learn.hack.repeat

Catégorie : Chiffrement Page 1 of 2

La Cour européenne dit non à la création d’une porte dérobée pour accéder aux messageries chiffrées

La Cour européenne des droits de l’homme (CEDH) a statué que les lois exigeant un chiffrement affaibli et une conservation extensive des données constituent une violation du droit au respect de la vie privée en vertu de la Convention européenne des droits de l’homme. Cette décision pourrait faire dérailler la législation européenne sur la surveillance des données, connue sous le nom de Chat Control.

Source: Wikipedia

La législation contestée prévoyant la conservation de toutes les communications Internet de tous les utilisateurs, l’accès direct des services de sécurité aux données stockées sans garanties adéquates contre les abus et l’obligation de décrypter les communications cryptées, telle qu’elle s’applique aux communications chiffrées de bout en bout, ne peut être considérée comme nécessaire dans une société démocratique.

décision de La cour rendue mardi

Les gouvernements peuvent légiférer pour que les sociétés de télécommunications et de messagerie conservent temporairement les communications électroniques des citoyens, mais l’accès au contenu de ces communications « à grande échelle et sans garanties suffisantes porte atteinte à l’essence même du droit au respect de la vie privée consacré par l’article 8 de la Convention européenne des droits de l’homme ».

La législation contestée mentionnée ci-dessus concerne un recours en justice qui a débuté en 2017 après que le Service fédéral de sécurité (FSB) de Russie a exigé que le service de messagerie Telegram fournisse des informations techniques pour aider au déchiffrement des communications d’un utilisateur. Le plaignant, Anton Valeryevich Podchasov, a contesté l’ordonnance en Russie, mais sa demande a été rejetée.

En 2019, M. Podchasov a porté l’affaire devant la Cour européenne des droits de l’homme. La Russie a adhéré au Conseil de l’Europe, une organisation internationale de défense des droits de l’homme, en 1996 et en est restée membre jusqu’à son retrait en mars 2022 à la suite de son invasion illégale de l’Ukraine. L’affaire de 2019 étant antérieure au retrait de la Russie, la Cour européenne des droits de l’homme a poursuivi l’examen de la question.

La Cour a conclu que la loi russe imposant à Telegram de « décrypter les communications chiffrées de bout en bout risque de constituer une obligation pour les fournisseurs de tels services d’affaiblir le mécanisme de chiffrement pour tous les utilisateurs ». En tant que telle, la Cour considère qu’une telle exigence est disproportionnée par rapport à la réalisation d’objectifs légitimes de maintien de l’ordre.

Bien qu’il soit peu probable que la décision de la Cour européenne des droits de l’homme affecte la Russie, elle est pertinente pour les pays européens qui envisagent d’adopter des lois similaires sur le déchiffrement, telles que Chat Control et la loi sur la sécurité en ligne du gouvernement britannique.

Patrick Breyer, membre du Parlement européen pour le Parti Pirate, a salué la décision qui démontre que le Chat Control est incompatible avec le droit européen.

Avec cette décision historique, la surveillance par balayage côté client de tous les smartphones proposée par la Commission européenne dans son projet de loi sur le contrôle du chat est clairement illégale.

a déclaré M. Breyer.

Elle détruirait la protection de toutes les personnes au lieu d’enquêter sur les suspects. Les gouvernements de l’UE n’auront pas d’autre choix que de retirer la destruction du cryptage sécurisé de leur position dans cette proposition, ainsi que la surveillance indiscriminée des communications privées de l’ensemble de la population.

Chat Control est un raccourci pour la législation européenne sur la surveillance des données qui exigerait que les fournisseurs de services Internet analysent les communications numériques à la recherche de contenu illégal, en particulier de matériel pédopornographique et d’informations potentiellement liées au terrorisme. Pour ce faire, il faudrait nécessairement affaiblir le chiffrement qui préserve la confidentialité des communications. Malgré la condamnation générale des universitaires, des organisations de défense de la vie privée et des groupes de la société civile, des efforts ont été déployés depuis plusieurs années et se poursuivent encore aujourd’hui pour élaborer des règles réalistes.

Plus d0information:
https://www.theregister.com/2024/02/15/echr_backdoor_encryption/
https://www.echr.coe.int/documents/d/echr/Convention_SPA
https://fr.eureporter.co/world/human-rights-category/european-court-of-human-rights-echr/2024/02/14/european-court-of-human-rights-bans-weakening-of-secure-end-to-endencryption-the-end-of-eus-chat-control-csar-mass-surveillance-plans/

Et s’il s’agissait de la pire attaque DNS jamais découverte?

KeyTrap est probablement peut-être la pire attaque DNS jamais découverte. Il s’agit d’un déni de service sur les serveurs DNSSEC (aujourd’hui utilisés dans 31 % des résolutions), précisément parce qu’ils traitent des clés chiffrées. Si un ou plusieurs domaines concernés étaient attaqués, des parties entières de l’internet disparaîtraient ou auraient des problèmes de connectivité.

Sources: Wikipedia

Découverte par des universités allemandes et le Centre national allemand de recherche en cybersécurité appliquée, le rapport The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNS (attaques de complexité algorithmique par déni de service sur le DNS) qui vient d’être publié, décrit comment un serveur DNSSEC vulnérable se verrait demander comment résoudre un domaine malveillant, qui à son tour renverrait à un serveur malveillant, lequel renverrait une réponse qui l’amènerait à effectuer des calculs si complexes qu’ils épuiseraient les ressources du serveur.

Selon la spécification DNSSEC elle-même, la réponse RRSet spécialement manipulée devrait contenir tout le matériel chiffré nécessaire pour valider avec succès l’intégrité de la résolution.

La création des correctifs a été coordonnée entre les principaux fournisseurs et BIND, le logiciel libre par excellence. Ils sont maintenant disponibles pour tous. Cela atténue le problème de la validation du matériel, mais pas le défaut de conception.

Ce défaut a été introduit en 1999 dans le RFC 2535, aujourd’hui obsolète, et reproduit dans les RFC 6781 et RFC 6840. Il est implémenté dans BIND depuis 2000.

Exploitation de la vulnérabilité

Voyons les différentes étapes qui formeraient l’exploitation de la vulnérabilité KeyTrap, de l’identification au déni de service:

  1. Identification de serveurs DNSSEC vulnérables : Les attaquants identifient les serveurs DNSSEC vulnérables qui sont susceptibles d’être exploités. Cela peut être réalisé en effectuant des scans de réseau ou en utilisant des outils de reconnaissance pour repérer les serveurs qui utilisent DNSSEC.
  2. Sélection d’un domaine malveillant : Les attaquants sélectionnent un domaine malveillant qu’ils contrôlent. Ce domaine sera utilisé pour déclencher l’attaque et rediriger le trafic vers des serveurs malveillants contrôlés par les attaquants.
  3. Manipulation des réponses DNS : Les attaquants manipulent les réponses DNS en modifiant les enregistrements RRSet (Resource Record Set) pour inclure des clés de chiffrement spécialement conçues. Ces clés manipulées sont ensuite retournées dans la réponse DNS aux requêtes légitimes des utilisateurs.
  4. Déclenchement de l’attaque : Lorsque les utilisateurs légitimes effectuent des requêtes DNS vers les serveurs vulnérables, les réponses manipulées sont renvoyées par les serveurs vulnérables. Cela déclenche l’attaque, car le traitement de ces réponses manipulées exige des calculs complexes qui épuisent les ressources du serveur.
  5. Épuisement des ressources du serveur : Les serveurs DNSSEC vulnérables sont submergés par des requêtes contenant des réponses manipulées, nécessitant des calculs complexes pour valider l’intégrité de la résolution DNS. Cela entraîne une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle du service DNS.
  6. Impact sur la connectivité Internet : En raison de l’épuisement des ressources des serveurs DNSSEC vulnérables, des parties entières de l’internet peuvent subir des perturbations majeures voire une indisponibilité partielle de l’accès à Internet. Cela peut entraîner des problèmes de connectivité pour les utilisateurs légitimes et causer des perturbations dans les services en ligne.

En résumé, les attaquants exploitent la vulnérabilité KeyTrap en manipulant les réponses DNS pour inclure des clés de chiffrement spécialement conçues. Lorsque ces réponses manipulées sont traitées par des serveurs DNSSEC vulnérables, elles entraînent une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle des services DNS.

Plus d’information:
https://www.athene-center.de/fileadmin/content/PDF/Technical_Report_KeyTrap.pdf
https://datatracker.ietf.org/doc/rfc2535/
https://www.presseportal.de/pm/173495/5713546
https://stats.labs.apnic.net/dnssec/XA?hc=XA&hx=0&hv=1&hp=0&hr=0&w=30&r=1

Terrapin, la vulnérabilité qui compromet la sécurité des connexions SSH.

Terrapin, avec un score CVSS de 5,9, représente la première attaque par troncature de préfixe qui est exploitable.

Les chercheurs en sécurité de l’Université de la Ruhr à Bochum Fabian Bäumer, Marcus Brinkmann et Jörg Schwenk ont découvert une vulnérabilité appelée Terrapin (CVE-2023-48795) dans le protocole réseau de chiffrement Secure Shell (SSH) qui pourrait permettre à un attaquant de dégrader la sécurité de la connexion en brisant l’intégrité du canal sécurisé.

SSH (Secure Shell) est une norme Internet qui fournit un accès sécurisé aux services réseau, en particulier pour la connexion à un terminal à distance et le transfert de fichiers au sein des réseaux d’entreprise et de plus de 15 millions de serveurs sur Internet. Cependant, cette récente vulnérabilité de Terrapin a été identifiée et compromet l’intégrité des connexions SSH.

Détails de la vulnérabilité : La vulnérabilité permet à un attaquant de dégrader la sécurité de la connexion SSH en manipulant les numéros de séquence pendant le handshake, en supprimant des messages au début du canal sécurisé sans être détecté par le client ou le serveur.

L’image montre une application pratique de l’attaque Terrapin. L’attaquant peut supprimer le message EXT_INFO, utilisé pour négocier diverses extensions de protocole, sans que le client ou le serveur s’en aperçoive. En général, le client détecte la suppression du paquet lorsqu’il reçoit le paquet binaire suivant envoyé par le serveur, car les numéros de séquence ne correspondent pas. Pour éviter cela, un attaquant injecte un paquet ignoré pendant le protocole de liaison afin de compenser les numéros de séquence en conséquence.

Conséquences possibles : Terrapin ne dégrade pas seulement la sécurité de la connexion, mais peut également permettre l’exploitation de failles de mise en œuvre. Par exemple, des faiblesses ont été trouvées dans le serveur AsyncSSH, permettant à un attaquant de se connecter au compte d’un utilisateur sans être détecté, ce qui facilite les attaques par hameçonnage et accorde des capacités de type Man-in-the-Middle (MitM) au sein de la session chiffrée.

Risques associés : SSH est une méthode permettant d’envoyer en toute sécurité des commandes à un ordinateur sur un réseau non sécurisé. Il s’appuie sur la cryptographie pour authentifier et chiffrer les connexions entre les appareils. Cependant, un acteur malveillant en position d’attaquant au milieu (AitM) ayant la capacité d’intercepter et de modifier le trafic de connexion au niveau de la couche TCP/IP peut dégrader la sécurité d’une connexion SSH en utilisant la négociation de l’extension SSH.

L’attaque peut être réalisée dans la pratique, permettant à un attaquant de dégrader la sécurité de la connexion en tronquant le message de négociation d’extension (RFC8308) de la transcription. La troncature peut conduire à l’utilisation d’algorithmes d’authentification du client moins sûrs et désactiver les mesures spécifiques contre les attaques de synchronisation des frappes dans OpenSSH 9.5

Fabian Bäumer, Marcus Brinkmann et Jörg Schwenk, chercheurs en sécurité de l’Université de la Ruhr à Bochum

Une autre condition essentielle à la réalisation de l’attaque est l’utilisation d’un mode de chiffrement vulnérable tel que ChaCha20-Poly1305 ou CBC avec Encrypt-then-MAC pour sécuriser la connexion.

Impact potentiel : dans un scénario réel, un attaquant pourrait intercepter des données sensibles ou prendre le contrôle de systèmes critiques avec des privilèges d’administrateur. La vulnérabilité affecte plusieurs implémentations de clients et de serveurs SSH, y compris OpenSSH, Paramiko, PuTTY, KiTTY, WinSCP, libssh, libssh2, AsyncSSH, FileZilla et Dropbear.

La vulnérabilité affecte la plupart des implémentations SSH actuelles qui utilisent le chiffrement ChaCha20-Poly1305 ou CBC avec Encrypt-then-MAC. Un outil d’analyse de la vulnérabilité est même fourni pour déterminer si un serveur ou un client SSH est vulnérable.

Réponse de la communauté de la sécurité : En réponse à cette menace, les responsables des implémentations concernées ont publié des correctifs pour atténuer les risques. Toutefois, il est essentiel que les entreprises prennent des mesures immédiates pour sécuriser leurs serveurs SSH, car même si les serveurs sont corrigés, les connexions vulnérables constituent toujours un risque potentiel.

Recommandations de sécurité : Yair Mizrahi, chercheur principal en sécurité chez JFrog, conseille aux entreprises d’identifier toutes les instances vulnérables de leur infrastructure et d’appliquer des mesures d’atténuation sans délai, même si le serveur a été corrigé.

Terrapin représente une nouvelle menace dans le domaine des protocoles de réseaux cryptographiques. La sensibilisation et l’action proactive sont essentielles pour atténuer les risques associés à cette vulnérabilité, car la menace devrait persister pendant de nombreuses années.

Plus d’information:
https://terrapin-attack.com/
https://terrapin-attack.com/patches.html
https://nvd.nist.gov/vuln/detail/CVE-2023-48795
https://www.digitalocean.com/community/tutorials/understanding-the-ssh-encryption-and-connection-process
https://blog.qualys.com/vulnerabilities-threat-research/2023/12/21/ssh-attack-surface-cve-2023-48795-find-and-patch-before-the-grinch-arrives-with-cybersecurity-asset-management
https://thehackernews.com/2024/01/new-terrapin-flaw-could-let-attackers.html
https://jfrog.com/blog/ssh-protocol-flaw-terrapin-attack-cve-2023-48795-all-you-need-to-know/

Le nouveau ransomware VENUS, spécialisé dans les attaques RDP, fait des ravages dans le monde entier

Il est bien connu que les services de protocole de bureau à distance (RDP) sont largement utilisés par les cybercriminels comme une passerelle pour leurs attaques, à la fois en raison des vulnérabilités existantes dans les systèmes Windows et en raison du manque de robustesse des informations d’identification utilisées par de nombreux utilisateurs et des défenses insuffisantes utilisées dans de nombreuses infrastructures, les laissant exposées à toute attaque par force brute. Malgré cela, des centaines de milliers d’ordinateurs sont toujours exposés à des services RDP non protégés sur Internet.

Fichiers chiffrés par le Venus Ransomware. Source : BleepingComputer

Il est alarmant de constater la quantité de nouvelles associées aux ransomwares que nous recevons ces derniers mois, la plupart d’entre elles ayant réussi à cause de deux problèmes spécifiques qui se répètent dans presque toutes ces attaques. La première est la négligence et l’ignorance d’un utilisateur qui, par le biais d’une astuce d’ingénierie sociale, finit par télécharger et exécuter un fichier malveillant qui ouvre les portes aux cybercriminels. Cela se fait généralement par le biais d’un email invitant l’utilisateur à accéder à une adresse web ou à ouvrir un fichier joint, en prétendant être un service connu de l’utilisateur. L’autre problème est l’exposition des connexions RDP sur Internet sans les moyens préventifs nécessaires pour éviter les problèmes.

En ce qui concerne les attaques RDP, il existe un moyen très simple de les prévenir que de nombreux administrateurs système semblent oublier, ce qui donne lieu aux problèmes qu’ils déplorent ensuite en matière de ransomware.

En raison de la paresse technologique en matière de cybersécurité de la part des administrateurs et des entreprises, un nouveau groupe de ransomware qui a commencé ses opérations en août 2022 s’est spécialisé précisément dans le chiffrement des cibles Windows dont les services RDP sont exposés. Ce nouveau ransomware est connu sous le nom de VENUS et n’a rien à voir avec le célèbre ransomware VenusLocker écrit en .NET qui fonctionne depuis 2016.

Comment se comporte VENUS ?

Selon l’analyse publiée par BleepingComputer, dès que le malware est exécuté sur l’ordinateur, la première chose qu’il fait est de supprimer les journaux d’événements de Windows et les volumes Shadow Copy. Il désactive également la prévention de l’exécution des commandes (DEP), ce qui s’effectue par la commande suivante sur le système :

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE.

Il tente également d’arrêter plusieurs processus système liés aux services de base de données et aux applications Microsoft Office. Les processus suivants ont été détectés dans l’analyse du malware :

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos. exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc. exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Une fois qu’il commence à chiffrer les fichiers sur l’ordinateur, il ajoute l’extension .venus au nom du fichier, transformant par exemple un fichier appelé « notes.doc » en « notes.doc.venus ». Dans chaque fichier chiffré, le malware ajoute au code du fichier un marqueur avec le texte « goodgamer » et un court morceau de code supplémentaire dont la fonction n’a pas encore été identifiée.

Code hexadécimal d’un fichier crypté par Venus. Source : BleepingComputer.

Le même logiciel malveillant crée également une note de rançon au format .hta dans le dossier %Temp% du système, qui est automatiquement exécutée lorsque le ransomware a fini de chiffrer les fichiers de l’ordinateur.

Note de rançon au format HTA du ransomware Venus.

La note de rançon contient une adresse TOX et une adresse électronique qui peuvent être utilisées pour contacter l’attaquant et négocier le paiement de la rançon. À la fin de la note se trouve un texte blob codé en base64 qui est probablement la clé de déchiffrement chiffrée que l’attaquant demandera afin de transmettre l’utilitaire permettant de déchiffrer à la victime après paiement.

Le ransomware VENUS est actuellement très actif et le service d’identification des ransomwares MalwareHunterTeam reçoit quotidiennement des fichiers liés à ce malware.

Nous pouvons voir un échantillon en détail dans le service VirusTotal identifié avec le hash:

6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05 

un fichier exécutable Windows (.exe) d’une taille de 225.50Kb.

Exemple de fichier identifié comme le nouveau malware Venus dans VirusTotal.


Le groupe qui exploite ce malware semble cibler les services de bureau à distance exposés publiquement, y compris ceux qui fonctionnent sur des ports TCP non standard. Une croyance largement répandue parmi les administrateurs ayant peu d’expérience en matière de cybersécurité est que s’ils utilisent un port autre que le port RDP standard (port 3389), ils seront à l’abri des scans ou des attaques visant ce service, ce qui n’est pas vrai. Les services d’analyse de périphériques tels que Shodan ont identifié près d’un demi-million d’ordinateurs avec ce service exposé et accessible depuis Internet (y compris les honeypots).

Ordinateurs identifiés par Shodan avec RDP exposé.

Il est essentiel de protéger ces services derrière un pare-feu et de ne pas les exposer publiquement sur l’internet, et ils ne devraient être accessibles que par un VPN. Il est également important de suivre et d’appliquer les mises à jour des logiciels et des systèmes d’exploitation et les correctifs de sécurité existants afin d’éviter l’exploitation de vulnérabilités connues telles que « Bluekeep » (CVE-2019-0708) ainsi que de maintenir une politique stricte de mots de passe forts (longueur minimale recommandée de 12 caractères, utilisation de majuscules, de minuscules, de chiffres et de symboles).

Sources :
https://www.bleepingcomputer.com/news/security/venus-ransomware-targets-publicly-exposed-remote-desktop-services/
https://www.virustotal.com/gui/file/6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05/details
https://www.shodan.io/search?query=rdp
https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=tabletext

Le groupe de ransomware Conti implique Zoom dans une liste possible de fuites d’entreprises

La guerre en Ukraine pourrait faire une victime inattendue. Le groupe cybercriminel Conti a récemment exprimé son soutien total au gouvernement russe. Deux jours plus tard, le compte twitter ContiLeaks a commencé à divulguer des informations sur le groupe. Cette fuite est bien plus importante que la publication de ses manuels techniques en août de l’année dernière.

Mensaje de Conti
Message publié sur le site web de Conti.

La source de la fuite semble provenir d’une personne du groupe lui-même. C’est certainement quelqu’un qui a un accès privilégié à l’infrastructure de Conti.

Dans un premier temps, des chats privés avec des conversations entre janvier 2021 et février 2022 ont été divulgués. Ces données permettent d’obtenir des informations précieuses, telles que des adresses Bitcoin, le modèle d’organisation du groupe ou des guides sur la manière de mener des attaques.

Zoom dans les fichiers divulgués

Au milieu des proclamations anti-guerre et du soutien à l’Ukraine, de nouvelles fuites ont continué à se produire. Certaines d’entre elles ont créé une véritable agitation sur les médias sociaux. Un dossier portant le nom de Zoom est apparu parmi les fichiers divulgués.

Matt Nagel, responsable de la sécurité et de la confidentialité chez Zoom, a démenti peu après que l’entreprise ait été touchée par une violation de sécurité liée au ransomware Conti.

Parmi les contenus d’intérêt publiés par ContiLeaks figuraient le code source du panneau d’administration du groupe et des captures d’écran de serveurs de stockage. Un fichier protégé par un mot de passe s’est avéré contenir le code source des fonctions de chiffrement, de déchiffrement et de construction du ransomware.

Pour les analystes, cette découverte est d’une grande valeur. Mais ce genre de fuite a ses inconvénients. D’autres groupes pourraient voir le jour en utilisant le code publié.

L’effet sur la réputation de groupe Conti ne fait aucun doute, mais il faut encore attendre pour voir dans quelle mesure son modèle économique est affecté.

Plus d’information:
https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/
https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/

Page 1 of 2

Fièrement propulsé par WordPress & Thème par Anders Norén