learn.hack.repeat

Mois : novembre 2021 Page 1 of 3

Des attaques basées sur ProxyLogon et ProxyShell de plus en plus actives dans les campagnes de SPAM

de

On 26/11/2021

dans Uncategorized

L’équipe de recherche de Trend Micro a effectué une analyse sur une série d’intrusions au Moyen-Orient qui a abouti à la distribution d’un loader inédit baptisé SQUIRRELWAFFLE. Documentées pour la première fois par Cisco Talos, les attaques auraient commencé à la mi-septembre 2021 par le biais de documents Microsoft Office falsifiés.

ProxyLogon et ProxyShell font référence à un ensemble de failles dans les serveurs Microsoft Exchange qui pourraient permettre à un attaquant d’élever ses privilèges et d’exécuter du code arbitraire à distance, ce qui lui permettrait de prendre le contrôle des machines vulnérables. Alors que les failles de ProxyLogon ont été corrigées en mars, les failles de ProxyShell ont été corrigées dans une série de mises à jour publiées en mai et juillet.

Les vulnérabilités de Microsoft Exchange

Lors des analyses effectuées, des preuves des exploits CVE-2021-26855, CVE-2021-34473 et CVE-2021-34523 ont été obtenues dans les journaux IIS des serveurs Exchange qui ont été compromis dans les différentes intrusions. Les mêmes CVE ont été utilisés dans les intrusions ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473 et CVE-2021-34523). Microsoft a publié un correctif pour ProxyLogon en mars ; ceux qui ont appliqué les mises à jour de mai ou de juillet sont protégés contre les vulnérabilités de ProxyShell.

Courrier malveillant (SPAM)

La chaîne d’attaque consiste en des courriels frauduleux contenant un lien qui, lorsqu’on clique dessus, télécharge un fichier Microsoft Excel ou Word. En ouvrant le document, le destinataire active les macros, ce qui conduit finalement au téléchargement et à l’exécution du chargeur de malware SQUIRRELWAFFLE, qui permet d’obtenir des charges utiles en aval telles que Cobalt Strike et Qbot.

Source : Trend Micro

Dans les intrusions analysées, les en-têtes des courriels malveillants reçus provenaient de routes de messagerie internes (serveurs de messagerie internes), ce qui indique que les courriels ne provenaient pas d’un expéditeur, d’un courtier en messages ou d’une passerelle (MTA) externes.

Cette technique de distribution de courrier malveillant augmente considérablement les chances qu’un courrier électronique atteigne tous les utilisateurs du domaine de l’entreprise, ce qui réduit les chances de détecter ou d’arrêter l’attaque, car les passerelles de messagerie ne seront pas en mesure de filtrer ou de mettre en quarantaine ces courriers électroniques internes.

L’utilisation de cette technique marque une percée dans les campagnes de phishing où un attaquant a pénétré dans les serveurs de messagerie Microsoft Exchange de l’entreprise pour obtenir un accès non autorisé aux systèmes de messagerie internes et distribuer des courriels malveillants dans le but d’infecter les utilisateurs de l’entreprise avec des logiciels malveillants.

Les campagnes SQUIRRELWAFFLE doivent inciter les utilisateurs à se méfier des différentes tactiques utilisées pour masquer les e-mails et les fichiers malveillants. Les courriels provenant de contacts de confiance peuvent ne pas être suffisamment sécurisés et des mesures de protection doivent être mises en œuvre, et il convient de se méfier des liens et des pièces jointes.

Plus d’information:
https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html
https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34473
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34523

Les informations de 1,2 million d’utilisateurs de GoDaddy ont été exposées

de

On 25/11/2021

dans Sécurité

GoDaddy a signalé que le 6 septembre dernier, un attaquant a pu accéder à ses systèmes grâce à un mot de passe compromis.

Lundi dernier, GoDaddy a informé le gendarme financier américain que ses systèmes avaient été violés et qu’un accès avait été obtenu, permettant de récupérer une grande quantité de données relatives à ses clients.

Selon le rapport envoyé à la SEC, un accès non autorisé au service WordPress a été découvert le 17 novembre, avec des preuves que l’intrus s’est introduit dans une partie du système de fourniture de sites web de la société. En conséquence, une enquête conjointe a été lancée avec une société d’analyse médico-légale et la police.

Selon les preuves, l’attaquant a pu accéder à 1,2 million d’adresses électroniques, à des mots de passe d’utilisateurs actifs, à des accès aux bases de données et au sFTP, à des numéros d’identification de clients et à des clés SSL privées exposées.

Tous les mots de passe qui n’ont pas été modifiés depuis la violation ont été réinitialisés et de nouveaux certificats SSL ont été générés.

Plus d’information:
https://www.theregister.com/2021/11/22/godaddy_managed_wordpress_ssl_keys/
https://www.bleepingcomputer.com/news/security/godaddy-hack-causes-data-breach-affecting-12-million-customers/

Un nouveau ransomware chiffre des fichiers avec WinRAR pour contourner les protections

de

On 24/11/2021

dans Chiffrement, Sécurité

Le nouveau ransomware utilisé par « Memento Team » utilise le célèbre programme de compression WinRAR pour chifrer les fichiers de l’ordinateur à l’aide d’un mot de passe, après quoi il supprime les fichiers originaux.

L’équipe des Sophos Labs a découvert un nouveau type de ransomware écrit en Python 3.9, qui utilise une curieuse méthode pour contourner certaines mesures de sécurité des ransomwares : au lieu de chiffrer les fichiers à l’aide d’outils propriétaires, il utilise une version gratuite de WinRAR pour chiffrer les fichiers vers un nouveau fichier avec un mot de passe, puis chiffrer le mot de passe et enfin supprimer les fichiers originaux.

Pour son installation, le malware utilise PyInstaller, un moyen de créer des paquets Python multiplateformes. Cependant, la menace vise les machines Windows et utilise des outils supplémentaires du dépôt d’Impacket, tels que wmiexec pour un shell distant ou secretsdump pour obtenir des informations d’identification. Une vulnérabilité critique découverte dans VMWare, dont nous avons parlé en février de cette année, est utilisée comme vecteur d’attaque.

Outre ces outils, l’attaque ciblée utilise d’autres programmes, que les attaquants ont même laissés sur les machines infectées, tels que Plink SSH pour créer des tunnels SSH, Nmap pour analyser le réseau, Npcap pour capturer le trafic réseau ou Mimikatz pour voler des informations d’identification. Grâce à ces outils, les attaquants parviennent à se déplacer latéralement dans le réseau pour continuer à infecter d’autres machines. Pour assurer la persistance, ils utilisent un fichier batch (‘wincert.bat’) et une tâche système planifiée (appelée ‘Windows Defender Metadata Monitor’).

Enfin, après avoir réussi à crypter les fichiers, les attaquants placent sur la machine un fichier appelé « Hello Message.txt » contenant des instructions sur la manière de récupérer les fichiers. Dans l’attaque analysée par Sophos, le montant demandé était de 15,95 BTC. 897656,43 $ ou 840852,73 CHF au moment de la rédaction du présent rapport. Un numéro de téléphone Telegram et une adresse ProtonMail sont donnés pour le paiement.

Bien que les attaques par ransomware soient de plus en plus courantes, ces attaques portant sur de grosses sommes d’argent n’ont tendance à se produire que dans le cadre d’attaques ciblées où les attaquants connaissent la taille de l’entreprise et le montant qu’elle peut se permettre de payer pour la rançon. C’est pourquoi, en particulier pour ces organisations, nous recommandons de commencer par une politique de sauvegarde de tous vos fichiers. Toutefois, cela ne suffit pas.

Certains attaquants, après avoir refusé de payer la rançon, vont jusqu’à menacer de rendre publics les fichiers volés. Dans des cas comme celui-ci, où la vulnérabilité de VMWare est connue depuis 6 mois, elle pourrait être évitée en maintenant le logiciel à jour. C’est pourquoi nous recommandons toujours d’appliquer les mises à jour de sécurité.

Plus d’information:
https://news.sophos.com/en-us/2021/11/18/new-ransomware-actor-uses-password-protected-archives-to-bypass-encryption-protection/

CVE-2021-41379

de

On 23/11/2021

dans CVE, Sécurité

En novembre, Microsoft a corrigé une élévation de privilèges dans le programme d’installation. CVE-2021-41379. Mais ça a mal tourné. Le découvreur lui-même a publié un exploit capable de contourner le correctif et d’élever à nouveau les privilèges grâce à une faille dans le système d’installation des MSI. Et il fonctionne mieux que le précédent, même. Pour l’instant, il n’y a pas de correctif et il n’est pas facile de penser à une contre-mesure, comme le souligne l’auteur lui-même.

Le POC écrase les permissions du service d’élévation Edge (car Edge fonctionne avec très peu de privilèges, mais pour certaines opérations, il doit s’élever). Une fois écrasé, il y copie un programme et parvient à se lancer.

On se demande toutefois pourquoi le découvreur qui signale le bug précédent de manière responsable, lance-t-il l’exploit sans avertissement ? Depuis avril 2020, les chercheurs considèrent que la politique de primes aux bugs de Microsoft est très médiocre et laisse beaucoup à désirer. Ils paient de moins en moins à chaque fois.

Plus d’information:
https://github.com/klinix5/InstallerFileTakeOver

Paquets malveillants dans le dépôt PyPI

de

On 23/11/2021

dans Malware, Sécurité

Plusieurs paquets open source malveillants ont été découverts dans le populaire dépôt PyPI. Ils utilisent de nouvelles techniques pour ne pas être détectés.

PyPI (Python Package Index) est le dépôt officiel de logiciels pour les applications tierces dans le langage de programmation Python où des milliers de programmeurs publient leurs développements. Toutefois, les développeurs de logiciels malveillants profitent également de cette plateforme pour atteindre leurs objectifs.

L’équipe de recherche de JFrog Security a découvert jusqu’à 11 nouveaux paquets malveillants hébergés sur PyPI, avec plus de 40 000 téléchargements au total. Leurs auteurs ont utilisé plusieurs techniques avancées pour éviter la détection et rester dans le dépôt afin d’infecter le plus grand nombre de machines possible.

Liste des paquets malveillants. Source : jfrog.com

Les techniques utilisées sont les suivantes :

  • Utilisation du CDN Fastly pour faire croire que le trafic envoyé au serveur de commande et de contrôle (C2) est une communication légitime avec pypi.org.
  • Utilisation du cadre TrevorC2 pour masquer les communications client-serveur en les faisant ressembler à une navigation normale sur un site web, en envoyant des requêtes à des intervalles aléatoires et en cachant la charge utile malveillante dans des requêtes HTTP GET d’apparence normale.
  • L’utilisation des requêtes DNS comme canal de communication entre la machine victime et le serveur C2, en profitant du fait que ces requêtes ne sont normalement pas inspectées par les outils de sécurité. Lorsqu’un serveur DNS reçoit une demande, il recherche dans ses enregistrements l’adresse IP correspondant au nom de domaine demandé et, s’il ne la trouve pas, il envoie la demande au premier nom de domaine connu de l’adresse. En d’autres termes, si la demande est du type payload.domainemalveillant.com, comme le serveur DNS légitime qui reçoit la demande ne connaît pas la résolution de cette adresse, il la transmettra à domainemalveillant.com et il saura que la chaîne utilisée comme sous-domaine est le payload.
  • La division des paquets malveillants en deux parties : l’une étant l’élément malveillant et l’autre un paquet « légitime » qui précise simplement le paquet malveillant à importer. A partir de ces derniers, l’installation du paquet malveillant serait effectuée par « typosquattage » (paquets dont les noms sont des fautes de frappe de paquets populaires) ou « confusion de dépendance » (paquets malveillants portant le nom de paquets privés légitimes avec une version supérieure téléchargés dans des dépôts publics, forçant ainsi le gestionnaire de paquets à télécharger et installer le module malveillant).

Selon les déclarations des chercheurs en sécurité, ces paquets ne se distinguent pas par leur dangerosité, mais ce qui est remarquable, c’est le niveau croissant de sophistication avec lequel ils ont été développés.

Il convient de noter que les administrateurs du dépôt PyPI ont supprimé les paquets malveillants après avoir reçu le rapport.

Plus d’information:
https://jfrog.com/blog/python-malware-imitates-signed-pypi-traffic-in-novel-exfiltration-technique/

Page 1 of 3

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén