| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Spectre et Meltdown : Intel recommande d'arrêter d’appliquer les patchs

Spectre et Meltdown sont deux vulnérabilités découvertes en début d’année et qui affectent les CPU. Leur exploitation permet d’accéder à des informations sensibles telles que mots de passe, clés cryptographiques,… en passant par ce qu’on appelle des attaques par canaux cachés “Side Channel Attacks”.
Intel le constructeur le plus impacté par ces failles a rapidement réagi en proposant des correctifs. Cependant l’application de ces derniers cause beaucoup de dégâts, comme des ralentissements, des reboots intempestifs, des bugs… Ainsi le fabricant a annoncé la semaine dernière le roll-back (retour en arrière) sur ces correctifs, et conseille aux entreprises et particuliers d’arrêter leur déploiement. Linus Torvalds, le créateur du noyau Linux, accuse Intel d’avoir mal abordé la gestion du problème et d’avoir fourni un correctif comparable à du déchet.
“I really don’t want to see these garbage patches just mindlessly sent out.”

Le coût de la cybercriminalité visant le grand public a plus que triplé en France. En 2017, plus de 19 millions de personnes ont été victimes d’actes de piratage, soit 42 % de la population d’internautes adultes. La fraude par carte bancaire arrive en tête des préjudices subis avec une moyenne de 1212 euros, devant le détournement du réseau Wi-Fi domestique 496 euros et les vols de données associés au paiement sur smartphone 463 euros .
Les pertes financières cumulées atteignent 6,1 milliards d’euros et elles ont dépassé l’équivalent de deux jours pour réparer les dommages causés.
Ces chiffres issus du dernier rapport Norton by Symantec sur les cyber-risques montrent une très forte progression de la cybercriminalité. Lors de la précédente édition, la facture s’élevait à “seulement” 1,783 milliard d’euros.

Vulnérabilité framework Electron : Exécution de code sur Skype et Slack

Une vulnérabilité critique permettant d’exécuter du code à distance impacte Electron. Electron est un framework basé sur node.js, V8 et chromium, très populaire auprès de la communauté des développeurs souhaitant mettre en place des applications bureautiques multiplateformes en s’appuyant sur les technologies Web.
Les applications Windows utilisant Electron et enregistrées comme gestionnaires par défaut des protocoles tels que myapp// ou exodus//, sont impactées. Sur les 400 applications potentiellement vulnérables, on retrouve Skype, Slack ou encore Exodus.
Cette vulnérabilité n’impacte pas les applications sur Linux et MacOS et Signal.
Un correctif de sécurité a été fourni par Electron. Si ce dernier n’est pas applicable pour des raisons quelconques, une solution de contournement est proposée en rajoutant “–” comme dernier argument lors de l’appel à la fonction app.setAsDefaultProtocolClient.

Lors de notre précédente newsletter, nous vous parlions de l’opération d’espionnage Dark Caracal, liée à un agence de renseignement Libanais et qui ciblait les équipements Android.
Dans ce nouvel article, Patrick Wardle nous apporte plus de détails sur le malware multiplateforme qui s’installe sur un ordinateur lorsque ce dernier est connecté à un équipement infecté, tel qu’un smartphone.
Le malware de type RAT (Cheval de troie permettant l’accès à distance) est écrit en Java. Une fois lancé sur la machine, ce dernier commence par identifier son environnement à savoir le type de système d’exploitation. Il met ensuite en place un système de persistance via une clé de registre dans HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ pour Windows, un agent dans /Library/LaunchAgents ou ~/Library/LaunchAgents pour MacOS et un fichier autostart ~/.config/autostart pour Linux.
Après cela, le malware communique enfin avec son serveur de command and control (C&C) dont l’adresse est codée en dur. Il lui transmet des informations telles que le nom de la machine, le type et la version du système d’exploitation et l’utilisateur dont le compte a été infecté.
Le malware est capable par la suite d’exécuter un ensemble de tâches dont l’ordre est envoyé depuis le serveur C&C. La partie de code chargée de jouer le rôle de keylogger est inopérationnelle pour le moment, ce qui permet d’en déduire que le malware est probablement toujours en cours de développement.

Plusieurs vulnérabilités critiques de type VM escape, c’est à dire permettant d’exécuter du code sur la machine physique (host) depuis la machine virtuelle (VM), ont été découvertes sur l’hyperviseur VirtualBox d’Oracle.
Les CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE-2018-2694 et CVE-2018-2698 sont localisées dans le “VM VirtualBox Core component”
La CVE-2018-2693 est elle localisée dans les “VM VirtualBox Guest Additions”
La vulnérabilité CVE-2018-2698 par exemple est due à une mauvaise gestion de la mémoire virtuelle (VRAM) associée à l’émulation du composant VGA et qui est partagée entre le host et la VM.
Oracle a fourni des correctifs disponibles dans les versions 5.1.32 et 5.2.6. Les versions inférieures à ces deux dernières sont toutes impactées.

APT OilRig : Des serveurs IIS localisés au Moyen-Orient visés par RGDoor

Lors d’une investigation sur des fichiers déposés via le webshell TwoFace, des chercheurs de l’équipe Unit42 de PaloAlto ont découvert une nouvelle backdoor nommée RGDoor. Pour rappel TwoFace est un webshell, écrit en C#, découvert par PaloAlto en Juillet 2017 lors d’une investigation sur des serveurs appartenant à des organismes gouvernementaux et banques localisés au Moyen Orient.
RGDoor est une DLL écrit en C++ qui s’insère sur un serveur IIS comme un module natif HTTP. Les attaquants se sont probablement servi de TwoFace afin d’insérer ce module sur les serveurs compromis avec la commande APPCMD.EXE. L’implémentation de la fonction SetRequestNotifications dans la backdoor, fait que cette dernière intercepte uniquement les requêtes POST reçues par le serveur IIS. Elle recherche dans les headers de ces requêtes des cookies contenant le champ RGSESSIONID qu’il va déchiffrer afin d’en ressortir la commande envoyée par son serveur de command and control. Elle accepte les commandes suivantes : cmd$, upload$ et download$.

 

https://researchcenter.paloaltonetworks.com/2018/01/unit42-oilrig-uses-rgdoor-iis-backdoor-targets-middle-east/ [EN]

https://securityaffairs.co/wordpress/68317/apt/oilrig-rgdoor-backdoor.html [EN]

Opération EvilTraffic : Le rapport du CSE CybSec ZLAB Malware Analysis

Le CSE nous présente dans ce rapport le fonctionnement d’un large réseau de sites web compromis et utilisé pour principalement distribuer de la pub non désirée. Tous les sites compromis utilisent le CMS wordpress, bien qu’ils n’ont pas les mêmes versions. Après compromission les attaquants déposent un zip dans un dossier portant un nom aléatoire en fonction de la campagne. Le nom du zip est aussi différent en fonction du serveur compromis. Cependant le contenu de ce dernier reste le même. Le zip contient par ailleurs un fichier .php qui est chargé de rediriger les visiteurs vers les différents sites de pubs ayant souscrit à cette activité illégale. Les attaquants utilisent aussi la technique de “SEO poisoning” afin d’augmenter la visibilité des pages compromises vis à vis des moteurs de recherche.

http://csecybsec.com/download/zlab/20180121_CSE_Massive_Malvertising_Report.pdf [EN]