| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Microsoft : patch tuesday du mois de mars

Lors du traditionnel patch tuesday de ce mois de Mars, Microsoft a procédé à la correction de 74 vulnérabilités dont 14 critiques et 59 importantes. L’ensemble des vulnérabilités critiques est localisé dans le navigateur Edge et le moteur de script Chakra. Parmi les vulnérabilités importantes, on note la CVE-2018-0883 de type exécution de code à distance qui impacte le composant Windows Shell. Un attaquant distant peut l’exploiter en incitant la victime à ouvrir un fichier malveillant reçu par mail.
On note aussi les deux vulnérabilités importantes ci-après CVE-2018-0940 (élévation de privilèges) et CVE-2018-0808 (déni de service) qui ont été divulguées avant leur correction par Microsoft. Cependant aucune exploitation de ces dernières n’a été constatée.
Une des vulnérabilités les plus médiatisées de ce bulletin de mars est la CVE-2018-0886 qui impacte le “Credential Security Support Provider protocol” (CredSSP). Elle permet à un attaquant distant d’exécuter du code à distance sur une machine vulnérable.

 

https://blogs.technet.microsoft.com/msrc/2018/03/13/march-2018-security-update-release/ [EN]

http://blog.talosintelligence.com/2018/03/ms-tuesday.html [EN]

CredSSP : une vulnérabilité importante impacte Windows

CredSSP pour “Credential Security Support Provider protocol” est une fonctionnalité dans Windows permettant de relayer les authentifications pour des applications. Des chercheurs de l’entreprise Preempt ont découvert une vulnérabilité logique CVE-2018-0886 dans CredSSP qui permet à un attaquant distant d’exécuter du code sur la machine vulnérable. Dans le contexte d’un serveur RDP ou WinRM, l’attaquant intercepte la communication d’un client via MITM. Ensuite il fait signer au client une commande RPC/DCE malveillante présentée comme étant une clé publique du serveur. Cette commande malveillante signée par le client va par la suite être présentée au serveur RDP qui va l’exécuter.
Cette vulnérabilité a été corrigée par Microsoft lors du patch tuesday de ce mois de mars. Aucune exploitation dans la nature de la vulnérabilité n’a été observée.

 

https://blog.preempt.com/security-advisory-credssp [EN]

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0886 [EN]

Samba : deux vulnérabilités critiques corrigées

Les développeurs de Samba (ré-implémentation open-source du protocole SMB) ont sorti la semaine dernière une nouvelle version du produit corrigeant deux vulnérabilités critiques. Tous les deux impactent les versions 4.0.0 et inférieures de Samba.
La première vulnérabilité CVE-2018-1050 est de type déni de service. Elle peut être exploitée lorsque le service RPC spools est configuré pour fonctionner comme un service externe. Par défaut, ce service est interne ce qui rend caduque toute tentative d’exploitation.
La deuxième vulnérabilité CVE-2018-1057, plus critique, permet à un utilisateur authentifié de changer le mot de passe de n’importe quel autre utilisateur y compris l’administrateur. Ce problème lié à la fonctionnalité de reset de mot de passe, n’impacte que l’implémentation de Samba en mode contrôleur de domaine.
Les versions 4.7.6, 4.6.14 et 4.5.16 corrigent ces vulnérabilités.

https://lists.samba.org/archive/samba-announce/2018/000435.html [EN]

Pinkkite : un nouveau malware qui cible les points de vente PoS

Pinkkite est le nom donné par des chercheurs de l’entreprise Kroll à un nouveau malware qui cible les points de vente PoS. Ce dernier, présenté lors du SAS2018 de Kasperky est spécial à cause de sa petite taille (6ko) mais aussi de l’organisation de son infrastructure de command & control (C&C). Pinkkite récupère les codes des cartes de crédit en analysant la ram du PoS qu’il valide ensuite en utilisant l’algorithme de Luhn. Ces codes de cartes bancaires sont par la suite chiffrés via un double-XOR avant d’être compressés dans un fichier portant les extensions .f64, .n9 ou encore .sha64. Du côté de l’infrastructure du C&C, les auteurs de Pinkkite utilisent 3 serveurs basés en Corée du sud, au Canada et aux Pays-Bas. Ces serveurs servent de stockage temporaire pour l’ensemble des fichiers compressés exfiltrés par le malware.
Selon les experts de Kroll, les pirates se seraient déplacés latéralement sur le réseau via PsExec afin d’arriver sur le PoS. Ils auraient ensuite fait usage de Mimikatz afin d’élever leurs privilèges sur le système.

https://threatpost.com/new-pos-malware-pinkkite-takes-flight/130428/ [EN]

Cyber-guerre : le CERT-US lance l’alerte sur des campagnes d’attaques provenant de la Russie

Le CERT-US a lancé la semaine dernière une alerte (TA18-074A) assez inquiétante informant de la découverte de vastes campagnes d’attaques menées par des acteurs russes et qui ciblent les USA. Le gouvernement des états-unis ainsi que des entreprises et organisations travaillant dans l’énergie, le nucléaire, le commerce, l’aviation … sont visés.
Le FBI en collaboration avec le DHS a mené les investigations qui ont permis d’attribuer ces attaques à la Russie en se basant sur les IOCs et les TTP
(« Tactics, Techniques, and Procedures » soit des méthodologies d’attaque) utilisées.
Afin de compromettre le système d’information des cibles, les attaquants se sont servis des serveurs des partenaires, moins sécurisés, comme pivot.
Depuis le réseau de ces partenaires, ils font des scans d’énumération des assets de la cible, envoient des mails de phishing et créent des points d’eau (“watering hole”) permettant de collecter des mots de passe.
Une fois sur le réseau de la cible, leur objectif est de collecter le maximum de mots de passe, de se propager davantage via des fichiers LNK, ainsi que d’assurer une persistance sur le système et un contrôle à distance via RDP ou Webshell.

https://www.us-cert.gov/ncas/alerts/TA18-074A [EN]

Android : un malware préinstallé dans près de 5 millions de smartphones

RottenSys est le nom d’un nouveau malware massivement installé sur des smartphones Android que les experts de Checkpoint ont découvert. Le malware déguisé sous forme de service Wi-Fi ‘System Wi-Fi service’ est pré-installé sur près de 5 millions de smartphones. 49.2% des téléphones infectés proviennent d’un distributeur de smartphones chinois Tian Pai basé à Hangzhou. Cependant il est actuellement impossible d’établir une responsabilité du distributeur par rapport à ce malware. Parmi les marques de téléphones impactées, on retrouve entre autre Honor, Huawei, Xiaomi, OPPO, Vivo, Meizu, LeEco, Coolpad, GIONEE et Samsung.
Le malware, distribué depuis septembre 2016 selon Checkpoint, utilise deux modes d’évasion. Il retarde de beaucoup de temps son premier contact avec le C&C afin de ne pas lever d’alertes. Ensuite, le malware dans sa version initiale n’est qu’un simple dropper, qui va par la suite récupérer ses composants additionnels depuis son serveur C&C. Le malware est ainsi capable de télécharger des applications à l’insu de la victime grâce à la permission DOWNLOAD_WITHOUT_NOTIFICATION et de l’exécuter sur le système. L’objectif premier de RottenSys est de faire de la publicité, d’ailleurs elle a généré en 10 jours $115.000. Mais les experts redoutent sa capacité à pouvoir devenir un botnet distribuant des menaces plus hostiles.

https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/ [EN]

https://thehackernews.com/2018/03/android-botnet-malware.html [EN]

Attaque APT : Sofacy utilise DealersChoice pour attaquer des agences de gouvernement européen

Des chercheurs de l’équipe Unit 42 de Palo-Alto ont découvert une nouvelle campagne d’attaques menées par le groupe russe Sofacy spécialisé dans les menaces de types APT. Dans cette campagne, le groupe Sofacy fait usage de son framework DealersChoice afin de produire des documents contenant des charges malveillantes exploitant une faille Adobe Flash. Les documents nommés “Defence & Security 2018 Conference Agenda.docx” sont distribués via des mails de phishing ayant comme objet “Defence & Security 2018 Conference Agenda”. La particularité de cette campagne réside dans la charge utile insérée dans le document office qui ne se lance que lorsque l’utilisateur arrive sur la page 3 du document. Cette technique simple, utilisée pour la première fois par Sofacy, permet entre autre de contourner les outils d’analyse automatique tels que les sandbox. La charge utile une fois lancée, se connecte sur le serveur de Command & Control afin de récupérer un autre fichier swf contenant l’exploit Adobe Flash. Une fois l’exploitation réussie, la machine se connecte à nouveau sur le même serveur C&C afin de récupérer la charge finale.

https://researchcenter.paloaltonetworks.com/2018/03/unit42-sofacy-uses-dealerschoice-target-european-government-agency/ [EN]

Processeurs AMD : 13 vulnérabilités critiques dévoilées

Des chercheurs d’une entreprise israélienne nommée CTS-Labs ont découvert 13 vulnérabilités critiques, similaires à Spectre & Meltdown, sur les gammes de processeurs AMD Ryzen et EPYC. L’exploitation réussie de ces vulnérabilités, permettrait à un attaquant d’avoir accès à des informations sensibles, d’installer des malwares persistants sur le composant et d’avoir un accès complet au système. Toutefois, l’attaquant doit avoir les droits administrateur afin d’utiliser ces exploits.
Toutes ces vulnérabilités affectent le Platform Security Processor (PSP) d’AMD..
Les vulnérabilités sont divisées en 4 catégories : RYZENFALL, FALLOUT, CHIMERA, and MASTERKEY. Elles impactent aussi bien les serveurs, que les postes physiques ou portables.
CTS-Lab n’a donné que 24 heures à AMD, le temps de prendre connaissance des vulnérabilités, avant de les rendre publiques, ce qui est contraire aux standards de divulgation responsable “Responsible disclosure”. Du côté du fabricant, des correctifs sont en cours de préparation.

https://amdflaws.com/ [EN]

https://www.amd.com/en/corporate/security-updates [EN]