Archives par mot-clé : ibm

backdoor, Cybersécurité, Mise à jour

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Un groupe de chercheurs a développé une nouvelle attaque appelée GhostRace capable de provoquer des fuites de données sur les processeurs modernes de chez Intel, AMD, ARM et IBM.

Les experts d’IBM et de l’Université libre d’Amsterdam décrivent GhostRace (CVE-2024-2193) comme une condition de concurrence spéculative (SRC). Cette attaque vous permet d’extraire de la mémoire des informations potentiellement sensibles, telles que des mots de passe et des clés de chiffrement. Cependant, pour mener à bien l’attaque, un accès physique ou privilégié à la machine cible sera nécessaire, ce qui signifie qu’exploiter ce problème en pratique est une tâche très difficile.

Le rapport d’expert indique qu’une condition de concurrence critique se produit lorsque plusieurs threads tentent simultanément d’accéder à une ressource partagée, ce qui peut conduire à des vulnérabilités pouvant être exploitées de diverses manières, notamment l’exécution de code arbitraire, le contournement de sécurité et l’extraction de données.

Pour éviter que de telles situations ne se produisent, les systèmes d’exploitation modernes utilisent des primitives de synchronisation, mais l’analyse des chercheurs a montré que les conditions de concurrence peuvent être combinées avec une exécution particuliére.

« Notre principale conclusion est que toutes les primitives de synchronisation courantes implémentées à l’aide de branches conditionnelles peuvent être contournées microarchitecturalement sur des chemins spéculatifs à l’aide de l’ attaque Spectre v1 (CVE-2017-5753), provoquant une condition de concurrence spéculative dans toutes les zones critiques sans race (SRC). ce qui permettra aux attaquants d’extraire des informations du logiciel cible« , ont expliqué les chercheurs dans un article de blog .

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Afin de mener une attaque et de « gagner » la course, l’exécution du processus victime doit être interrompue au bon moment et maintenue afin que l’attaquant puisse effectuer ce que les chercheurs appellent un SCUAF (Speculative Concurrent Use-After-Free). ) attaque.

Pour cela, les scientifiques ont utilisé une nouvelle technique d’attaque appelée Inter-Process Interrupt (IPI) Storming, qui consiste à faire déborder le cœur du processeur du processus cible. En conséquence, ils ont démontré une attaque SCUAF sur le noyau Linux, qui a entraîné une fuite d’informations de la mémoire du noyau à une vitesse de 12 kilo-octets par seconde.

Bien que l’étude se soit concentrée sur les architectures x86 et Linux, les experts ont déclaré que les produits d’autres fabricants, ainsi que les logiciels autres que Linux, étaient sensibles à l’attaque.

« En général, tout logiciel est vulnérable au SRC, par exemple un système d’exploitation, un hyperviseur, etc., qui implémente des primitives de synchronisation via des branches conditionnelles sans aucune instruction de sérialisation et s’exécute sur n’importe quelle microarchitecture (par exemple, x86, ARM, RISC). -V, etc.), ce qui permet d’exécuter des branches conditionnelles de manière spéculative« , expliquent les chercheurs.

Les ingénieurs d’Intel, AMD, Arm et IBM ont été informés du problème GhostRace fin 2023 et ont, à leur tour, signalé la vulnérabilité aux fabricants de systèmes d’exploitation et d’hyperviseurs.

AMD a publié cette semaine un avis informant ses clients que les conseils précédents sur la protection contre les attaques Spectre devraient également aider à prévenir les attaques GhostRace.

Les développeurs de l’ hyperviseur Xen ont également émis un avertissement correspondant et développé un mécanisme de protection. Bien qu’ils aient confirmé que techniquement toutes les versions de Xen sont affectées par le problème GhostRace, le projet n’utilise pas de gadgets vulnérables à GhostRace, et l’équipe de sécurité de Xen ne pense pas qu’il y ait un besoin urgent de prendre des mesures, donc les mesures de protection sont désactivés par défaut.

Les développeurs Linux ont implémenté une fonctionnalité de limitation de débit IPI qui devrait protéger contre le problème associé IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), mais n’ont pas encore pris de mesures supplémentaires en raison de problèmes de performances potentiels.

En plus de leur article de blog et de leur livre blanc, les chercheurs ont déjà publié un exploit PoC pour GhostRace, des scripts conçus pour analyser le noyau Linux à la recherche de gadgets SCUAF et une liste de gadgets problématiques déjà identifiés. (pdf)

backdoor, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Du matériel IBM infiltré par un code malveillant dès l’usine

Un outil pirate découvert dans du materiel IBM destiné à certains serveurs du géant de l’informatique. Une fois branchée, elle télécharge un logiciel d’espionnage.

