SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retour sur l'actualité de la semaine du 6 au 12 août 2018


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalite

Une armée de 15000 bots Twitter pour l'envoi de spam sur les crypto-monnaies

Une vaste opération visant à voler des portefeuilles de crypto-monnaie a été démasquée et présentée lors de la BlackHat. Au moins 15000 comptes twitter, encore actifs, enverraient des messages faisant croire à des tirages au sort dans le but d'obtenir les données des victimes.

Un bucket Amazon S3 exposé dévoile des données de configuration sur des serveurs de GoDaddy

Un employé d'Amazon aurait exposé par mégarde un bucket contenant des données de l'entreprise de gestion de noms de domaine GoDaddy. Parmi les données fuitées il y aurait des configurations de serveurs ainsi que des modèles de pricing actuels.

Un bot IOT tente d'infecter les systèmes de satellite d'un avion... en plein vol

Le chercheur en sécurité Ruben Santamarta a récemment publié son expérience durant un vol entre Madrid et Copenhague. Le modem satellitaire de l'avion dans lequel il se trouvait, vulnérable à la backdoor Swordfish, a été attaqué par un membre d'un botnet IOT tentant de le recruter.
Ses recherches ont été présentées à las Vegas la semaine dernière.

Veille vulnerabilite

Une extension BURP pour déchiffrer les conversations WhatsApp met en évidence des faiblesses de l'application

Un groupe de chercheurs de CheckPoint Research a mis au point une extension Burp permettant de déchiffrer et modifier les données transmises par la version web de WhatsApp. Grace à ce nouvel outil, ils ont mis en évidence des faiblesses dans la fonctionnalité de "citations" de l'application. En effet, un message cité peut être modifié en utilisant leur extension ce qui permet d'envoyer des messages en usurpant son identité. Le texte apparaîtra comme citation de la victime alors que le contenu sera contrôlé par l'attaquant.

Un exploit d'exécution de code arbitraire pour le jeu CS:GO

Dans le cadre des qualifications pour le Real World CTF 2018, une équipe a réussi à exploiter une vulnérabilité dans le gestionnaire des cartes du très populaire jeu vidéo CS:GO. Cette exploitation aboutit à l'exécution de code arbitraire sur la machine de la victime. Cette vulnérabilité a été corrigée dans la dernière mise à jour du jeu.

Des chercheurs montrent les faiblesses de l'authentification par reconnaissance vocale

Un groupe de chercheurs a présenté lors de la conférence BlackHat une méthode permettant d'émuler une voix humaine dans le but de duper les systèmes de reconnaissance vocales actuels.
Si bien il serait nécessaire de quelque 10 heures d'enregistrements pour que les algorithmes de machine learning actuels puissent imiter une personne de façon réaliste, ils suffirait de 10 minutes pour tromper les systèmes de reconnaissance automatiques.

Un mode d'exécution en sandbox bientôt disponible sur Windows 10 ?

A l'instar de la "navigation privée" implémentée sur principaux navigateurs Web, Microsoft prévoit de mettre à disposition sur son système d'exploitation un bureau "InPrivate" : une sandbox jetable permettant d'exécuter des programmes potentiellement malveillants sans craindre des effets indésirables sur le système hôte.
La fonctionnalité n'a pas encore été annoncée officiellement, mais elle serait à minima disponible sur l'édition Entreprise de Windows 10, et utiliserait les fonctions de virtualisation de l'hôte.

Indicateurs de la semaine

L'attaque de la semaine - TSMC frappé par Wannacry arrête sa production


TSMC, un des plus grands fabricants de semi-conducteurs au monde et notamment fournisseur d'Apple, a vu une partie de son système d'information stoppé pendant 3 jours suite à une infection virale dérivée de Wannacry. Pas d'antivirus sur les terminaux, de mises à jour Windows, ou encore de connexion à Internet permettant d'accéder à un éventuel "kill-switch" ; les conditions idéales étaient donc réunies pour une propagation optimale du malware.
Le coût lié à cet arrêt de production a été estimé à plus de 250 millions de dollars.


Le leak de la semaine - Une partie du code source de SnapChat publié sur GitHub

A la suite d'une mise à jour en mai de cette année, une partie du code source de l'application iOS SnapChat aurait été exposée par inadvertance. Un chercheur en sécurité pakistanais, après avoir essayé de rentrer en contact avec l'éditeur Snap, aurait alors republié ce code source sur la plate-forme GitHub.
Le partie du projet ayant fuité, écrite en Objective-C, contient près de 30k lignes de code, et correspond à diverses fonctionnalités liées à la gestion de la caméra.

