Archives de catégorie : Patch

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch

Craquer un mot de passe Wi-Fi WPA2 n’a jamais été aussi facile

Il n’est pas toujours facile de sécuriser un réseau domestique, même quand toutes les précautions possibles sont prises. Beaucoup de facteurs entrent en jeu et l’un d’entre eux est bien sûr le routeur. Jusqu’à présent, tout ce qu’il vous fallait était un mot de passe assez fort et un chiffrement WPA2. Mais les choses ont changé. Les chercheurs ont découvert un nouveau moyen apparemment très facile de pirater les réseaux Wi-Fi compatibles WPA/WPA2 PSK.

Cette nouvelle méthode de piratage des mots de passe Wi-Fi a apparemment été découverte par hasard : les chercheurs en sécurité travaillant sur Hashcat, un outil de craquage de mot de passe très populaire, essayaient en fait de trouver de nouvelles façons de craquer le protocole de sécurité sans fil WPA3 lorsqu’ils sont tombés sur cette nouvelle méthode WPA2. La nouvelle méthode pourrait permettre aux pirates d’obtenir la clé pré-partagée (pre-shared key, PSK) pour le Wi-Fi, ce qui leur donnerait accès au réseau. La grande différence par rapport aux méthodes précédentes est apparemment que les cybercriminels n’ont pas besoin de capturer un 4-Way Handshake complet. Au lieu de cela, la nouvelle attaque est menée sur le RSN IE (l’élément d’information réseau de sécurité robuste) d’une seule trame EAPOL.

Selon les chercheurs, l’attaquant qui communique maintenant directement avec le point d’accès n’a plus besoin qu’un utilisateur se connecte au réseau cible pour capturer ses données de connexion (ce qui était nécessaire auparavant). Cette attaque sans client apporte quelques autres avantages : plus d’éventuels mots de passe invalides, plus de trames EAPOL perdues à cause d’un point d’accès trop éloigné des cybercriminels, plus de formats de sortie spéciaux pour les données finales.

La plupart des routeurs modernes sont vulnérables

Bien que les chercheurs ne sachent pas encore avec certitudes quels fournisseurs et quels modèles de routeurs seront affectés par cette technique, les perspectives ne sont pas réjouissantes : tous les réseaux 802.11i/p/q/r avec des fonctions d’itinérance activées pourraient être sensibles à la nouvelle attaque ; par conséquent, cela affecterait la plupart des routeurs modernes. Malgré cette triste réalité, il y a deux choses que vous pouvez faire pour vous assurer de rester le plus en sécurité possible jusqu’à l’arrivée sur le marché de WPA3, qui est immunisé contre cette attaque :

Utiliser un mot de passe fort : Même avec cette attaque, le pirate devra attaquer votre mot de passe en force brute. Choisissez donc un mot de passe Wi-Fi fort, très fort. En cas de doute, vous pouvez toujours compter sur un gestionnaire de mots de passe pour faire le travail à votre place. Mettre à jour votre routeur : Mettez à jour votre routeur dès que des mises à jour sont disponibles. Si vous avez un très vieux routeur qui ne reçoit plus de mises à jour, il est recommandé d’en acheter un nouveau, au plus tard dès que les nouveaux routeurs WPA3 seront disponibles. (Par Nicole Lorenz, Avira)

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch, santé

Pirater des cerveaux pour manipuler et voler des souvenirs : la technologie de base existe

Organe en perpétuelle évolution, le cerveau et son fonctionnement posent de nombreuses questions. Ainsi, les scientifiques travaillent sur la découverte du mode de création des souvenirs dans le cerveau pour pouvoir les cibler, les restaurer et les enrichir au moyen d’ implants, et les technologies nécessaires existent d’ores et déjà sous la forme de dispositifs de stimulation profonde du cerveau.

Néanmoins, à l’avenir, des cyberattaques pourraient exploiter des implants mémoriels pour voler, espionner, modifier ou contrôler des souvenirs humains, même si les menaces les plus extrêmes ne se profileront pas avant plusieurs décennies. Il existe donc, dans les logiciels et le matériel connectés, des vulnérabilités qu’il importe de traiter pour nous préparer aux menaces qui nous attendent, selon une nouvelle étude réalisée par des chercheurs de Kaspersky Lab et le Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, publiée à l’occasion du sommet annuel Kaspersky NeXT à Barcelone.