Ambiance espionnage numérique dans les bureaux d’IBM. Le géant de l’informatique vient d’alerter ses clients que des clés USB fournies avec les systèmes IBM Storwize V3500, V3700 et V5000 Gen 1 contiennent un fichier qui a été infecté par un code malveillant. Ni les systèmes de stockage IBM Storwize, ni les données stockées sur ces systèmes ne sont infectés par ce code malveillant. En attendant, dès qu’elle est connectée cette clé USB télécharge un cheval de Troie, un logiciel d’espionnage.

Lorsque l’outil d’initialisation est lancé depuis le lecteur flash USB, ce dropper (logiciel qui va télécharger un autre programme, NDR) se reproduit dans un dossier temporaire sur le disque dur du bureau ou de l’ordinateur portable en fonctionnement normal. Avec cette étape, le fichier malveillant est copié avec l’outil d’initialisation vers le dossier temporaire suivant:

Sur les systèmes Windows:% TMP% \ initTool
Sur les systèmes Linux et Mac: / tmp / initTool

IBM propose de contrer le code malveillant en détruisant « le lecteur flash USB afin qu’il ne puisse pas être réutilisé. » ou en réinstallant les utilitaires contenu sur ce dernier. Les éditeurs d’antivirus ont baptisé le code pirate sous les noms de Pondre, Torjan Dropper, Windex.

IBM, Logiciels

Trusteer Apex, le cerbere d’IBM

IBM s’attaque aux programmes malveillants avancés grâce à un logiciel de protection étendu aux postes de travail.

IBM lance un nouveau logiciel de sécurité qui permet de bloquer les menaces directement à l’endroit le plus fragile – les postes de travail, ordinateurs portables et de bureau sont des cibles vulnérables aux programmes malveillants. Trusteer Apex est un élément clé du système de protection contre les menaces (Threat Protection System) annoncé ce mois-ci par IBM. Le logiciel Trusteer Apex associe les renseignements fournis par la sécurité intelligente avec l’analyse comportementale afin d’aller au delà des anti-virus et pare-feux traditionnels. Il bloque les attaques et rompt la chaîne des processus d’exfiltration.

Les menaces avancées s’attaquent aux entreprises à un rythme s’accélérant et génèrent des coûts de plus en plus élevés. Selon l’étude de l’Institut Ponemon commandée par IBM Trusteer concernant les menaces persistantes avancées, une violation de données causée par ce type de menaces représente 9,4 millions de dollars en valeur intrinsèque pour la réputation d’une marque. La même étude indique que les attaques ciblées sont la plus grande menace et seulement 31% des répondants pensent avoir les ressources suffisantes pour les prévenir, les détecter et les contenir. Les entreprises sont confrontées à une multitude de produits qui ne fournissent pas une protection complète et posent des problèmes d’exploitabilité. Les applications Java sont particulièrement visées et comportent un risque élevé car désormais elles sont partie intégrante de l’environnement de l’entreprise.

Le logiciel de protection des postes de travail, Trusteer Apex, bloque les cybercriminels tentant d’exploiter les vulnérabilités des terminaux informatiques pour exfiltrer des données. C’est un outil d’analyse automatique des menaces, plus facile à déployer et à exploiter permettant une plus grande efficience des équipes de sécurité informatique.  Le nouveau logiciel Trusteer Apex d’IBM bloque et éteint les attaques sur les postes de travail. Les principales fonctionnalités de ce nouveau logiciel sont les suivantes :

Utilisation de défenses multi-couches
Ces défenses utilisent différentes méthodes pour briser la chaîne d’attaques. IBM a identifié les goulots d’étranglement stratégiques sur lesquels les cybercriminels focalisent leur attention, contrôlent le poste de travail de l’utilisateur et l’infectent. Par exemple, Java est la cible de la moitié des attaques de vulnérabilité. Selon le rapport du second trimestre 2014 IBM X-Force, 96% des utilisations de Java sont applicatives, permettant ainsi aux applications Java malveillantes de passer inaperçues. Apex stoppe les attaques intégrées dans le code Java et les verrouille afin d’empêcher les dommages pouvant être causés à l’entreprise. Trusteer Apex prévient l’exécution des applications Java malveillantes en évaluant la confiance en l’application, le risque lié à l’activité et interdit les applications non autorisées.

Défense contre le vol d’identifiants de l’entreprise
En dépit d’une meilleure information de l’utilisateur final, il y a encore des cas où les employés ouvrent des emails qui semblent être inoffensifs, mais qui sont en fait des attaques de phishing non identifiées comme spams. Si un e-mail de phishing est ouvert par mégarde, Trusteer Apex peut identifier les logiciels malveillants et cesser leur exécution sur le poste de travail.

Trusteer Apex empêche également les employés de réutiliser leurs identifiants d’entreprise sur les sites web qui ne respectent pas la politique de l’entreprise. Par exemple, si un nouvel employé met en place un e-mail et un mot de passe pour accéder au site de l’entreprise, et qu’il tente d’utiliser le même mot de passe sur Facebook ou un autre réseau social, Trusteer Apex l’en empêche.
 
Réduire la charge des équipes de sécurité informatique
Les entreprises peuvent se décharger de l’analyse de l’activité potentiellement suspecte via le service d’analyse IBM/Trusteer, ce qui peut les aider à identifier les activités suspectes et formuler des recommandations en matière de protection. Le service rassemble les menaces spécifiques pour une entreprise et les aide à prendre des contre-mesures.

IBM s’appuie également sur le flux d’intelligence dynamique généré par plus de 100 millions de terminaux protégés – soit une base de données qui contient plus de 70 000 vulnérabilités classifiées. Cette recherche des menaces et cette analyse intelligente se traduisent par des mises à jour de sécurité qui sont automatiquement envoyées aux terminaux protégés.

«Grâce à des recherches approfondies, IBM a identifié les étapes spécifiques de la chaîne d’attaque où les cyber-criminels ont plusieurs options pour exécuter leur contenu malveillant. », déclare Yaron Dycian, Vice-président Products and Services à Trusteer, une société IBM. « Les solutions actuelles du marché offrent des protections faibles contre les vecteurs d’attaques spécifiques et créent une importante charge de travail pour les équipes de sécurité informatique déjà très chargées, ce qui rend difficile de parer aux menaces. Notre technologie de goulot d’étranglement stratégique offre une nouvelle approche pour briser le cycle de vie de la menace et prévenir les cyber-attaques ».

Par exemple, un acteur majeur de la santé publique a récemment déployé Trusteer Apex sur plus de 20.000 terminaux pour protéger les données sensibles des patients. Apex a détecté plus de 100 infections à haut risque, en dépit de l’existence d’une solution anti- virus et d’un pare-feu de nouvelle génération initialement mis en place au sein de l’entreprise. Apex a réduit ces infections avec un impact opérationnel minimal, et a permis à l’équipe de sécurité informatique d’analyser les événements et de trouver une solution.

L’approche multi-couches d’IBM avec Trusteer Apex permet également :
· D’interrompre la chaîne d’exploitation malveillante – Apex surveille les principales méthodes utilisées par les cybercriminels pour installer des logiciels malveillants et les bloque.
· De bloquer la communication malveillante – Pour compromettre les terminaux informatiques, prendre le contrôle et exfiltrer les données, les logiciels malveillants de pointe doivent communiquer avec le cybercriminel, Trusteer Apex empêche les canaux de communication issus d’un terminal en dehors du réseau de l’entreprise.
· D’offrir une nouvelle intégration avec IBM QRadar et IBM Endpoint Manager, permettant ainsi une gestion et une sécurité accrue du poste de travail

Entreprise, Fuite de données, Propriété Industrielle

Augmentation des fuites de données

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des  attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France. Quelques chiffres qui sont, pour IBM, un bon moyen d’annoncer l’arrivée d’IBM Threat Protection System et de Critical Data Protection Program. Des solutions qui représentent deux années d’investissements significatifs en matière de croissance organique et d’acquisitions d’entreprises telles que Q1 Labs, Trusteer, Guardium, Ounce Labs, Watchfire et Fiberlink/MaaS360. Depuis la mise en place, fin 2011, d’un business dédié à la cyber-sécurité, IBM s’est développé pour devenir l’un des grands acteurs en matière de sécurité pour l’entreprise.

IBM Threat Protection System peut prévenir les attaques – avant qu’elles n’arrivent
Le nouveau système de protection Threat Protection System contre les menaces d’IBM exploite les renseignements liés à la sécurité afin d’aller au-delà des défenses et des pare-feu traditionnels, ceci pour perturber les attaques à travers l’ensemble de la chaîne d’attaque, de l’infiltration à l’exfiltration. IBM Threat Protection System comprend une architecture de logiciels d’analyse et d’enquête (forensics) de bout en bout. Ces derniers aident les organismes à prévenir en continu, détecter et répondre aux cyber attaques complexes, en cours, et, dans certains cas, à éliminer la menace avant que le dommage ne se soit produit.

