| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Meltdown et Spectre : deux vulnérabilités qui font parler d’elles

Deux vulnérabilités permettant de la divulgation mémoire ont été découvertes sur les processeurs modernes de marque Intel, AMD, et ARM. En cas d’exploitation réussie, les informations transitant dans la RAM sont susceptibles d’être mises à découvert (mots de passe, clés de chiffrement, données sensibles…)
Nous avons détaillé les attaques et les mitigations possibles ici : https://blog-cert.opmd.fr/bulletin-dalerte-001-jan18-meltdown-spectre-vulnerabilites-hardware/
Des mises à jours logicielles/hardware sont prévues afin de limiter les dégâts en attendant une solution définitive.

Trackmadeddon : la faille qui impacte des millions de traceurs GPS

Deux chercheurs ont trouvé des vulnérabilités sur des sites web de traceurs GPS permettant de localiser les équipements reliés à ces services mais également d’accéder à beaucoup d’autres informations sensibles telles que l’historique de géolocalisation, le numéro IMEI, des photos prises par l’équipements, des enregistrements audio… Les chercheurs ont pu accéder à ces informations grace à des APIs mal configurées qui sont exposées sur internet et des mots de passe faibles tel que 123456.
Sur une centaine de sites en ligne classés comme vulnérables par les chercheurs, seuls une petite dizaine ont répondu et corrigé le problème.
Si vous administrez votre traceur GPS ou si les notifications envoyées par ce dernier contiennent un lien vers un des domaines identifiés par les chercheurs, alors vous êtes impacté. Le cas échéant, il est recommandé d’effacer vos données stockées sur ces sites, de changer votre mot de passe et d’arrêter si possible de les utiliser jusqu’à ce que le problème soit corrigé.

Comment instrumenter un antivirus pour voler des documents confidentiels

L’affaire Kaspersky et la NSA n’a pas encore fini de faire couler de l’encre. Patrick Wardle, un ancien hacker de la NSA a démontré qu’il était possible de se servir d’un antivirus afin de dérober des documents confidentiels à l’insu de la victime. Bien évidement Wardle a pris comme exemple Kaspersky. Il a ainsi incorporé une signature dans la base de l’antivirus, permettant de détecter tout documents confidentielles sous la base du pattern “TS/SCI” (Top Secret/Sensitive Compartmented Information). Wardle a voulu montrer par cet exemple que la frontière était assez petite entre un antivirus et un outil d’espionnage. Kaspersky de son côté a affirmé qu’il ne sont pas en mesure de cibler des machines afin de leur délivrer des signatures spécifiques. Les signatures sont disponibles pour tout le monde et signées numériquement afin d’en garantir l’authenticité et l’intégrité.

Mesure de l’étendu d’un malware distribué par CFM depuis l’Ukraine

Comme ce fut le cas de Medoc avec le malware Petya, des attaquants se sont servi du site de CFM (Crystal Finance Millennium), qu’ils ont préalablement compromis, afin de diffuser leur malware. Heureusement pour cette fois ce n’est pas la chaîne de build de l’entreprise qui a été compromis, mais juste le site web, servant ainsi de C1 au downloader envoyé par mail aux victimes.
Une fois que la victime ouvre la pièce jointe reçue par mail, ce dernier se connecte automatiquement sur le site de CFM afin de récupérer le malware. Suite à cette découverte faite en Août 2017, Talos nous apporte plus d’éléments dans cet article notamment sur l’étendu de la menace.
D’après les analyses de Talos, le malware récupéré présente beaucoup de similitudes avec le célèbre malware ZeuS dont le code source avait fuité en 2011. Les analyses statistiques suite à l’enregistrement d’un des serveurs C&C a permis de mesurer la propagation de la menace, qui s’est plus massivement répandu en Ukraine et aux USA.

Microsoft Word - Injection via un lien d’image

Le 2 janvier dernier, Thomas ELLING présente sur son blog, une technique de récupération de hashes NetNTLM via Microsoft Word, un peu particulière.
En effet, cette technique se base sur l’insertion d’une image dans le document, en y mettant un lien vers un serveur Samba via les Universal Naming Convention (UNC). Cette action a pour but de récupérer les adresses IP des victimes ouvrant le fichier docx.
Un document docx étant une archive Zip, il lui suffit de l’ouvrir grâce à 7zip et modifier les fichiers avec un éditeur de texte quelconque.
Enfin l’attaquant n’a plus qu’à utiliser un outil de capture de NetNTLM (comme Responder par exemple) et d’attendre qu’une victime ouvre le document Word et lance une connexion vers l’adresse IP de l’attaquant.
L’avantage de cette technique est qu’elle est plus discrète que les autres techniques du genre, grâce à l’appel UNC.
M. ELLING nous explique également comment détecter ce genre de technique et comment supprimer le(s) appel(s) malveillant(s).

Faille CSRF dans PhpMyadmin

Une vulnérabilité de type CSRF a été trouvée sur le produit phpMyAdmin largement utilisé pour gérer des bases de données. Elle permet à un attaquant de supprimer des tables de la base de données via une requêtes (un lien) spécialement craftées.
Une faille CSRF consiste a faire exécuter à un utilisateur avec des privilèges élevés des tâches malveillantes à son insu. Néanmoins pour exploiter cette faille, l’attaquant doit connaitre l’id de l’administrateur et le nom de la base de données ciblée. Il devra aussi faire preuve de SE (Social Engineering) pour inciter la victime (l’administrateur) à cliquer sur le lien malveillant qui va déclencher l’exploitation de la vulnérabilité.

Zero day MacOS - Élévation de privilège

Une vulnérabilité de type élévation de privilège a été trouvée sur MacOS. La vulnérabilité est localisée dans le IOHIDFamily, une extension du kernel pour le Human Interface Devices (HID). Un attaquant local avec les privilèges d’utilisateur simple, peut l’exploiter afin d’acquérir les privilèges root. Une preuve de concept nommée OHIDeous, fonctionnant pour les versions High Sierra (jusqu’à 10.13.1) a été fournis par le chercheur qui a découvert la vulnérabilité.

Android : Bulletin de sécurité Janvier 2018

Lors du traditionnel patch mensuel d’Android, Google a procédé à la correction de 38 bugs de sécurité dont 5 critiques et 33 high.
La vulnérabilité la plus marquante est la CVE-2017-13176 pouvant être exploitée par un attaquant distant, sans interaction avec l’utilisateur, afin de gagner des permissions sur l’équipement vulnérable. Une autre vulnérabilité CVE-2017-13208 classée critique permet elle aussi à un attaquant distant d’exécuter du code sur le device.
Google précise également dans le bulletin qu’il n’y à l’heure actuelle pas d’attaques réussies sur Android en utilisant les failles Meltdown et Spectre. Et afin de rajouter plus de protection, le patch CVE-2017-13218 a été mise en place.

CoffeeMiner : Miner de la monnaie virtuelle grâce aux réseaux Wi-Fi

Suite à la publication d’une attaque contre le réseau de Starbucks afin de miner du Monero, un chercheur a produit un outil permettant de mener la même attaque sur les réseaux Wi-Fi de manière générale. L’outil nommé coffeeMiner.py, permet d’automatiser une attaque MITM suivi d’une injection de script JS sur toutes les pages Web visitées par les équipements connectés sur le même réseau Wi-Fi. L’attaque commence par un arpspoofing, suivi d’une récupération des pages web grace à l’outil mitmproxy et enfin une injection, grace à un script python, du script de minage JavaSscript basé sur CoinHive.