[gull] Slingshot
Daniel Cordey
dc at pxcluster.com
Tue Mar 13 19:52:19 CET 2018
On 13. 03. 18 19:10, Marc SCHAEFER wrote:
>
> Il semblerait que c'est une attaque 100% Microsoft, mais qui utilise
> les routeurs MikroTic comme de grosses clés USB.
Oups, je m'étais arrêté au simple fait que le vecteur initial était
MikroTic qui tourne avec un OS basé Linux... Pour le reste en effet je
me suis dit que c'était comme dab :-)
> Si le routeur contient la version vulnérable (apparemment préinstallée
> parfois),
C'est en effet là que j'ai dressé l'oreille. Comment se fait-il qu'une
société qui livre des routeurs avec un OS Linux puisse avoir du code
viral préinstallé ? MikroTic a annoncé qu'ils travaillaient à fournir un
patch. J'en ai déduit qu'il y avait une faille exploitée après livraison
chez le client.
> Cela n'a pas été détecté pendant 6 ans.
Il y en a peut-être d'autre encore... :-)
> Ce qui semble faire peur aux vendeurs d'anti-virus Microsoft c'est qu'ils
> ne l'ont pas détecté. La possibilité d'écrire des virus non détectables
> est pourtant documentée depuis longtemps.
W* n'ayant pas de concept de multi-user, c'est une course sans fin qui
consiste à rendre une passoire étanche en bouchant chaque trou une fois
qu'il est découvert. La situation ne va faire qu'empirer puisqu'il
semble qu'il y ait deux tendances, la première bien visible avec les
ransomware, et la deuxième complètement opposée et cherchant à rester le
plus indétectable possible. Il existe de nombreux tests démontrant la
faible réactivité des logiciels antivirus basés sur la "balayage" du
système pour détecter les virus. Mais ce n'est pas une pour baisser la
garde sous Linux, car il est certains que les attaques vont devenir de
plus en plus sophistiquées.
Merci pour ces explications détaillées
dc
More information about the gull
mailing list