Archives quotidiennes :

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Sécurité, Smartphone, voiture

Pirater une voiture connectée : Bosch corrige une faille dans son application mobile

Pirater une voiture connectée! Une faille dans l’outil Drivelog Connect de Bosch permettait de prendre la main sur une voiture connectée et d’arrêter son moteur, alors qu’elle était en marche.

Arrêter une voiture en marche ? Pirater une voiture connectée ? un fantasme informatique ? Le groupe de cyber-recherche Israélien Argus a détecté des lacunes de sécurité dans le dongle Bosch Drivelog Connector et dans son processus d’authentification utilisant l’application Drivelog Connect. Des vulnérabilités qui ont permis aux hackers de prendre le contrôle d’une voiture connectée par le Bluetooth. Une prise de contrôle des systèmes de véhicule essentiels à la sécurité via un dongle Bosch Drivelog Connector installé dans le véhicule.

Une vulnérabilité identifiée dans le processus d’authentification entre le dongle et l’application de smartphone Drivelog Connect a permis de découvrir le code de sécurité en quelques minutes et de communiquer avec le dongle à l’aide d’un appareil Bluetooth standard, tel qu’un smartphone ou un ordinateur portable. Après avoir accédé au canal de communications, il a été facile de reproduire la structure de commande et injecter des messages malicieux dans le réseau embarqué du véhicule.

Pirater une voiture connectée avec un smartphone

En contournant le filtre de messages sécurisé qui était conçu pour autoriser uniquement des messages spécifiques, ces vulnérabilités ont permis de prendre le contrôle d’une voiture en marche, ce qui a été démontré en arrêtant le moteur à distance. Une description technique complète de l’attaque est publiée dans le blog d’Argus. L’équipe d’intervention en cas d’incident de sécurité des produits (Product Security Incident Response Team, PSIRT) de Bosch a agi de manière décisive et immédiate pour éliminer ces vulnérabilités.

Il est important de noter que l’évolutivité d’une attaque malicieuse potentielle est limitée par le fait qu’une telle attaque requiert une proximité physique au dongle. Autrement dit, le dispositif attaquant doit être dans le rayon Bluetooth du véhicule. Qui plus est, une attaque initiale requiert le crack du code PIN pour un dongle donné et l’envoi d’un message CAN malicieux adapté aux contraintes du dongle et du véhicule. Un travail supplémentaire est également réalisé pour limiter encore plus la possibilité d’envoyer des messages CAN non désirés et sera déployé avec d’autres améliorations plus tard dans l’année.

backdoor, Cybersécurité, Hacking, Microsoft, Mise à jour

La faille de Microsoft Office CVE-2017-0199 utilisée pour diffuser l’espion LatentBot

Une faille dans Microsoft Office utilisée depuis des semaines par des pirates pour diffuser le logiciel espion LatentBot.

L’espion LatentBot aimait Office ! Microsoft vient de corriger une vulnérabilité dans Office. Une faille qui permet de cacher des instructions malveillantes dans un document sauvegardé au format .RTF. Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé que via des pirates aux motivations financières. LATENTBOT est un type de malware modulaire et extrêmement bien caché qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI). Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Cette faille a permis à d’autres pirates de diffuser un autre outil d’espionnage, FINSPY. Un logiciel légalement commercialisé par la société Gamma group. Des artefacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit 0day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent. Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyber espionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.