Catégorie : CVE Page 4 of 10

Spectre-BHB : le retour de Spectre

On 21/03/2022

Des chercheurs de l’équipe VUSec, en collaboration avec Intel, ont découvert une nouvelle variante de Spectre. Cette variante, a été nommée Spectre-BHB. Cette nouvelle variante échappe aux mesures d’atténuation mises en place contre Spectre v2.

Qu’est-ce que Spectre ?

Spectre est une vulnérabilité qui a affecté une grande partie des microprocesseurs avec prédiction de branchement. Spectre a été divulgué au début de l’année 2018. L’exploit original de Spectre permettait à un attaquant de récupérer des données sensibles dans le cache d’un ordinateur.

Avec Spectre v2, le noyau pouvait être amené à exécuter des instructions injectées dans le cache. Pour ce faire, il était nécessaire de s’attaquer au moteur de prédiction de branchement pour l’exécution spéculative de ces instructions. La méthode d’attaque a été baptisée BTI (Branch Target Injection). Pour atténuer cette exécution, une restriction a été créée pour empêcher l’exécution d’instructions en cache à partir d’un niveau de privilège inférieur.

Spectre-BHB

Spectre-BHB parvient à échapper aux mesures d’atténuation prises pour Spectre v2 en utilisant une nouvelle attaque appelée BHI (Branch History Injection). Cette attaque consiste à empoisonner l’historique d’exécution pour forcer le noyau à exécuter certaines opérations sensibles. Cela ouvre la porte à une multitude d’attaques.

L’équipe de recherche VUSec a produit une vidéo de démonstration du concept. Dans ce cas, les informations d’identification de la racine du système sont obtenues en exploitant cette vulnérabilité :

L’équipe VUSec affirme que tout processeur affecté par Spectre v2 est susceptible d’être affecté par cette attaque. Cela inclut une large gamme de microprocesseurs Intel et ARM. Les deux fabricants ont publié une note contenant une liste des microprocesseurs concernés.

Mais il n’y a pas que des mauvaises nouvelles. Des mesures d’atténuation pour Spectre-BHB existent déjà. Elles sont déployées dans les versions du noyau Linux à partir de la version 5.16. En outre, ARM a publié des correctifs pour Linux et Trusted Firmware-A et a publié un ensemble de directives pour que les autres fournisseurs puissent créer leur propre correctif.

Plus d’information:
https://www.vusec.net/projects/bhi-spectre-bhb/
https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/technical-documentation/branch-history-injection.html
https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/spectre-bhb

La vulnérabilité Log4j, exploitée dans VMware Horizon pour le déploiement de ransomware

de jabot

On 24/02/2022

dans CVE, Ransomware, Sécurité

Un groupe de pirates proche du gouvernement iranien utilise la vulnérabilité Log4j pour infecter des serveurs VMware Horizon obsolètes.

Comme le rapportent les chercheurs Amitai Ben Shushan Ehrlich et Yair Rigevsky de la société de sécurité SentinelOne, le groupe cybercriminel appelé « TunnelVison » exploite activement la vulnérabilité Java Log4j (CVE-2021-44228) pour l’exécution de code à distance. Ils peuvent ainsi prendre le contrôle des serveurs affectés et lancer des commandes PowerShell pour activer des portes dérobées, créer des utilisateurs, obtenir des informations et effectuer des mouvements latéraux. VMware utilise généralement Apache Tomcat pour le déploiement d’applications Web Java.

Au cours de l’activité détectée, l’utilisation d’un dépôt Github connu sous le nom de « VmwareHorizon » et de l’utilisateur « protections20 » a été observée.

Il est recommandé de mettre à jour les dernières versions pour éviter ce type d’incident.

Plus d’information:
https://kb.vmware.com/s/article/87073
https://thehackernews.com/2022/02/iranian-hackers-targeting-vmware.html

Nouveau 0-day dans Google Chrome

de jabot

On 21/02/2022

dans CVE, Sécurité

Google a publié lundi dernier une nouvelle version de son navigateur Google Chrome qui applique plusieurs correctifs de sécurité corrigeant huit vulnérabilités, dont une vulnérabilité élevée qui est actuellement activement exploitée, étant la première vulnérabilité de type 0-day corrigée par le géant de l’Internet en 2022.

Les vulnérabilités de sécurité (CVE-2022-0603, CVE-2022-0604, CVE-2022-0605, CVE-2022-0606, CVE-2022-0607, CVE-2022-0608, CVE-2022-0609) présentent un risque élevé tandis que la vulnérabilité (CVE-2022-0610) présente un risque moyen.

Google reconnaît avoir eu connaissance de rapports faisant état de l’existence d’un exploit pour CVE-2022-0609, qui est utilisé dans des attaques actuellement en cours. Adam Weidemann et Clément Lecigne du groupe d’analyse des menaces (TAG) de Google sont responsables de la découverte et du signalement de la vulnérabilité.

L’accès aux détails de la vulnérabilité est actuellement restreint.

Google recommande de passer à la version stable 98.0.4758.102 pour Windows, Mac et Linux, qui sera déployée dans les jours/semaines à venir.

La liste complète des modifications apportées à cette version est disponible dans le journal des modifications.

Plus d’information: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
https://blog.google/threat-analysis-group/
https://sites.google.com/a/chromium.org/dev/Home/chromium-security

Correction de plusieurs vulnérabilités de haute gravité dans Mozilla Firefox 97

de jabot

On 12/02/2022

dans CVE, Sécurité

Le dernier Patch Tuesday, la Fondation Mozilla a publié son bulletin de sécurité dans lequel 12 vulnérabilités ont été corrigées, dont 4 considérées comme étant de haute gravité.

Deux bugs présents dans les versions Firefox 96 et Firefox ESR 91.5 permettraient à un attaquant distant de corrompre la mémoire et vraisemblablement d’exécuter du code arbitraire (CVE-2022-22764 et CVE-2022-0511).

Une autre vulnérabilité, attribuée au code CVE-2022-22753, permettrait à un attaquant d’escalader ses privilèges en exploitant un bug « Time-of-Check Time-of-Use ». Dans un tel scénario, l’attaquant pourrait obtenir les privilèges du système et écrire dans un répertoire arbitraire. Cette vulnérabilité n’affecte que les systèmes Windows.

Un contournement des restrictions de sécurité qui permettrait à une extension malveillante d’installer une nouvelle version d’une telle extension sans afficher le message de confirmation est également corrigé (CVE-2022-22754).

Les vulnérabilités restantes sont considérées comme étant d’une criticité modérée et permettraient, entre autres, l’exécution de code Javascript à partir d’un onglet déjà fermé (CVE-2022-22755), l’exécution de code arbitraire en manipulant l’utilisateur pour qu’il fasse glisser une image sur son bureau ou dans un autre répertoire (CVE-2022-22756), la possibilité pour une page locale malveillante de contrôler un navigateur avec WebDriver activé (CVE-2022-22757), l’envoi de codes USSD via des liens « tel » (CVE-2022-22758), l’exécution de scripts dans des iframes isolées sans que la propriété « allow-scripts » soit active (CVE-2022-22760), ou l’application incorrecte des politiques de sécurité du contenu sur les pages accessibles depuis des extensions (CVE-2022-22761).

Il est fortement recommandé de mettre à jour dès que possible la dernière version de Mozilla Firefox qui corrige ces vulnérabilités.

Plus d’information:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/

Patch Tuesday

de jabot

On 10/02/2022

dans CVE, Sécurité

Seulement 70 vulnérabilités corrigées ce mardi par Microsoft. Curieusement, aucune d’entre elles n’est critique, bien qu’il y en ait une publique sans exploit. La plus grave (mais pas critique, il y en a plusieurs qui sont censées permettre l’exécution de code) se trouve dans Sharepoint, avec un CVSS de 8.8. Elle semble facile à exploiter, bien qu’elle nécessite certaines autorisations de la part de l’attaquant (qui ne sont pas si difficiles à obtenir). Une autre faille de sévérité 8.8 dans le serveur DNS semble moins susceptible d’être exploitable.

La faille déjà connue est une élévation de privilège complexe à exploiter.

Et la file d’attente pour l’impression est toujours dans l’œil du cyclone. Quatre bugs, classés comme importants (ils permettraient une élévation), ont été corrigés. Microsoft semble bien auditer ce code depuis le fiasco de printNightmare en juillet 2021.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/