Archives quotidiennes :

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday avril 2019 : 74 vulnérabilités, dont 16 critiques corrigées par Microsoft

Le Patch Tuesday du mois d’avril 2019 traite 74 vulnérabilités dont 16 classées critiques.

Dans ce Patch tuesday mensule, huit de ces vulnérabilités critiques concernent les moteurs de script et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office, tandis que 5 vulnérabilités critiques affectent MSXML. Deux vulnérabilités facilitant l’exécution de code à distance (RCE) sont corrigées dans GDI+ et IOleCvt. Deux vulnérabilités permettant une élévation de privilèges dans Win32k sont signalées comme activement attaquées tandis qu’une autre dans le service de déploiement AppX Windows fait l’objet d’un exploit PoC public.

Correctifs pour postes de travail

Le déploiement de patches pour le moteur de script et MSXML est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi utilisateurs utilisés comme postes de travail distants.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges dans Win32k

Deux vulnérabilités (CVE-2019-0803 et CVE-2019-0859) dans Win32k entraînent une élévation des privilèges si elles sont exploitées. Microsoft signale que ces deux vulnérabilités sont activement attaquées. Les correctifs doivent être déployés en priorité pour tous les postes de travail et les serveurs.

Preuve de concept (PoC) avec élévation de privilèges dans le service de déploiement AppX Windows

Le service de déploiement AppX (AppXSVC) de Windows héberge une autre vulnérabilité facilitant une élévation des privilèges. Ce service est chargé du déploiement des applications du Windows Store. La vulnérabilité concerne la gestion des liens en dur par le service. Un PoC a été diffusé dans le domaine public. Les correctifs doivent être déployés en priorité pour les postes de travail et les serveurs car ce service existe sous Windows 10 et sur Server 2019.

Vulnérabilités facilitant des RCE dans GDI+ et IOleCvt

Deux vulnérabilités critiques permettant l’exécution de code à distance (RCE) sont corrigées dans GDI+ et IOleCvt. Ces vulnérabilités nécessitent une interaction de l’utilisateur et un correctif doit être déployé en priorité pour les systèmes de type poste de travail.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0853
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0845

Élévation de privilèges sur le serveur SMB

Une vulnérabilité facilitant l’élévation de privilèges a été corrigée sur le serveur SMB. Pour exploiter cette vulnérabilité, l’attaquant doit être connecté au système ciblé et accéder à un fichier malveillant via SMB.

Correctifs Adobe

Adobe diffuse aussi un grand nombre de correctifs en ce mois d’avril 2019, notamment pour Flash Player, Acrobat et Reader, Shockwave Player, Dreamweaver, Adobe XD, InDesign, Experience Manager Forms et Bridge CC. Le patch pour Flash Player corrige une exécution de code à distance (RCE) critique et une vulnérabilité importante. Microsoft a également classé les correctifs pour Flash comme critiques. Les correctifs pour Acrobat/Reader traitent 21 vulnérabilités différentes, dont 12 concernent des RCE critiques. Les patches pour Adobe Flash et Acrobat/Reader doivent être déployés en priorité pour tous les systèmes de type poste de travail. (Par Jimmy Graham – The Laws of Vulnerabilities)

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

SneakyPastes : une opération basique mais efficace du cybergang Gaza frappe des cibles liées au Moyen-Orient dans 39 pays

En 2018, le cybergang Gaza, dont nous savons désormais qu’il comprend plusieurs groupes plus ou moins sophistiqués, a lancé une opération de cyberespionnage ciblant des personnes et des institutions ayant un intérêt politique en lien avec le Moyen-Orient. La campagne, nommée SneakyPastes, utilisent des adresses e-mail jetables pour propager l’infection par phishing, avant de télécharger le malware par étapes successives depuis divers sites gratuits. Cette méthode peu coûteuse mais efficace a permis au groupe de frapper environ 240 victimes d’envergure dans 39 pays à travers le monde, notamment des responsables politiques, des diplomates, des activistes ou des médias.

Le cybergang Gaza est un collectif arabophone à motivations politiques, rassemblant des groupes malveillants étroitement liés qui ciblent activement le Moyen-Orient et l’Afrique du Nord, en particulier les Territoires palestiniens. Kaspersky Lab a identifié au moins trois de ces groupes ayant des objectifs et des cibles similaires – pour du cyberespionnage lié à des intérêts politiques dans la région – mais présentant des outils, techniques et niveaux de sophistication très différents. Il existe cependant des éléments communs à chacun d’entre eux.

Le cybergang Gaza

Parmi ces groupes, les plus avancés sont Operation Parliament et Desert Falcons, identifiés respectivement depuis 2018 et 2015, aux côtés d’un groupe sous-jacent moins complexe, également connu sous le nom de MoleRats, actif depuis au moins 2012. Au printemps 2018, ce groupe de base a lancé l’opération SneakyPastes.

SneakyPastes a commencé par des attaques de phishing autour de thèmes politiques, propagées à l’aide d’adresses e-mail et de domaines « jetables » (à usage unique). Les liens ou fichiers joints malveillants sur lesquels les destinataires cliquaient ou où qu’ils téléchargeaient installaient ensuite l’infection sur leur machine.

