SecurityInsider
Le blog des experts sécurité Wavestone

Retours sur #MacronLeaks


Peu avant le second tour des élections présidentielles française, des données de campagnes du parti « En Marche » ont été publiées. D’où vient l’attaque ? Des faux documents ont-ils réellement été publiés par l’équipe du candidat en amont ?
Voici quelques éléments qui vous permettrons de vous y retrouver !

La publication

Le vendredi 5 mai 2017, juste avant le silence médiatique imposé le code électoral, un message publié sur le site 4chan (« /pol/ » forum) fait état de plusieurs archives concernant des documents extraits des boites mails de différents cadres du mouvement « En Marche ». Ainsi, de nombreux liens permettant de les télécharger  sont mis à disposition via le site de partage de fichiers Pastebin sous le nom « EMLEAKS ». Alors que depuis quelques jours différents liens faisant apparaitre des fichiers relatifs au mouvement « En Marche » sur le Forum « /pol/ » c’est le journaliste et militant d’extrême droite Jack POSOBIEC qui met en lumière les différents documents via Twitter et le hashtag « #MacronLeaks » :


Tweet du militant d’extrême droite Jack Posobiec faisant apparaitre le hashtag « MacronLeaks »

Le message est ensuite relayé par plusieurs comptes « robots » ainsi que par de nombreux militants avant d’être de nouveau mis en valeur via une publication – cette fois encore sur Twitter – émise par le compte officiel du site d’information WikiLeaks :


Tweet sur compte officiel du journal Wikileaks faisant état des archives de l’équipe d’En Marche

Suite à ce tweet, le hashtag « #MacronLeaks » sera ensuite repris par de nombreux internautes et notamment par les membres et dirigeant du Front National.

Le contenu des données

Ces révélations, effectuées juste avant la période de réserve font état de plus de 15Go de données volées (70 663 mails et documents) concernant la campagne d’Emmanuel Macron. Celles-ci concernent différents membres proches du président actuel (Emmanuel Macron) ; les personnalités politiques Anne-Christine Lang et Alain Tourret, le trésorier Cédric O, la chargé de communication Quentin Lafay, ainsi que le conseiller politique Pierre Person.
À la suite de cette publication de nombreux faux documents ont ensuite été publiés, comme le montre la capture ci-dessous dénonçant un faux mail :

Tweet faisant apparaitre un faux-mail  
(non extrait des documents disponibles dans les archives publiées)

L’analyse des documents (mails, factures…) n’a pour l’instant pas permis d’identifier de données compromettantes pour l’actuel Président de la République. Ces données ont cependant été utilisées afin de comprendre les rouages du financement de la campagne « En Marche ».  

Par ailleurs, selon Mounir Mahjoubi, directeur de la campagne numérique du parti « En Marche » et actuel Secrétaire d’État chargé du Numérique, les équipes de M. Macron auraient procédé en amont à la diffusion de faux documents, emails, etc. L’objectif de cette manœuvre est alors de créer un « flou » autour du candidat, afin de ralentir d’éventuels pirates dans leur travail de recherche de données compromettantes.

La source de l’attaque

Si ces données n’apportent pas de révélations concernant l’actuel Président de la République, la question de la sécurité informatique se pose réellement. En effet, alors que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) était directement responsable de la bonne tenue des élections présidentielles, cinq boites mails ont tout de même été piratées.
Ce piratage faisant directement écho avec les attaques informatiques réalisées durant la campagne présidentielle Américaine, la piste Russe a rapidement été évoquée. De plus, de nombreuses métadonnées des documents piratés font apparaitre des données des mots cyrilliques comme le montrent les tweets suivants :


Tweet du chercheur en sécurité de l'information Matthieu SUICHE décrivant la présence de métadonnées en cyrillique dans les documents piratés


Tweet décrivant la présente du nom d’un employé d’une société Russe dans les documents piratés

En effet, la société Evrika est une entreprise Russe basée à Saint Petersburg est connue pour sa collaboration avec le gouvernement Russe ainsi qu’avec le FSB (Service de Sécurité Fédéral Russe). Ainsi certains experts accusent le groupe APT28 d’avoir édité les documents et de les avoir ensuite diffusés via les médias sociaux, comme pour l’action menée contre le parti de Clinton pendant l'élection présidentielle de 2016.
Il est cependant à noter qu’il s’agit à l’heure actuelle de suppositions. En effet, ce type de données reste relativement simple à modifier / supprimer et elles pourraient tout à fait avoir été ajoutées / falsifiées par un autre groupe de hackers en vue de brouiller les pistes vers le réel attaquant.