L'exploit de la semaine - Une vulnérabilité dans la couche réseau de Linux permettrait le déni de service instantané

Labelisée SegmentSmack (ou CVE-2018-5390), cette vulnérabilité touche le noyau Linux dans toutes ses versions de la branche 4.9 avant 4.9.116. Pour exploiter celle-ci, un attaquant nécessite seulement de maintenir une connexion TCP sur un port de la machine cible et d'envoyer quelques paquets réseau conçus spécialement. Ces paquets déclenchent des calculs intenses sur la cible et mobilisent l'intégralité des ressources de la machine. L'attaquant nécessite seulement d'une bande passante de quelques kilobits/s afin de mettre un serveur hors d'usage.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

FOCUS : NetSpectre

FOCUS : NetSpectre


Origine et découverte de la faille

NetSpectre est une attaque destinée à extraire de l’information à travers le réseau. Deux attaques exploitables localement et basées sur le même principe avaient été rendues publiques en janvier 2018 et ont été un événement majeur pour la communauté de sécurité informatique. Ces attaques utilisent des vulnérabilités matérielles, rares et difficiles à corriger. Ces deux attaques s’appellent Meltdown et Spectre.
NetSpectre n’est autre que Spectre utilisable depuis une machine distante. Elle a été découverte en mars 2018 et dévoilée en juillet 2018 par une équipe de chercheurs suisses.

Fonctionnement de NetSpectre :

Avant d’expliquer NetSpectre, nous allons rappeler le fonctionnement des attaques Meltdown et Spectre.

Rappels sur les processeurs

Il est utile de rappeler quelques fonctionnalités liées aux processeurs. Pour améliorer les performances de calculs, trois techniques implémentées au niveau matériel existent : l’utilisation de mémoire cache, l'exécution out-of-order et l'exécution spéculative.
Tout d’abord, la mémoire cache est un type de mémoire utilisé pour accélérer l’accès à une zone mémoire mais qui dispose d’une taille restreinte. Située très proche des unités de calcul du processeur, elles améliorent grandement le temps de traitement des informations.
Ensuite, l'exécution out-of-order est une technique qui permet l'exécution des instructions en parallèle et donc d'accélérer les calculs. L'utilisation de cette technique entraîne l'exécution des instructions dans le désordre.
Enfin la troisième technique est l'exécution spéculative. Toujours dans l’optique d’optimiser le temps de traitement, le processeur va tenter de faire des choix par lui-même lorsqu’il arrive à des conditions dans les instructions. Les branches choisies lors de ces conditions sont enregistrées dans le BTB (Branch Target Buffer), permettant alors au processeur de deviner la branche à choisir lors de la prochaine apparition de la condition.
Ces trois techniques sont à l’origine des attaques Meltdown et Spectre.

Meltdown et Spectre

Meltdown exploite l'exécution out-of-order pour accéder à la mémoire du noyau, ce qui est normalement interdit. C’est en exploitant une vulnérabilité dans la parallélisation que l’attaque permet de récupérer des informations contenues dans l’espace d’adressage du noyau. L’attaque se découpe en deux parties : manipulation du cache puis récupération de données habituellement inaccessibles via les temps d'accès en utilisant des techniques telles que le flush-and-reload. Cette technique consiste à supprimer une entrée du cache correspondant à une adresse mémoire X accessible au processus. Ensuite, l'attaque vise choisir d'accéder ou non à l'adresse X en fonction d'une valeur Y d'une zone mémoire normalement interdite en lecture mais lue de manière spéculative par le processeur. Suivant le temps d'accès à l'adresse X, il est possible d'en déduire sa présence ou non dans le cache et donc de l'information sur la valeur Y de la zone interdite.

Spectre utilise l'exécution spéculative, et en particulier la prédiction de branche, pour lire des valeurs mémoire d’autres processus. L’idée de Spectre est d’entraîner le processeur à suivre un certain chemin lorsqu’une condition doit être vérifiée : c'est la prédiction de branche. L'attaque profite ensuite de cette prise de décision entraînée pour que le processeur prenne la branche voulue même si la condition n’est plus respectée. Ainsi, en cas de mauvaise prédiction, le code est tout de même exécuté et le cache modifié en conséquence. Ainsi il est possible de connaître des valeurs en mémoire d’un autre processus en exploitant les accès au cache.