SneakyPastes

Afin d’échapper aux systèmes de détection et de masquer la localisation du serveur de commande et de contrôle (C&C), un malware supplémentaire était téléchargé sur les machines des victimes par étapes successives depuis divers sites gratuits, notamment Pastebin et Github. Les différents implants malveillants utilisaient PowerShell, VBS, JS et dotnet pour assurer leur résilience et leur persistance à l’intérieur des systèmes infectés. La dernière étape de l’intrusion était un cheval de Troie à accès distant (RAT), qui contactait le serveur C&C puis collectait, compressait, cryptait et transférait vers celui-ci un large éventail de documents volés (tableaux de chiffres, par exemple). L’opération SneakyPastes tire son nom de l’utilisation massive, par les auteurs de l’attaque, de sites de collage (paste) pour infiltrer progressivement le RAT dans les systèmes des victimes.

Les chercheurs ont collaboré avec les autorités afin de mettre au jour le cycle complet d’attaque et d’intrusion de l’opération SneakyPastes. Ces efforts ont permis d’aboutir, non seulement à une connaissance détaillée des outils, techniques, cibles, etc., mais aussi au démantèlement effectif d’une grande partie de l’infrastructure.

Territoires palestiniens, en Jordanie, en Israël et au Liban

L’opération SneakyPastes a connu son pic d’activité entre avril et mi-novembre 2018, se concentrant sur une liste restreinte de cibles constituées d’entités diplomatiques et gouvernementales, d’ONG et de médias. D’après les données télémétriques, il semble exister environ 240 victimes d’envergure – individus ou institutions – dans 39 pays à travers le monde, dont la majorité se trouve dans les Territoires palestiniens, en Jordanie, en Israël et au Liban. Il s’agit notamment d’ambassades, d’administrations, de médias et de journalistes, d’activistes, de partis politique ou de particuliers, ainsi que d’établissements dans les secteurs de l’éducation, de la banque et de la santé ou encore des organisations contractantes.

« La découverte de Desert Falcons en 2015 a marqué un tournant dans le paysage des menaces car il s’agissait alors de la première APT connue qui soit entièrement arabophone. Nous savons à présent que ses auteurs, le cybergang Gaza, ciblent activement des intérêts moyen-orientaux depuis 2012. Celui-ci s’appuyait au départ sur les activités d’une équipe assez peu sophistiquée mais acharnée, à l’origine de l’opération SneakyPastes en 2018. SneakyPastes montre que le manque d’infrastructures et d’outils avancés n’est pas un obstacle au succès. Nous nous attendons à voir les dommages causés par les trois groupes du cybergang Gaza s’intensifier et leurs attaques s’étendre à d’autres régions du monde qui sont également liées à la question palestinienne », commente Amin Hasbini, responsable du centre de recherche pour le Moyen-Orient au sein de l’équipe GReAT (Global Research & Analysis Team).

backdoor, Leak

TajMahal, le petit palais de la malveillance numérique

TajMahal, une rare plate-forme de cyberespionnage forte de 80 modules malveillants, avec des fonctionnalités inédites et sans liens connus avec des menaces existantes.

Des chercheurs ont mis à jour une plate-forme de cyberespionnage techniquement très élaborée, active depuis au moins 2013 et sans liens apparents avec des menaces connues. Cette plate-forme, nommée TajMahal par les chercheurs, compte environ 80 modules malveillants et présente des fonctionnalités jusque-là inédites dans une menace persistante avancée (APT), par exemple la capacité de voler des informations dans les files d’attente d’imprimante et de capturer des fichiers, repérés précédemment sur une clé USB, lors de sa connexion suivante. Kaspersky Lab a observé jusqu’à présent une seule victime, une ambassade d’un pays d’Asie centrale, mais il est probable que d’autres ont été touchées.

Les chercheurs de Kaspersky Lab ont découvert TajMahal vers la fin de 2018. Il s’agit d’une plate-forme APT techniquement très élaborée, conçue pour des activités poussées de cyberespionnage. L’analyse du malware révèle que la plate-forme a été développée et utilisée depuis au moins cinq ans, l’échantillon le plus ancien datant d’avril 2013 et le plus récent de 2018. Le nom « TajMahal » est celui du fichier servant à exfiltrer les données volées.

TajMahal 2.0

Il semble que la plate-forme TajMahal comporte deux principaux packages, qui se nomment eux-mêmes « Tokyo » et « Yokohama ».

Tokyo est le plus petit des deux, comptant environ trois modules. Il contient les principales fonctionnalités du backdoor (la porte dérobée) et se connecte périodiquement aux serveurs de commande et de contrôle (C&C). Tokyo exploite PowerShell et demeure présent sur le réseau même après le passage à la phase 2 de l’intrusion.

Cette seconde phase est Yokohama, une plate-forme dotée d’armes complètes d’espionnage. Celle-ci comprend un système de fichiers virtuel (VFS) regroupant l’ensemble des modules, des bibliothèques tierces open source et propriétaires, ainsi que des fichiers de configuration. On y dénombre en tout près de 80 modules, notamment de chargement, d’orchestration, de communication C&C, d’enregistrement audio, d’enregistrement des frappes clavier, de copie d’écran et de piratage de webcam ou encore destinés au vol de documents et de clés cryptographiques.

TajMahal peut également dérober des cookies de navigateur, collecter la liste de sauvegarde des appareils mobiles Apple ou de voler les données d’un CD gravé par une victime ainsi que des documents dans la file d’attente d’une imprimante. Le malware peut aussi commander le vol d’un fichier particulier sur une clé USB vue précédemment, fichier dérobé lors de la prochaine insertion de celle-ci dans l’ordinateur.

Les systèmes ciblés infectent à la fois par Tokyo et Yokohama

Cela donne à penser que Tokyo constituait la première phase de l’infection, déployant les fonctionnalités complètes de Yokohama chez les victimes qui présentent un intérêt, puis restant sur place à des fins de sauvegarde. Jusqu’à présent, une seule victime identifiée : une représentation diplomatique d’un pays d’Asie centrale, infectée en 2014. Les vecteurs de diffusion et d’infection de TajMahal sont pour l’instant inconnus.

« La plate-forme TajMahal est une découverte très intéressante et très curieuse. Sa complexité technique ne fait aucun doute et elle présente des fonctionnalités encore jamais observées auparavant dans une menace avancée. Un certain nombre de questions se posent. Par exemple, il paraît hautement improbable qu’un tel investissement ait été engagé à l’encontre d’une seule victime. Cela laisse penser qu’il existe d’autres victimes non encore identifiées et/ou que des versions supplémentaires de ce malware sont en circulation. Les vecteurs de diffusion et d’infection de la menace sont eux aussi inconnus. D’une manière ou d’une autre, celle-ci a échappé aux radars pendant plus de cinq ans. Que ce soit dû à son inactivité relative ou à une autre raison, cela constitue un autre mystère. Aucun indice ne nous permet d’attribuer cette menace ni de la relier à des groupes malveillants connus », commente Alexey Shulmin, analyste principal en malware.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, Particuliers, Securite informatique

Secure File Transfer : nouveau site de téléchargement en mode chiffré

3 commentaires

Une société néerlandaise met en ligne un concurrent à Wetransfer. Originalité du service, utiliser le chiffrement bout-à-bout pour sécuriser les communications.

L’entreprise KPN vient de mettre en ligne un nouveau service de transfert de fichiers. Son nom : Secure File Transfer. SFT permet de diffuser ses fichiers comme Wetransfer.

A la différence de ce dernier, Secure File Transfer propose un chiffrement de type bout-en-bout. Le système est assez étonnant.

Si vous souhaitez envoyer un fichier, un code QR apparaît. Il faut transférer l’information à votre destinataire sous forme de photographie. Ce dernier doit scanner l’image avec sa webcam afin de pouvoir télécharger le document que vous souhaitez lui transmettre. Vous pouvez communiquer jusqu’à 4go de données. L’expéditeur peut paramétrer la durée de disponibilité et le nombre de téléchargement possible.

Une fois votre fichier téléchargé, un QR Code est généré, ainsi qu’un lien de transfert. Il est possible de rajouter un mot de passe.

La version bêta de ce service est accessible.

Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique, Social engineering

Faille pour Windows : possible de copier vos fichiers à distance

Un chercheur en cybersécurité découvre comment des pirates pourraient vous voler des fichiers via Internet Explorer… même si le navigateur est fermé.

Un chercheur en sécurité informatique, John Page (Hyp3rlinx), a découvert comment il était possible de prendre la main sur vos fichiers via un ordinateur sous Windows 7, 10 et Server 2012. Une attaque qui exploite Internet Explorer.

Le plus inquiétant est que le navigateur n’a pas besoin d’être ouvert pour que l’infiltration fonctionne. Un pirate doit motiver son interlocuteur à ouvrir un fichier, envoyé par mail ou via un lien. Mission, ouvrir un fichier MHT particulièrement formulé.

Via ce MHT, le pirate peut copier les fichiers de votre ordinateur. Comme le précise ZDNET, Microsoft alertée. La réaction peu rapide du géant américain a motivé John Page a révélé la faille.

python -m SimpleHTTPServer

Lors de l’ouverture locale du fichier « .MHT » malveillant, il convient de lancer Internet Explorer. Ensuite, les interactions utilisateur telles que l’onglet en double « Ctrl + K » et d’autres interactions, telles que les commandes « Aperçu avant impression » ou « Imprimer » effectuées par un clic droit sur la page Web peuvent également déclencher la vulnérabilité.

Testé avec succès dans le dernier navigateur Internet Explorer (11), avec les derniers correctifs de sécurité.

Microsoft indique « qu’une solution à ce problème serait prise en compte dans une future version de ce produit ou service. Pour le moment, nous ne fournirons pas de mises à jour régulières sur l’état du correctif relatif à ce problème, et nous avons classé cette affaire ».