SecurityInsider
Le blog des experts sécurité Wavestone

Ce qui a changé pour l’épinglement de certificat à partir d’Android 7 Nougat


La septième mouture d’Android, nommée « Nougat », estampillée « API level 24 », et publiée en août 2016, a introduit des changements importants en matière de sécurité des flux de communication SSL/TLS et plus particulièrement autour de l’épinglement de certificat (certificate-pinning en anglais).
Pour rappel, l’épinglement de certificat est une mesure de sécurisation visant à limiter l’impact de la compromission d’une Autorité de Certification (AC) en définissant précisément côté client quel certificat, ou quelle chaine de certification, est attendu (https://www.riskinsight-wavestone.com/2013/04/epinglez-vos-certificats).


Ce qui change pour les développeurs 

De manière simple, jusqu’à présent toute application Android faisait aveuglément confiance aux certificats présents dans les deux magasins disponibles sur un terminal, à savoir la base « système », provenant du projet AOSP https://android.googlesource.com/platform/system/ca-certificates/, et la base « utilisateur », contenant des certificats personnalisés, modifiable par un utilisateur du terminal.


Un développeur devait ainsi appliquer une section de code spécifique dans son application pour effectuer un épinglement : sans expérience dans ce domaine, un développement spécifique pouvait s’avérer être totalement ineffectif (https://www.synopsys.com/blogs/software-security/ineffective-certificate-pinning-implementations/). Nous conseillons d’ailleurs aux développeurs de se baser sur les exemples fournis par l’OWASP s’ils souhaitent mettre en œuvre une telle mesure (https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning).
Désormais, une application compilée avec à minima Android 7 comme version cible ne fera plus confiance par défaut au magasin « utilisateur » et devra explicitement définir les AC reconnues comme valides selon plusieurs possibilités :
  • Pour les phases de débogage uniquement : l’application doit dans ce cas être compilée avec l’instruction « debuggable=true » dans le Manifest
  • Par domaine
  • Pour une liste de domaine
  • Pour tous les domaines sauf exception

L’exemple suivant, tiré de ce blog post (https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html), illustre comment déclarer un AC valide pour le domaine « internal.example.com » :


Ce qui change pour les auditeurs/pentesters

Historiquement toute personne souhaitant analyser/auditer les flux Web d’une application et qui n’était pas en mesure de compiler l’application cible devait :
  1. Utiliser un proxy Web, par exemple Burp Suite 
  2. Ajouter l’AC de ce proxy dans le magasin « utilisateur » pour pouvoir intercepter les flux chiffrés SSL/TLS
  3. Désactiver la fonction d’épinglement de certificat au sein de l’application, notamment en patchant et recompilant l’application (https://medium.com/@felipecsl/bypassing-certificate-pinning-on-android-for-fun-and-profit-1b0d14beab2b)
  4. Rediriger les flux du terminal vers le proxy, par exemple via les paramètres de connectivité Wi-Fi


L’étape 2 étant désormais ineffective à partir d’Android 7, plusieurs possibilités s’offrent à un auditeur :

Un exemple détaillé d’application de cette méthode est disponible ici (https://blog.it-securityguard.com/the-stony-path-of-android-%F0%9F%A4%96-bug-bounty-bypassing-certificate-pinning/


En complexifiant la procédure d’interception des flux par des auditeurs bien intentionnés, ces modifications dans la gestion des certificats introduites à partir d’Android 7 permettent également de complexifier les possibilités d’interception par des personnes mal intentionnées tout en facilitant le travail des développeurs, dans l’objectif global de renforcer la confiance au sein de la plateforme mobile la plus utilisée au monde (https://www.idc.com/promo/smartphone-market-share/os).

CERT-W : Retours sur l'actualité de la semaine du 20 au 26 novembre 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Thomas DEBIZE, ce qui a changé pour l’épinglement de certificat à partir d’Android 7 Nougat.