Une enquête à venir

Alors que le président sortant François HOLLANDE avait annoncé que « Rien ne sera laissé sans réponse », les autorités sont bien déterminées à remonter la piste vers l’origine de l’attaque. Alors que M. Macron avait saisi la CNCCEP (Commission Nationale de Contrôle de la Campagne), le parquet de Paris a ouvert une enquête pour atteinte au secret de correspondance ; le dossier sera traité par la BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information).

Mahdi BRAIK

Sources



CERT-W : retour sur l'actualité de la semaine du 15 au 21 mai 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, l'analyse des #MacronLeaks par Mahdi BRAIK.

Veille cybercriminalité

WannaCrypt n’est que le premier

WannaCrypt, la rançongiciel ayant compromis plusieurs centaines de milliers de machines, n’est que le premier à tirer parti des vulnérabilités rendues publique par le groupe ShadowBrokers. Actuellement, à minima deux autres logiciels malveillants exploitent la même faille de sécurité :

  • Adylkuzz, un logiciel malveillant qui exploite les ressources matérielles des machines infectées pour « miner » une crypto-monnaie nommée Monero.
  • UIWIX, un rançongiciel qui ne se propage pas de lui-même.
  • EternalRocks, qui embarquerait de nombreux exploits des ShadowBrokers en plus d’ETERNALBLUE

Le site Zomato piraté

Le site de recherche de restaurants Zomato a été victime d’une attaque qui a permis aux attaquants de voler notamment 17 millions de comptes, avec un mot de passe stocké en MD5.


YahooBleed

En envoyant un email contenant une pièce-jointe spécialement créée, un chercheur en sécurité a réussi à prouver qu’il pouvait obtenir partiellement des images appartenant à d’autres emails, y compris dans d’autres boîtes aux lettres.
La vulnérabilité réside dans la bibliothèque de manipulation d’image ImageMagick. En envoyant une image au format RLE spécialement formatée, l’attaquant récupère alors des données provenant de mémoire non-initialisée, et qui pourrait permettre de récupérer le contenu d’autres images étant traitées par les serveurs Yahoo.


Veille Outillage

Intégration des ACLs dans BloodHound

BloodHound est un logiciel permettant permettant d’identifier des chemins d’attaque dans un environnement Active Directory, inspiré des travaux d’Emmanuel Gras et Lucas Bouillot d’Alsid.
La dernière version intègre certaines vérifications sur les ACLs et permet ainsi d’identifier de nouveau chemins permettant la compromission de l’Active Directory.

Sources :

Déchiffrement des fichiers WannaCrypt

En cas d’infection d’une machine Windows XP ou Windows 7 par le rançongiciel WannaCrypt, il est parfois possible de récupérer la clé privée utilisée pour chiffrer les clés de chiffrement de fichiers, et ainsi de récupérer ses fichiers.

Sources : 

Désactiver la journalisation d’événements Windows

Lors d’un test d’intrusion, il peut être utilise de désactiver la journalisation d’événements de la cible afin d’éviter que les équipes du SOC ne détectent l’intrusion. Le projet Invoke-Phantom permet de supprimer tous les fils d’exécution du processus de journalisation Windows. Ainsi, le service apparaît actif mais les éléments ne sont pas journalisés.

Sources :

Indicateurs de la semaine

Le leak de la semaine – Travis CI

Une vulnérabilité a été identifiée dans la manière dont Travis CI, une solution hébergée d’intégration continue, gère la journalisation des commandes Git.
Certains tokens d’authentification OAuth pour Github pouvait se retrouver journalisés dans des logs accessibles publiquement.
Ces informations sont désormais remplacées par la chaîne de caractères « [secure ] » dans les logs.
Travis CI et Github ont collaboré pour révoquer les tokens d’authentification présents dans les logs.

Sources : 


L’exploit de la semaine – CVE-2017-0148

L’exploit de la semaine est évidemment celui correspondant au bulletin MS17-010, aussi connu sous le nom de code ETERNALBLUE. Faisant partie des exploits publiés par les ShadowBrokers il permet l’exécution de code à distance via le protocole SMB v1.
Originellement fonctionnel uniquement sur Windows 7 et Windows Server 2008, il vient d’être intégré au framework Metasploit, et une version ciblant Windows 8 et Windows Server 2012 vient également d’être publiée.

Sources : 


L’attaque de la semaine – Google Docs

Difficile cette semaine de ne pas mentionner le cas du rançongiciel WCry.
Très classique dans son fonctionnement, il se distingue par sa capacité à se répliquer via l’exploitation d’une faille dans le protocole SMB (MS17-010). Les entreprises et institutions publiques sont fortement touchées, de par le fonctionnement de type « vers » : un poste infecté tentera d’infecter tous les postes vulnérables du réseau.

