiée par DR sur un texte avec nom d’utilisateur et les mots de passe correspondants pour environ 250 comptes actifs BitDefender. BitDefender et également Travis Deoring a été appelé à confirmer la plupart des comptes actifs. DR a également affiché un message dans le poste de Pastee que, «Ceci est un exemple que je ai plus, email pour plus de détails du trou (EMAIL expurgé).

2Capture d’écran montrant la négociation des prix DR.

Deux jours plus tard, comme mentionné dans le courriel de la RD, il a commencé à exploiter les mots de passe et noms d’utilisateur pour la transgression des clients BitDefender. DetoxRansome écrit, «cela a le potentiel d’être énorme que je suis capable de renifler tous les noms d’utilisateur des clients et passe gov mil pharm etc cela est grand que je suis en mesure de pirater posworks.com.au en utilisant cette ‘. Sur sa tentative de prouver lui-même très impressionnant parmi les acheteurs potentiels de la DR a également envoyé plusieurs captures d’écran d’accéder à la page différente de solutions de sécurité des entreprises de l’entreprise. Le message réel de DeroxRansome est, «Je ne peux accéder à des solutions complètes de sécurité d’entreprise J’y suis leurs connexions à leur merde et pas seulement les clients”.

3Capture d’écran par DR pour accéder à des solutions de sécurité d’entreprise de BitDefender pour POS Works.

4Capture d’écran de DR accéder aux solutions de sécurité d’entreprise de BitDefender pour son autre client.

Ensuite, le lundi soir, il a été confirmé par Marius Buterchi de BitDefender que les comptes ont été détournés et la compagnie a déclaré qu’ils étaient «au courant du problème et ont réinitialiser les mots de passe pour les clients qui est des informations d’identification ont été rendus publics. Plus déclaration ajoutée par Marius Buterchi, ‘Ils sont activement étudient comment ces mots de passe ont été rendus publics“.

5Vidéos des données sur les clients de BitDefender été reniflé.

Quand Marius Buterchi a été demandé comment le DorexRansome a été en mesure de produire les mots de passe et nom d’utilisateur du clinets BitDefender, il a répondu à la déclaration, Je renifler l’un de leurs principaux serveurs voler logins .

La société a déclaré, Cela ne porte pas atteinte à nos clients des consommateurs ou de l’entreprise. Notre enquête a révélé qu’aucun autre serveur ou services ont été touchés. Bitdefender prend la sécurité de ses clients très au sérieux et toute question qui pourrait impliquer la sécurité de nos clients ou la sécurité de nos serveurs est traité avec la plus grande urgence et la gravité . Il est dit qu’un avis de réinitialiser le mot de passe a été envoyé à tous les clients victimes et également plus de mesures de sécurité sont prise pour ses clients afin de prévenir contre le piratage.

D’autre part, la réclamation faite par DR pour avoir accès au réseau de BitDefender ne peut pas être effectivement confirmé, parce que si il est vraiment le cas, alors nouvelle façon de Trouvées de BitDefender pour réinitialiser les mots de passe et aussi des pouvoirs en sauvage, ne devrait pas avoir d’effet avant la DorexRansome maintenir sa présence dans le réseau de BitDefender.

Estimant sur la demande de la RD, si elle est vraie, alors le client de BitDefender sont fortement conseillé de cesser de partager les mots de passe différents sites similaires. Les informations d’identification sur l’autre compte devraient être modifiés avec même mot de passe dans le compte de BitDefender.