Veille cybercriminalite

Fuite de données massive en 2016 chez Uber qui étouffe l'affaire

Les données de 57 millions de clients et conducteurs Uber ont été volées en 2016 par des hackers anonymes. L'attaque a été largement facilitée par le fait que la clé privée protégeant la base de données attaquée était disponible dans un fichier public sur un répertoire Github... Il est en effet possible de trouver un certain nombre de clés privées sur Github grâce à des recherches Google simples (ex: site:http://github.com inurl:ssh/id_rsa), ou bien directement via l'outil de recherche Github

Tether annonce un vol de 30 millions de cryptotokens

Tether est une entreprise controversée qui propose un service de cryptomonnaie basée sur des tokens à parité avec le dollar américain, ce qui en principe signifie que pour 1 million de Tether en circulation, l'entreprise possède de façon bien réelle ce million de dollars. L'utilité d'un vol de tokens est donc toute relative, étant donné que ceux ci peuvent être tout simplement annulés via une mise à jour du logiciel utilisé pour trader la cryptomonnaie... En revanche, ce vol remet l'entreprise sur la sellette alors que des soupçons pesaient déjà sur sa légitimité. Conclusion : N'investissez pas dans des Tethers tout de suite.

Le hacker d'HBO, qui a mis à disposition du public des épisodes inédits de plusieurs séries (dont GOT) aurait été identifié.


Veille vulnerabilite

Intel toujours dans la tourmente : des vulnérabilités supplémentaires trouvées

Après la faille trouvée la semaine dernière sur les composants Intel (cf Revue d'actualité), un autre set de vulnérabilités a été trouvé (CVE-2017-05 à 10). Les vulnérabilités utilisent différents mécanismes, depuis les buffers overflows à l'escalade de préivilèges. Ceci permet in fine l'exécution de code malveillant.

L'OWASP publie son nouveau TOP 10 des vulnérabilités WEB


Les imprimantes HP vulnérables à l'exécution de code à distance

La vulnérabilite (CVE-2017-2750) a été patchée par HP qui en avait été informé en aout. L'exploit est disponible sur GitHub.

Indicateurs de la semaine

Le leak de la semaine - Imgur a également discrètement avoué s'être fait voler les données de 1,7 millions d'utilisateurs en 2014


L'exploit de la semaine - Un PoC prouve la possibilité de répliquer du code VBA de façon légitime dans des macros

Il est possible de bypasser la désactivation des macros sur Office en modifiant simplement un registre. Une fois la modification effectuée, la macro peut écrire d'autres macros qui sont exécutées à chaque lancement de documents Office. De plus, le poste infecté est alors vulnérable à toute autre attaque basée sur des macros.

L'attaque de la semaine - Une campagne de propagation du ransomware Scarab est en cours via le réseau de botnet Necurs

Necurs est un des plus gros réseaux de botnets dédiés au spam du monde avec plus de 6 millions d'ordinateurs infectés. Il est notamment à l'origine de la propagation de Locky.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Compte-rendu de la conférence Hackfest 9 – 3 et 4 novembre 2017


Wavestone était présent la 9ème édition de la conférence de sécurité québécoise « Hackfest » qui a cette année rassemblé plus d’un millier de participants et où Thomas DEBIZE de la practice Cybersecurity & Digital Trust a eu la possibilité de présenter les travaux autour de la sécurité Hadoop (Wavestone-Hackfest-2017-Hadoop-safari-Hunting-for-vulnerabilities-v1.0.pdf)

Nous vous proposons ci-dessous un compte-rendu d’une sélection de talks. 
Les vidéos associées seront prochainement publiées sur la chaine Youtube de la conférence disponible à l'adresse suivante : https://www.youtube.com/user/hackfestca/videos.
Nous tenons à remercier les organisateurs pour leur accueil chaleureux et l’ambiance détendue pour notre première participation, et qui nous l’espérons, ne sera pas la dernière !



Stantinko : Un botnet aux multiples facettes opérant depuis plus de 5 ans - Matthieu Faou & Frédéric Vachon 


Les deux chercheurs de la société ESET ont détaillé un écosystème de malware affilié à un botnet important d’au moins 500 000 machines nommé « Stantinko » visant plusieurs objectifs :
  • Détourner le trafic Web des victimes en les faisant passer par une régie publicitaire (click-fraud)
  • Trouver et compromettre des CMS Wordpress et Joomla en distribuant des tentatives d’authentification sur les interfaces d’administration 
  • Installer un outil d’accès à distance sur les postes des victimes
  • Piéger les comptes Facebook des victimes

Ce botnet vise uniquement les pays russophone dont entre autres la Russie, l’Ukraine, l’Azerbaidjan et la Géorgie.