Sources : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

Arnaud SOULLIE

WCry – When the NSA toolset leads up to global shutdown of business


You have undoubtedly seen across the media this weekend an attack taking place on an extremely large scale last Friday lunchtime. Renault has closed some industrial sites, FedEx has shut down its servers, the UK National Health Service has made the front page and even Telefonica went down. Overall, around 100 countries fell victim to the attack!
CERT-W has been on the case since the early hours of the attack and several of us have worked on it over the weekend.

This attack aims to distribute the "Wannacry" ransomware (aka wcry, wannacrypt, etc. [1]).

Why has the ransomware gained so much exposure?

It is not so much the ransomware itself which is at stake here; it is more or less a classic ransomware.

Rather, it is the diffusion and propagation method which is the point of focus, leveraging ETERNALBLUE, the MS17-010 exploit [2] developed by the NSA and which has already been made public by The Shadow Brokers several months ago (the corresponding patch has been available for 2 months to date).

How can I protect myself?

The following steps help to limit the propagation of the attack:
  • Update Windows systems (as described earlier, the patch for MS17-010 has been available for several weeks now [2]). Several companies have realised afterwards that their WSUS infrastructure was not entirely operational, explaining why this patch was not rolled-out.
  • Update anti-viral signatures (all anti-virus vendors have reacted and published a signature to detect Wannacry)
  • Block incoming SMB flows (or flows that can propagate through various VPNs --> we have seen this occur for certain victims).
  • Ensure malware distribution URLs [3] ARE NOT blocked: indeed, security researchers have been able to quickly deploy sinkholes on these URLs and embark a killswitch, preventing infection of endpoints if, and only if, these URLs are accessible [4].
    • Because the malware does not cover the management of web proxies, a DNS entry must be added locally (internal DNS servers). This entry must point towards the IP address of an internal application (business application, intranet, etc.) in order to render the killswitch functional.
  • If the network is segmented, use segmentation cut off points to prevent a general propagation (particularly via IPS devices). Even if the malware is only able to propagate through the network layer in which it is connected for now, this creates an additional protection layer. Several victims have witnessed an impact to their workstations thanks to simple network segmentation.
  • Finally, prepare backups!

If you find files with the “.wncry” extension then your endpoint is infected and the ransomware is already being executed.
Alert the CERT-W (cert@wavestone.com) and the Wavestone security team (#Security).

Do not hesitate to forward this article to your clients.


[1] In its first communication, the ANSSI also spoke of Jam, another "simple" ransomware that has been distributed in the last few days by different exploit kits (Necurs in particular).
[3] Do NOT block: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com and ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com

WCry – quand les outils de la NSA forcent les entreprises au chômage technique


Vous avez certainement pu le voir dans les médias ce week-end, une attaque de très large ampleur s’est produite à partir de vendredi midi dernier : Renault ferme des sites industriels, FedEx coupe ses serveurs, le National Health Service des UK fait la une de la BBC, Téléfonica est down… bref, près de 100 pays en sont victimes !
Le CERT-W est sur le pont depuis les premières heures de l’attaque et plusieurs de nos analystes sont intervenus ce week-end.

Cette attaque vise à la distribution du ransomware « Wannacry » (a.k.a wcry, wannacrypt, etc. [1]).

Pourquoi tant de bruit autour d’un ransomware ?

Ce n’est pas tant le ransomware qui est intéressant d’étudier dans cette affaire : il s’agit ni plus ni moins d’un ransomware classique.
En revanche, c’est sa méthode de diffusion et de propagation qui est intéressante : elle s’appuie sur ETERNALBLUE, l’exploit de MS17-010 développé par la NSA et rendu publique par The Shadow Brokers il y a quelques mois déjà (le patch est disponible depuis 2 mois).

Comment se prémunir ?

Les pratiques suivantes permettent de bloquer la propagation :

  • Mettre à jour les systèmes Windows (comme dit précédemment, le patch pour MS17-010 est disponible depuis plusieurs semaines). Plusieurs entreprises se sont rendu compte après coup que leur infrastructure WSUS n’était pas entièrement fonctionnelle, expliquant notamment l’absence du patch en question. Vérifier le processus complet de mise à jour.
  • Mettre à jour les signatures anti-virales (tous les éditeurs d’antivirus ont à date réagi et publié une signature pour détecter Wannacry).
  • Interdire les flux SMB entrants sur le SI (ou pouvant se propager au travers des différents VPN --> nous avons pu voir le cas chez certaines victimes).
  • S’assurer que les URL de diffusion du malware [2] NE SONT PAS bloquées : en effet, des chercheurs en sécurité ont pu rapidement déployer des sinkholes sur ces URL et notamment embarquer un killswitch empêchant l’infection des postes si et seulement si ces URL sont joignables.
    • Le malware n’intégrant pas la gestion des proxies web, une entrée DNS doit être ajoutée localement (serveur internes). Cette entrée doit pointer vers l’adresse IP d’une application interne (application métier, intranet, etc.).
  • Si le réseau est segmenté, utiliser les points de coupure pour éviter une propagation généralisée (via les IPS en particulier). Même si à ce jour le malware n’est capable de se propager que dans la zone réseau dans laquelle il est connecté, cela reste une couche protection supplémentaire. Plusieurs victimes n’ont eu que leurs postes de travail impactés grâce à leur simple segmentation du réseau.
  • Enfin, préparer les sauvegardes !


