| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Des traces de keylogging découvert dans les ordinateurs HP

En l’espace de 6 mois, HP est encore pris la main dans le sac avec un keylogger pré-installé sur les ordinateurs de la marque. Un chercheur du nom de “Zwclose” a publié un article expliquant comment il a trouvé dans le driver SynTP.sys (Synaptics Touchpad Driver) des traces de keylogging. Par défaut, cette fonction est désactivée, mais il suffit de modifier une clé de registre pour l’activer.
HP, pour sa part, se défend en indiquant qu’il s’agit d’une fonctionnalité de debug qu’ils ont oublié d’enlever. Ils ont par la suite sorti un bulletin de sécurité donnant plus de détails sur les modèles d’ordinateurs impactés.

Le collectif Anonymous s’attaque aux USA et à Israël

Suite à la prise de position politique du président des États-Unis Donald Trump au sujet du statut de Jérusalem, le collectif des Anonymous a décidé de lancer une opération nommée #OpUSA – OpIsrael.
Ils ont publié une liste de noms, adresses email et mot de passes d’employés du secteur public Israélien (et quelques potentiels employés du Mossad), ainsi qu’une liste de noms de domaines du gouvernement américain à cibler. L’objectif de ces attaques serait de récupérer des données sensibles à partir des domaines ciblés, de faire du “defacing” sur les sites web ou de les rendre tout simplement inaccessibles grâce à une attaque DDoS.

Le service en ligne Leakbase ferme les portes

Leakbase est un service en ligne qui vend des accès à des bases de données ayant fuitées comme LinkedIn, Myspace ou encore Dropbox. Ces dernières contiennent des milliards d’identifiants et de mots de passe, souvent utilisés par les spammeurs.
D’après les informations de Bryan Krebs, le site Leakbase aurait été fermé suite à une décision de justice probablement liée au démantèlement en début d’année du dark market Hansa par la police allemande. Il faut savoir que Leakbase, suite à son piratage en avril 2017 (oui le pirate s’est fait aussi piraté sa propre base de données), avait changé de propriétaire. Il semblerait que ce nouveau propriétaire aurait eu des activités illicites (comme la vente de drogue sur Hansa), ce qui aurait permis de remonter à Leakbase.

Bugs critiques dans RSA Authentication SDK (Software Development Kit)

Deux bugs critiques ont été découverts dans l’agent d’authentification de RSA permettant de contourner l’authentification.
Le premier CVE-2017-14377 impacte l’agent d’authentification RSA. Un attaquant distant non authentifié peut l’exploiter en envoyant un paquet spécialement forgé afin de déclencher une erreur permettant de contourner l’authentification et ainsi avoir l’accès aux ressources de la cible.
La deuxième CVE-2017-14378 impacte le module SDK de l’agent RSA pour le langage C. Ceci signifie que toutes les implications basés sur ce SDK ont hérité de la vulnérabilité. Elle permet, comme la première vulnérabilité, à un attaquant distant de contourner l’authentification.
RSA a mis à disposition des correctifs pour ces vulnérabilités.

Quand Apple veut vite corriger le bug “iamroot”

Suite à la récente faille iamroot impactant mac OS, Apple a vite réagi afin de corriger le problème. Mais dans la précipitation beaucoup d’erreurs ont été commises par l’éditeur exposant ainsi de nouveau des millions d’utilisateurs, pourtant ayant appliqués le patch, à la vulnérabilité iamroot.
Le bug identifié par le numéro commun 2017-001, impacte les versions 10.13.0 et 10.13.1. Lorsque Apple a fourni le premier correctif, ce dernier a entraîné des dysfonctionnements sur la fonctionnalité partage de fichiers. L’éditeur a donc rapidement reproduit un autre correctif. Chose importante, ce deuxième correctif incrémente le numéro de version de l’OS qui passe à 17B1003. Ceci fait que lorsque l’utilisateur fera une mise à jour de son OS, pour passer de 10.13.0 à 10.13.1, le patch saute et le poste redevient à nouveau vulnérable à la faille iamroot. La même chose se produit même si l’utilisateur fait l’upgrade de version avant le patch. En fait, la solution est d’appliquer le patch, faire l’upgrade de version et d’appliquer à nouveau le patch.

