| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Microsoft Edge ACG Bypass: une vulnérabilité zero day permet de contourner la protection ACG

Ivan Fratric un chercheur de l’équipe Google Project-Zero a publié une nouvelle vulnérabilité impactant Microsoft Edge et qui permet de contourner la protection ACG (Arbitrary Code Guard) afin d’exécuter du code arbitraire. L’exploitation nécessite néanmoins une compromission au préalable du processus Edge qui permettrait à l’attaquant d’avoir au minimum les droits de lecture/écriture.
La vulnérabilité est due à une mauvaise gestion des pages mémoires partagées entre le processus gérant le JIT (Compilation à la volée) et le processus cible. L’attaquant devra d’abord prédire l’espace mémoire partagé sur lequel le processus JIT fera appel à la fonction VirtualAllocEx() afin de remplacer son contenu par du code malveillant.
Cette vulnérabilité a été publiée en respectant le délai de 90 jours comme le recommande la politique de divulgation de vulnérabilités de Google Project-Zero. Microsoft de son côté confirme le bug mais n’annonce pas encore de date de correction à cause de la complexité de cette dernière.

 

http://securityaffairs.co/wordpress/69253/hacking/edge-browser-flaw.html [EN]

https://bugs.chromium.org/p/project-zero/issues/detail?id=1435 [EN]

Malware Elise : une nouvelle version identifiée

Le malware Elise est utilisé par le groupe Lotus Blossom spécialisé dans les attaques de type APT en Asie. Elise a la spécificité d’être un malware qui se propage via l’exploitation de vulnérabilités et qui implémente beaucoup de techniques d’anti-analyse. Son but est d’exfiltrer des données sensibles et d’installer d’autres malware.
Cette nouvelle souche du malware découverte par les analystes de la sandbox en ligne JoeSandbox, se propage via l’exploitation de la vulnérabilité CVE-2018-0802 qui impacte Microsoft Office. Après son lancement, le malware injecte son code malveillant dans le processus IExplorer.exe. Ce code malveillant effectue plusieurs vérifications qui permettent de s’assurer que le malware n’évolue pas dans un environnement d’analyse avant de communiquer avec ses serveurs C&C (Commands and Control). Ces vérifications permettent de détecter les artefacts et outils ci-après : VMware, VirtualBox, logiciels récemments désinstallés, répertoires récemment accédés, outils d’analyses, liste des processus, adresse MAC, identifiant du disque dur …

https://www.joesecurity.org/blog/8409877569366580427 [EN]

Fancy Bear APT : le groupe cible maintenant le moyen-orient et l’Asie centrale

Fancy bear encore connu sous les noms APT28, Sofacy, Tsar Team, Pawn Storm… est un groupe de cybercriminels, spécialisé dans les attaques APT. Leurs activités malveillantes ciblaient principalement les pays membres de l’OTAN (Organisation du Traité de l’Atlantique Nord) et l’Ukraine.
Cependant, les chercheurs de la GReAT team de Kaspersky ont observé, à travers les données collectées via le KSN, des infections par la backdoor SPLM (aka CHOPSTICK ou X-Agent) en Asie centrale. Ces détections fournissent une indication sur l’intérêt grandissant du groupe Fancy bear à l’égard de cibles ex membres de l’union Soviétique.
Les pays les plus touchés sont des ex membres de l’union soviétique. Les organisations du domaine de la Défense et les entreprises de télécom des pays tels que la Turquie, le Kazakhstan, l’Arménie, le Kirghizistan, la Jordanie et l’Ouzbékistan sont les plus visés.
Plusieurs autres changements ont aussi été apportés par les acteurs de Fancy Bear sur leurs infrastructures et leurs outils. Les détails seront présentés au SAS 2018, rencontre annuelle organisée par Kaspersky.

https://securelist.com/a-slice-of-2017-sofacy-activity/83930/ [EN]

Malware : le marché des faux certificats de signature de code prolifère

Dans le mode du malware, un programme signé est souvent considéré comme légitime ce qui lui permet de contourner plus facilement les outils d’analyse mais aussi de ne pas attirer l’attention de l’analyste. Même si la part des malwares possédant une signature valide reste très faible, leur nombre a considérablement augmenté durant ces dernières années.
Dans cet article, Recorded Future nous apporte des éléments permettant de comprendre l’organisation des réseaux de vendeurs de certificats dans le dark web. Différents types de certificats sont proposés, chacun disposant d’un niveau de confiance spécifique.
D’après les deux principaux fournisseurs de ce type de service sur le dark web, les certificats sont fournis avec de vrais comptes d’entreprises légitimes.
Contrairement à une croyance commune selon laquelle les certificats de sécurité circulant dans le monde criminel sont volés à des propriétaires légitimes avant d’être utilisés dans des campagnes d’infection, Recorded Future confirme avec un degré de certitude élevé que les certificats sont créés en utilisant des identités volées d’entreprise.