Si vous découvrez des fichiers dont l’extension est en « .wncry », votre poste est alors infecté et le ransomware est déjà en cours d’exécution.
Prévenez votre équipe sécurité et n’hésitez pas à contacter le CERT-W (cert@wavestone.com) pour vous aider.

En cas d’infection, suivez les bonnes pratiques de réaction présentées ici : http://www.securityinsider-solucom.fr/2015/04/cert-solucom-retour-sur-lactualite-de_1.html

[1] Lors des premiers instants de l’attaque, plusieurs communications se sont confondues avec Jaff, un autre ransomware « simple » et également en cours de distribution par différents Exploit Kits (Necurs notamment).
[2] Ne pas bloquer : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com et ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com.

HITB2017 - Fault injection attacks on Secure Boot



Durant cette intervention Niek Timmers et Albert Spruyt de la société Riscure ont présenté les possibilités d’attaques par injection de fautes et leurs utilisations afin de contourner les mécanismes de secure boot. 


Présentation des attaques par injection de fautes

Les attaques par injections de fautes consistent à modifier l’état de la mémoire afin de provoquer un changement du chemin d’exécution vers un chemin souhaité. Au cours du fonctionnement d’un système informatique des fautes peuvent survenir de manière occasionnelle et non contrôlée ; ces fautes provoquent en général le bug des applications ou sont simplement invisibles pour l’utilisateur. Cependant, dans certains cas, l’injection d’une faute peut permettre à un attaquant de provoquer un comportement inattendu pouvant être exploité en sa faveur. Dans l’exemple si dessous, la fonction secure_boot n’est normalement (d’un point de vue logiciel) appelée que si le test d’intégrité (effectué via l’appel à la fonction check_integrity) a réussi :


Néanmoins, si un attaquant est en capacité de modifier la valeur de la variable « test » directement en mémoire, la fonction secure_boot sera exécutée et l’attaquant aura réussi à contourner les vérifications effectuées en amont.
Afin de permettre l’injection de fautes, différentes méthodes peuvent être utilisées et sont présentées dans la suite de l’article.

Avantage des attaques par injection de fautes

Les attaques sur le matériel possèdent de nombreux avantages sur les attaques logicielles, notamment :

  • L’absence de maturité dans ce domaine : alors que depuis de nombreuses années, les éditeurs sont sensibilisés aux dangers des attaques logicielles (débordement de tampon, injection SQL…) et prennent en compte ce type de vulnérabilités, peu d’attention est actuellement portée à la sécurité contre les attaques matérielles ; ainsi, les cibles sont en général moins bien protégées contre ce type d’attaques.
  • Aucune vulnérabilité logicielle n’est nécessaire : les attaques par injection de fautes ne nécessitent pas la présence de vulnérabilités liées au développement logiciel des solutions.

En revanche, ces attaques sont généralement plus complexes à mettre en œuvre pour les raisons suivantes :
  • Les attaques matérielles sont plus intrusives (que les attaques logicielles) : les attaques étant directement mises en place sur le socle matériel, elles sont naturellement plus intrusives que les attaques logicielles ; elles peuvent notamment nécessiter / provoquer l’altération / la destruction des composants.
  • Un accès physique à l’équipement ciblé est nécessaire : afin de pouvoir injecter des fautes sur le composant, il est en effet nécessaire de pouvoir le manipuler.
  • Des outils (matériels) peuvent être nécessaires : comme expliqué dans la section suivante, de nombreuses méthodes d’attaques requièrent l’utilisation de composants et outils dédiés à l’analyse matérielle et à l’injection de fautes.


Méthodes d’injection de fautes matérielles

Modification d’horloge

Ces attaques consistent en la modification de la fréquence de l’horloge permettant de définir la fréquence d’exécution des instructions du processeur. En effet, l’horloge permet de cadencer l’exécution des instructions ; à chaque réception du signal, le processeur exécute l’instruction qu’il reçoit. Cependant, si le processeur reçoit un nouveau signal sans avoir pu exécuter l’instruction précédente, il abandonne l’exécution courante et commence à exécuter l’instruction suivante. De cette manière, une augmentation temporaire de la fréquence d’horloge peut permettre le « saut » d’une instruction.

