| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

OpenPGP et S/MIME : des failles permettent de déchiffrer les mails chiffrés

Les outils de chiffrement de mail OpenPGP et S/MIME sont impactés par des failles critiques nommées EFAIL. Ces vulnérabilités permettent à un attaquant d’avoir accès à vos mails préalablement chiffrés en clair, y compris ceux reçus dans le passé en tirant parti de fonctionnalités des clients de messageries qui permettent d’enrichir le contenu textuel d’un courriel en intégrant du HTML ou encore du CSS.
Ces vulnérabilités résident dans la manière dont les contenus HTML sont gérés par le client de messagerie.
En effet, comme exemple de scénario d’attaque, une personne malveillante peut intercepter votre email chiffré, le modifier en y ajoutant des balises html spécifiques, avant de le laisser continuer sa route. Une fois l’email reçu et déchiffré avec votre client de messagerie, le code HTML malveillant rajouté par l’attaquant sera interprété et renverra le contenu du mail en clair vers ce dernier.

Pour se protéger contre de telles attaques, il est conseillé de désactiver les contenus distants dans vos clients de messagerie, ou de mitiger l’attaque en utilisant du déchiffrement en ligne de commande par exemple..

Ces vulnérabilités sont identifiées par CVE-2017-17688 et CVE-2017-17689.

https://efail.de/#been-p0wned [EN]
https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now [EN]

Signal Desktop : une vulnérabilité critique permet une exécution de code à distance

Un chercheur argentin du nom d’Alfredo Ortega a publié sur Twitter une vulnérabilité critique impactant les versions Windows Desktop et Linux Desktop de l’application de messagerie sécurisée Signal. La vulnérabilité permet à un attaquant distant d’exécuter du code JavaScript sur la machine de la victime en envoyant un message spécialement forgé. Cette faille critique inquiète la communauté infosec car elle pourrait être exploitée pour dérober des clés de chiffrements secret.

De son côté, Ortega confirme que la faille ne permet pour le moment que d’exécuter du code JavaScript. Le chercheur affirme aussi que l’exploitation de cette vulnérabilité nécessite le chaînage de deux autres vulnérabilités.

Pour l’instant la faille ne s’applique que pour Signal, mais il se pourrait qu’elle soit liée au framework Electron. Le cas échéant beaucoup d’autres applications faisant usage de ce framework comme Skype, Slack, GitHub Desktop, Twitch, WordPress.com… seraient aussi impactées.

Les versions 1.10.1 et 1.11.0-beta.3 de Signal Desktop corrigent cette vulnérabilité.

https://thehackernews.com/2018/05/signal-messenger-vulnerability.html [EN]
https://twitter.com/ortegaalfredo/status/995017143002509313 [EN]
https://securityaffairs.co/wordpress/72459/hacking/electron-flaw.html [EN]

Microsoft patch tuesday : deux vulnérabilités 0 day exploitées dans la nature

Lors du traditionnel patch tuesday de ce mois de Mai, Microsoft a procédé à la correction de 67 vulnérabilités, dont 21 critiques et 42 importantes. Ces vulnérabilités impactent entre autre Outlook, Microsoft Office, Microsoft Office Exchange Server, .NET Framework, Microsoft Hyper-V, ChakraCore, Azure IoT SDKEdge et Internet Explorer. Parmi ces vulnérabilités, deux sont exploitées activement dans la nature par des acteurs APT dont l’identité n’a pas été divulguée.

Une des vulnérabilités exploitées dans la nature, nommée “Double Kill” (CVE-2018-8174), impacte le moteur VBScript. Elle a été découverte par des chercheurs de l’entreprise chinoise Qihoo 360 et de Kaspersky le mois dernier. Un attaquant peut l’exploiter à distance via un site web malveillant ou un fichier office spécialement conçu afin d’exécuter du code arbitraire sur la machine de la victime.

La deuxième vulnérabilité (CVE-2018-8120) exploitée dans la nature permet une élévation de privilèges. La vulnérabilité réside dans le composant Win32k. Elle impacte uniquement les versions 7, Server 2008 et Server 2008 R2 de Windows.

L’ensemble de ces vulnérabilités ont été corrigé et Microsoft recommande vivement l’application rapide de ces correctifs.

https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2018-patch-tuesday-fixes-67-security-issues-including-ie-zero-day/ [EN]
https://www.thezdi.com/blog/2018/5/8/the-may-2018-security-update-review [EN]

RowHammer : une nouvelle technique permet d’exploiter la vulnérabilité à distance via le réseau

Nommée Throwhammer, cette nouvelle technique permet d’exploiter la vulnérabilité RowHammer à distance en envoyant des paquets réseau spécialement forgés vers un système avec une carte réseau vulnérable.

RowHammer est une vulnérabilité critique et très sophistiquée découverte en 2012. Elle impacte les nouvelles générations de mémoire nommées DRAM. Son but est d’arriver à inverser (bit flipping) les bits d’une zone mémoire en accédant de manière rapide et répétée aux zones mémoires proches de la zone cible. Lorsque l’exploitation réussie, elle permet à l’attaquant d’exécuter du code arbitraire sur le système. L’exploitation nécessite donc d’avoir déjà la possibilité d’exécuter du code sur la machine cible. Plusieurs preuves de concepts sont apparues depuis 2012, dont le plus récent GLitch qui impacte Android, et permet d’exploiter le smartphone en moins de 2min.