La grande particularité de ce botnet est le soin très méticuleux apporté au développement des différents malwares impliqués par leurs auteurs, soin qu’il est courant de retrouver au sein de campagnes APT et non d’à-priori « simple » adware :
  • Les fonctions malveillantes sont insérées au sein de codes légitimes de projets open-source, telle que l’encodeur audio MP3 « Lame », l’encodeur vidéo « VP9 » ou encore une bibliothèque d’analyse de radiographies neurologiques. Cette pratique augmente sensiblement la probabilité de non-détection par les éditeurs anti-malwares, dans la mesure où le rapport code malveillant / code légitime est minimal et qu’il n’est pas courant de voire de telles bibliothèques utilisées dans des attaques
  • Les serveurs de commande et contrôle (C2) servent les véritables pages Web de description des projets open-source utilisées, les liens de ces pages pointant vers les dépôts officiels
  • Les malwares sont packés avec la solution VMProtect, solution complexe virtualisant le code original et pour laquelle il n’existe pas d’outil d’unpacking générique
  • Les malwares des différentes étapes (stage 1, 2 etc.) sont hébergés sur Yandex avec un lien à usage unique, complexifiant encore une fois le travail des analystes anti-malwares désireux de récupérer des échantillons
  • Les malwares mettent en œuvre de multiples protections anti-debug et anti-détection, dont par exemple l’usage de clé de chiffrement unique pour la communication avec le C2, le stockage de code malveillant au sein du registre Windows, ou l’utilisation de control-flow flattening (cf. image ci-après) visant à applatir la structure d’exécution et ainsi complexifier grandement l’analyse


L’infection initiale par ce botnet passe par le téléchargement d’un logiciel « FileTour » promettant notamment à ses utilisateurs de leur délivrer des coupons de réduction…et cette promesse est tenue, des coupons fonctionnels sont véritablement délivrés aux utilisateurs. 
Cette caractéristique, couplée à la sophistication des malwares, traduit le fait qu’un groupe très compétent et très organisé est derrière ce business très rentable de la fraude à la régie publicitaire.
Enfin, les chercheurs ont souhaité informer qu’une version Linux de cet écosystème a récemment été découverte et est pour l’instant limitée à l’injection d’un module de proxy SOCKS sur les machines victimes.


How To Pwn an Enterprise in 2017 (or 2016, or 2015...) - Johnny Xmas 


L’auteur de ce talk a dressé une liste de différentes étapes, qui fonctionnent malheureusement à tous les coups selon lui, pour s’introduire et compromettre à distance le SI d’une entreprise :
  • Pour la phase de reconnaissance : 
    • La cartographie des actifs sur Internet, par exemple via l’outil « Scancannon » (https://github.com/johnnyxmas/ScanCannon)
    • La récupération de noms d’utilisateur, pour mener une attaque par bruteforce sur les infrastructures communes telles qu’un VPN ou un webmail 
      • Via le site hunter.io
      • Via l’outil FOCA, en analysant les métadonnées de documents trouvés sur Internet
  • Pour la phase d’exploitation
    • L’utilisation de mots de passe triviaux : <mois><année>, <saison><année>, Password1 etc.


    • L’utilisation de l’outil « mailsniper » permettant d’attaquer les WebServices Exchange (EWS), l’auteur rappelant que ces WebServices ne requièrent pas d’authentification forte même si celle-ci est déployée sur le webmail
    • L’utilisation de l’outil « fiercephish » pour réaliser facilement une campagne de phishing

  • Pour la phase de post-exploitation, c’est-à-dire une fois l’attaquant positionné sur le réseau de l’entreprise
    • L’utilisation de l’outil « Responder » pour intercepter des requêtes d’authentification et récupérer des hashes utilisateur
    • La réalisation d’attaque par bruteforce sur les services SMB et WMI
    • L’utilisation des outils « Bloodhound », « Mimikatz », « Empire » et « Deathstar » pour facilement localiser des comptes possédant des privilèges d’administration du domaine/forêt, et récupérer les authentifiants associés


SniffAir: An Open-Source Framework for Wireless Security Assessments - How To Pwn an Enterprise in 2017 (or 2016, or 2015...) - Matthew Eidelberg & Steven Daracott 


Cet outil open-source facilite la collecte, la manipulation et l’analyse de traces Wi-Fi ainsi que la réalisation d’attaque sur les réseaux sans-fil tel que le bruteforce de nom d’utilisateur pour les réseaux utilisant EAP-TLS ou l’instanciation d’un point d’accès malveillant avec portail captif.



Full-contact recon: winning without exploits - Dual Core

Dans la même lignée que le talk de Johnny Xmas, l’auteur a voulu ici lister les différentes méthodes permettant d’obtenir des informations permettant de s’introduire sur un SI d’entreprise, sans même effectuer un scan de port ou de vulnérabilité sur celle-ci, et ainsi minimiser la probabilité de détection. 


En guise d’introduction, l’auteur a relaté une anecdote où il récemment pu s’introduire sur le SI sans même envoyer un paquet sur ses infrastructures d’une société en découvrant le nom d’un administrateur IT, en repérant son profil LinkedIn et en cassant son mot de passe via les dumps LinkedIn de 2013 et 2016. Le mot de passe cassé a été rejoué sur un serveur SSH exposé sur Internet et a permis d’obtenir instantanément les droits root sur la machine cible, ainsi que toutes les autres du SI.
Les plateformes et outils suivants ont été cités :
  • GeoIP et PTRarchive.com, pour obtenir les plages IP et domaines publiques d’une entreprise
  • Sublist3r, pour énumérer les sous-domaines
  • Shodan, pour identifier les services exposés
  • Github, pour collecter les adresses mail de collaborateurs de l’entreprise. Une démo de l’outil « githump » a été réalisée
  • Travis-CI, pour également collecter les adresses mail de collaborateurs
  • emailformat.com, pour lister les formats possibles de nom d’utilisateur sur un webmail
  • allmytweets.net, pour collecter diverses informations par un twittos
  • LinkedIn et notamment ses dumps de base de données volés
  • Des wikis d’entreprise, par exemple Atlassian, qui contiennent souvent des authentifiants
  • AWS S3, à la recherche d’éventuels buckets en lecture à tout le monde


BITSInject - Dor Azouri


Le service “Background Intelligent Transfer Service (BITS)” de Windows est un système d’ordonnancement d’envoi/réception de fichier, notamment utilisé par Windows Update. 
L’auteur a détaillé ici une faille qui permet à un attaquant disposant de privilèges d’administration sur une machine d’obtenir une invite de commande avec les privilèges « NT SYSTEM/AUTHORITY », permettant ainsi d’atteindre à la traçabilité des actions :



Microsoft a jugé qu’un attaquant disposant au préalable de privilèges d’administration pouvait faire beaucoup plus de dégâts sur un système, que cette faille n’apportait ainsi pas grand-chose et qu’elle n’allait pas être corrigée.



Genetic Algorithms for Brute Forcing - Christopher Ellis

Effectuer une attaque par bruteforce peut être réalisée suivant plusieurs méthodes dont entre autres :
  • L’énumération exhaustive d’un espace de possibilité
  • L’utilisation d’un dictionnaire, réduisant l’espace total à des cas déjà connus
  • L’utilisation de propriétés statistiques via les chaines de Markov, qui permettent de construire une liste de candidat basée sur la probabilité qu’un caractère en suive un autre. Par exemple dans la langue française, il est fort probable d’avoir un « e » ou « a » (et plus globalement une voyelle) après un « n » (et plus globalement après une consomme), plutôt qu’un « b »

L’auteur a présenté ici une méthode de bruteforce basée sur un algorithme d’évolution génétique, ayant pour principe que les candidats potentiel sont construits suivant le succès des tentatives précédents. Les futurs candidats calquent ceux ayant été précédemment fructueux. Par exemple, si pour le cassage d’une base de mot de passe, le motif « 4 caractères alphabétiques + 2 caractères numériques » est fructueux, l’algorithme va naturellement se concentrer sur celui-ci au détriment des autres possibilités.


L’auteur a publié le code de son outil : https://github.com/ChrisJoinEngine/GAForcer


Dissecting a metamorphic file-infecting ransomware – Raul Alvarez


Le chercheur de la société Fortinet a détaillé le ransomware « Virlock » qui possède la caractéristique d’être polymorphique, en réécrivant sa charge malveillante après chaque exécution, complexifiant ainsi la détection par les solutions anti-malwares. La charge est en effet déchiffrée avec la clé précédente, exécutée, puis re-chiffrée avec une nouvelle clé générée aléatoirement.



Élection présidentielle Française 2.0 – Damien Bancal

Le journaliste du site ZATAZ est revenu sur les attaques de déstabilisation informationnelle ayant eu lieu tout au long de la campagne de l’élection française présidentielle 2017, en insistant sur les vulnérabilités des sites/blogs des candidats, les fuites de données recensées et la lutte médiatique sur les réseaux sociaux.