Modification de la tension

Cette méthode consiste à diminuer la tension appliquée au module de lecture / écriture (mémoire) afin de provoquer l’apparition d’une faute. En effet, afin de lire ou d’écrire une valeur en mémoire un niveau de tension minimum est requis par le module ; si la tension n’est pas suffisante l’action n’est pas réalisée :

Figure 3 : Exemple d’injection de faute via la diminution de la tension d’alimentation d’un composant

Ainsi, si un attaquant réussi à suffisamment diminuer la tension (au moment de la lecture d’une valeur souhaitée en mémoire) une valeur erronée sera renvoyée et le flot d’exécution normal pourrait être alors contourné.

Injections électromagnétiques

Cette méthode consiste à injecter des fautes via la production d’un champ électromagnétique à proximité des composants afin d’altérer les valeurs stockées ou transmises (registres, bus…) :
Figure 3 : Exemple d’installation visant à injecter des fautes via l’utilisation d’un champ électromagnétique

Injections au laser

Cette méthode consiste à injecter des fautes via l’utilisation d’un laser pointé sur le matériel. En effet, l’éclairage d’un laser a le même effet que plusieurs types de radiations et peuvent ainsi être utilisés afin de modifier directement l’état physique des composants (registres, mémoire…) :

Figure 3 : Utilisation d’un laser afin de provoquer des fautes matérielles

Injection de fautes en pratique

Où injecter les fautes ?

Les méthodes présentées précédemment permettent ainsi de provoquer des fautes matérielles. De façon générale, ces fautes peuvent être injectées :
  • Via les bus de communication ;
  • Directement dans les registres ;

Les fautes sur le matériel peuvent ensuite affecter le flot d’exécution ou la logique mise en place par le développeur. Le code assembleur de l’exemple donné en introduction pourrait être le suivant :


L’instruction « mov ecx, eax » s’écrit avec la séquence d’octets suivante :


Si le second bit de poids le plus faible est modifié la séquence devient :


Cette séquence correspond à l’instruction « mov ebx, eax », le flow d’exécution altéré est alors :


Si une faute est injectée et que l’instruction « mov ecx, eax » est modifiée par l’instruction « mov ebx, eax » la valeur de retour de la fonction check_integrity ne sera pas placée dans le registre ecx (qui contiendra alors une valeur dépendante des instructions exécutée en amont). Ainsi, la comparaison effectuée n’est plus dépendante du résultat de l’appel à la fonction check_integrity et la fonction secure_boot pourrait alors exécutée de façon malveillante (contournement du mécanisme de vérification d’intégrité).

Remarque : il est à noter que dans le cas si dessus, une modification de la fréquence de l’horloge au moment de l’exécution de l’instruction « jz loc_exit » pourrait permettre de sauter cette instruction et ainsi de provoquer l’appel à la fonction secure_boot.

Cas pratique - Mécanismes de secure boot

Le mécanisme de « secure boot » permet d’assurer l’intégrité et l’authenticité d’un système démarrant sur un équipement. Ainsi, l’utilisation de fonctions cryptographiques permettant d’assurer ces fonctions est nécessaire à la mise en place d’un « secure boot ». Les éléments constituant ainsi que les étapes de démarrage d’un système de type secure boot peuvent être schématisés de la façon suivante :

Figure 3 : Éléments et étapes de démarrage d’un système de secure boot

Différentes méthodes utilisées afin de contourner des mécanismes de type secure boot ont ensuite été présentées :

Erreurs lors de la comparaison des condensats cryptographiques

Le package « mbeb TLS » offre différentes routines cryptographiques afin de simplifier la tâche des développeurs sur plateforme ARM. Le code suivant est un extrait d’une fonction de vérification de condensat cryptographique (RSASSA-PKCS1-v1_5) :


Le code assembleur une fois décompilé est le suivant:

Figure 3 : Code assembleur de la fonction « mbedtls_rsa_rsassa_pkcs1_v15_verify »

L’analyse du code ci-dessus permet d’identifier rapidement différents registres dont une modification du contenu pourrait affecter le résultat de la vérification finale, notamment :
  • Registres R2 et R7 (offset 0x132DA) : La modification de R7 en amont ou celle de R2 suite à cette instruction peut permettre de changer le flow d’exécution via la modification de la longueur sur laquelle s’effectue la comparaison en mémoire.
  • Registres R1, R2 et R5 (offsets 0x132E0 & 0x132E2) : la modification de ces registres contenant les adresses des chaines à comparer peut permettre de contourner la vérification effectuée par la fonction memcmp (en particulier si un attaquant peut modifier l’instruction « mov R0, R5 » vers l’instruction « mov R0, R1 » car dans ce cas R1 et R2 pointeront vers la même adresse).
  • Registre R0 (offset 0x132E6) : la valeur présente dans R0 lors de cette instruction influe directement sur le saut effectué.

Exploitation des boucles infinies pour l’injection de fautes

Les boucles infinies peuvent parfois être utilisées afin d’éviter le démarrage des modules comme dans l’exemple ci-dessous :


Le code désassemblé est le suivant :

Figure 3 : Code assembleur de la fonction utilisant une boucle infinie

Suite à la comparaison « cmp R0, #9 », une instruction de branchement est exécutée afin d’entrer ou non dans la boucle infinie. L’analyse des adresses des instructions montre que le bloc relatif à la boucle infinie est placé juste avant (en termes d’adresses et de bloc d’exécution) le bloc exécutant la fonction de boot. Ainsi, l’injection d’une faute sur l’instruction de branchement à l’offset 0x854 peut permettre à un attaquant de continuer l’exécution et de démarrer sur une partition malveillante. Par ailleurs, aucune contrainte de temps n’est imposée à l’attaquant grâce à la présence de la boucle infinie.

Attaques combinées

Les attaques matérielles peuvent être combinées aux attaques logicielles afin d’augmenter les possibilités d’exploitation. Un attaquant peut notamment injecter des fautes afin de construire son propre exploit. En effet, le code suivant n’est pas vulnérable à des attaques de type débordement de tampon :


Le code assembleur est alors :


Si l’attaquant est en capacité d’injecter une faute et de modifier (pour une valeur supérieure) le contenu du registre R2, il est alors possible d’exploiter une vulnérabilité de type débordement de tampon (dans le tas) :



Conclusion

Les possibilités d’exploitation de ces attaques sont variées et peuvent notamment permettre de :
  • Contourner les mécanismes de type secure boot ;
  • Extraire les clés cryptographiques des équipements de type HSM (Hardware Security Module) ;
  • etc


De plus, peu de technologies résistent actuellement ; certains mécanismes peuvent cependant être utilisés afin de limiter la surface d’attaque ou de diminuer leur probabilité de réussite :
  • Mettre en place des mécanismes d’authentification de code : cette méthode permet de détecter les erreurs et la modification du firmware, il est à noter que ce mécanisme pourrait lui-même faire l’objet d’une attaque par injection de fautes.
  • Diminuer la surface de code : la diminution du nombre d’instructions exécutées permet de réduite la probabilité de réussite des attaques par injection de fautes via la limitation du temps et du nombre de possibilités d’exploitation.
  • Diminuer les privilèges des exécutables : cette pratique permet de limiter les conséquences de l’exploitation d’une faute via la diminution des privilèges d’exécution.

Bien que ce type d’attaques soit souvent efficace, il est cependant important de mitiger leur probabilité. En effet, leur mise en place nécessite souvent des compétences spécifiques, de nombreuses heures d’études et de tests ainsi que du matériel actuellement relativement onéreux. 

Mahdi BRAIK

Sources



CERT-W : retour sur l'actualité de la semaine du 8 au 12 mai 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, compte-rendu d'une conférence présentée à HITB 2017 sur les injections de fautes.

Veille cybercriminalité

HP supprime un keylogger sur plusieurs de ses modèles

Hewlett-Packard a émis une mise à jour de sécurité sur plusieurs des modèles d’ordinateurs portables, dont les Elitebook, ProBook et Zbook, afin de retirer un composant (MicTray64.exe) agissant comme keylogger au sein du driver audio Conexant HD. Ce composant enregistrait les frappes utilisateurs dans un fichier (C:\Users\Public\MicTray.log) présent sur le poste, exposant des informations sensibles (mots de passe, numéros de cartes bancaire, etc) pour quiconque dispose d’un accès au système de fichiers.
Cette fonctionnalité était utilisée à des fins de débogage et aurait été déployée par erreur sur les postes destinés aux utilisateurs.

Sources :

Jaff, le dernier ransomware de la famille Locky

Des chercheurs ont découvert un nouveau ransomware, baptisé « Jaff », dont le comportement et le portail de paiement sont très similaires à ceux des ransomwares Dridex, Locky et Bart. La campagne de contamination actuelle consiste en un email dont la pièce jointe est un fichier PDF. Ce dernier contient un fichier DOCM attaché, qui une fois ouvert demande l’activation des macros.
S’en suit le chiffrement des fichiers de la victime et la demande de rançon de 1.79 bitcoins (environ 3300$).