Des implants de stimulation cérébrale, utiles à la médecine, mais vulnérables aux cyberattaques.

Les chercheurs ont associé une analyse pratique et théorique afin d’explorer les vulnérabilités actuelles des implants utilisés pour la stimulation cérébrale profonde. Appelés générateurs d’impulsions implantables (IPG) ou neurostimulateurs, ces dispositifs envoient des impulsions électriques vers des cibles spécifiques dans le cerveau pour le traitement de troubles tels que la maladie de Parkinson, le tremblement essentiel, la dépression majeure ou les TOC (troubles obsessionnels compulsifs). La dernière génération en date de ces implants s’accompagne de logiciels de gestion pour les médecins comme les patients, installés sur des tablettes et smartphones professionnels. La connexion entre les différents appareils repose sur le protocole standard Bluetooth.

Les chercheurs ont établi un certain nombre de scénarios de risques existants et potentiels, dont chacun pourrait être exploité par des attaques :
· Exposition des infrastructures connectées : les chercheurs ont découvert une vulnérabilité grave et plusieurs mauvaises configurations préoccupantes dans une plate-forme de gestion en ligne très répandue parmi les équipes chirurgicales, des failles susceptibles de conduire un intrus vers des données sensibles et des procédures de traitement.

· Le transfert de données non sécurisées ou non cryptées entre l’implant, le logiciel de programmation et les réseaux associés pourrait permettre la manipulation malveillante des implants d’un patient, voire de groupes entiers de patients connectés à la même infrastructure. Il risquerait d’en résulter la modification de réglages entraînant une douleur, une paralysie ou encore le vol de données personnelles, privées et confidentielles.

· En raison de contraintes de conception, la sécurité des patients prend le pas sur celle des données. Par exemple, un implant médical doit pouvoir être contrôlé par les médecins dans les situations d’urgence, notamment lorsque le patient est hospitalisé loin de son domicile. Cela exclut l’utilisation de tout mot de passe qui ne soit pas largement connu du personnel médical. En outre, cela implique que ces implants soient dotés par défaut d’un « backdoor » (un accès dérobé).

· Comportement non sécurisé du personnel médical : des logiciels critiques conservent souvent leurs mots de passe par défaut, utilisés pour l’accès à Internet ou à des applications complémentaires téléchargées.

Des méthodes scientifiques et médicales en perpétuelle évolution, qui nécessitent un accompagnement en cybersécurité

Il est indispensable de remédier à ces vulnérabilités car les chercheurs estiment qu’au cours des prochaines décennies, des neurostimulateurs plus avancés et une compréhension plus approfondie de la formation et de la mémorisation des souvenirs dans le cerveau humain vont accélérer le développement et l’utilisation de ce type de technologies et susciter de nouvelles possibilités de cyberattaques.

Dans les cinq années à venir, des scientifiques pensent pouvoir enregistrer sous forme électronique les signaux cérébraux qui créent les souvenirs, puis les enrichir voire les réécrire avant de les réimplanter dans le cerveau. D’ici une dizaine d’années pourraient apparaître sur le marché les premiers implants commerciaux destinés à stimuler la mémoire et, dans une vingtaine d’années, la technologie pourrait avoir suffisamment progressé pour permettre une prise de contrôle poussée des souvenirs.

Parmi les nouvelles menaces qui en découleront pourrait notamment figurer la manipulation de masse de populations par l’implantation ou l’effacement de souvenirs relatifs à des événements politiques ou à des conflits, tandis que des cybermenaces « réorientées » pourraient cibler de nouvelles opportunités de cyberespionnage ou bien le vol, la suppression ou le « verrouillage » de souvenirs (par exemple pour l’extorsion d’une rançon en échange de leur déblocage).

Au sujet des résultats de l’étude, Dmitry Galov, chercheur junior en sécurité au sein de l’équipe GReAT de Kaspersky Lab, commente : « Les vulnérabilités actuelles sont à prendre au sérieux car la technologie existant aujourd’hui préfigure ce qui verra le jour à l’avenir. Même si aucune attaque visant des neurostimulateurs n’a encore été observée, il existe des faiblesses qui ne seront pas difficiles à exploiter. Il nous faut réunir les professionnels de santé, les spécialistes de la cybersécurité et les fabricants pour étudier et corriger toutes les vulnérabilités potentielles, qu’elles soient déjà visibles actuellement ou qu’elles apparaissent dans les années à venir. »