 

https://www.recordedfuture.com/code-signing-certificates/ [EN]

Trend Micro Email Encryption Gateway : 12 vulnérabilités impactent l’appliance

TMEEG (Trend Micro Email Encryption Gateway) est une appliance basée sur Linux qui permet de chiffrer et de déchiffrer les mails entrants et sortants d’une entreprise. Des chercheurs de Core Security ont trouvé 12 vulnérabilités qui impactent la version 5.5 de l’appliance. Ces vulnérabilités sont identifiées de CVE-2018-6219 à CVE-2018-6230.
Les plus critiques sont : CVE-2018-6220 et CVE-2018-6223.
La CVE-2018-6220 permet à un attaquant distant non authentifié d’exécuter des commandes avec les privilèges root. La CVE-2018-6223 est due à l’absence d’authentification sur la “registration endpoint” qui permet d’administrer l’appliance.
D’après Core security, TrendMicro a été averti de la présence de ces vulnérabilités depuis le 05 Juin 2017. A l’heure actuelle, deux d’entre elles de type CSRF et SQLi sont toujours non corrigées.

 

https://www.coresecurity.com/advisories/trend-micro-email-encryption-gateway-multiple-vulnerabilities [EN]

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities [EN]

Avzhan : Analyse d’une nouvelle souche du malware

Avzhan est un bot de DDoS apparu pour la première fois en 2010. Une nouvelle souche a été récemment observée par un chercheur de Malwarebytes, qui nous propose dans ce blog l’analyse de cette dernière et la comparaison avec la version de 2010.
Cette nouvelle souche obscurcie, arrive via une attaque “drive-by”[1] (un sorte d’exploit-kit) depuis des sites chinois.
Une fois lancé le malware commence par changer son nom et créer un service afin d’assurer sa persistance. Chose intéressante, la souche est elle même infectée par le malware Virut qui se propage en infectant des fichiers PE (exécutables Windows). Il envoie ensuite les informations concernant le poste compromis à son serveur C&C (Command & Control). Après ces actions, le malware se met en attente de commandes provenant de son C&C. Il est capable d’installer d’autres malwares, de se mettre à jour, de se désinstaller mais aussi et surtout de mener des attaques DDoS contre une cible donnée.

 

https://blog.malwarebytes.com/threat-analysis/2018/02/avzhan-ddos-bot-dropped-by-chinese-drive-by-attack/ [EN]

[1] https://blog.malwarebytes.com/threat-analysis/2018/02/avzhan-ddos-bot-dropped-by-chinese-drive-by-attack/ [EN]

Cybercriminalité : le coût global en 2017 estimé à 487 milliards d’euros

Cisco et McAfee ont publié récemment leur rapport d’estimation de l’impact de la cybercriminalité sur l’économie.
Selon le rapport de McAfee, rédigé en collaboration avec le Center for Strategic and International Studies (CSIS), le coût économique de cybercriminalité représente 0.8% du PIB global, soit une augmentation de près de 20% entre 2014 ($500 milliards) et 2017 ($600 milliards). Cette croissance est due selon McAfee à l’augmentation des vols de données confidentielles et aux ransomwares.
Du côté de Cisco, le rapport basé sur l’interview de 3600 CISO, présente la même tendance. Cisco pointe aussi du doigt les attaques de type “Supply chain” qui deviennent de plus en plus fréquentes et sophistiquées.

 

https://securityaffairs.co/wordpress/69401/cyber-crime/cybercrime-cost-2017.html [EN]

Ransomware SamSam : 2000 ordinateurs du DOT au Colorado infectés

Le ransomware SamSam déclenche à nouveau les hostilités, cette fois c’est le DOT Department of Transportation Agency du Colorado qui est impacté. Près de 2000 postes auraient été infectés par la ransomware. La bonne nouvelle est que l’attaque n’a pas touchée le système de vidéo surveillance et d’alerte sur le trafic.
Les responsables du système d’information de la DOT travaillent actuellement avec le FBI et McAfee afin de nettoyer l’infection. Ils confirment par ailleur qu’ils disposent d’un système de backup fiable et qu’en aucun cas, une rançon ne sera payée aux malfaiteurs.

 

https://securityaffairs.co/wordpress/69492/malware/samsam-ransomware-colorado-dot.html [EN]

https://www.bleepingcomputer.com/news/security/samsam-ransomware-hits-colorado-dot-agency-shuts-down-2-000-computers/ [EN]