Sources : 

Un malware WordPress vole les sessions des utilisateurs

Le malware dont il est question ajoute du code JavaScript à la fin d’un fichier légitime utilisé par WordPress. Cette portion de code filtre les requêtes effectuées par les robots des moteurs de recherche, puis envoie les cookies de l’utilisateur actuel sur un site externe. Ce dernier utilise la technique de typosquatting pour ressembler à l’un des noms de domaines WordPress officiels,  code.wordpr(e)ssapi.com.


Veille vulnérabilité

WordPress password reset – CVE-2017-8295

Une vulnérabilité affecte la fonctionnalité de remise à zéro du mot de passe des versions de WordPress avant 4.7.4 (comprise). L’attaquant, via l’écrasement d’une variable serveur, usurpe l’adresse email d’expéditeur du mail de remise à zéro. Trois scenarii ont été imaginés pour profiter de cette vulnérabilité :

  • Un déni de service préalable de la boîte aux lettres de la victime, provoquant un renvoi de l’email à l’expéditeur ;
  • Une réponse automatique, incluant le mail d’origine ;
  • Répéter l’attaque afin de provoquer une réponse manuelle de l’utilisateur auprès de l’expéditeur.

Sources :


Cisco WebEx – Fuite d’informations – CVE-2017-6651

Une vulnérabilité présente dans le générateur de fichiers « robots.txt », et exploitable sous certaines conditions, peut permettre à un attaquant de récupérer les URL de meetings programmés à l’avance. Il lui serait alors possible de participer de manière non autorisée à ces réunions.

Sources : 
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170510-cwms

Indicateurs de la semaine

Le leak de la semaine – #MacronLeaks

Le 5 mai 2017, 9 Go de données liées à la campagne électorale d’Emmanuel Macron ont été publiées[1] sur 4Chan, puis Wikileaks. Les métadonnées liées aux fichiers semblent indiquer que l’entreprise « Evrika ZAO », d’origine russe, est derrière ce piratage[2]. Des informations semblent indiquer que le piratage pourrait également être relié au groupe APT28 (Pawn Storm), et que les techniques utilisées sont similaires à celles qui ont pu être mises en œuvre à l’encontre d’un parti allemand[3] et pendant les élections présidentielles aux USA.
Il semblerait cependant que les données récupérées consistent en une stratégie « écran de fumée » mise en place par Mounir Mahjoubi, responsable du numérique de l’équipe « En Marche », afin de pallier ce type de campagne de piratage pré-élections[4].

Sources : 


L’exploit de la semaine – CVE-2017-0290 – “Crazy bad vuln”

Deux chercheurs de l’équipe Project Zero (Google) ont découvert une vulnérabilité[1][2] permettant l’exécution arbitraire de code au sein du Malware Protection Engine de Microsoft (MMPE). Les chercheurs ont qualifié cette vulnérabilité de « wormable ».
La vulnérabilité exploite une faille dans la gestion des types du moteur de contrôle des fichiers, permettant l’exécution de code JavaScript. L’un des exploits de cette CVE rentre dans un unique tweet[3] et permet de réaliser un déni de service sur le serveur cible.
Microsoft a immédiatement produit un patch pour corriger la vulnérabilité[4].

Sources : 


L’attaque de la semaine – Google Docs

Le 3 mai, les utilisateurs du service Gmail ont été victimes d’une attaque de type phishing, conduite à large échelle[1]. L’attaque a duré pendant près d’une heure et a ciblé environ un million d’utilisateurs (0.1% du total), pour lesquels seules les informations de contact ont été accédées[2].
Elle se déroule en deux étapes :
  • La victime reçoit un email de phishing imitant une demande de partage Google Docs, de la part d’un contact potentiellement connu ;
  • Elle est redirigée vers une fenêtre d’autorisation OAuth, demandant à la victime d’autoriser l’application « Google Docs » pour la gestion des emails.

Les victimes de cette attaque ont été leurrés par la fiabilité du service d’autorisation OAuth utilisé par Google, et par le nom et logo de l’application malveillante. Des réflexions sont en cours sur les possibilités dont dispose Google pour prévenir ce type d’attaque sur le long terme, dont l’utilisation de certificats X.509 pour les utilisateurs de l’API OAuth.

Sources : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

Jean MARSAULT

CERT-W : retour sur l'actualité de la semaine du 2 au 5 mai 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, sur "The Shadow Brokers".

Veille cybercriminalité

Orange is the new black

En 2015, les 4 premiers épisodes de la saison 5 de Game of Thrones étaient disponibles sur Internet avant leur sortie, cette semaine une demande de rançon a été envoyée à Netflix pour la série « Orange is the New Black ». Le hackeur,  « thedarkoverlord », prétend qu’il a aussi récupérer des séries des chaines Fox, National Geographic et ABC et souhaite réaliser le même type de délit avec ces chaines télévisées.

