SecurityInsider
Le blog des experts sécurité Wavestone

Hack.lu - Open-Source Security Software Hackathon


Les 2 et 3 mai 2017, Wavestone a participé à l'Open-Source-Security Software Hackathon (O3S), événement mis en place pour la première année par l’équipe organisatrice de la conférence Hack.lu.
Le hackathon s’est tenu dans les locaux de l’université du Luxembourg, et de nombreux projets étaient présents pour cet événement.

Présentation

L’objectif de l’O3S était de rassembler les équipes en charges de projets open-source liés à la sécurité, afin de collaborer sur les thèmes suivants :
  • Évolutions des outils existants ;
  • Interfaçage des projets existants ;
  • Réflexions autour de nouveaux outils.


L’O3S a eu lieu sur 2 jours et a permis aux différentes équipes de découvrir les projets en cours de développement et d’interagir sur les thématiques liées à la sécurité.

Principaux projets représentés

Les projets suivants ont été représentés durant le hackathon :


MISP




Le projet « Malware Information Sharing Platform », ou MISP, est un projet initialement développé par l’OTAN, puis par le CIRCL. Il a pour but la collection, le stockage et le partage d’indicateurs de compromission (IOC) liés aux incidents de sécurité gérés par une entité.
Une instance MISP permet notamment :
  • Le stockage des IOC en base, qu’ils soient d’ordre techniques ou non ;
  • La corrélation automatique des IOC afin de rapprocher des incidents de sécurité similaire ;
  • Le partage des IOC avec d’autres instances MISP, en respectant des niveaux de partages permettant de garantir la confidentialité de données sensibles ;
  • L’accès aux données au travers d’une interface web et d’une API ;
  • Le développement de modules complémentaires en Python.

MONARC




Method for an Optimised aNAlysis of Risks by CASES, ou MONARC, est un outil développé par le Cyberworld Awareness and Security Enhancement Services (CASES).
L’outil est développé à destination des PME, pour lesquels les formalisations classiques d’analyses de risques sont des processus longs et parfois coûteux. MONARC propose une gestion automatisée et simplifiée de l’analyse, construite autour de la norme ISO 27005:2011 et divisée en 4 étapes :
  • Définition du contexte
  • Modélisation des risques
  • Évaluation et traitement des risques
  • Surveillance et contrôle

CVE-Search


CVE-Search est un outil permettant l’import, la recherche et le traitement des éléments suivants :
  • Common Vulnerabilities and Exposures (CVE) : alias désignant par un nom unique une vulnérabilité sur un produit
  • Common Platform Enumeration (CPE) : standardisation sous un format unique des noms, éditeur et versions des produits affectés par les CVE
L’objectif principal de l’outil est d’accélérer les recherches de CVE / CPE parfois longues sur les plateformes publiques.


ICC Analysis – JSMF-Android




JSMF Android est un outil qui repose sur la bibliothèque JSMF pour l’analyse des communications inter-composants sur Android.
Le format d’entrée est un fichier APK, et l’outil permet différents types de visualisation pour observer les liens entre les différents composants de l’application (activités, instructions, points de sorties, etc).
Une démonstration en ligne est disponible à cette adresse : http://jsmf-android-visualization.list.lu 


VIPER



Viper est un framework d’analyse et de gestion de binaires. Il permet de stocker efficacement un ensemble de fichiers malveillants. 
Tel Metasploit, Viper permet ensuite d’exécuter un ensemble de scripts sur ces binaires, adaptés à chaque format :
  • Exécutables
  • Fichiers Office (OLE)
  • Fichiers email
  • Documents HTML
  • Images…

Shotovuln




Shotovuln est un outil récent (mars 2017) permettant d’automatiser la recherche de possibilités d’élévation de privilèges. 


CERTitude


CERTitude est un outil du CERT-Wavestone visant à aider les investigateurs dans leur tâche d’évaluation du périmètre compromis en cas d’attaque.
La particularité de CERTitude est qu’il s’agit d’un outil agissant à distance sur les  postes de travail, sans agent, et offrant un vue centralisée des résultats.
La participation au Hackathon nous a permis entre autres de :
  • Corriger un certain nombre de bugs / erreurs présents ;
  • Planifier des évolutions futures ayant pour but d’améliorer de manière signifiante les performances ; 
  • Introduire de nouvelles fonctionnalités, en accord avec les besoins actuels :
    • Recherche de mutex
    • Évaluation de règles Yara (en cours de développement)

Jean MARSAULT

CERT-W : Retour sur l'actualité de la semaine du 5 au 11 juin


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Jean MARSAULT du hackathon organisé par la Hack.lu.

Veille cybercriminalité

Analyse d’un service de DDoS à la demande

Un nouveau rapport démontre l’intérêt de se pencher sur le mode de financement des services de cybercriminalité, dans le cadre de la lutte contre ceux-ci.
Le service de DDoS à la demande étudié ici, a rapporté à ses créateurs jusqu’à plus de $42.000 par mois.

Le revendeur de jeux et matériel électronique Gamestop piraté

La chaîne spécialisée en revente de jeux vidéo Gamestop disposant de plus de 7000 points de vente et possédant notamment l’enseigne Micromania a notifié ses utilisateurs d’une fuite de leurs données de carte bancaire.
Le nombre d’utilisateurs concernés n’a pas été communiqué.

Les Raspberry PI ciblés par un malware de minage de crypto-monnaie

Un nouveau malware intitulé « Linux.MulDrop.14 » cible les Raspberry Pi insuffisamment sécurisés dans l’objectif de miner (fabriquer) de la crypto-monnaie (par exemple Bitcoin) pour le compte de son créateur.
Les possesseurs d’un Raspberry PI doivent s’assurer que le mot de passe du compte par défaut du système (pi) a été modifié.


Veille Vulnérabilité

Le logiciel de véhicule connecté de Subaru affecté par 8 vulnérabilités

Un chercheur sécurité a mis à l’épreuve Starlink, la technologie du constructeur Subaru permettant de contrôler à distance les fonctions multimédia, sécurité et sûreté, et a identifié des vulnérabilités permettant notamment d’agir sur le verrouillage du véhicule, accéder à sa géolocalisation…
Sources :

Utilisation de Intel AMT pour contourner le firewall Windows

Le groupe PLATINUM déjà auteur d’attaques sur les institutions et entreprises du sud et sud-est de l’Asie est connu pour réaliser un nombre d’attaques ciblées limitées par an, développer ses propres outils, utiliser des vulnérabilités non patchées et limiter ses traces au maximum.
Microsoft a découvert une évolution dans l’outillage de PLATINUM pour communiquer avec les hôtes infectés : l’utilisation du canal de communication Serial-over-LAN, via l’utilisation d’Intel AMT (Active Management Technology).
Le trafic réseau utilisé par AMT est entièrement cloisonné du reste du système d’exploitation, ce qui rend impossible l’analyse du trafic par l’OS hôte ou son firewall.


Indicateurs de la semaine

Le leak de la semaine

Le leak de la semaine est signé The Intercept. Il s’agit d’un rapport de la NSA dévoilant les vagues de phishing ayant touché les éditeurs de logiciels de machines de vote électronique et des fonctionnaires électoraux locaux. Le renseignement militaire russe est suspecté.
À noter qu’au passage, The Intercept a involontairement révélé l’identité de sa source en publiant des captures d’écran des documents watermarkés (numériquement tatoués), et l’a ainsi conduite à son arrestation.

Sources : 

L’outil de la semaine - InvokeCradleCrafter

Daniel Bohannon a récemment publié un module Powershell appelé « CradleCrafter ». Ce dernier permet la création de « Cradles », qui correspondent en PowerShell a des étapes d’obfuscation permettant de dissimuler le réel contenu d’un script malveillant.
Cet outil permet l’enchaînement de ces Cradles afin d’obtenir un payload personnalisé quasi indétectable par les antivirus.

Source : 

L'attaque de la semaine

Une étude réalisée par les chercheurs en sécurité chez ESET et Dragos démontre l’existence et l’utilisation d’un malware spécialement créé pour s’attaquer aux réseaux de distribution d’électricité, et pointent sa responsabilité dans l’attaque menée en décembre 2016 contre le réseau électrique Ukrainien ayant abouti aux coupures électriques dans la ville de Kiev pendant une heure.
L’objectif poursuivi par ce malware dénommé CrashOverride/Industroyer est le sabotage. Le groupe ELECTRUM ayant mené l’attaque est suspecté de liens avec la Russie.

Source : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

David CAZUC

Recette cybersécurité et SI industriels


Les audits sécurité de Systèmes d’Information Industriels en production décèlent des vulnérabilités sévères dues à des erreurs de conception. Certaines de ces erreurs auraient été évitables à faible coût avant la mise en production du système mais peuvent s’avérer difficiles voire impossibles à corriger ensuite.
Nous verrons ici comment les recettes cybersécurité (et particulièrement les Site Acceptance Tests) peuvent permettre d’éviter cet écueil en renforçant la cybersécurité durablement et à faible coût.

Du design à la mise en opération, quelle place pour la cybersécurité ?

Lorsqu’un opérateur industriel souhaite contrôler un nouveau procédé (ou remplacer un système de contrôle existant), il fournit ses spécifications à un fournisseur. Ce dernier adapte généralement un système de son catalogue et le livre à l’opérateur qui le met en opération. Souvent, le fournisseur devient ensuite le mainteneur du système.

La cybersécurité est historiquement peu prise en compte dans la commande/livraison d’un tel système. Bien que les enjeux de disponibilité et de sûreté soient historiquement très présents, les cahiers des charges ne contiennent que peu ou pas d’exigences de cybersécurité.
En conséquence : les fournisseurs de systèmes industriels sont habitués à livrer des systèmes « sur étagère » adaptés a minima aux besoins des opérateurs et ne sont pas tous disposés à écouter de telles exigences.

Parmi les grands types de vulnérabilités rencontrées sur des SI Industriels en production (et dues à des erreurs avant leur mise en production) on trouve :
  • Des interfaces opérateurs dont il est possible de s’échapper et permettant d’accéder au système d’exploitation
  • Une absence  d’antivirus ou des antivirus inopérants
  • Des versions Windows bientôt (ou déjà) obsolète au moment de la livraison
  • Des flux ouverts directement entre le WAN et le système industriel avec des plages de ports très larges
  • Des ports USB accessibles physiquement sur les stations de conduite
  • Des températures de fonctionnement très hautes et pas de climatisation entrainant des pannes matérielles à répétition
  • Une configuration NTP hétérogène entre les équipements rendant les journaux d’historisation inexploitables
  • Un manque de résistance/durcissement au flooding. En cas de charge réseau trop élevée, la totalité du système peut dysfonctionner.
  • Un modem (ou un routeur ADSL) de maintenance connecté directement sur le SI Industriel au lieu de l’utilisation des moyens standards sécurisés de connexions distantes du client 
Ce dernier type de vulnérabilité peut exposer un système industriel directement sur Internet : https://icsmap.shodan.io/

Recette cybersécurité

Le processus de recette cybersécurité est calqué sur les processus de tests d’acceptance déjà bien connus des opérateurs :
  • Documentation : Rédaction d’un ensemble d’exigences de cybersécurité (et des tests associés) et fourniture en annexe du cahier des charges au fournisseur. Ce document doit aussi décrire les conditions de déroulement des deux étapes suivantes : les FAT et SAT.
  • Factory Acceptance Tests (FAT) : Le fournisseur réalise l’ensemble des tests décrits dans ses locaux sous la supervision éventuelle de l’opérateur. Un compte-rendu des tests est formalisé et rendu à l’opérateur.
  • Site Acceptance Tests (SAT) : L’opérateur réalise lui-même les mêmes tests sur le système une fois livré sur site et avant sa mise en production. Il s’agit notamment de vérifier que les tests échoués lors de la FAT ont été corrigés. Les sites industriels n’ayant pas toujours la capacité technique de réaliser ces tests, l’opérateur peut envoyer une délégation représentant le RSSI accompagné éventuellement d’une prestation d’audit.
  • Mise en production : Une fois la SAT effectuée, le fournisseur corrige les derniers écarts éventuellement constatés avant la mise en production du système.