– Pour la prévention, IBM annonce une nouvelle solution, Trusteer Apex, destinée à bloquer les logiciels malveillants, d’importantes améliorations pour IBM Network Protection afin de mettre en quarantaine les attaques, ainsi que de nouvelles intégrations avec les partenaires clés bénéficiant des capacités du réseau des « bacs à sable » testant les logiciels/programmes douteux (sandbox).

– Pour la détection, IBM a amélioré sa plateforme QRadar Security Intelligence en la dotant de nouvelles fonctionnalités – permettant aux entreprises de détecter les attaques à grande échelle et de les bloquer en un clic.

– Pour répondre aux attaques, IBM a introduit IBM sécurité QRadar Incident Forensics. IBM continue également à étendre ses services d’intervention d’urgence à l’échelle mondiale.

Les clients qui ont testé IBM Threat Protection System ont vu des résultats rapides. Par exemple, un fournisseur de soins de santé avec des milliers de terminaux a immédiatement détecté la présence de dizaines de cas de logiciels malveillants, malgré l’utilisation habituelle de nombreux outils de sécurité traditionnels. Ce code malveillant peut être utilisé pour contrôler à distance les terminaux ou exfiltrer des données, mais il a été immédiatement désactivé. De même, une grande banque européenne a récemment essayé ce système et a été en mesure de désactiver les logiciels malveillants détectés dans l’entreprise. Le système de protection contre les menaces IBM dépend de 11 centres d’opérations de sécurité (SOC) qui peuvent surveiller le système une fois ce dernier déployé chez les clients. « Les menaces persistantes avancées ont fondamentalement modifié la manière dont les entreprises doivent aborder la question de la sécurité des données. » Déclare Brendan Hanigan, Directeur Général de IBM Security Systems. « Aujourd’hui, se défendre contre les cyber attaques nécessite plus d’une approche basée sur la signature ou le périmètre. Des capacités d’analyse approfondies et les forensics sont indispensables et doivent inclure la prévention au niveau des terminaux (les terminaux fixes, mobiles utilisés par les employés, les partenaires et mêmes les clients), la protection du périmètre et la capacité à se prémunir contre les attaques avant qu’elles ne causent des dégâts ».

Les « Joyaux de la Couronne » d’une entreprise et la marque
Le nouveau Critical Data Protection Program permet de protéger les données critiques d’une organisation, ou notamment « Joyaux de la Couronne ». La richesse d’une entreprise est souvent générée par moins de 2% de ses données, ce qui a un impact majeur sur la réputation de la marque, sa valeur de marché et sa croissance.  « Les inquiétudes sur la capacité à protéger les données critiques contre les cyber attaques sont un préoccupation du Board », a déclaré Kris Lovejoy, Directeur Général de IBM Security Systems. « Les cyber-attaques et la perte de données jouent un rôle sur la réputation de marque, peuvent réduire sa valeur en actions et confronter une entreprise à des litiges. Les nouveaux logiciels et services d’IBM sont conçus pour fournir à ces responsables une solution unique qui leur permet de focaliser leur attention sur les besoins de leurs clients et les revenus de l’entreprise au jour le jour ». Les organisations font de plus en plus appel à IBM pour les aider à construire une approche véritablement globale et intelligente pour identifier rapidement et bloquer les menaces avancées avant qu’elles ne fassent des dégâts. Récemment, IBM a commencé à fournir des services de soutien hotline par des experts et un déchiffrage des vulnérabilités à ses assurés CyberEdge d’AIG.

Ces données critiques sont à forte valeur ajoutée comme les plans d’acquisition et de cession, les délibérations du Conseil exécutif et de la propriété intellectuelle. Ces données critiques correspondent à 70 % de la valeur d’une société cotée en bourse et s’avèrent extrêmement précieuses pour les forces hostiles – que sont les initiés de la société ou les attaquants sophistiqués. Malgré l’importance et la valeur des données critiques, de nombreuses organisations ne sont pas conscientes de ce qu’elles représentent, d’où elles se trouvent, de qui y a accès, ou de comment elles sont protégées, ce qui les rend plus difficiles à surveiller et à protéger. En fait, la découverte de la perte de données peut prendre des jours ou plus dans plus de 95 % des cas, et il faut des semaines ou plus pour les contrôler dans plus de 90% des cas, un décalage qui peut avoir un impact catastrophique pour une entreprise. Le nouveau programme de protection des données critiques d’IBM propose une approche itérative multi-étapes : Définir, Découvrir, Comparer, Sécuriser et Surveiller. Ceci pour un cycle de vie complet en matière de sécurité des données pour protéger la rentabilité, la position concurrentielle et la réputation.