Le 29 Avril après que Netflix n'ait pas voulu payer la rançon, l'attaquant a posté un lien torrent pointant vers les épisodes 2 à 10.

Sources :

Exploitation de la CVE-2017-0199 dans des campagnes de phishing

Comme nous l’évoquions la semaine dernière [1], une vulnérabilité critique permet l’exécution de code lors de l’ouverture d’un document Word piégé. Il n’aura fallu que quelques jours pour que les groupes d’attaquant exploite cette vulnérabilité dans leur campagne de mails malveillants.

ProofPoint [2] a observé l’utilisation de cette faille et en particulier par le groupe Chinois TA459 qui cible des entreprises financières Russe.

Sources :

Malware-Hunter, le service permettant de lister les serveurs de C&C

Le projet Malware-Hunter [1], né de la fusion entre Shodan et Recorded Future, permet de scanner Internet à la recherche des serveurs de Command and Control (C&C). Pour cela, l’outil prétend être un hôte infecté qui demande de nouveaux ordres en s’adressant à chaque adresse  IP comme si elle était un serveur de C&C. Ainsi, lorsque l’application reçoit une réponse positive, le serveur est alors taggé en tant que C&C.

Les résultats préliminaires [2] indiquent déjà des centaines d’adresses IP répondant aux malwares tels que Gh0st RAT, Dark Comet ou encore njRAT. De plus, ils sont aussi accessibles sur le moteur de recherche Shodan [3].

Sources :

Veille vulnérabilité

Vulnérabilité exploitable à distance sur les plateformes Intel depuis 2008

Une vulnérabilité critique (CVE-2017-5689 [1]) a été découverte sur les outils de gestion d'Intel reposants sur Management Engine (ME), Active Management Technology (AMT) et Standard Manageability (ISM). L’exploitation de cette vulnérabilité permet à un attaquant de prendre le contrôle de ces outils de gestions à distance.
Ces outils offre aux administrateurs un moyen de gérer leur parc uniquement sur un réseau d’entreprise, les vulnérabilités ne sont donc pas présentes sur les puces Intel des ordinateurs personnels.
Selon Intel, la vulnérabilité est présente dans les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 des systèmes de gestion AMT, ISM et SBT. Les versions avant la 6 et après la 11.6 ne sont pas affectées.

Intel a mis à disposition un guide pour déterminer si la machine est vulnérable [2] et un guide de sécurisation [3].

Sources :

Indicateurs de la semaine

Le leak de la semaine – Scribbles

Cette semaine Wikileaks a publié le code source du programme de la NSA appelé « Scribbles ». L’objectif de cet outil est de pouvoir générer un filigrane unique pour chaque copie d’un document afin de savoir si un document aurait fuité. Cette mesure permettrait donc d’identifier les potentiels lanceurs d’alertes qui sont en possession de documents confidentiels.
Le filigrane consiste en une image transparente insérée dans le document pointant vers une URL unique. Ce système a été testé avec succès les versions de Microsoft Office 1997 à 2016, mais sur les versions de Libre Office et OpenOffice, le filigrane apparait sous forme d’une image et d’une URL.

Sources : 


L’exploit de la semaine – Compromettre un DC depuis DNSAdmin

Cet article présente comment des comptes non administrateurs de domaine peuvent être utilisés pour compromettre des contrôleurs de domaine, en exploitant des fonctionnalités liées à l’administration des rôles portés par les DC.
Ici, le rôle utilisé est celui de serveur DNS, pour lequel les comptes « DNSAdmin » peuvent réaliser une injection arbitraire de DLL.

Sources : 


L'attaque de la semaine – Bug Bounty sur Flickr pour 7,000$ 

Michael Reizelman a remonté à Yahoo trois vulnérabilités mineures qui, une fois enchainées, permettent de prendre le contrôle d’un compte Flickr [1]. Ce scénario d’exploitation lui a permis de toucher une prime de 7,000$ de la part de Yahoo via le site de Bug Bounty HackerOne.
Les vulnérabilités ne semblent pas critiques lorsqu’elles sont présentées unitairement :

  • Mauvais contrôle du paramètre de redirection de l’utilisateur après l’authentification de celui-ci, ce qui permet à l’attaquant de contrôler la redirection sur une page de la forme https://www.flickr.com/* 
  • Chargement d’une image dont l’URL est contrôlé par l’attaquant sur les pages des forums de Flickr
  • Absence de contrôle du paramètres « Content Security Policy » sur les pages du forum « https://www.flickr.com/help/forum/en-us/ »
Ainsi, lorsque l’utilisateur clique sur un lien d’authentification malveillant, ses jetons de connexions sont envoyés à l’attaquant au travers de l’en-tête HTTP « Referer ».


Sources : 


Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box


Vincent DEPERIERS