Lessons learned hunting IoT malware – Olivier Bilodeau

Le chercheur a détaillé ici les étapes et écueils pour analyser des attaques sur des composants IoT à l’échelle d’Internet, au moyen de honeypots, à travers trois cas d’études : LizardSquad, Linux/Moose et Chaos.

CERT-W : Retours sur l'actualité de la semaine du 13 au 19 novembre 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Thomas DEBIZE, le compte-rendu de la conférence Hackfest 9.

Veille cybercriminalité

L'ANSSI publie une mise à jour de son guide sur l'acquisition et l'exploitation des noms de domaines

Les prédictions de Kaspersky en matière de menaces cybercriminelles pour 2018

Zscaler publie une analyse de quelques malwares exploitant la vulnérabilité liée au protocole DDE au sein de fichiers Microsoft Office

Des spams et arnaques envoyés sur WhatsApp tirent partie des noms de domaine internationalisés

La principale astuce de ce type d'attaque étant d'utiliser des caractères visuellement similaires

Google analyse les causes communes de fuite d'authentifiants gmail

Une vague de ransomware utilise une attaque par bruteforce sur les services RDP exposés sur Internet


IBM, Packet Clearing House et GlobalCyberAlliance ouvrent un service Quad9 de résolution DNS public

Le principal avantage de ce résolveur, contrairement aux DNS publics de Google, est de permettre un accès via une connexion chiffrée TLS

La société IOActive publie une analyse du rapport de l'attaque WannaCry subie par le système de santé britannique NHS

L'impact de l'attaque sur les actifs NHS avait été massivement relayé dans les médias (actes médicaux suspendus, patients transférés entre hopitaux etc.)

Une porte dérobée dans le One Plus permettrai de récupérer un accès root sans débloquer le bootloader

Un chercheur anonyme répondant sous le nom d'Elliot Anderson (personnage principal de la série Mr Robot) a découvert un outil de debug toujours présent dans les téléphones One Plus. Cet outil nommé EngineerMode permet à une personne disposant d'un accès physique au téléphone de récupérer un accès root, et ainsi d'accéder à l'ensemble des données.

Veille vulnerabilite

L'ANSSI publie une guide sur la mise en oeuvre des fonctionnalités de sécurité de Windows 10 reposant sur la virtualisation

Les technologies Virtual Secure Mode, Device Guard et Credential Guard sont abordées

L'agence nationale de sécurité SI australienne publie une note de recommandation en matière de contrôle d'accès et de politique de mot de passe

Google annonce que son nouveau téléphone Pixel 2 est équipé d'une puce TPM

Sur Android les puces TPM déclinent le concept de "Trusted Execution Environment" o񠬥s secrets d'authentification sont stockés et les tentatives d'authentification exécutées. La caractéristique principale d'une puce TPM étant l'inviolabilité au niveau électronique et l'impossibilité d'extraire les secrets pour les casser hors-ligne

PentestPartners publie une analyse la sécurité du protocole de communication utilisé pour le transport de container maritime

PentestPartners publie quelques recommandations de sécurité aux concepteurs d'objets connectés sur le choix du microcontrôleur

Dyn revient sur une fuite de route BGP ayant impacté et ralenti des millions de connexions le 6 novembre 2017 en amérique du nord

RiskBasedSecurity publie son rapport de vulnérabilités divulguées au cours du troisième trimestre 2017

39.9% des vulnérabilités rapportées ont un score CVSSv2 supérieur à 7.0

Talos dévoile de multiples vulnérabilités impactant la caméra IP Foscam C1 Indoor HD

La société IOActive publie une analyse de la sécurité de plusieurs systèmes de communication maritime

Windows 10 et la fonctionnalité de "Controlled Access Folder" introduite avec la dernière mise à jour majeure (Fall Creators)

La reconnaissance faciale d'Apple contournée par une impression 3D

Malgré les nombreux mécanismes de sécurité implémentés par la reconnaissance faciale de l'iPhone X (détecteur de chaleur, de profondeur, à l'aide de plus de trente milles points infrarouges, etc.), ce système d'authentification ne semble pas plus fiable que le classique mot de passe.
En effet, des chercheurs de la compagnie de sécurité vietnamienne Bkav ont réussi à contourner le mécanisme à l'aide de l'impression 3D d'un masque sur lequel sont collées des images 2D, le tout pour un total de moins de 150$.

GitHub prévient les développeurs de dépendances incluses dans les projets dont la version est obsolète

20 millions d'équipement Google Home et Amazon Echo sont affectés pas la vulnérabilité Blueborne

En septembre dernier, les huit vulnérabilités regroupées sous le nom de Blueborne et affectant de nombreux équipements Bluetooth étaient publiées. Deux mois plus tard, Armis, la compagnie ayant initialement rendu publique les vulnérabilités, a publié un communiqué indiquant que Blueborne serait toujours présents sur plus de 15 millions d'Amazon Echo et 5 millions de Google Home. La vulnérabilité permettrait alors de prendre le contrôle total de ces équipements en constante écoute de communications Bluetooth.

Un chercheur identifie une faille de sécurité pour le produit Amazon Alexa permettant d'énumérer les propriétaires de ces objets et de communiquer avec eux (audio, SMS)

Une vulnérabilité dans le service Amazon Key pourrait permettre la désactivation des caméras

Des chercheurs de Rhino Security Labs ont identifié une vulnérabilité dans le service Amazon's Key, permettant aux utilisateurs de se faire livrer leurs colis chez eux sous le contrôle d'une caméra et d'un verrou électronique.
La vulnérabilité rendue publique par les chercheurs permettrait alors de désactiver les équipements pour cambrioler les lieux.

CVE-2017-11882

Les chercheurs de la compagnie de sécurité Embeddi ont découvert une vulnérabilité critique dans le logiciel Microsoft Office. Cette vulnérabilité affectant l'ensemble des versions du logiciel depuis la 2007, et ce sur l'ensemble des systèmes d'exploitation de Microsoft, pourrait permettre à un attaquant à distance d'installer un programme malveillant sur le système (exécution de code à distance), et ce sans interaction utilisateur.
Cette vulnérabilité provenant d'un composant obsolète de Microsoft Office, les chercheurs ont également publié les commandes permettant de le désactiver (voir première source).

La vulnérabilité JOLTANDBLEED affecte les produits Oracle

L'éditeur Oracle a publié une mise à jour de sécurité critique concernant des vulnérabilités affectant plusieurs de ses produits qui reposent sur l'utilisation du protocole propriétaire Jolt.
Ces vulnérabilités, découvertes par des chercheurs de chez ERPScan et regroupées sous le nom de JoltandBleed, permettrait différentes manipulations de la mémoire pour aboutir à la récupération des données par un attaquant non authentifié.

Indicateurs de la semaine

L'attaque de la semaine - Le département de sécurité intérieure des Etats-Unis (DHS) révèle avoir mené un test d'intrusion sur un Boeing 757 et avoir pu prendre le contrôle à distance des systèmes de l'appareil

L'exploit de la semaine - Des chercheurs obtiennent un accès JTAG au composant Intel Management Engine (ME)

Intel ME est un système de management bas-niveau présent sur de nombreux processeurs Intel depuis 2006, une faille critique avait notamment été trouvée l'année dernière sur le composant Intel AMT basé sur Intel ME (cf. http://www.securityinsider-wavestone.com/2017/09/compte-rendu-de-la-conference-hitb-gsec-2017.html).
Cet accès via le protocole de débogage JTAG va permettre d'analyser en profondeur la sécurité d'un tel composant

Le leak de la semaine - De nombreuses données militaires américaines exposées via AWS S3

Trois buckets Amazon S3 contenant des Téraoctets de données d'archives de surveillance par les services militaire américains ont été découverts sur Internet. La cause, une mauvaise configuration des buckets les laissant accessibles publiquement à tous.

Le guide de la semaine - Mise en place des fonctionnalités de sécurité Windows 10 basées sur la virtualisation

Avec son système d'exploitation Windows 10 Entreprise, Microsoft propose différents mécanismes de sécurités reposants sur la virtualisation, et notamment Device Guard et Credential Guard.
Ces mécanismes de sécurité n'étant pas toujours faciles à déployer à large échelle, l'ANSSI a rendu public son guide de "mise en oeuvre des fonctionnalités de sécurité de Windows 10 reposant sur la virtualisation".

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
57.0 (Quantum)
Google Chrome
VirtualBox
CCleaner

Nicolas DAUBRESSE
Thomas DEBIZE

CVE-2017-11776 : Outlook vs S/MIME


Ce focus aborde le sujet de la CVE 2017-11776, une vulnérabilité ciblant Microsoft Outlook, de ses impacts, et des actions à réaliser post-correction.

