SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : retour sur l'actualité de la semaine du 10 au 14 avril



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalité

Le reste des outils d’Equation Group rendu public

Dans une lettre ouverte au président Trump[1], le groupe « The Shadow Brokers » a publié la clé de déchiffrement de l’archive contenant le reste des outils volés au groupe de hackers « Equation Group ». Cette divulgation, qui fait suite à la précédente publication d’outils[2], intervient sans que le montant de B1.000.000 initialement demandé n’ait été payé.
Les outils ont évidemment été rapidement récupérés et mis à disposition de tous[3]. Parmi ces outils se trouvent notamment les suivants :
  • Un exploit de prise de contrôle à distance des systèmes Solaris
  • Les commandes permettant d’accéder au réseau téléphonique de l’opérateur pakistanais Mobilink
  • Le framework TOAST permettant de supprimer les journaux d’événements wtmp sur les systèmes Unix

Sources :

Apache Struts 2

Le 8 mars 2017, l’entreprise Cisco Talos a reporté dans son blog[1] une nouvelle vulnérabilité sur le produit Apache Struts 2 suite à la publication d’un exploit[2] dans l’outil metasploit. Dès cette publication, différentes attaques exploitant la vulnérabilité ont été observées, avec notamment pour objectif d’infecter les cibles avec une variante du ransomware « Cerber ». La vulnérabilité permettant en effet de l’exécution de code à distance, les attaquants ont pu injecter du code permettant le téléchargement du malware.
Pour se protéger, une mise à jour de sécurité existe, ainsi que différentes solutions de contournement temporaires[3].

Sources : 

Opération Cloud Hopper

Une large campagne d’attaques visant les fournisseurs de services d’infogérance dans plusieurs pays du monde, référencée sous le nom « Opération Cloud Hopper », a été rendue publique. Suite aux investigations, les experts attribueraient l’attaque au groupe d’attaquants chinois APT10, notamment aux vues des horaires auxquels ont eu lieues les attaques.
Les attaques ont consisté en des messages de spear-phishing, c’est-à-dire des emails dont l’émetteur cherche à se faire passer pour une entreprise connue. À l’aide de cette méthode, les attaquants auraient réussi à obtenir des identifiants légitimes pour accéder au réseau des fournisseurs de services, exfiltrant alors une grande quantité d’informations.

Sources : 
http://securityaffairs.co/wordpress/57781/apt/operation-cloud-hopper-apt10.html


Le botnet Brickerbot met en péril vos objets connectés

Depuis la publication du code du botnet Mirai, de nombreux botnets visant les objets connectés ont été observés. Un nouveau botnet voit maintenant le jour sous le nom de « Brickerbot ». Cependant ce dernier va plus loin que son prédécesseur, qui était utilisé pour causer du Déni de Service temporaire, puisqu’il rend inutilisable les objets connectés n’étant pas sécurisés, et ce de manière permanente.

Pour compromettre les objets connectés, Brickerbot utilise un brute force via le protocole Telnet, tout comme le permettait Mirai. Une fois connecté sur un équipement vulnérable, le malware exécute la commande « rm -rf /* » qui permet de supprimer l’ensemble des fichiers présents sur le système. Le malware désactive également les timestamps TCP, réduit le nombre de thread noyau à 1, et remplace les règles iptables par une règle bloquant toute communication avec l’extérieur, laissant l’objet connecté complétement inutilisable.

Sources : 
https://www.theregister.co.uk/2017/04/08/brickerbot_malware_kills_iot_devices/
http://securityaffairs.co/wordpress/57839/malware/brickerbot-botnet-iot.html

ATMitch – un malware sans fichier visant les distributeurs de billets

L’entreprise de sécurité Kaspersky Lab a reporté une attaque ayant touché huit distributeurs de billets aux États-Unis en une seule nuit, aboutissant à plus de 800 000 dollars volés. Aucun malware n’a été retrouvé sur les distributeurs, mais leurs journaux contenaient des lignes inhabituelles telles que « Take the Money Bitch! ».

Le code malveillant serait donc directement injecté et exécuté en mémoire. Cette technique n’est pas nouvelle, et permet dans ce cas d’utiliser des scripts PowerShell pour injecter un meterpreter permettant aux attaquants de se connecter à la machine et de lancer les commandes distribuant l’argent, alors récupéré par un complice.

Sources : 
http://securityaffairs.co/wordpress/57881/cyber-crime/atmitch-fileless-malaware.html


Veille vulnérabilité

Une vulnérabilité dans Word permet de prendre le contrôle à distance d’un poste

Des chercheurs des entreprises de sécurité McAfee et FireEye ont remonté une nouvelle vulnérabilité sur le logiciel Microsoft Word. Cette vulnérabilité, qui affecterait toutes les versions jusqu’à Office 2016 tournant sur un système d’exploitation Windows 10, pourrait permettre à un attaquant de prendre le contrôle à distance du poste. La particularité de cette vulnérabilité est que, contrairement à la plupart des attaques sur le logiciel Word, elle ne nécessite pas l’activation des macros par la victime.

FireEye et McAfee remontent déjà des cas d’attaques utilisant cette vulnérabilité, dont le vecteur d’attaque serait un mail contenant un document Word dans lequel est présent un objet OLE2link. Cet objet utiliserait l’exécutable winword.exe pour contacter un serveur distant à l’aide de requêtes HTTP. Un fichier .hta malveillant déguisé en RTF est ainsi récupéré puis, une fois chargé et exécuté, met un terme au processus lancé par winword.exe pour cacher une fenêtre de dialogue levée par l’objet OLE2link.