Quelles  exigences de cybersécurité et quels tests réaliser ?

Les exigences et les tests associés sont à adapter fortement selon l’opérateur, les exigences réglementaires et le système industriel concerné (taille, enjeux métier …). Les principaux sujets à traiter sont les suivants :
  • Revue de la documentation : Un ensemble de documents relatifs à la cybersécurité doit être livré avec le système. L’existence et le contenu de ces documents sont à valider avec le fournisseur. Durant la SAT, ces documents serviront aussi de base afin de vérifier la conformité de l’existant aux spécifications.
    Les principaux documents attendus sont les suivants : analyse de risques du système dans son environnement,  plan de gestion d’incident informatique (en bonne intégration avec les plans de réponse du site), schémas et inventaire réseau, procédures de maintenance, spécification fonctionnelle et spécifications de design détaillées.
  • Tests de tous les équipements (ou d’un échantillon représentatif) incluant : serveurs, commutateurs réseau, pare-feux, contrôleurs, automates et stations de travail. Il s’agit ici de contrôler la conformité de la configuration de ces équipements aux spécifications du fournisseur en matière de configuration des systèmes d’exploitation, des comptes utilisateurs, du BIOS, du matériel (ports USB, lecteurs physiques …) et des protocoles réseau. L’existence et le bon fonctionnement de la redondance des connexions réseaux et des alimentations électriques peut aussi être vérifiée à cette occasion.
  • Tests spécifiques de cybersécurité : Toujours dans l’optique de vérifier la conformité de l’existant aux spécifications du fournisseur, l’opérateur peut conduire des tests techniques de cybersécurité. Il s’agit d’une occasion parfois unique d’effectuer des tests difficiles à envisager sur un environnement en production. Attention toutefois à ne pas endommager les équipements les plus fragiles (automates et contrôleurs).
    Des Scans IP (de type Nmap) ainsi que des scans de vulnérabilités (de type Nessus) peuvent être effectués pour vérifier : la conformité de l’architecture aux spécifications/inventaire, l’absence d’équipement et de services inutiles ou dangereux et l’absence de vulnérabilités.
    Le durcissement des équipements peut aussi être testé : tests de résistance au flooding (de type hping3 –flood), de fonctionnement des antivirus (de type EICAR), de l’impossibilité d’échapper à des des interfaces opérateurs.
    Enfin, il est envisageable de vérifier le changement de tous les mots de passe par défaut (contrôleurs de domaine, comptes locaux, équipements télécoms…) en utilisant des outils d’extraction des empreintes et de cassage des mots de passe (de type samdump2 et WaveCrack). 

Conclusion

La mise en place systématique de tests d’acceptance de cybersécurité  peut permettre à un opérateur industriel une amélioration sensible et durable de son niveau de cybersécurité sur le périmètre industriel. La correction d’erreurs faites avant la mise en opération est un gain évident en termes de coût et de sécurité.
Cependant, les plus grands bénéfices de la mise en place de ces tests résultent généralement de la formalisation d’exigences de cybersécurité avec un cadre de contrôle par le client à destination du fournisseur. Introduire la cybersécurité durant l’appel d’offre et la tester au moment de la recette peut permettre de hisser la cybersécurité au côté des enjeux bien connus de disponibilité et de sûreté afin d’y répondre de manière collaborative et adéquate.

Nicolas NOEL

CERT-W : Retour sur l'actualité de la semaine du 29 mai au 4 juin 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, "Recette cybersécurité et SI industriels" par Nicolas NOEL.

Veille cybercriminalité

Le gouvernement déploie une plateforme d’assistance aux victimes de cybermalveillance

Le gouvernement français a déployé une plateforme en ligne visant à assister les victimes de cybermalveillance (rançongiciels, usurpation d’identité sur internet, etc.), et à sensibiliser les utilisateurs.
Le site se propose d’établir un diagnostic de l’incident rencontré par l’utilisateur / l’administration / l’entreprise et à le/la mettre en relation avec des prestataires de service informatique de proximité.
Le site est actuellement en phase de pilote et est limité à la région Hauts-de-France.