Une vulnérabilité relative au chiffrement S/MIME dans Outlook

Une faille de sécurité dans Outlook relative au chiffrement S/MIME des e-mails a été identifiée (CVE-2017-11776). Elle concerne les mails chiffrés envoyés par Outlook au format « texte brut » :


Depuis environ 6 mois, les mails chiffrés envoyés rédigés au format « texte brut » sont envoyés à la fois chiffrés et en clair par Outlook dans le corps du mail envoyé. Les mails au format « HTML » ont, eux, été correctement chiffrés intégralement.


Étendue de la vulnérabilité

La vulnérabilité ne s’applique que lorsqu’Outlook a envoyé un mail chiffré avec S/MIME au format brut. Si un autre client mail (Thunderbird, Webmail, etc.) a envoyé un mail chiffré, celui-ci sera correctement chiffré.
La transmission du message en clair est variable :
  • Dans le cas d’Outlook avec Exchange : 
    • Lorsque le destinataire n’est pas dans le même domaine de mails, le message en clair est envoyé au premier relai (MTA) puis supprimé par la suite
    • Lorsque le destinataire est dans le même domaine de mails, le message en clair est envoyé au premier relai (MTA) puis acheminé jusqu’à la boîte de réception du correspondant
  • Dans le cas d’Outlook avec SMTP, le message en clair est envoyé tout le long de la chaîne de transmission du mail jusqu’à la boîte de réception du correspondant

Un script PowerShell a été développé par Wavestone afin de permettre la recherche parmi une boîte aux lettres Outlook de mails chiffrés avec S/MIME au format « texte brut ». Il est disponible à cette adresse et est à exécuter lorsqu'Outlook est ouvert.


Correctifs

Cette vulnérabilité est corrigée dans les mises à jour Outlook suivantes : 
  • Deferred Channel: Version 1705 (Build 8201.2200) – publiée le 10 octobre 2017
  • Monthly Channel: Version 1708 (Build 8431.2107) – publiée le 10 octobre 2017


Source



Cyprien OGER

CERT-W : Retours sur l'actualité des semaines du 16 au 29 octobre 2017


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus sur la CVE 2017-11776 par Cyprien OGER.

Veille cybercriminalité

IoTroop / Reaper

Près d'un an après Mirai, un nouveau botnet d'objets connectés prend vie. IoTroop (ou Reaper selon les sources) possèderait déjà des millions d'équipements utilisables, tels que des caméras de sécurité IP exposées sur Internet, dans l'optique de conduire des attaques massives de type DDoS.

Bitcoin mine

Le prix du Bitcoin a récemment atteint des sommets records, avec un prix par unité autour de 6000 dollars. L'explosion du prix des cryptomonnaies a notamment abouti à la création d'une bibliothèque JavaScript nommée CoinHive permettant aux utilisateurs d'un site le prêt de ressources CPU pour le minage de Monero.
Cependant, cette bibliothèque ou des bibliothèques similaires ont récemment été détournées et insérées sur nombreux sites ayant été piratés au préalable.

Adobe CVE Player

La vulnérabilité CVE-2017-11292, ciblant Adobe Flash Player, a été patchée il y a peu par Adobe. Cependant, de nombreux groupes de pirates (Fancy Bear, APT28, BlackOasis, etc.) tentent encore activement d'exploiter cette vulnérabilité, notamment sur les territoires européens et étasuniens. L'attaque se propage actuellement au travers de phishing ciblé (spear phishing).

Ce lapin n'est pas gentil

BadRabbit est un clone récent du ransomware/wiper NotPetya qui avait touché l'Ukraine, puis l'Europe en juillet 2017. Tout comme son prédécesseur, il repose sur l'utilisation des exploits ETERNALBLUE et ETERNALROMANCE, ainsi que sur la présence de credentials en mémoire, pour se propager. In fine, le résultat est similaire : les fichiers de l'utilisateurs sont chiffrés, et la MFT est détruite.
Selon des chercheurs en sécurité, certains scénarios permettraient la récupération de données, tels que l'utilisation des Shadow Copies non supprimées.
Il est encore une fois recommandé, lorsque celà est possible, d'effectuer une capture de la mémoire vive et un backup du disque (partiellement) chiffré dans l'éventualité ou les clés de chiffrement pourraient être récupérées.