Laurie Pycroft, chercheuse doctorale au sein du Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, ajoute : « Les implants mémoriels sont une perspective bien réelle et passionnante, offrant des bienfaits considérables pour la santé. Si l’idée de pouvoir modifier et enrichir nos souvenirs à l’aide d’électrodes paraît relever de la science-fiction, elle repose sur des fondements scientifiques solides qui existent dès à présent. L’arrivée de prothèses mémorielles n’est qu’une question de temps. La collaboration afin de cerner et de traiter les risques et vulnérabilités qui arrivent, et ce alors que cette technologie est encore relativement neuve, se révèlera payante à l’avenir. »

L’étude, intitulée The Memory Market: Preparing for a future where cyber-threats target your past, est disponible ici.

Chiffrement, cryptage, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

La sécurité de l’IoT souffre encore de failles majeures

2 commentaires

Si personne ne remet en cause l’intérêt et la rapidité des progrès de l’Internet des Objets (IoT), la sécurité des objets connectés, elle, continue d’inquiéter. Il est en effet relativement simple de les pirater et les nombreuses cyberattaques récentes ont montré les dangers d’un réseau globalisé.

La transformation numérique du monde progresse, avec dans son sillage, de plus en plus d’appareils intelligents qui communiquent entre eux (y compris dans des secteurs sensibles) afin de nous faciliter la vie. Mais l’IoT a aussi des faiblesses évidentes de sécurité.

Quand des cybercriminels détectent des équipements IoT vulnérables, il leur suffit souvent d’actions basiques pour les pirater. Les moyens les plus simples demeurent l’attaque par force brute pour trouver un mot de passe ou encore l’utilisation des identifiants de connexion par défaut, configurés en mode usine. Car il est malheureusement clair que, pour des raisons de coût, de nombreux fabricants utilisent les mêmes données de connexion standards pour tous leurs appareils, au lieu de définir un mot de passe distinct pour chacun. En utilisant des Botnets récupérés sur le Darknet, il devient ainsi possible d’infecter des milliers d’équipements d’un seul coup.

Un état des lieux alarmant

La vérité, c’est que les objets connectés n’ont jamais vraiment été sûrs, et il est évident que certains risques vont s’intensifier. L’une des plus graves menaces de ces dernières années a été le Botnet Mirai, qui a provoqué des attaques DDoS massives à l’aide d’identifiants de connexion standards. Il a permis de mettre en évidence que des produits chinois bon marché, tels que des webcams, figurent parmi les équipements IoT les plus vulnérables, qui ne devraient être utilisés que dans des environnements isolés.

Depuis que le code source de Mirai a été publié, pratiquement tout le monde peut faire fonctionner son propre Botnet IoT ou réécrire le code de programmation à sa façon, ce qui a permis à de nombreuses mutations de Mirai de voir le jour.

Les autres moyens d’infecter un objet connecté étant plus sophistiqués et onéreux, ils sont moins répandus. C’est le cas par exemple de l’ingénierie inverse des firmwares ou des systèmes d’exploitation, qui requiert des connaissances techniques pointues et beaucoup de temps. Des stratégies de sécurité peuvent néanmoins s’appliquer dans ce domaine.

En finir avec les mots de passe standards

Une solution possible et efficace pour améliorer la sécurité dans l’IoT, permettre aux utilisateurs de modifier facilement leurs identifiants de connexion. Certes, cette stratégie n’aurait d’efficacité que sur les méthodes d’infiltration les plus élémentaires, mais le jeu en vaut la chandelle puisque ce sont les plus répandues.

Les fabricants pourraient ainsi « forcer » leurs clients à modifier leurs identifiants de connexion en rendant obligatoire la saisie d’un mot de passe unique et fort lors du démarrage initial de l’appareil. Les fabricants pourraient également attribuer un mot de passe unique généré aléatoirement à chaque périphérique et l’envoyer au client avec l’objet connecté.

En pratique, le changement d’identifiants de connexion limiterait nettement le nombre d’appareils vulnérables et compliquerait la tâche des hackers et bots qui essaient d’en prendre le contrôle.

Le problème des clés de chiffrement

Les fabricants peinent à concevoir des objets qui intègrent d’office des mécanismes de sécurité. Ces équipements destinés aux particuliers ou aux entreprises. C’est notamment le cas pour le chiffrement.