Un adware avancé infecte plus de 250 millions de machines

Un nouvel adware (ou « publiciel ») appelé Fireball se répand depuis le début du mois de juin sur plus de 250 000 machines. Principalement installé conjointement avec des freewares (ou « gratuiciels » ), celui-ci se distingue des autres malwares du genre par des techniques anti-détection avancées, et une stratégie agressive de la « société de marketing » chinoise à l’origine du malware.
Selon les chiffres fournis par CheckPoint, environ 20% des réseaux d’entreprise dans le monde serait concernés par au moins une infection sur leur parc.

Le fournisseur de solution SSO OneLogin victime d’une fuite de données utilisateur

OneLogin, éditeur d’une solution de SSO du même nom permettant aux utilisateurs de se connecter de manière transparente à un ensemble de services (compatibles SAML, OAuth, etc.), a été victime d’une attaque compromettant l’ensemble des données de leurs clients couverts par leur datacenter US. Les attaquants auraient eu accès à des clés d’API AWS utilisées par l’entreprise afin de pouvoir démarrer des instances de serveurs AWS au sein de l’infrastructure, et ainsi démarrer leur intrusion.
Bien que stockées chiffrées, l’entreprise indique de les auteurs de l’attaques pourrait avoir recueilli les données nécessaires à leur déchiffrement, et invite l’ensemble de ses clients à renouveler l’ensemble de leurs certificats SAML, jetons OAuth, clés d’API, etc.
La solution est utilisée par environ 2000 entreprises dans 44 pays différents.


Veille Vulnérabilité

Une vulnérabilité présente sur sudo permet une élévation de privilèges (non souhaitée)

L’outil sudo, permettant d’encadrer les élévations de privilèges sur la plupart des distributions Linux, a été affecté par une vulnérabilité dont l’exploitation permet l’obtention des privilèges maximums sur le système. Paradoxalement, la vulnérabilité n’est présente que sur les systèmes SElinux.
L’exploitation de cette vulnérabilité implique deux race conditions et nécessite l’autorisation de lancer au moins une commande avec sudo. Un code d’exploit fonctionnel sera bientôt publié par Qualys, à l’origine de la découverte.
La vulnérabilité est étiquetée « CVE-2017-1000367 » et « CVE-2017-1000368 », le second numéro correspondant à une vulnérabilité résiduelle à la suite d’un premier patch incomplet.
Sources :

L’initiative de crowdfunding visant à accéder aux prochaines publications de vulnérabilités par The Shadow Brokers avortée après 48h

Le groupe The Shadow Brokers annonçait le 30 mai dernier les détails sur leur « service de souscription mensuel » à leurs publications d’outils prétendument utilisés par la NSA. Leurs « abonnés » devront payer un montant de 100 ZCash (cryptomonnaie, environ 24 000 €) afin de recevoir la prochaine publication.
A la suite de cette annonce, les chercheurs Matthew Hickey et x0rz ont lancé une initiative de crowdfunding, visant à recueillir 25 000 $ pour avoir accès à la prochaine publication, et ainsi pouvoir prévenir les éditeurs concernés des vulnérabilités affectant leurs produits.
Après avoir récolté 3 900$ auprès de 40 contributeurs en l’espace de 48h, la levée de fond a été annulée (et les participants remboursés) à la suite de nombreux avertissements reçus sur les dangers de cette initiative sur le plan légal.


Indicateurs de la semaine

Le leak de la semaine

Dans sa série de leaks « Vault7 » sur les outils de hacking prétendument utilisés par la CIA, WikiLeaks a dévoilé l’existence d’un outil permettant d’infecter des postes sur un réseau local via la manipulation de partages de fichier.
Le malware, appelé Pandemic, corrompt le service de partage de fichier SMB d’un poste ou serveur Windows, afin de remplacer à la volée les fichiers exécutables par des malwares au moment de leur téléchargement par des utilisateurs distants. Les fichiers « remplacés » par cette méthode ne sont en réalité pas altérés et peuvent toujours être correctement utilisés par le poste/serveur infecté les partageant.

Sources : 

L'outil de la semaine - DeathStar

@byt3bl33d3r, principalement connu pour l’outil CrackMapExec, vient de publier un nouvel outil nommé DeathStar. Son objectif : rendre la compromission de domaine aussi automatisé que possible.
L’outil utilise le framework de post-exploitation Empire pour gérer les sessions compromises, recherche où sont authentifiés les administrateurs de domaine et réalise automatiquement les opérations d’élévations de privilèges ou de pivot en conséquence jusqu’à parvenir à compromettre un de ces précieux comptes.
Un outil « push-button » à tester !

Sources : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

Maxime MEIGNAN

Compte-rendu de la conférence PHDays VII - 23 et 24 mai 2017


Wavestone a eu l’honneur de participer à la septième édition de la conférence Positive Hack Days s’étant déroulée à Moscou les 23 et 24 mai 2017 à travers la présentation des travaux de Thomas DEBIZE et Mahdi BRAIK sur la sécurité du framework Hadoop :




Vous pouvez trouver ci-dessous un compte-rendu d’une sélection de talks. Les présentations sont disponibles sur le site de la conférence : https://www.phdays.com/program/schedule/.
Nous tenons à remercier chaleureusement les collaborateurs de la société Positive Technologies pour leur accueil et pour l’organisation de la conférence : спасибо Positive !

James Kettle – Backslash powered scanning: Implementing human intuition

James Kettle, chercheur en charge de la R&D au sein de la société PortSwigger éditant entre autres le fameux outil de proxification Web « BurpSuite », part des constats suivants identifiés pour les tests d’intrusion Web :
  • Il est impossible (et surtout rébarbatif) pour un pentesteur de tester manuellement toutes les classes d’injections client-site (XSS), server-side (injection de code, injection SQL, injection au sein de templates) au sein de tous les paramètres de toutes les requêtes d’un site Web
  • Les injections ont pour définition une mauvaise interprétation des données envoyées par l’utilisateur brisant l’exécution normale d’un programme et font toutes intervenir à un moment donné une séquence d’échappement de la charge d’exploitation, souvent caractérisé par le caractère « \ » (backslash)
  • La détection de classes de vulnérabilités peut être représentée par un arbre de décision simple tirant parti de plusieurs critères comme par exemple la taille ou le nombre de caractères de la réponse. 
    • Pour un paramètre numérique prenant en temps normal une valeur entière, par exemple « 1 », si la modification de ce paramètre en valeur flottante « 1.0 » provoque l’envoi d’une réponse ayant la même taille et le même contenu que pour la valeur « 1 » alors il y a potentiellement une injection
    • Pour un paramètre comportant une chaine de caractère ressemblant à priori à une fonction connue d’un langage, par ex  « abs » (valeur absolue), si la modification de ce paramètre en une fonction qui n’existe dans aucun langage, par exemple « abz », provoque une erreur 500, alors il y a également potentiellement une injection.

James a ainsi développé une extension Burp nommée « Backslash Powered Scanner » assurant le test automatique de paramètres, à la manière des fonctions natives de scan actif et passif, et permettant de détecter d’éventuelles injections en envoyant un minimum de requête. Une autre extension a été développé « Distribute Damage » afin de pouvoir faciliter le scan de multiples cibles. Ces extensions sont disponibles sur Github (https://github.com/PortSwigger/) et le Burp App Store (https://portswigger.net/bappstore/bapps/details/9cff8c55432a45808432e26dbb2b41d8https://portswigger.net/bappstore/bapps/details/543ab7a08d954390bd1a5f4253d3763b) et seront, de son aveu, prochainement intégré nativement au sein de Burp.

Brian Gorenc et Fritz Sands – Hacker-machine interface

Brian Gorenc, directeur de l’entreprise de courtage en vulnérabilités Zero Day Initiative et de la conférence Pwn2Own, accompagné par Fritz Sands, en charge de la recherche des causes racines et de la validation des vulnérabilités envoyées par les chercheurs ont présenté un état des lieux de la sécurité des SI industriels, rappelant que :
  • De plus en plus d’attaque visent ce secteur: des centrales électriques en Ukraine, des centrales nucléaires en Iran, des infrastructures ferroviaires, minières etc.
  • Les produits de ce secteur sont à des années-lumière de l’état de l’art de la sécurité : authentifiants inscrits en dur, absence de protection mémoire (pas d’ASLR, ni SafeSEH etc.) etc.
  • De nombreux malwares de ce secteur ciblent en priorité les IHMs SCADA : Stuxnet, BlackEnergy etc.

Une analyse statistique des toutes les vulnérabilités recensées par le CERT-ICS entre 2015 et 2016 a ensuite été faite en illustrant chaque catégorie (injection, défaut d’authentification, authentifiants par défaut, corruption mémoire etc.) par une vulnérabilité publiée par ZDI.
Fritz a conclu en préconisant quelques méthodes pour découvrir des vulnérabilités au sein des IHM SCADA :
  • L’utilisation de l’outil gratuit Microsoft Attack Surface Analyzer (https://www.microsoft.com/en-us/download/details.aspx?id=24487), permettant de faire un snapshot d’un environnement Windows avant l’installation d’un logiciel et de le comparer avec un snapshot post-installation (clés de registres ajoutées/modifiées, droits sur les répertoires du programme etc.)
  • Identifier l’utilisation d’API non sécurisées (par exemple la fonction sprintf()) en se basant sur la liste des API déconseillées par Microsoft (https://msdn.microsoft.com/en-us/library/bb288454.aspx

Gabriel Bergel et Javier Perez - Breaking bad. PoS tampering

Les chercheurs chiliens Gabriel et Javier ont tout d’abord présenté les différentes techniques connues d’altération des deux plus importants constructeurs de Terminal de Paiement Electronique (TPE en français, PoS en anglais), Verifone et Ingenico. Ces techniques sont principalement utilisées par des criminels et sont de plusieurs ordres : pose d’un skimmer qui va lire la piste magnétique ou effectuer une interception active, accès à l’interface d’administration avec un code de maintenance par défaut etc.
Puis une attaque a été présentée et se base sur la réalisation d’un Déni de Service sur la liaison mobile (2G/3G etc.) qui peut relier un TPE à une station de base : selon certaines conditions, le mode de paiement peut être dégradé (CVM downgrade, https://dev.inversepath.com/download/emv/emv_2014.pdf) et permettre à un attaquant d’effectuer un paiement en saisissant n’importe quel code PIN pour sa carte à puce.

Paul Amar – Circumventing mobile app stores security checks using Hybrid Frameworks and HTML-5 fu

Le chercheur français a détaillé une technique permettant à un développeur d’application mobile malveillante d’abuser des permissions accordées par un utilisateur suite à son installation depuis un magasin d’application légitime en utilisant un framework d’application « hybride ». 
Ce type de framework, par exemple Apache Cordova, permet de développer facilement une application compatible sur toutes les plateformes mobiles (Android, BlackBerry, iOS, Windows Phone). Dans un tel paradigme, l’application est développée uniquement avec du code HTML/JavaScript et fait appel à des API du framework pour interagir avec le système sous-jacent.
Cette technique tire parti du fait qu’il est possible d’intégrer une fonction de mise à jour de l’application de manière dynamique à l’exécution, sans devoir repasser par les étapes classiques de publication sur une magasin d’application : un développeur de malware peut ainsi créer une application mobile faisant appel à des permissions systèmes (envoi de SMS, accès à la liste des contacts) sans utilisation malveillante au préalable, afin de passer les contrôles de sécurité mis en œuvre sur les principaux magasins d’application ; puis de récupérer du contenu véritablement malveillant une fois l’application démarrée.

Thomas DEBIZE

CERT-W : retour sur l'actualité de la semaine du 22 au 28 mai 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu des PHDays 2017 par Thomas DEBIZE.

Veille cybercriminalité

La chaine de restaurants Chipotle piratée

La chaine de restaurant Chipotle a notifié ses utilisateurs d'une compromission de ses terminaux de paiements entre les 24 mars et 18 avril. Le code malveillant aurait infecté des terminaux de 47 états différents, la liste des restaurants affectés étant accessible ici.
La compagnie affirme avoir assaini l'ensemble de ses systèmes, mais les utilisateurs ayant utilisé leur carte bancaire dans l'un des restaurants durant cette période doivent rester vigilant concernant toute transaction illégitime effectuée depuis leur compte en banque.

Le système de reconnaissance biométrique du Galaxy S8 facilement contourné

Une caméra infrarouge, une lentille de contact, et une imprimante, c'est tout ce qu'il a fallu au groupe de chercheurs "Chaos Computer Club" pour contourner le scanner oculaire du Samsung Galaxy S8.
Pour tromper le capteur, les attaquants ont simplement pris une photo du propriétaire à quelques mètres de distances, imprimé celle-ci et déposé la lentille de contact au niveau de l'œil pour imiter sa courbure.

Les auteurs du ransomware WannaCry semblent parler couramment chinois

Des chercheurs de l’entreprise Flashpoint ont analysé les différentes demandes de rançons proposées par le ransomware WannaCry et ont découvert que les notes de rançons chinoises sont significativement plus développées que celles des autres langages, ce qui laisserait penser que les auteurs du ransomware parlent couramment cette langue.
Cette nouvelle information intervient après l'attribution du malware à la Corée du Nord qu'ont pu faire certains experts.


Veille Vulnérabilité

Des millions de terminaux Android exposés à la vulnérabilité "Cloak and Dagger"

Cette attaque, découverte par des chercheurs du Georgia Institute of Technology, pourrait permettre une prise de contrôle totale des terminaux Android allant jusqu'à la version 7.1.2. La vulnérabilité ne se situe pas au niveau du système d'exploitation Android, mais plutôt au niveau de deux permissions utilisées par de nombreuses applications :
  • SYSTEM_ALERT_WINDOW (“draw on top”) – qui donne le droit à l'application de se mettre au premier plan
  • BIND_ACCESSIBILITY_SERVICE (“a11y”) – qui permet la saisie à l'aide de commandes vocales et la fonctionnalité de description vocale.
Sources :

Une "nouvelle" vulnérabilité critique dans le logiciel Samba

En cas d’infection d’une machine Windows XP ou Windows 7 par le rançongiciel WannaCrypt, il est parfois possible de récupérer la clé privée utilisée pour chiffrer les clés de chiffrement de fichiers, et ainsi de récupérer ses fichiers.

Un nouveau patch de sécurité pour le système de protection antiviral de Microsoft

Microsoft a corrigé une nouvelle vulnérabilité critique dans son système de protection antiviral qui pourrait permettre l'exécution de code à distance à l'aide d'un exécutable spécialement formé.

Sources :

Indicateurs de la semaine

Le leak de la semaine – Crysis

Le leak de la semaine est un peu particulier puisqu'il ne s'agit pas d'informations ou d'outils récupérés lors d'une attaque mais plutôt de plus de 200 clés de déchiffrement des dernières versions du ransomware Crysis.
Pour rappel les fichiers chiffrés par ce ransomware portent les extensions .wallet ou .onion. Un outil permettant le déchiffrement a déjà été proposé par la compagnie d'antivirus ESET et est disponible ici.

Sources : 

L’exploit de la semaine – Hacked in translation

L'exploit de la semaine concerne une preuve de concept rendue publique par une équipe de chercheurs de l'entreprise Check Point, et qui vise à utiliser des sous-titres malveillants pour permettre l'exécution de code à distance. Les chercheurs ont controlés différents lecteurs vidéos tels que VLC media Player, Kodi, Stremio ou Popcorn Time et ont trouvé différentes vulnérabilités spécifiques à chacun permettant cette exécution de code.
Seules les vulnérabilités affectant le logiciel VLC media player ont pour le moment été rendue publique puisque l'éditeur a proposé des mises à jour de sécurité.

Le hack de la semaine

Le hack de la semaine concerne le projet de Tavis Ormandy, chercheur de vulnérabilités Windows pour le Project Zero de Google, et qui a tout simplement décidé de porter Windows Defender sur Linux, ce qui lui permet de faire des tests en ayant le moins d'effets de bord possible, et de disposer des outils de la plateforme Linux qui d'après lui sont plus performants.

Sources : 

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

Nicolas DAUBRESSE