Un simple pdf en pièce jointe dans un email prévu pour, a permis de
"pirater" via un faille inconnue jusqu'à lors, les comptes d'environ 150
gugus du ministères des finances.
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a ajouté tellement de conneries que PDF est maintenant un format exécutable, il y a des trous dans les lecteurs, et la notion de PDF comem format figé et inoffensif reste dans les esprits.
Justement, les sites sensibles, que ce soit ministères ou grosses entreprises n'ont-elles pas recommandé de ne pas utiliser des versions d'Adobe Reader > 4 ou 5 ? Il me semblait avoir lu un truc à ce sujet, à peu près au même moment ou on proscivait Skype dans les dits sites sensibles...
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
Erwan David <erwan@rail.eu.org> wrote:
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a
ajouté tellement de conneries que PDF est maintenant un format
exécutable, il y a des trous dans les lecteurs, et la notion de PDF
comem format figé et inoffensif reste dans les esprits.
Justement, les sites sensibles, que ce soit ministères ou grosses
entreprises n'ont-elles pas recommandé de ne pas utiliser des versions
d'Adobe Reader > 4 ou 5 ? Il me semblait avoir lu un truc à ce sujet, à
peu près au même moment ou on proscivait Skype dans les dits sites
sensibles...
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a ajouté tellement de conneries que PDF est maintenant un format exécutable, il y a des trous dans les lecteurs, et la notion de PDF comem format figé et inoffensif reste dans les esprits.
Justement, les sites sensibles, que ce soit ministères ou grosses entreprises n'ont-elles pas recommandé de ne pas utiliser des versions d'Adobe Reader > 4 ou 5 ? Il me semblait avoir lu un truc à ce sujet, à peu près au même moment ou on proscivait Skype dans les dits sites sensibles...
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
Ascadix
Kevin Denis avait écrit le 09/03/2011 :
Le 09-03-2011, Erwan David a écrit :
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a ajouté tellement de conneries que PDF est maintenant un format exécutable, il y a des trous dans les lecteurs, et la notion de PDF comem format figé et inoffensif reste dans les esprits. cependant je prends ce genre de commentaires de la presse généralistes avec de très longues pincettes, sur tout quand ce sonrt les journeaux qui se citent entre eux...
Surtout que la source officielle ne mentionne pas le mot pdf... http://www.ssi.gouv.fr/site_article320.html
Ceci dit, le pdf piégé reste quand même hautement probable, à défaut d'être certain.
Mouaip, mais si on lit vite fait ces qq lignes:
- Ils utilisaient donc un lecteur d'un qqconque format de PJ, pas sécurisé ? mal configuré ? bugué ? pas à jours ?
- Il à réusis à s'installer ? les utilisateurs avaient quel niveau de "priviléges" sur leur poste ?
- Il à transformé les PC en tête de ponts ? entrant ? ou sortant ? il n'y a donc pas un début de p'tite sécurisation à base de FW + proxy + un poil d'authentification et même de filtrage sur ce réseau ?
- Il à réusis à contaminer d'autres PC en partant des postes compromis ? euh , il exploité une faille type "vers" en plus de la PJ piégé ? donc 2 belles failles "inconnues" et merveilleusement bien exploitées ... ou est-ce que ces utilisateurs utilisaient au quotidient un compte doté non pas simplement le déjà "déconseillé" priviléges "admin local" mais plutot d'un bon gros équivalent "admin du domaine" ?
ya qq trucs qui dérangent ...
Et bon, l'AV qui connais pas encore, si ce ministére se protége comme l'EN avec une zoli boite jaune qui met réguliérement des mois avant d'intégrer même des vérolles pas bien sophistiquées, autant ne pas mettre d'AV.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Kevin Denis avait écrit le 09/03/2011 :
Le 09-03-2011, Erwan David <erwan@rail.eu.org> a écrit :
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a
ajouté tellement de conneries que PDF est maintenant un format
exécutable, il y a des trous dans les lecteurs, et la notion de PDF
comem format figé et inoffensif reste dans les esprits. cependant je
prends ce genre de commentaires de la presse généralistes avec de très
longues pincettes, sur tout quand ce sonrt les journeaux qui se citent
entre eux...
Surtout que la source officielle ne mentionne pas le mot pdf...
http://www.ssi.gouv.fr/site_article320.html
Ceci dit, le pdf piégé reste quand même hautement probable, à défaut
d'être certain.
Mouaip, mais si on lit vite fait ces qq lignes:
- Ils utilisaient donc un lecteur d'un qqconque format de PJ, pas
sécurisé ? mal configuré ? bugué ? pas à jours ?
- Il à réusis à s'installer ? les utilisateurs avaient quel niveau de
"priviléges" sur leur poste ?
- Il à transformé les PC en tête de ponts ? entrant ? ou sortant ? il
n'y a donc pas un début de p'tite sécurisation à base de FW + proxy +
un poil d'authentification et même de filtrage sur ce réseau ?
- Il à réusis à contaminer d'autres PC en partant des postes compromis
? euh , il exploité une faille type "vers" en plus de la PJ piégé ?
donc 2 belles failles "inconnues" et merveilleusement bien exploitées
... ou est-ce que ces utilisateurs utilisaient au quotidient un compte
doté non pas simplement le déjà "déconseillé" priviléges "admin local"
mais plutot d'un bon gros équivalent "admin du domaine" ?
ya qq trucs qui dérangent ...
Et bon, l'AV qui connais pas encore, si ce ministére se protége comme
l'EN avec une zoli boite jaune qui met réguliérement des mois avant
d'intégrer même des vérolles pas bien sophistiquées, autant ne pas
mettre d'AV.
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a ajouté tellement de conneries que PDF est maintenant un format exécutable, il y a des trous dans les lecteurs, et la notion de PDF comem format figé et inoffensif reste dans les esprits. cependant je prends ce genre de commentaires de la presse généralistes avec de très longues pincettes, sur tout quand ce sonrt les journeaux qui se citent entre eux...
Surtout que la source officielle ne mentionne pas le mot pdf... http://www.ssi.gouv.fr/site_article320.html
Ceci dit, le pdf piégé reste quand même hautement probable, à défaut d'être certain.
Mouaip, mais si on lit vite fait ces qq lignes:
- Ils utilisaient donc un lecteur d'un qqconque format de PJ, pas sécurisé ? mal configuré ? bugué ? pas à jours ?
- Il à réusis à s'installer ? les utilisateurs avaient quel niveau de "priviléges" sur leur poste ?
- Il à transformé les PC en tête de ponts ? entrant ? ou sortant ? il n'y a donc pas un début de p'tite sécurisation à base de FW + proxy + un poil d'authentification et même de filtrage sur ce réseau ?
- Il à réusis à contaminer d'autres PC en partant des postes compromis ? euh , il exploité une faille type "vers" en plus de la PJ piégé ? donc 2 belles failles "inconnues" et merveilleusement bien exploitées ... ou est-ce que ces utilisateurs utilisaient au quotidient un compte doté non pas simplement le déjà "déconseillé" priviléges "admin local" mais plutot d'un bon gros équivalent "admin du domaine" ?
ya qq trucs qui dérangent ...
Et bon, l'AV qui connais pas encore, si ce ministére se protége comme l'EN avec une zoli boite jaune qui met réguliérement des mois avant d'intégrer même des vérolles pas bien sophistiquées, autant ne pas mettre d'AV.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
siger
Tonton Th a écrit :
En clair, ça veut dire "on ne sait rien"
Non, un quartier ne se pirate pas. Au mieux il s'envahit ou se barricade.
-- siger
Tonton Th a écrit :
En clair, ça veut dire "on ne sait rien"
Non, un quartier ne se pirate pas. Au mieux il s'envahit ou se
barricade.
Non, un quartier ne se pirate pas. Au mieux il s'envahit ou se barricade.
-- siger
Baton Rouge
http://cjoint.com/?2dixHuxtXGfOn Wed, 09 Mar 2011 20:04:24 +0100, Ascadix wrote:
- Il à réusis à s'installer ? les utilisateurs avaient quel niveau de "priviléges" sur leur poste ?
Avec windows, faut pas beaucup de privilège pour activer un trojan
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
http://cjoint.com/?2dixHuxtXGfOn Wed, 09 Mar 2011 20:04:24 +0100,
Ascadix <ascadix.ng@free.fr> wrote:
- Il à réusis à s'installer ? les utilisateurs avaient quel niveau de
"priviléges" sur leur poste ?
Avec windows, faut pas beaucup de privilège pour activer un trojan
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
http://cjoint.com/?2dixHuxtXGfOn Wed, 09 Mar 2011 20:04:24 +0100, Ascadix wrote:
- Il à réusis à s'installer ? les utilisateurs avaient quel niveau de "priviléges" sur leur poste ?
Avec windows, faut pas beaucup de privilège pour activer un trojan
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
xavier
Ascadix wrote:
doté non pas simplement le déjà "déconseillé" priviléges "admin local"
Euh... C'est quoi, ça ? J'ai jamais trouvé de compte de ce type dans AD, alors que j'en aurais besoin ponctuellement.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
Ascadix <ascadix.ng@free.fr> wrote:
doté non pas simplement le déjà "déconseillé" priviléges "admin local"
Euh... C'est quoi, ça ? J'ai jamais trouvé de compte de ce type dans AD,
alors que j'en aurais besoin ponctuellement.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
doté non pas simplement le déjà "déconseillé" priviléges "admin local"
Euh... C'est quoi, ça ? J'ai jamais trouvé de compte de ce type dans AD, alors que j'en aurais besoin ponctuellement.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
Ascadix
Xavier avait écrit le 10/03/2011 :
Ascadix wrote:
doté non pas simplement le déjà "déconseillé" priviléges "admin local"
Euh... C'est quoi, ça ? J'ai jamais trouvé de compte de ce type dans AD, alors que j'en aurais besoin ponctuellement.
ça n'exite pas en tant que compte /groupe pré-défini, c'est un concept.
à la louche, ça correspond à mettre le compte utilisateur dans le groupe "Administrateur" local du/des stations.
C'est souvent utilisé par exemple pour les équipes de support utilisateurs des grosses structures quand on leur accorde tous les droits sur les stations mais qu'on les laisse pas toucher aux serveurs.
Tu peux faire ça à la main, dans un master si tu clone tes stations, par script déployé sur toutes les stations ou par GPO ( tutot à peu prés par là : http://www.labo-microsoft.org/articles/win/groupes_restreints/ )
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Xavier avait écrit le 10/03/2011 :
Ascadix <ascadix.ng@free.fr> wrote:
doté non pas simplement le déjà "déconseillé" priviléges "admin local"
Euh... C'est quoi, ça ? J'ai jamais trouvé de compte de ce type dans AD,
alors que j'en aurais besoin ponctuellement.
ça n'exite pas en tant que compte /groupe pré-défini, c'est un concept.
à la louche, ça correspond à mettre le compte utilisateur dans le
groupe "Administrateur" local du/des stations.
C'est souvent utilisé par exemple pour les équipes de support
utilisateurs des grosses structures quand on leur accorde tous les
droits sur les stations mais qu'on les laisse pas toucher aux serveurs.
Tu peux faire ça à la main, dans un master si tu clone tes stations,
par script déployé sur toutes les stations ou par GPO ( tutot à peu
prés par là :
http://www.labo-microsoft.org/articles/win/groupes_restreints/ )
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
doté non pas simplement le déjà "déconseillé" priviléges "admin local"
Euh... C'est quoi, ça ? J'ai jamais trouvé de compte de ce type dans AD, alors que j'en aurais besoin ponctuellement.
ça n'exite pas en tant que compte /groupe pré-défini, c'est un concept.
à la louche, ça correspond à mettre le compte utilisateur dans le groupe "Administrateur" local du/des stations.
C'est souvent utilisé par exemple pour les équipes de support utilisateurs des grosses structures quand on leur accorde tous les droits sur les stations mais qu'on les laisse pas toucher aux serveurs.
Tu peux faire ça à la main, dans un master si tu clone tes stations, par script déployé sur toutes les stations ou par GPO ( tutot à peu prés par là : http://www.labo-microsoft.org/articles/win/groupes_restreints/ )
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
wr35nn89
Le 09/03/2011 15:34, Xavier a écrit :
Erwan David wrote:
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a ajouté tellement de conneries que PDF est maintenant un format exécutable, il y a des trous dans les lecteurs, et la notion de PDF comem format figé et inoffensif reste dans les esprits.
Justement, les sites sensibles, que ce soit ministères ou grosses entreprises n'ont-elles pas recommandé de ne pas utiliser des versions d'Adobe Reader> 4 ou 5 ? Il me semblait avoir lu un truc à ce sujet, à peu près au même moment ou on proscivait Skype dans les dits sites sensibles...
non, on est tellement préoccupé à suivre les avis du certa que l'on met à jour toutes les applis dès qu'on peut.......
Le 09/03/2011 15:34, Xavier a écrit :
Erwan David<erwan@rail.eu.org> wrote:
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a
ajouté tellement de conneries que PDF est maintenant un format
exécutable, il y a des trous dans les lecteurs, et la notion de PDF
comem format figé et inoffensif reste dans les esprits.
Justement, les sites sensibles, que ce soit ministères ou grosses
entreprises n'ont-elles pas recommandé de ne pas utiliser des versions
d'Adobe Reader> 4 ou 5 ? Il me semblait avoir lu un truc à ce sujet, à
peu près au même moment ou on proscivait Skype dans les dits sites
sensibles...
non, on est tellement préoccupé à suivre les avis du certa que l'on met
à jour toutes les applis dès qu'on peut.......
Bon c'est possible que l'attaque soit passé via un PDF piégé, Adobe a ajouté tellement de conneries que PDF est maintenant un format exécutable, il y a des trous dans les lecteurs, et la notion de PDF comem format figé et inoffensif reste dans les esprits.
Justement, les sites sensibles, que ce soit ministères ou grosses entreprises n'ont-elles pas recommandé de ne pas utiliser des versions d'Adobe Reader> 4 ou 5 ? Il me semblait avoir lu un truc à ce sujet, à peu près au même moment ou on proscivait Skype dans les dits sites sensibles...
non, on est tellement préoccupé à suivre les avis du certa que l'on met à jour toutes les applis dès qu'on peut.......
benoit.sansspam
Roland GARCIA wrote:
Pas besoin d'ajouter, le format PDF autorise "depuis toujours" les exécutions, témoin cette vieille calculette en PDF:
Le postscript aussi est un language de programmation.
-- "La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi !" [ Albert Einstein ]
Roland GARCIA <roland-garcia@wanadoo.fr> wrote:
Pas besoin d'ajouter, le format PDF autorise "depuis toujours" les
exécutions, témoin cette vieille calculette en PDF:
Le postscript aussi est un language de programmation.
--
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La
pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et
personne ne sait pourquoi !" [ Albert Einstein ]
Pas besoin d'ajouter, le format PDF autorise "depuis toujours" les exécutions, témoin cette vieille calculette en PDF:
Le postscript aussi est un language de programmation.
-- "La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi !" [ Albert Einstein ]