Dans les faits, rien n’empêche de chiffrer les données qu’un objet connecté recueille et transmet à un autre périphérique ou vers le cloud pour analyse. Il est ainsi possible de trouver de très bons conseils à propos des algorithmes. Il existe plusieurs solutions de chiffrement Open Source.

Mais c’est au niveau de la protection et de la gestion des clés de chiffrement que le bât blesse. Or, ces carences retirent toute efficacité au processus de chiffrement. Une clé mal gérée peut rendre le chiffrement inutilisable, si par exemple elle n’est pas rendue disponible dans un processus d’authentification. Le nombre de périphériques dans l’IoT exacerbe ainsi de manière exponentielle les défis du chiffrement et de la gestion des clés.

S’ajoute à cela le fait que beaucoup d’objets connectés n’ont pas les capacités techniques requises pour chiffrer les données efficacement. Dotés d’un espace de stockage limité, ils ne peuvent généralement pas intégrer une connexion SSL digne de ce nom. Les fabricants d’objets connectés, en particulier ceux destinés au grand public, continuent ainsi de commercialiser des appareils dont la sécurité est légère, sinon inexistante. Et nous ne pouvons pas y faire grand-chose.

La cybersécurité est l’affaire de tous

Si le public est de plus en plus sensible aux failles des objets IoT, cette prise de conscience est pour l’heure insuffisante. Pas d’impact sur les décisions d’achat. Les facteurs déterminants restent les fonctionnalités et le prix. Pour preuve, le succès actuel des Amazon Echo et Google Home auprès des consommateurs.

Ainsi, s’il est vrai que la première grande vague d’attaques, avec le Botnet Mirai en tête, n’a pas manqué d’attirer l’attention des spécialistes de la cybersécurité, le consommateur lambda, lui, n’a pas encore conscience de l’ampleur du problème.

Ceci étant, on assiste à l’émergence d’une petite, mais croissante, fraction de consommateurs qui s’inquiètent vraiment de la sécurité des objets connectés, en particulier celle des enceintes intelligentes capables d’écouter tout ce qui se dit à proximité d’elles. La pression sur les fabricants augmente donc et avec elle, la demande de meilleures mesures de sécurité et de protection des données. (Tribune de Christophe da Fonseca, Sales Development Manager France chez Paessler AG envoyée à toutes les rédactions web)

Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle, Securite informatique

Espionnage des conducteurs de voiture via leur autoradio

Les habitudes d’écoute de milliers de conducteurs de voitures surveillées, sans consentement, durant 3 mois. But final, diffuser des publicités ciblées !

Environ 90 000 conducteurs de véhicules General Motors ont été surveillés par le constructeur de voitures. Les propriétaires et leurs passagers ont été surveillés durant 3 mois alors qu’ils voyageaient sur les routes de Chicago et de Los Angeles. C’est l’équipe Detroit Free Press qui a révélé cet espionnage qui s’est déroulé en 2017. General Motors a confirmé cette « écoute » qui aurait été mis en place dans le cadre de son programme de suivi de radio. La société a reconnu collecter des données afin de les utiliser manière intelligente. Bref, traduisez par la diffusion de publicités ciblées. Vous comprenez maintenant pourquoi le fait de savoir que Renault a choisi Google comme moteur de recherche peut inquiéter les utilisateurs. Google connaîtra l’ensemble des comportements des conducteurs de voiture de la marque française. Qwant aurait été parfait pour éviter ce ciblage.

Via le Wi-Fi des voitures

Pour général Motors, lors de son test de trois mois, l’espionnage a utilisé le Wi-Fi proposé dans les voitures pour suivre les habitudes de certains de ses conducteurs dans l’espoir de voir s’il existait un lien entre ce que les conducteurs écoutent et ce qu’ils achètent. GM, avec 10 millions de voitures en circulation, est l’un des premiers constructeurs à entreprendre une telle étude. A noter que les 90 000 conducteurs de Los Angeles et de Chicago impactés avaient accepté de participer à une « proof of concept » sans connaitre la finalité de cette preuve de concept. « Les données sont ensuite agrégées et anonymisées. Les résultats obtenus sur un très grand échantillon et n’incluent aucune information personnellement identifiable » indique General Motors.

