Word Template - Check Point France

8 - 14 août 2016
RAPPORT THREAT INTELLIGENCE
PRINCIPALES FAILLES ET ATTAQUES

Le réseau de la division de vente au détail MICROS d'Oracle pourrait avoir été piraté par des agresseurs
russes, conduisant éventuellement à l'ouverture de portes dérobées dans les systèmes de paiement par
carte bancaire des terminaux de vente qu'ils fabriquent, utilisés par des centaines de milliers de caisses
enregistreuses dans le monde entier.

Sage, un grand éditeur britannique de logiciels de comptabilité et de paie, a été victime d'une fuite de
données qui pourrait affecter des centaines d'entreprises en Europe. Bien qu'il soit encore difficile de
savoir quelles informations ont été dérobées, Sage détient des informations sur les adresses, les
numéros d'assurance nationale, les comptes bancaires et autres données financières de ses clients.

Guccifer 2.0, le pirate qui s'est attaqué au Comité national démocrate, a également piraté le Comité de
campagne du Congrès démocratique. Afin de le prouver, il a publié dans son blog une grande quantité
de renseignements personnels appartenant à des responsables démocrates.

Les renseignements personnels de près de 2 millions d'utilisateurs du forum Dota2, un forum populaire
de jeux multijoueurs en ligne, ont été dérobés. Le forum a très probablement été victime d'une
exploitation de vulnérabilité d'injection SQL dans vBulletin.
La blade Check Point IPS offre une protection contre cette menace.
VULNÉRABILITÉS ET CORRECTIFS

Des chercheurs ont découvert une grave vulnérabilité dans l'implémentation de TCP dans les systèmes
Linux déployés depuis 2012, qui permettrait l'injection de données vers des internautes, qu'ils utilisent
directement Linux ou non (CVE-2016-5969). À l'aide de cette méthode, un agresseur utilisant une
adresse IP usurpée n'a pas besoin de recourir à des techniques de type « homme du milieu » pour
intercepter et injecter des paquets TCP malveillants entre deux machines.
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
1
8 - 14 août 2016

Jeudi des correctifs de Microsoft – Microsoft a publié 9 bulletins de sécurité, dont 5 sont classés
critiques, qui adressent des vulnérabilités dans Windows, Internet Explorer, Microsoft Edge, Office et
autres. La vulnérabilité la plus importante est CVE-2016-3319, qui permettrait à un pirate de contrôler
un ordinateur en incitant la victime à ouvrir un fichier PDF malveillant via Microsoft Edge.
La blade Check Point IPS offre une protection contre ces menaces (Exécution de code à distance via fichier PDF dans
Microsoft Edge (MS16-096 ; CVE-2016-3319)).

Une analyse de deux vulnérabilités de type buffer overflow dans PHP qui affectent la version actuelle de
PHP et celle à venir (CVE-2016-6289 et CVE-2016-6197) a été publiée.
RAPPORTS ET MENACES

Scylex, un cheval de Troie bancaire nouvellement publié et proposé sous forme de service, se vante
d'être « aussi bon que Zeus » sans utiliser le code source de Zeus. Aucune attaque n'a été signalée
jusqu'à présent.

Des chercheurs ont présenté un logiciel rançonneur pour objets connectés, plus exactement des
thermostats, qui menace de faire monter la température jusqu'à 99 degrés sauf si les victimes règlent
une rançon de 1 bitcoin.

Un nouveau logiciel rançonneur usurpant l'identité de l'application PokemonGo pour Windows a été
découvert. Contrairement à d'autres logiciels rançonneurs qui ne laissent aucune trace sur le poste
infecté, ce dernier crée un compte dans Windows afin de donner à son développeur un accès ultérieur à
l'hôte infecté. Cette variante vise des victimes arabes.

Un nouveau cheval de Troie ciblant des serveurs Linux, surnommé Linux Lady, a été découvert. Il
exploite des serveurs utilisant la base de données Redis NoSQL. Une fois installé, Linux Lady envoie des
informations sur la machine infectée à un serveur de commande et de contrôle, puis exécute un
programme de minage de monnaie cryptographique qui génère de la monnaie numérique sur le compte
de l'auteur.

Le cheval de Troie téléchargeur Nemucod, habituellement associé au logiciel rançonneur Locky, a
modifié ses contenus lors de récentes campagnes pour proposer désormais le cheval de Troie Kovter,
spécialisé dans la fraude au clic. Locky est depuis diffusé via une vulnérabilité inédite dans certains
formulaires PHP qui permet aux agresseurs d'envoyer des messages depuis toute adresse email source
vers toute adresse email destination.
Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre ces menaces (Pièces jointes suspectes
contenant du code JavaScript ; Trojan-Downloader.Win32.Nemucod ; Operator.Nemucod ; Trojan.Win32.Kovter ; Operator.Locky).
Commentaires ou questions : [email protected]
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|2