Tutoriel : éviter les envois à Microsoft avec Windows 10

La sortie de Windows 10, cet été, a fait naître des inquiétudes : le dernier OS de Microsoft étant équipé de nouveaux systèmes de télémétrie, certains utilisateurs ont pu se sentir un peu trop espionnés. Les médias n’ont pas hésité à se faire l’écho de ces craintes, parfois abondamment, ce qui a pu les amplifier.

Microsoft a depuis voulu calmer le jeu. L’éditeur offre désormais la possibilité de gérer des paramétrages qui permettent de choisir les informations qui seront partagées. Voici comment limiter au maximum la télémétrie sur Windows 10, licence Famille, Pro ou Entreprise.

Lire l’article du JDN en entier ici

Piratage des jouets V-tech

VTech LogoSource : LeMatin.ch

Le groupe de jouets électroniques éducatifs VTech Holdings a annoncé que des millions de comptes de clients du monde entier ont été piratés.

«Environ cinq millions de comptes de clients et de profils d’enfants liés à ces comptes sont concernés dans le monde», écrit dans un communiqué le groupe basé à Hong Kong.

«VTech Holdings Limited a détecté qu’un tiers non autorisé a accédé le 14 novembre aux données de clients de VTech conservées sur la base de données de sa boutique en ligne Learning Lodge», qui permet d’acheter et de télécharger jeux et applications, poursuit le communiqué.

Sur cette base de données figurent des «informations sur les enfants, comme leur nom, genre et date d’anniversaire» ainsi que celles, plus détaillées, concernant les clients adultes ayant ouvert les comptes: «nom, adresse email, mot de passe, question secrète et réponse pour récupérer le mot de passe, adresse IP, adresse postale et historique des téléchargements», précise VTech.

Pas de données bancaires

VTech affirme qu’aucune donnée bancaire n’a pu être soustraite puisqu’elles ne sont pas stockées sur cette base de données.

«Nous avons immédiatement mené une enquête approfondie, inspecté exhaustivement le site touché et mis en place des mesures de protection contre d’autres attaques», assure le groupe.

Selon le site spécialisé Motherboard, du groupe Vice, la fuite va plus loin: il citait lundi un pirate présumé affirmant avoir obtenu des milliers de photos des enfants et parents concernés par le vol de données. Il a également pu s’emparer de messages échangés par écrit entre parents et enfants, à travers les tablettes du groupe, et même de messages audio, a-t-il indiqué au site, enregistrement à l’appui.

VTech, qui se décrit comme le leader mondial des jeux éducatifs électroniques pour les tous petits, a habilité différentes adresses pour que les clients inquiets puissent le contacter dans divers pays, notamment en France et au Canada.

(afp/nxp)

Créé: 01.12.2015, 07h22

Paypal Session fixation

Une vulnérabilité de type Session Fixation a été découverte dans le système de paiement Paypal. La faille peut être exploitée par des attaquants ayant un accès physique restreint et sans nécessité d’interaction.

Chaîne de caractère utilisée: %0d

Preuve de concept:
https://www.paypal.com/fr/cgi-bin///aao.com//%0dSet-Cookie:HaC80bwXscjqZ7KM6VOxULOB534=6RhGQapRfYgjamJv09KeTBVtJKw9oNcq8mnJDC_2H0t3denjeUdz8DnNpFn7iFUNVfPsPRu99_xUmvNcx_OaToy5En6pvysvcdCKmtdPawmYtupbEAVo4txChxNXlGdPmsWHB0; Domain=.paypal.com; Path=/;Expires=Mon, 08 Jun 2020 18:53:07 GMT; HttpOnly; Secure

Liens

http://www.vulnerability-lab.com/get_content.php?id=1509
https://packetstormsecurity.com/files/133974/VL-1509.txt

Faille critique dans les routeurs NETGEAR

De mutiples routeurs NETGEAR sont vulnérable à un contournement d’authentification. L’exploitation de la faille ne nécessite aucune configuration particulière et l’accès intégral à l’administration peut se faire sans avoir à soumettre aucun nom d’utilisateur ou mot de passe. Il suffit d’accéder plusieurs fois à une URL particulière pour exploiter la faille et accéder à l’interface d’administration.

Les routeurs NETGEAR WNR1000v4 avec les firmwares N300_1.1.0.31_1.0.1.img et N300-1.1.0.28_1.0.1.img sont affectés, ainsi que d’autres modèles utilisant ces deux firmwares. D’autres produits pourraient être vulnérable étant donné que les firmwares incriminés sont utilisés sur de multiples appareils.

Cette faille critique permet notamment à un attaquant de contourner le mécanisme d’authentification et de changer les paramètres DNS (Domain Name System) afin de rediriger la victime vers des adresses IP malicieuses.