Le botnet Andromeda démantelé

Ce 29 Novembre 2017, Europol en coopération avec le FBI, le Luneburg Central Criminal Investigation Inspectorate en Allemagne et d’autres services de lutte contre la cybercriminalité ont procédé au démantèlement de l’un des plus grands réseau de botnet au monde nommé Andromeda (ou Gamarue).
Le botnet Andromeda est connu pour sa distribution massive de plus de 80 familles de malwares différents comme Petya, Ursnif, Carberp…. Le démantèlement en 2016 du botnet Avalanche aurait permis aux enquêteurs de remonter sur les traces d’Andromeda.
Les forces de l’ordre ont ainsi procédé au “Sinkholing” de plus de 1500 domaines. Microsoft affirme que durant les 2 jours de mise en œuvre des “Sinkholes”, plus de 2 millions d’IPs uniques provenant de plus de 223 pays différents ont été recessencées.
Toutefois il faut savoir que le code source du builder d’Andromeda a fuité dans le passé. Nous ne sommes donc pas à l’abri de voir le botnet renaître.

Une faille critique impacte TeamViewer

L’outil d’assistance à distance TeamViewer est impacté par une vulnérabilité critique. L’exploitation de cette dernière permet à l’attaquant de prendre le contrôle à distance de votre machine sans que celui-ci ne l’autorise explicitement.
En effet grâce à un bug, il est possible, lorsque vous partagez votre bureau avec un poste distant, d’inverser les rôles et donc de prendre le contrôle du poste de la personne qui était censée se connecter sur votre machine pour vous dépanner. La vulnérabilité s’exploite en abusant de la fonctionnalité “switch sides” via une injection de librairie dll.
Une preuve de concept est disponible sur github. TeamViewer a procédé à la correction de cette vulnérabilité sur Windows (v13.0.5640), MacOS (v13.0.5640) et Linux (v13.0.5641).

L'Allemagne prépare une loi légalisant les backdoors pour l’État

Le parlement allemand serait prêt à voter une loi proposée par les autorités visant à obliger les vendeurs d’équipements informatique à mettre en place des backdoors qui permettraient aux agences gouvernementales de pouvoir s’en servir en toute discrétion pour des investigations. Parmi les équipements visés, on retrouve les voitures, les téléphones et les IoTs.
Le ministre de l’intérieur allemand défend cette loi en prenant l’exemple d’affaires terroristes où les agences gouvernementales ont éprouvé des difficultés pour trouver des preuves numériques.
Le texte de loi vise aussi à permettre aux agences gouvernementales à pouvoir effectuer du hack-back, c’est-à-dire qu’ils pourront s’attaquer à un ordinateur/serveur suspect distant en exploitant des vulnérabilités afin de ressortir des preuves numériques.

Android : vulnérabilité Janus

La vulnérabilité Janus permet de rajouter du code dans un fichier APK ou DEX sans en modifier la signature. Un attaquant peut donc l’exploiter afin d’exécuter du code malveillant via l’injection de ce dernier dans le fichier d’une application légitime et/ou privilégiée. Les méthodes classiques de reverse engineering d’application Android ne permettent pas de détecter la présence de ce code injecté.
La vulnérabilité impacte les dernières versions d’Android à partir de 5.0, sauf les versions 7.0 ou plus et qui utilise la méthode 2 de vérification des signatures.

Le RAT Orcus s’attaque aux propriétaire de bitcoins

Avec le succès du bitcoin, le nombre de bots de trading permettant aux investisseurs de vendre et acheter aux bons moments a explosé. Ainsi, les développeurs de malwares sont entrés en scène pour prendre leur part du gâteau. C’est le cas de Orcus qui est un Remote Access Trojan.
Orcus arrive à sa victime par phishing en se faisant passer pour le bot légitime Gunbot. Dans la pièce jointe du mail, on retrouve un fichier vbs qui, une fois exécuté via un double clique, va télécharger un exécutable. Ce binaire téléchargé est une version modifiée de l’application TTJ- Inventory System qui contient dans une de ses ressources le code du malware Orcus. Orcus est un binaire de type .NET PE donc décompilable. Une fois lancé, le malware vérifie qu’il n’a pas déjà infecté le poste via le mutex “dgonfUsV” avant de mettre en place une persistance au niveau des clés de registre.

Microsoft patch en urgence une vulnérabilité critique

Le 7 décembre dernier, Microsoft a publié en urgence un correctif pour une vulnérabilité impactant son moteur antiviral : Malware Protection Engine (MPE). En effet en exploitant cette vulnérabilité, un attaquant peut prendre le contrôle à distance de la machine vulnérable. La faille s’exploite en faisant analyser par le MPE un fichier spécialement crafté afin d’en prendre le contrôle. Il faut savoir que le moteur MPE est utilisé par beaucoup de produits de sécurité de Microsoft comme Windows Defender et Microsoft Security Essentials. Les scénarios d’attaque sont assez large : pièce jointe par mail, fichier sur un site web, pièce jointe via Skype…
La vulnérabilité est identifiée par CVE-2017-11937. Un patch de sécurité a été fourni par Microsoft, même avant le patch tuesday de ce 12 décembre.