Cependant, cette attaque n’est pas applicable sur le mode protégé d’Office, ce qui semble être la seule protection en attendant une mise à jour de Microsoft.

Sources : 
https://www.theregister.co.uk/2017/04/09/microsoft_word_ole_bug/
http://securityaffairs.co/wordpress/57892/hacking/windows-zero-day-attack.html
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html

Des millions de téléphones vulnérables

Le chercheur Ralph-Phillip Weinmann, travaillant pour la compagnie Comsecuris, a dévoilé une vulnérabilité sur le firmware Baseband des puces 4G LTE qui pourrait affecter des millions de téléphones portables Huawei. Cette vulnérabilité pourrait permettre à un attaquant d’espionner les communications mobiles, exfiltrer des informations, envoyer des SMS ou passer des appels à l’insu de l’utilisateur, ou encore causer un Déni de Service à l’aide d’une corruption de la mémoire.

L’attaque requiert cependant de nombreux prérequis relativement complexes à mettre en place, réduisant ainsi le risque d’attaque.

Sources : 
https://threatpost.com/baseband-zero-day-exposes-millions-of-mobile-phones-to-attack/124833/
http://securityaffairs.co/wordpress/57867/hacking/mobile-baseband-zero-day.html


Exécution de code sur des systèmes SCADA

Une vulnérabilité dans les systèmes SCADA Schneider Electric IGSS a été rendue publique par l’éditeur le 31 mars 2017. Cette vulnérabilité, qui affecte les systèmes utilisant les versions V12 et antérieures s’exécutant sur des systèmes d’exploitation Microsoft antérieur à Windows 10, permettrait à un attaquant de provoquer une exécution de code arbitraire. Cette vulnérabilité est due à la gestion non sécurisée des fichiers DLL et OCX par le système d’exploitation Windows.

En effet, les versions des systèmes d’exploitation de Microsoft antérieures à Windows 10 enregistrent les fichiers OCX à l’aide de chemins relatifs à une variable d’environnement, ce qui pourrait permettre à un attaquant d’exécuter une version contrefaite d’un fichier légitime. De plus, pour ces mêmes versions du système d’exploitation, la recherche de fichier autorise l’utilisation de chemins relatifs pour les DLL, ce qui l’expose à du DLL hijacking.

La recommandation associée à cette vulnérabilité est la montée de version vers le système d’exploitation Microsoft Windows 10.

Sources : 
http://download.schneider-electric.com/files

Indicateurs de la semaine

Le leak de la semaine – GrassHopper

Wikileaks continue de rendre publique[1] différents documents de l’archive Vault 7 récupérée à la CIA, avec cette fois un ensemble de 27 documents détaillant le framework nommé « GrassHopper ». Ce framework permet aux opérateurs de la CIA de construire, exécuter, et visualiser le résultat de l’exécution de charges malveillantes.

Dans le manuel d’utilisation est spécifié que différents installeurs sont créés pour différentes architectures et systèmes d’exploitation. Certaines techniques aperçues dans diverses attaques sont de plus reprises par le framework, comme c’est par exemple le cas de la méthode de persistance utilisée par le rootkit Carberp spécialement réadaptée dans ce framework.

Sources : 
[1] https://www.wikileaks.org/vault7/#Grasshopper
http://securityaffairs.co/wordpress/57822/intelligence/cia-grasshopper-framework.html
https://www.schneier.com/blog/archives/2017/04/fourth_wikileak.html


L’exploit de la semaine – MS16-135

La vulnérabilité connue sous le nom de « MS16-135 » permet à un attaquant une élévation de privilèges locale jusqu’au compte « NT AUTHORITY\System ». Cette vulnérabilité affecte l’ensemble des systèmes d’exploitation de Microsoft, jusqu’à Windows 10. Un premier POC écrit en C par @tinysec avait été rendu public[1] pour exploiter cette vulnérabilité, et @FuzzySecurity a adapté l’exploit en PowerShell[2]. 

Sources : 
[1] https://github.com/tinysec/public/tree/master/CVE-2016-7255
[2] https://github.com/FuzzySecurity/PSKernel-Primitives/tree/master/Sample-Exploits/MS16-135
https://technet.microsoft.com/en-us/library/security/ms16-135.aspx


L’attaque de la semaine – RensenWare

Les ransomwares sont monnaie courante de nos jours, et il n’est plus rare de voir de nouvelles versions apparaitre de manière régulière. RensenWare est cependant un ransomware un peu particulier puisque, plutôt que de demander une rançon monétaire, il requiert d’atteindre un certain score sur un jeu vidéo nommé TH12. Le malware semble en effet fournir la clé de déchiffrement une fois le score atteint, ce qu’il parvient à déterminer en observant un processus nommé « th12 ».

À noter que le malware ne met aucune protection en place pour empêcher la récupération des fichiers chiffrés, comme c’est par exemple souvent le cas avec la suppression des shadow volumes. 

Sources : 
http://securityaffairs.co/wordpress/57850/malware/rensenware-ransomware.html

Suivi des versions

Produits
Version actuelle
Flash Player
Adobe Reader
Java
Mozilla Firefox
Google chrome
Virtual Box

Nicolas DAUBRESSE

Aucun commentaire:

Enregistrer un commentaire