Appleby is the new Panama

La société Appleby, basée aux Bermudes, fourni des services juridiques aux entreprises les plus riches à travers le monde. Récemment touchée par un "incident de sécurité", les retombées de ce présupposé piratage pourraient faire écho à l'affaire des Panama Papers.

Veille vulnérabilité

Yet another Linux privesc

Une nouvelle vulnérabilité est sortie sur le noyau Linux en version 4.14.0-rc4. Elle repose la possibilité d'utiliser un pointeur vers la mémoire noyau lors de l'appel à la fonction waitid() et permet à un utilisateur standard d'élever ses privilèges.

PUT your JSP

Une vulnérabilité présente sur les branches 7, 8 et 9 des serveurs Tomcat ayant activé la méthode PUT permet à un attaque de déposer et d'exécuter des fichiers JSP arbitraires sur le serveur. Un plugin Metasploit a déjà été développé pour exploiter cette vulnérabilité.

L'attaque des clones

Baptisé "Fobrob", cet exploit cible les véhicules connectés de la marque Subaru et peut permettre à un attaquant d'accéder de manière illégitime au véhicule. L'exploit se base sur une vulnérabilité au sein de la fonction de génération de codes aléatoires, les rendant partiellement prédictibles et rejouables par l'attaquant, clonant alors de manière efficace la clé de voiture.

Matriochkas

La vulnérabilité 2017-11826 est une vulnérabilité critique affectant toutes les versions de Microsoft Office (via un bug dans le parseur XML) et ayant été utilisée dans le cas d'attaques ciblées (APT). L'article présent dans les sources détaille analyse un exploit de cette vulnérabilité - un fichier RTF contenant un fichier Word. Ce dernier contient la charge malveillante qui permet d'aboutir à l'exécution de code malveillant.

Indicateurs de la semaine

Le leak de la semaine - South Africa

L'un des backups d'une base de données de l'entreprise Jigsaw Holdings a été récupéré par un groupe de pirates en raison du faible niveau de sécurité du serveur sur lequel il était stocké. Ce backup contient des informations sensibles (nom, numéro de carte d'identité, adresses, salaires, etc.) de plus de 75 millions d'habitants d'Afrique du Sud.
Le chercheur en sécurité Troy Hunt a intégré cette nouvelle base au site déjà existant haveibeenpwned.com.

L'exploit de la semaine - XXE sur JNLP

Java, à l'instar de Flash, existait sous forme de plugin NPAPI au sein des navigateurs les plus courants (Internet Explorer, Mozilla Firefox, Chrome). Cette technologie permet l'exécution de code Java dans le contexte du navigateur, ce qui, en raison de la sensibilité des informations présentes et de l'abondance de vulnérabilités affectant Java, pose un risque de sécurité.
Lors du retrait du support de la technologie NPAPI sur certains navigateurs Java Web Start est devenue une alternative viable, permettant à l'utilisateur de télécharger un fichier XML sous l'extension ".jnlp" dans l'optique de faire exécuter l'applet en parallèle des processus du navigateur.
La CVE 2017-10309 utilise ce format de fichier et son ouverture automatique par le programme "jp2launcher.exe". Ce dernier semble être vulnérables aux injections de type eXternal XML Entity (XXE), permettant à l'attaquant de récupérer des fichiers sur le poste de sa victime, et ce seulement en visitant un site contrôlé par l'attaquant.

L'attaque de la semaine - WiFi (un)Protected Access 2

Désormais célèbres sous le nom de "KrackAttack" et publiées mi-octobre 2017, la CVE 2017-13077 et ses consoeurs décrivent un ensemble de vulnérabilités liées au protocole WPA2 et permettant a minima l'interception de données normalement protégées par une couche de chiffrement.
Krack ne cible pas directement le standard WPA2, qui avait été prouvé formellement comme étant sécurisé, mais un aspect "hors-scope" de cette preuve nommé "4-way handshake". Via cette attaque, il est possible de bloquer et retransmettre certains afin de forcer la réutilisation d'un nombre aléatoire (nonce) et la réinstallation de clés de chiffrement.
Les impacts varient selon l'équipement et les CVE auxquelles il est exposé, allant du simple déchiffrement de paquets à l'envoi de paquets arbitraires sous l'identité du client ou de la borne.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Jean MARSAULT