NetSpectre

NetSpectre est la version "à distance" de Spectre. Contrairement à Spectre et Meltdown, elle ne se découpe pas en deux parties comme nous le verrons par la suite. De plus elle ne se base pas sur la technique d’exfiltration par canaux auxiliaires "flush and reload" mais sur "evict and reload", une différence que nous allons expliquer. Ces techniques permettent, on le rappelle, d'exfiltrer des données vers la mémoire cache et de déduire des valeurs inaccessibles via les temps d’accès. NetSpectre propose aussi une autre variante basée sur le jeu d’instructions AVX2, extension d’AVX (Advanced Vector Extensions) des processeurs Intel et AMD. AVX offre de nouvelles fonctionnalités, de nouvelles instructions et un nouveau schéma de codage dans le but d’améliorer les performances.

Contrairement à Spectre, NetSpectre ne contrôle aucun binaire sur la machine cible et ne peut donc accéder ni à la mémoire ni au cache. Pour faire face à ce problème, l’idée est d’envoyer un grand nombre de paquets à une victime possédant une interface réseau accessible. Ces paquets ont pour but de provoquer continuellement un mauvais apprentissage du processeur pour contrôler la prédiction de branche.
Cet entraînement se fait par l’envoi de paquets valides et non valides à la cible. Ces paquets doivent contenir deux parties exécutables appelés "gadgets" : leak gadget et transmit gadget. Ces gadgets sont des morceaux de code présents dans des pilotes réseau ou encore l’implémentation des piles et services réseau présents dans la majorité des équipements réseau et serveurs.
Le leak gadget permet d’effectuer une exécution spéculative exploitable alors que le transmit gadget a pour objectif de dévoiler les différences des états micro-architecturaux à travers le réseau. Un état architectural ou micro-architectural est l’ensemble des états des registres du processeur ou des unités d'exécution.

Comme vu ci-dessus, il existe deux variantes du mode fonctionnement de NetSpectre. Ces deux variantes sont les deux types de canaux auxiliaires utilisés par NetSpectre.
La première est très similaire à Spectre : elle se base aussi sur l'exécution spéculative pour mettre des données en cache. Cependant elle n’utilise pas une technique "flush and reload" mais une technique "evict and reload". Le principe reste le même sauf qu’au lieu de supprimer une entrée du cache, il s'agit de la remplacer par nouvelle entrée.
La seconde est totalement nouvelle et n’utilise pas le cache. Elle se base sur le comportement des instructions AVX2 qui sont plus performantes mais consomment beaucoup d’énergie. Le fonctionnement de l'attaque est assez complexe mais il offre un gain de performance notable par rapport à la première variante. En effet les débits maximums annoncés sont de 15 bits par heure pour la variante "evict and reload" et 60 bits par heure pour la variante AVX2.

NetSpectre permet donc de lire des informations depuis la mémoire distante grâce à la mesure du temps de traitement des gadgets. Cependant le temps de réponse étant soumis aux contraintes des réseaux (bruit et latence), il est difficile d’avoir des informations précises. Pour remédier à ce problème, les chercheurs multiplient de façon conséquente le nombre de requêtes pour chaque opération. Ainsi le calcul de la moyenne du temps de réponse permet tout de même d’obtenir un résultat exploitable.
La mise en place d’une telle attaque est d’un niveau de complexité très avancé et nécessite de connaître la zone mémoire que l’on souhaite exfiltrer. Si elle est maîtrisée, elle peut se révéler d’une efficacité redoutable même si elle peut, théoriquement, être détectée assez facilement.

Impacts de NetSpectre

NetSpectre pourrait permettre à un attaquant d’extraire jusqu’à 15 bits par heure dans le cas de la variante utilisant le cache et jusqu’à 60 bits par heure dans le cas de la variante se basant sur AVX2. Même si ces débits sont très faibles, ils permettent néanmoins l’extraction de secrets tels que des clefs de chiffrement, des mots de passe ou autres clefs de sécurité dans un temps raisonnable. A l’heure actuelle, aucune attaque NetSpectre n’a été détectée ou revendiquée.

Détection et protection

L’utilisation de l’ASLR (Address Space Layout Randomization) peut être un moyen de ralentir une attaque de ce type. En effet les adresses d’objets ou de régions mémoires devenant aléatoires, un attaquant ne peut alors plus prédire directement les adresses visées. Cependant les auteurs proposent un moyen de contourner cette protection.
Contrairement à Meltdown et à la première variante de NetSpectre, la seconde variante de NetSpectre ne peut pas être patchée car elle ne se base pas sur une vulnérabilité. Cependant la détection d’une telle attaque semble assez aisée puisqu’elle nécessite un grand nombre de communications et l’utilisation de paquet très spécifiques.

Pierre-Henri COLONEL

Sources

https://www.sstic.org/2017/presentation/2017_invite_1/
https://spectreattack.com/spectre.pdf
https://misc0110.net/web/files/netspectre.pdf
https://www.securityinsider-wavestone.com/2018/01/meltdown-spectre-attaques-par-canaux-auxilliaires.html
https://eprint.iacr.org/2013/448.pdf

CERT-W : Retour sur l'actualité de la semaine du 30 juillet au 5 août 2018


Retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !.

Veille cybercriminalite

10000 sites Wordpress piratés pour lancer une distribution massive de contenu malveillant

Un grand nombre de sites utilisant le CMS Wordpress ont été piratés par une même organisation. Le traffic détourné était ensuite revendu sur la plateforme d'enchères AdsTerra, en offrant la possibilité de distribuer des "publicités".
Les sites compromis sont alors devenus des distributeurs de diverses formes de contenu malveillant : chevaux de Troie bancaires, crypto-mineurs, ou rançongiciels.

Steam exclut un développeur de son store après la découverte de fonctionnalités de crypto-minage dans ses jeux

Un simple jeu en 2D mais dont la consommation CPU explosait au fur et à mesure du jeu a alerté les utilisateurs de la plateforme de jeu gérée par Valve.
Pendant la procédure d'installation, le jeu lançait l'exécution d'un binaire "SteamService.exe" permettant la communication avec un serveur de minage de crypto-monaies.
Ce même développeur, publiant sous le nom d'Okalo Union, a été bani du magasin steam mais propose encore aujourd'hui des jeux en téléchargement sur le store Android

Une chercheuse de Google décrypte une nouvelle librairie d'obfuscation de code Android

Lors de l'analyse d'un logiciel malveillant, Maddie Stone a mis en évidence l'utilisation d'une multitude de techniques permettant d'éviter l'exécution dans des environnements de déboggage ou d'émulation. Ce type de technique n'est pas nouveau, mais le nombre et la sophistication des moyens mis en oeuvre n'est pas habituel.
Quel type de logiciel malveillant peut avoir suffisemment de valeur pour que de tels moyens soient déployés pour le protéger des analyses ?
Maddie Stone présentera les résultats de ses travaux le 9 août prochain à la Black Hat USA.

5 millions de dollars de crypto-monnaie volés grâce à un clonage de carte SIM

Un étudiant de Boston a été arrêté pour avoir détourné les cartes SIM d'une quarantaine de victimes (en forçant les antennes relai à attribuer le numéro des victimes à une SIM contrôllée par l'attaquant).
Grâce à ce procédé, cet étudiant aurait réussi à voler plus de 5 millions de dollars grâce à une fonctionnalité de réinitialisation de mot de passe avec confirmation par SMS.

Des machines de vote électronique piratées en moins de deux heures

Des chercheurs présents à la DEFCON à las Vegas ont eu l'opportunité de tester une trentaine de machines de vote électronique achetées par les organisateurs.
Un enseignant danois à réussi à pénétrer dans l'une d'entre elles en moins de deux heures en exploitant une vulnérabilité affectant Windows XP et datant de 2003.

Une "liste-noire" de fournisseurs logiciels créée par le Pentagone pour alerter de liens avec la Chine et la Russie

Une liste de fourniesseurs logiciels à éviter et à destination de l'armée américaine et de ses sous-traitants est aujourd'hui en cours de développement.
Les noms des éditeurs soupçonnés de liens avec les grandes puissances étrangères et ne satisfaisant pas les "standards de sécurité du département de la défense" seront communiqués aux responsables d'achat de la défense américaine.

Une extension Chrome pour alerter les utilisateurs de sites potentiellement piratés

L'extension HackNotice recense plus de 20000 piratages rendus publics et prévient l'utilisateur lorsqu'il visite un site présent dans la base de données.
Cette extension est aujourd'hui disponible uniquement pour Google Chrome mais une version pour Firefox est déjà en cours de développement.

Des micro-transactions dans les jeux utilisées pour blanchir de l'argent

Des preuves d'utlisation de cartes de crédit volées pour effectuer des achats au sein de jeux populaires (comme Clash of Clans, Clash Royale ou similaires) ont été trouvées. Les objets ainsi achetés sont ensuite vendus contre de l'argent légitime.

Des routeurs utilisés par les ISP atteints par des crypto-mineurs

Des milliers de routeurs MicroTik sont aujourd'hui compromis par des scripts Coinhive. Les attaquants auraient lancé une attaque à grande échelle en utilisant une vulnérabilité connue et corrigée depuis le 23 Avril.
Au moins 170000 routeurs actifs et infectés ont été recensés par Censys.io ce, montrant ainsi les difficultés à appliquer les correctifs à grande échelle sur ce type d'équipement.

Veille vulnerabilite

Indicateurs de la semaine

Le leak de la semaine - L'université de Yale découvre les traces d'une fuite de données vieille de 10 ans

Une inspection de routine sur les serveurs de l'université a permis de mettre en évidence une fuite de données ayant eu lieu entre 2008 et 2009.
Les données personnelles d'environ 119000 anciens élèves ont été volées par un acteur toujours inconnu. Ces données contenaient les noms, numéros de sécurité sociale et parfois adresses postales des étudiants.

L'attaque de la semaine - Vol de données chez Reddit

Des attaquants ont eu accès à des comptes permettant la gestion de services de stockage dans le cloud appartenant à Reddit. A partir de ces accès, les noms d'utilisateur, adresses mail et certains condesats de mot de passe ont été volés.
Le système d'authentification à deux facteurs passant par SMS utilisée par les administrateurs de Reddit a été contourné par les attaquants qui ont pu intercepter les messages envoyés lors des tenatives de connexion.

L'exploit de la semaine - Une nouvelle variante de SPECTRE permettrait d'accéder aux données à distance

Une équipe de chercheurs de l'université de Graz a découvert une nouvelle variante de la vulnérabilité SPECTRE, nommée netSpectre. Cette variante utilise le même principe que SPECTRE (mesure des différences de temps d'accès au cache du processeur) mais à travers du pilote de la carte réseau de la victime.
En envoyant des paquets spécialement construits pour l'exploitation, il est possible d'en extraire des données en mesurant des différences dans les temps de réponse. En revanche, l'explotation actuelle ne permet de récupérer que quelques bits par heure à travers le réseau local, limitant sévèrement l'impact de la faille.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

CERT-W : Retour sur l'actualité de la semaine du 26 juin au 1er juillet 2018


Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !


Veille cybercriminalite

Fuite de données massive sur FastBooking

Un attaquant non identifié a exploité le 14 juin une vulnérabilité web présente dans le système de réservations de FastBooking afin d'accéder aux données des clients. La vulnérabilité a été corrigée le 19 juin par FastBooking, non sans accès malveillant aux données. Plus de 1000 hôtels pourraient avoir été impactés et dans certains cas l'attaquant a pu avoir accès aux données de carte bancaire.
La chaîne d'hôtels Prince Hotels & Resorts, cliente de FastBook, a publié un communiqué le 26 juin 2018 expliquant que des accès non autorisés avaient été détectés sur son système de réservations. Parmis les données présentes : nom, adresse, adresse email et détails de la réservation.

Vol de données chez Typeform

Des employés de la société Typeform ont découvert l'exploitation d'une vulnérabilité web permettant la récupération d'un fichier de sauvegarde et des données qu'il contenait.
Typeform est une plateforme permettant à ses clients la publication de formulaires et questionnaires afin de traiter les données reçues. Seules ces informations, jusqu'au 3 mai 2018, auraient été dérobés, n'impactant pas les coordonnées bancaires des clients.

Scam Wannacrypt

Une campagne de scam est en ce moment en cours à l'encontre d'entreprises et de particuliers. La victime reçoit un email expliquant que ses appareils ont été infectés à l'aide d'une nouvelle version de WannaCry, nommée WannaCrypt.
Cette version permettrait à l'attaquant de déclencher le chiffrement irréversible des fichiers s'il ne reçoit pas de paiement de la part de la victime avant une date convenue.
Il n'y a bien évidemment aucun malware installé, et la campagne permettrait uniquement aux scammers de récupérer de l'argent.

L'Algérie coupe Internet durant les épreuves du bac

Suite à la fuite des sujets du bac en 2016, l'Algérie avait procédé l'an dernier à un blackout des réseaux sociaux. Cette année, une nouvelle étape est franchie, et Internet a été coupé durant 11 créneaux d'une heure à travers tout le pays.

Vol de points fidélité sur 500.000 comptes

Deux adolescents d'origine russe ont été appréhendé récemment suite au piratage d'un demi-million de comptes en ligne. Ils étaient déjà connus des forces de l'ordre suite à une affaire similaire en 2015.
Les coupables auraient été en mesure de prendre le contrôle des comptes suite à des attaques par dictionnaire. Ils ont ensuite utilisé les points de fidélité de ces comptes pour effectuer des achats avant de revendre les comptes sur le marché noir.

Une caméra connectée partage le flux vidéo au mauvais destinataire

Le 28 juin dernier, un journaliste de la BBC, détenteur d'une caméra de sécurité manufacturée par Swann Security, a reçu sur son application mobile de surveillance, les flux vidéos d'une famille détentrice d'une autre caméra du même modèle.
Bien loin du scénario de piratage, les deux caméras avaient accidentellement reçu le même secret embarqué, qui était utilisé pour le dépôt et l'accès aux vidéos. Un avertissement lors de la mise en place avait été ignoré, et la seconde caméra a rendu accessible ses flux vidéos au détenteur de la première.

WPA3 est disponible

Le 25 juin, la Wi-Fi Alliance a introduit au sein d'un communiqué de presse la dernière version du standard WPA (Wi-Fi Protected Access).
A l'instar de la version précédente, WPA3 est décliné sous deux formes : WPA3-Personnel et WPA3-Entreprise. Une fonctionnalité nommée Wi-Fi EasyConnect a également été présentée, son objectif étant de faciliter l'enrôlement de terminaux au sein d'un réseau Wi-Fi, notamment à l'aide de QRCodes. Cette fonctionnalité peut s'avérer très pratique pour les objets connectés.

2 des GAFA accusés d'utiliser des "Dark patterns"

Facebook et Google ont récemment été accusés d'avoir volontairement utilisé les dark patterns sur certaines de leurs applications.
"Dark patterns" est un terme qui a vu le jour en 2010, et qui désigne une interface utilisateur construite dans le but d'orienter son utilisateur à la sélection d'un choix plutôt qu'un autre. Il peut par exemple s'agir de modifications qui dissimuleraient des liens de désabonnement et désinscription en leur appliquant la charte graphique du texte standard.

Veille vulnerabilite

Une attaque par canaux auxilliaires vise l'hyperthreading

L'hyperthreading est la technologie qui permet aux processeurs d'exécuter deux routines en parallèle sur un même coeur physique, d'où apparation de coeurs dits "logiques".
L'attaque a été découverte par des chercheurs de Vrije Universiteit Amsterdam, et son Proof-of-Concept cible le chiffrement par l'algorithme Curve 25519 EdDSA. Les détails de l'attaque ne sont pas encore connus mais devraient être présentés à la BlackHat US en août.
Les chercheurs insistent cependant déjà sur le fait que ses impacts sont bien plus faibles et sa remédiation plus aisée que Spectre/Meltdown.

Joomla <= 3.8.8 - Local File Inclusion

Une vulnérabilité permettant la récupération arbitraire de fichiers a été découverte. Aucun exploit ne semble être public pour l'instant.

RAMpage - Yet another Rowhammer vuln

RAMpage est la dernière variante d'une longue série de vulnérabilités rassemblées sous le nom Rowhammer. Il s'agit d'une vulnérabilité qui exploite les effets de bords possibles d'opération en mémoire répétées à haute fréquence, qui peuvent aboutir au changement d'un bit en mémoire, quels que soient les privilèges de l'utilisateur.
Cette variante cible Android et notamment le système ION responsable des allocations mémoire. Elle permet la prise de contrôle du terminal mobile. Un patch, nommé Guardion, a été mis au point, mais n'est pas encore disponible pour tous les terminaux.

Indicateurs de la semaine

L'exploit de la semaine - Wordpress - wp_delete_attachment()

Une vulnérabilité a été découverte dans la fonction wp_delete_attachement() de Wordpress, et permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le système de fichiers, pourvu que le compte exécutant le serveur web en ait les droits.
Il devient alors possible de procéder à la suppression de fichiers clés du CMS, et de provoquer sa réinstallation.
La vulnérabilité a été remontée en novembre 2017 auprès de Wordpress et demeure non patchée. Toutes les versions existantes sont affectées.

Le leak de la semaine - Exactis - 2To de données et 340.000.000 d'entrées exposés sur Internet

L'entreprise américaine Exactis aurait pu subir le même sort que bon nombre d'autres entreprises présentes dans l'actualité récente. En effet, un chercheur en sécurité, Vinny Troia, a découvert à l'aide de Shodan une base de données ElasticSearch leur appartenant et exposée sur Internet.
La base de données contient jusqu'à 150 indicateurs déifférents sur pas moins de 218 millions de résidents étatsuniens, dont les adresses email et résidentielle, les numéros de téléphone, etc.

L'attaque de la semaine - Le compte Github de Gentoo piraté

Bien que les moyens utilisés ne soient pas encore clairs, le compte Github de la distribution Linux Gentoo a été piraté le 28 juin. Des personnes d'identités inconnues ont pris le contrôle du compte Github, et procédé a des modifications sur le code hébergé. En revanche, les commits effectués d'ordinaire sont signés, et aucune donnée ne permet d'indiquer que la clé de signature ait été compromise.
Bien qu'il ne s'agisse que d'un dépôt de code secondaire, le dépôt principal étant disponible sur le site de la distribution, un grand nombre d'utilisateur aurait pu être impacté.

Sources :

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner


Jean MARSAULT

Compte-rendu de la conférence Hack-In-The-Box (HITB) Amsterdam 2018 - 12 et 13 avril 2018


Wavestone était présente à l’édition 2018 de la conférence de sécurité Hack-in-the-box (HITB) à Amsterdam, où Thomas DEBIZE, de la practice Cybersecurity & Digital Trust, a eu la possibilité de présenter des travaux autour de techniques modernes pour la réalisation de tests d’intrusion (https://conference.hitb.org/hitbsecconf2018ams/materials/D1%20COMMSEC%20-%20Thomas%20Debize%20-%20Modern%20Pentest%20Tricks%20for%20Faster,%20Wider,%20Greater%20Engagements.pdf)

Nous vous proposons ci-dessous le compte-rendu d’une sélection de talks, les supports de présentations étant d’ores et déjà disponibles à l’adresse suivante https://conference.hitb.org/hitbsecconf2018ams/materials/ tandis que les vidéos seront bientôt publiées sur la chaine YouTube de la conférence.

Nous tenons à remercier les organisateurs pour leur accueil chaleureux, la logistique et des activités post-conférence très appréciables ! 

Pour information, après Amsterdam, Singapour et Pékin, HITB sera également présente à Dubai en 2018.

BRIDA: When Burp Suite Meets Frida - Federico Dotta & Piergiovanni Cipolloni

BRIDA est un plugin de l’outil de test d’intrusion Web « Burp Suite » dont le principe est d’effectuer une passerelle avec l’outil d’instrumentation dynamique « Frida ». L’objectif est de faciliter le travail des auditeurs qui, notamment lors de tests d’intrusion pour des applications mobiles, sont souvent amenés à réimplémenter une fonction spécifique de l’application (chiffrement applicatif, signature de message côté client etc.) pour pouvoir effectuer leurs tests.


A travers le composant d’intermédiation « Pyro4 » effectuant la passerelle entre « Burp Suite » et  « Frida », BRIDA permet ainsi de tirer parti des fonctionnalités avancées de ces deux outils. 

Invoke-DOSfuscation: Techniques For %F IN (-style) DO (S-level CMD Obfuscation) - Daniel Bohannon

Daniel Bohannon, chercheur chez FireEye, est spécialisé dans l’analyse des techniques d’obfuscation. Les travaux présentés lors de ce talk sont issus des techniques d’obfuscation de commandes DOS observées dans la nature, entre autres par le groupe « FIN7 », plus connu sous le nom de « Carbanak » :


Suite à ces observations de cas réels, le chercheur a creusé la syntaxe des commandes DOS afin de déterminer comment un attaquant pourrait obfusquer ses commandes dans l’objectif d’évader les équipements d’analyse. 

Très concrètement, les recherches effectuées permettent de rendre équivalentes les deux commandes suivantes :


Toutes les techniques découvertes ont été consolidées dans l’outil « Invoke-DOSfuscation » (https://github.com/danielbohannon/Invoke-DOSfuscation).

Keynterceptor: Press Any Key To Continue - Niels van Dijkhuizen

Le chercheur a tout d’abord rappelé l’historique des outils permettant de réaliser des attaques « USB HID » qui, à l’image du fameux « Rubber Ducky », permettent de transformer une clé USB en périphérique clavier saisissant des commandes automatiquement sur le poste ciblé. 

Après avoir énoncé les composants de protection physique contre ces attaques (USG, USB Protection Guard etc.), l’auteur a montré une vidéo de démonstration d’une solution comprenant :
  • Une station de base à connecter sur le réseau de l’entreprise ciblée, disposant d’un module de communication UART 433 MHz ainsi que d’un module de communication 4G afin de rendre l’accès à distance possible à l’attaquant
  • Un boitier USB, sur lequel le clavier de la victime est branché, communiquant en UART 433 MHz avec la station de base



Digging Deep: How To Find And Exploit Bugs In IoT Devices – Kelvin WONG

Le chercheur a évoqué ici les différentes techniques d’attaque de systèmes embarqués, équipements principalement retrouvés dans l’écosystème IoT. Les méthodes de dump de firmware via JTAG, UART, ISP et Chip-Off  (extraction du microcontrôleur et analyse « hors-ligne ») ont été illustrées avec des exemples concrets, et le chercheur a notamment révélé avoir réussi à extraire le firmware des équipements Amazon Alexa et Google Home Mini.


Mallet: Towards A Generic Intercepting Proxy – Rogan Dawes

Les chercheurs en sécurité ont toujours été confrontés à la difficulté d’analyser la sécurité de protocoles pour lesquels il n’existe pas, au moment des tests, d’outil d’interception/rejeu/modification fiable. Dans cette situation, le chercheur doit alors développer son propre outil, entrainant ainsi une perte de temps, en plus du sentiment de réinventer la roue.

Avec l’avènement de l’IoT et des protocoles machine-to-machine légers n’utilisant pas HTTP comme transport, les chercheurs sont de plus en plus confrontés à cette situation avec les protocoles MQTT, CoAP etc.

Après avoir rappelé l’historique des outils permettant de proxifier des protocoles hors-HTTP, Rogan a proposé et détaillé un nouvel outil « Mallet » basé sur la bibliothèque « Netty », utilisée dans l’analyse de trafic chez les géants du Web et disposant d’une multitude de décodeurs protocolaires :






Mind The Gap: Uncovering The Android Patch Gap Through Binary-Only Patch Level Analysis - Karsten Nohl & Jakob Lell

L’objectif des travaux présentés durant ce talk a été de mesurer de manière statistique l’écart effectif entre le niveau de patch de sécurité disponible à un instant T pour le système Android, versus le niveau de patch proposé par les principaux constructeurs de téléphone de cet OS.

Pour effectuer cette évaluation, les chercheurs ont compilé toutes les variantes de sources Android (constructeurs, plateformes, révisions etc.), requérant un travail d’ingénierie important :







Après avoir présenté les résultats de l’étude, les chercheurs ont rappelé et insisté sur le fait que les différences en matière de patch de sécurité sur Android n’impliquent pas directement de faille critique sur le système, car il est nécessaire de disposer d’une chaine d’au moins 4 vulnérabilités différentes pour compromettre globalement un terminal :


Enfin, les chercheurs ont présenté l’outil « SnoopSnitch » disponible sur le Play Store et permettant d’évaluer l’écart de patch, et ainsi d’exposer la surface d’attaque à laquelle un téléphone est soumis.

In Through The Out Door: Backdooring & Remotely Controlling Cars With The Bicho - Sheila Ayelen Berta & Claudio Caracciolo

Les chercheurs ont présenté un périphérique nommé « el bicho » consistant en une porte dérobée physique à connecter sur un port ODB2 disposant d’un module 4G afin d’envoyer des commandes sur le bus CAN à distance par SMS, notamment des commandes pour désactiver un ECU par flooding.


Les chercheurs ont indiqué que le design et le firmware de ce périphérique ne seraient pas rendus open-source.

Par ailleurs ces chercheurs sont également à l’initiative de la plateforme Web « opencandb » où chacun peut partager les frames CAN et leur fonction observées sur son véhicule :





Call Me Maybe: Establishing Covert Channels By Abusing GSM AT Commands - Alfonso Munoz & Jorge Cuadrado Saez

Les deux chercheurs ont présenté différentes techniques de transfert d’information par canaux cachés entre deux téléphones mobiles au moyen de commandes AT, ces commandes constituant la norme GSM. 

Les auteurs ont par ailleurs eu pour objectif de prouver qu’il est possible d’effectuer ces transferts de manière totalement anonyme en :

  • Construisant son propre téléphone, et en rendant son design open-source (https://github.com/jorcuad/FreePhone/wiki ) :



  • Achetant des cartes SIM prépayées incognito, alors que la loi dans de nombreux pays impose aux opérateurs de disposer de l’identité de tous les abonnés à son réseau


  • Utilisant uniquement des méthodes de communication n’impliquant pas de frais
La principale technique utilisée a été la réalisation d’un l’appel manqué (pas de décrochage, pas de frais) couplé à l’envoi d’information via la présentation du numéro appelant. Cette technique, bien qu’efficace, n’offre pas un débit très important (12 bits par minute) :


Afin d’augmenter le débit, différents numéros privés virtuels ont été utilisés, chaque numéro virtuel appelé (n) permettant de positionner le bit correspondant.



Enfin, dans un contexte où le transmetteur dispose d’une connectivité 4G, une technique utilisant un raccourcisseur d’URL ainsi que l’utilisation d’un service Web de présentation d’un numéro arbitraire a été démontrée.

Thomas DEBIZE