Contrairement à RowHammer, Throwhammer peut elle être exploitée contre une machine à distance via le réseau. En effet tous les systèmes équipés d’une carte réseau avec RDMA (Remote Direct Memory Access ) sont vulnérables. Ces types de cartes sont souvent utilisés dans le cloud et les datacenter. Cependant vu les conditions d’exploitation, la vulnérabilité ne concerne que les cartes réseau pouvant atteindre 10Gbps.

https://www.cs.vu.nl/~herbertb/download/papers/throwhammer_atc18.pdf  [EN]
https://arstechnica.com/information-technology/2018/05/attackers-trigger-rowhammer-bit-flips-by-sending-network-packets-over-a-lan/ [EN]
https://securityaffairs.co/wordpress/72377/hacking/throwhammer-rowhammer-attack.html [EN]

Microsoft Excel : les risques de sécurité liés à l’ajout du support de JavaScript

Comme promis l’année dernière lors de la conférence Microsoft Ignite, les développeurs de Microsoft ont rajouté le support de JavaScript dans Excel. Cette fonctionnalité permet d’ajouter des formules faits maison dans Excel afin de mieux manipuler les données. Elle est disponible sur les versions Windows, macOS et cloud de Microsoft Excel.

Aussitôt après l’annonce de la nouvelle, la communauté infosec n’a pas tardé à manifester son inquiétude par rapport aux effets dévastateurs que peut causer l’usage détourné de cette fonctionnalité. Charles Dardaman un chercheur en sécurité a rapidement mis au point une preuve de concept qui permet de miner de la crypto monnaie en utilisant du code JavaScript dans Excel.

Il faut tout de même noter que l’exécution du JavaScript n’est pas automatique lors du premier lancement. Elle nécessite un chargement manuel par l’utilisateur. De plus lorsque le script JS souhaite effectuer une connexion réseau vers un serveur externe, une validation manuelle par l’utilisateur est requise.

Pour l’instant la fonctionnalité est disponible uniquement dans la version Developer Preview edition. Cette nouvelle fonctionnalité risque fortement de devenir un vecteur d’attaque très convoité par les attaquants.

https://charles.dardaman.com/js_coinhive_in_excel [EN]
https://www.bleepingcomputer.com/news/microsoft/microsoft-adds-support-for-javascript-functions-in-excel/ [EN]
https://www.bleepingcomputer.com/news/security/poc-developed-for-coinhive-mining-in-excel-using-custom-javascript-functions/ [EN]

Malware : découverte du premier ransomware utilisant la technique “Process Doppelgänging”

SynAck, un malware de type ransomware, est le premier du genre à faire usage de la technique du Process Doppelgänging afin d’infecter des machines. Cette technique, découverte il y a un an, permet d’exécuter du code malveillant sans l’écrire sur le disque de stockage et en se faisant passer pour un processus légitime. Elle abuse essentiellement des transactions du système de fichier NTFS et une implémentation obsolète du chargeur de processus Windows.

SynAck est un ransomware actif depuis 2017 et qui présente pas mal de protections anti-analyse et de technique d’obfuscation.

Avec cette technique employée, la détection du malware par les anti-virus devient plus complexe.

D’après les chercheurs de Kaspersky cette version cible principalement les USA, le Koweït, l’Allemagne et l’Iran.

https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/ [EN]
https://www.kaspersky.fr/blog/synack-ransomware-featured/10477/ [EN]

Trello : une fuite d’informations sensibles découvert par hasard

Un passionné de sécurité informatique a découvert plusieurs données sensibles exposées dans des boards Trello. En effet cette découverte est le fruit d’un pur hasard car le chercheur tentait de lister les instances Jira exposées sur internet dans le cadre de BugBounty. Mais cette recherche, via des Google Dork, a conduit à la découverte de nombreux mots de passe partagées via Trello.

On retrouve entre autre des mots de passe de compte mail, SSH, FTP, interface d’administration de site web… Certaines entreprises utilisent même les boards Trello pour gérer les vulnérabilités découvertes sur leur infrastructure.

https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724 [EN]

TreasureHunter : le code source du malware a fuité sur un forum russe

TreasureHunter est un malware découvert en 2014 et qui cible les points de vente. Une fois installé sur la machine, TreasureHunter liste les processus du système avant de fouiller dans leur mémoire à la recherche de codes de cartes de crédit. Les données ainsi dérobées sont ensuite envoyées au serveur C&C via des requêtes post HTTP.

Récemment, sur un forum russe, des chercheurs de Flashpoint ont découvert le code source du malware. Le code comprend celui du builder, du panel d’administration et de l’interface graphique. Avec cette fuite, il ne serait pas surprenant dans le futur de retrouver des nouvelles versions du malware. Inversement, cette fuite devrait permettre aux spécialistes de sécurité de construire de solide moyens de protections et de détections de ce malware.

https://www.flashpoint-intel.com/blog/treasurehunter-source-code-leaked/ [EN]