Une preuve de concept est disponible :
L’attaquant peut exploiter ces problèmes en utilisant un simple navigateur ou en utilisant un script.

  1. Lorsqu’un utilisateur tente d’accéder à l’interface d’administration, une authentification HTTP Basic est initialisée
  2. Si l’utilisateur entre un mauvaise couple nom d’utilisateur/mot de passe, il est redirigé vers le fichier 401_access_denied.html
  3. Un attaquant accède plusieurs fois à la page http:///BRS_netgear_success.html
  4. Il peut désormais accéder à l’interface d’administration sans avoir à entrer un nom d’utilisateur et mot de passe

Voir plus de détails: http://www.csnc.ch/misc/files/advisories/CSNC-2015-007_Netgear_WNR1000v4_AuthBypass.txt

Recel de données volées sur le Dark Net

Une récente étude de McAfee montre que le recèle des données volées est un business en pleine expansion et très varié, avec des prix relativement accessible à tout un chacun pour se lancer dans arnaques financières.

Les prix moyens pour l’achat de données bancaires générées par une application (numéro de carte de crédit CVV2) tourne aux alentours de 5 à 8 dollars aux États-Unis, entre 20-25 dollars au Canada, entre 21-25 dollars en Australie et de 25-30 dollars en Europe.

credit_cart_sales

Avec un numéro d’identification bancaire, le prix passe à 15, 25, 25 et 30 dollars respectivement.
Avec une date de naissance, le prix est semblable. Avec les données complètes, les prix sont de 30, 35, 40, 40 et 45 dollars.
Par exemple, un compte bancaire valide avec un montant disponible de 2200 dollar peut s’acheter pour 190 dollars.

Vente de codes d’accès (login)
Le rapport montre que l’on peut acheter non seulement des codes d’accès pour des systèmes bancaires mais également des vulnérabilités ou même packs de vulnérabilités permettant d’accéder aux données bancaires en infectant un ordinateur.

Base de données volées
De nombreuses base de données volées sont disponibles gratuitement ou vendues sur le Dark Net.

Vous pouvez consulter le rapport complet en PDF ici.

Adobe Flash mise à jour critique

Une nouvelle faille critique circulant sur le web a été découverte dans le plugin Adobe Flash Player affectant toutes les versions (CVE-2015-7645).

Une mise à jour est sortie, il est fortement recommandé de l’installer immédiatement.

Liens

https://helpx.adobe.com/security/products/flash-player/apsa15-05.html
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/
http://www.theregister.co.uk/2015/10/16/adobe_pushes_out_critical_flash_patch_faster_than_expected/?mt=1445239969546

WordPress Support Ticket System 1.2 SQL Injection

Le plugin pour WordPress Support Ticket System version 1.2 est vulnérable à une Injection SQL à distance.

L’exploitation de la faille permet l’accès à la base de données ainsi que la modification et l’ajout de contenu dans cette dernière.
Le fichier vulnérable (includes/update.php) présente deux points d’injection au niveau des paramètres $user et $id.

Sont affectés tous les systèmes utilisant une version WordPress jusqu’à la 4.3.1 avec le plugin Support Ticket System jusqu’à la version 1.2.26

Il est recommandé de mettre à jour le plugin au plus vite.

Liens

https://packetstormsecurity.com/files/133885/wpsts-sql.txt
https://wordpress.org/plugins/simple-support-ticket-system/changelog/

Magento : des sites non patchés infectés par le kit d’exploits Neutrino

Une nouvelle vague d’infection par exploit kits cible actuellement la plateforme Magento appartenant à eBay. Apparemment, il ne s’agit pas d’une nouvelle vulnérabilité mais d’une faille connue, Shoplift Bug, qui permet aux pirates d’installer un exploit kit comme Angler, Nuclear ou Neutrino.

Une fois inséré dans le site via à une iframe, le kit d’exploits va tâcher de répérer des vulnérabilités connues, notamment dans le plugin Flash Player d’Adobe, dans le navigateur ou dans le système d’exploitation, afin d’infecter l’ordinateur de la victime. Les machines compromises servent à récupérer des données bancaires et prennent part à un large réseau d’ordinateurs zombies (botnet).

Pour vous prémunir contre une telle attaque, il est important d’appliquer les mises-à-jour immédiatement. Un patch visant à combler cette faille est disponible sur le site de magento: http://magento.com/security/patches/supee-5344-%E2%80%93-shoplift-bug-patch. Un outil est également mis à disposition pour tester l’existence de la vulnérabilité.

Liens

http://magento.com/security-patch
http://www.computerworld.com/article/2995598/security/magenta-compromised-sites-havent-patched-older-flaws.html#tk.rss_security
http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=26543
http://www.avgthreatlabs.com/ww-en/virus-and-malware-information/info/neutrino-exploit-kit/