Espionnage dans nos voitures

L’espionnage, via les automobiles, n’est pas une nouveauté. Je vous passe les contenus que sont capables de stocker les « clés » sans fil des voitures. En 2015, Chevrolet proposait aux parents un logiciel d’espionnage, Teen Driver, intégré dans ses voitures. Raison invoquée, permettre aux parents de suivre leurs enfants conducteur ! Mais aussi être averti si la vitesse est dépassée (vitesse choisie par les parents). Recevoir des rapports sur les véhicules. Limiter le volume audio de l’auto radio.

Chiffrement, cryptage, Cybersécurité, double authentification, Emploi, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Securite informatique

Californie : une loi interdit les mots de passe trop légers

Finis les mots de passe de type 123456, password, admin, 000 … C’est ce que vient de décider l’Etat de La Californie via une loi qui contraint les entreprises à fournir des mots de passe sérieux dés la sortie d’usine.

La Californie vient de décider que toutes les entreprises capables de proposer des objets connectés (IoT) seront dans l’obligation de le faire avec un mot de passe sérieux dès la sortie d’usine. A partir de 2020, ce qui laisse le temps aux sociétés locales de régler leurs configurations respectives, fini les mots de passe de type 123456, 0000, admin, welcome, password ou… rien.

Les nouvelles règles de ce projet de loi décidé par le gouverneur Jerry Brown indiquent que chaque appareil sera équipé d’un mot de passe unique, préprogrammé. L’autre option, la plus rapide à mettre en place, obliger les utilisateurs à mettre en place un mot de passe fort.

Peu de détails supplémentaires sur la façon dont spécifiquement les vendeurs vont devoir s’y prendre pour sécuriser leurs produits. Petit détail, de taille, la loi n’oblige pas les fabricants à publier de nouvelles améliorations pour accroître la sécurité de leur technologie, par exemple en envoyant régulièrement des correctifs de sécurité faciles à installer pour les vulnérabilités connues.

Pour conclure, saluons quand même ce premier pas vers une sécurisation des comportements des consommateurs qui oublient bien trop souvent de modifier leurs identifiants de connexion.

Parmi les autres obligations, la Loi sur l’amélioration de la cybersécurité de l’internet des objets, qui obligerait les entreprises à fournir certaines assurances quant à la sécurité des appareils IoT vendus au gouvernement fédéral. En 2016, la société GData avait analysée 12 000 routeurs domestiques en 2016 a démontré que 15% des périphériques utilisaient des mots de passe particulièrement faibles.

Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, ransomware, Securite informatique

Xbash, le futur Petya ?

Xbash : dans la lignée de NotPetya, une nouvelle menace et famille de malware ciblant les serveurs Windows et Linux risque de faire grand bruit.

L’Unit42, unité de recherches de Palo Alto Networks, a découvert cette menace qui a toutes les caractéristiques de NotPetya. Baptisé Xbash, cette menace est un malware destructeur de données qui se fait passer pour un ransomware. Il combine des fonctions de cryptomineur, de ransomware, de botnet, d’auto propagation et se répand en visant les mots de passe à faible niveau de sécurité et les failles non-patchées

XBash, nouvelle menace aux allures de Petya

Les chercheurs de l’Unité 42, unité de recherches de Palo Alto Networks  ont découvert une nouvelle famille de malware qui ciblent les serveurs Windows et Linux. Nous pouvons lier ce malware, que nous avons baptisé Xbash, à Iron Group, un groupe de cybercriminels qui s’est fait connaître par des attaques de type ransomwares.

Xbash est un ransomware et un cryptomineur. Il a également des capacités d’autopropagation (c’est-à-dire qu’il est des caractéristiques d’un vers semblable à WannaCry ou Petya/NotPetya). Il a également d’autres capacités non encore implémentées qui, quand elles le seront, pourraient lui permettre de se répandre très rapidement dans le système d’information d’une entreprise (là encore, tout comme WannaCry ou Petya/NotPetya).

Xbash se répand en visant les mots de passe faibles et les failles non-patchées. 

Xbash est dangereux pour les données ; il détruit les bases de données sous Linux dans le cadre de son action de ransomware. De plus nous n’avons trouvé aucune fonctionnalité au sein de Xbash qui pourrait permettre la restauration des données après paiement de la rançon. Cela signifique que, comme NotPetya, Xbash est un malware destructeur de données qui se fait passer pour un ransomware.

Les entreprises peuvent se protéger de Xbash en :

  1. Changer les mots de passe par défaut et utiliser des mots de passe forts
  2. Faire régulièrement les mises à jour de sécurité
  3. Installer des outils de sécurités sur les terminaux d’accès sous Linux et Windows
  4. Empêcher l’accès à des hôtes inconnus sur internet (pour bloquer l’accès aux serveurs C&C — Command and Control — établis par les cybercriminels)
  5. Implanter et maintenir des procédures de sauvegarde et restauration strictes et efficaces

Les particularités de Xbash 

Pour conclure, Xbash combine des fonctions de cryptomineur, de ransomware, de botnet et d’autopropagation. Les systèmes basés sous Linux sont visés par ses capacités de botnets et de ransomware. Les systèmes basés sous Windows sont visés par ses capacités d’autopropagation et de cryptomineur. La composante ransomware cible les bases de données sous Linux et les détruit. À ce jour, 48 transactions entrant sur ces wallets pour un revenu total de 0,964 bitcoin. 48 victimes ont payé près de 6000 dollars (ou près de 5209 euros) au total, à l’heure où nous écrivons ces lignes.

Iron Group

Toutefois il n’y a aucune preuve que les rançons payées ont permis aux victimes de récupérer leurs données. Aucune fonctionnalité pour rendre cette restauration possible tout au long du processus de paiement de rançon. Les analyses estiment que c’est surement l’œuvre du Iron Group, un groupe déjà publiquement lié à d’autres campagnes de rançonnage y compris celles incluant l’utilisation du RCS (Remote Control System) dont le code source aurait été volé à la HackingTeam en 2015.

Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

61 Vulnérabilités corrigées en septembre

Le Patch Tuesday de ce mois corrige 61 vulnérabilités dont 20 classées comme critiques. Parmi ces dernières, la plupart sont liées aux navigateurs tandis que les autres concernent Windows, Hyper-V et l’infrastructure .Net. Une vulnérabilité (CVE-2018-8475) d’exécution de code à distance divulguée publiquement. Elle peut apparaître sous la forme d’un fichier image compromis. En outre une vulnérabilité (CVE-2018-8457) dans le moteur de script.

Correctifs pour les postes de travail

Les patches destinés aux navigateurs et au moteur de script doivent être déployés en priorité sur tous les systèmes bureautiques qui utilisent un navigateur pour accéder à la messagerie et à Internet. La visionneuse PDF, le système d’analyse des images de Windows, l’infrastructure .Net et la bibliothèque de polices Windows bénéficient aussi de patches pour des vulnérabilités basées sur l’interaction de l’utilisateur avec un site ou un fichier malveillant. Deux de ces vulnérabilités étant divulguées publiquement, il est important de définir les priorités pour le déploiement des correctifs sur les postes de travail Windows.

Attaque Escape dans l’hyperviseur Hyper-V

Deux vulnérabilités avec exécution de code à distance (RCE) sont corrigées dans l’Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur le système hôte. Microsoft signale que l’exploitation de cette vulnérabilité est moins probable, mais ces patches restent tout de même une priorité pour les systèmes Hyper-V.

FragmentSmack

Même si cette vulnérabilité n’a pas été corrigée, Microsoft a publié des recommandations pour la vulnérabilité FragmentSmack qui est un déni de service contre la pile IP.

Vulnérabilité 0-Day ALPC

La menace 0-Day mentionnée hier dans le billet de blog a été corrigée dans la publication de ce mois-ci. Cette vulnérabilité entraînait une élévation de privilèges locaux, des attaques actives ont été lancées à l’aveugle en s’appuyant sur cette vulnérabilité.

Adobe

Adobe publie des correctifs pour Flash et Coldfusion. Tandis qu’Adobe classe la CVE-2018-15967 comme une élévation de privilèges « importante » contre Flash, Microsoft indique cette vulnérabilité comme critique, elle est identifiée comme exécution de code à distance (RCE). Concernant les patches Coldfusion, 9 vulnérabilités CVE sont traitées dont 6 classées critiques. Fin août, Adobe a également publié des patches en urgence pour Adobe Photoshop CC et Creative Cloud. Deux vulnérabilités CVE dans Photoshop sont classées critiques et une vulnérabilité dans Creative Cloud est classée comme importante. (Par Jimmy Graham dans The Laws of Vulnerabilities pour DataSecurityBreach.fr)

Argent, Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Securite informatique

Menace : les documents Office peuvent être dangereux

Nous utilisons quasiment tous des documents Microsoft Office. Qu’il s’agisse de documents de travail, de reçus électroniques ou du bail d’un nouvel appartement, les documents Office sont utiles à chacun d’entre nous et c’est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d’un e-mail. Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d’une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système.

Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d’attaque et d’infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d’autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d’infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d’exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s’exécuter sur le système dès l’ouverture du document, sans aucune intervention de l’utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l’utilisateur n’a pas activé les macros, un message apparaît pour lui demander s’il souhaite le faire. Il s’agit de l’un des divers mécanismes de sécurité mis en place par Microsoft afin d’atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d’ouvrir ces fichiers et d’activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l’image de Sofacy.

Comme l’illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d’ingénierie sociale, persuadant l’utilisateur d’activer le contenu afin de pouvoir consulter l’intégralité du document. Dans l’exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l’utilisateur n’active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l’intérieur du document Office. Un exemple de ce vecteur d’attaque est la faille Zero Day CVE-2018-4878dans Adobe Flash Player, exploitée par l’incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d’exécuter du code shell intégré.

Editeur d’équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d’insérer dans des documents des équations mathématiques qui seront interprétées par l’Editeur d’équations Microsoft, un outil ayant pour vocation de faciliter leur écriture :

Comme dans notre exemple précédent, des vulnérabilités dans l’éditeur d’équations s’exploitent par l’intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d’autres, telles que CVE-2018-0802. Toutes deux touchent l’éditeur d’équations, ce qui permet d’amener l’utilisateur à ouvrir un document Office pour l’exécution de code à distance. Des vulnérabilités similaires dans l’Editeur d’équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, identifiées par les chercheurs de l’Unité 42.

Il est à noter que, l’Editeur d’équations Microsoft s’exécutant sous la forme d’un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes pour les documents Office. Ils font référence à d’autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

Un objet OLE2 (lien) s’incorpore dans un document Microsoft Word. Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Winword.exe recherche alors dans le handler le type « application/hta » via un objet COM, ce qui entraîne le chargement et l’exécution du script malveillant par l’application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l’exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu’Internet Explorer.

CVE-2018-8174

L’exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d’attaques d’exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon se place dans une « sandbox » (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d’autres opérations) à l’instar de tout autre code exécuté à partir d’Internet Explorer. Cette faille peut servir à en exploiter d’autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l’exécution de code arbitraire dans le cadre de l’application Word (winword.exe) et la prise de contrôle du système.

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d’une dizaine d’années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s’expliquer par la difficulté croissante d’exploiter les vulnérabilités des navigateurs, en raison du renforcement de leur protection par leurs développeurs. Quoi qu’il en soit, il est important pour les entreprises de savoir comment se défendre.

Chiffrement, cryptage, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

OpenSSH faillible depuis 20 ans ?

2 commentaires

Toutes les versions d’OpenSSH, publiées au cours des 20 dernières années, sont soumises à une vulnérabilité dangereuse. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables.

Les chercheurs en sécurité de la société Qualys ont remarqué une vulnérabilité dans OpenSSH. La faille permettrait à un pirate de deviner les connexions enregistrées sur les serveurs OpenSSH. Une action possible à distance.

Le problème (CVE-2018-15473) touche toutes les versions du client OpenSSH publiées au cours des 20 dernières années. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables – des serveurs cloud aux équipements IoT -. La correction du problème risque de prendre du temps. Le correctif correspondant est cependant disponible.

Mode d’attaque

Pour attaquer avec succès, un pirate qui tente de s’authentifier sur un serveur vulnérable, va communiquer une demande d’authentification spécialement conçue. Le serveur peut répondre à la requête de deux manières différentes: la connexion n’existe pas, le serveur répondra par un message d’erreur. Si un nom d’utilisateur existe, la connexion quitte sans réponse. C’est ce dernier comportement qui permet à un malveillant de deviner les connexions valides enregistrées sur le serveur SSH. Il n’a plus qu’à sortir le dictionnaire de mots de passe.

Correctif

La vulnérabilité corrigée avec la sortie de versions stables d’OpenSSH. Les experts publient un code PoC pour vérifier la présence de vulnérabilités sur les serveurs (ici et ). Les chercheurs ont notamment présenté des instructions détaillées sur la manière de tester la présence d’un problème sur les serveurs.

backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Malware Zacinlo : outil pour fraude publicitaire

2 commentaires

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .