learn.hack.repeat

Catégorie : CVE Page 7 of 10

La Chine punit le géant technologique Alibaba pour « une différence de priorités »

La Chine a sanctionné le géant technologique Alibaba, plus précisément sa filiale de cloud computing, en suspendant pour six mois l’accord de collaboration qu’il avait mis en place pour échanger des informations sur la cybersécurité et les données dans le cloud.

La sanction a été catégorique et retentissante de la part du gouvernement chinois, car l’entreprise a signalé la vulnérabilité populaire et désormais bien connue de Log4Shell.

Et il semble que le gouvernement chinois n’ait pas pris ce fait à la légère ou avec joie, car il ne semble pas être d’accord avec la priorité de savoir qui doit être tenu pour responsable en premier, et il a sévèrement puni le géant technologique.

Avec cette sanction, le gouvernement chinois veut faire comprendre à toutes les entreprises technologiques du pays quelle priorité elles doivent accorder au signalement d’une vulnérabilité.

Chen Zhaojun, un technicien de l’équipe de sécurité d’Alibaba Cloud, est à l’origine de la découverte de la vulnérabilité (Log4Shell), à laquelle a été attribuée une note de 10/10 sur le CVSS (Common Vulnerability Scoring System), une norme permettant de mesurer la gravité des vulnérabilités.

Zhaojun, suivant la procédure habituelle des communautés de cybersécurité et des développeurs de logiciels libres, a offert une réponse rapide. La Fondation Apache a publié un correctif à peine 24 heures plus tard, mais les dégâts ont été catastrophiques, comme nous l’avons lu partout ces dernières semaines, qui ont affecté des milliers d’entreprises et d’institutions.

Il y a quelques mois, le gouvernement avait adopté une nouvelle réglementation sur la divulgation des vulnérabilités, exigeant que tout logiciel ou fournisseur de télécommunications concerné divulgue d’abord ses vulnérabilités aux autorités gouvernementales.

En septembre, Pékin a officiellement et publiquement indiqué les plates-formes sur lesquelles ces incidents doivent être signalés, afin de protéger les infrastructures technologiques chinoises contre tout acteur malveillant, ou du moins c’est la raison officielle invoquée par le gouvernement chinois.

Le réseau du ministère belge de la défense partiellement hors service après une cyberattaque basée sur Log4j

Le ministère belge de la défense a récemment subi une cyberattaque qui a exploité une faille de sécurité dans le logiciel utilisé, laissant une partie du réseau ministériel inopérant.

Depuis jeudi dernier, une partie du réseau informatique du ministère, y compris le service de courrier, était inopérant. Selon les rapports de VRT News, cela pourrait être dû à une cyber-attaque basée sur Log4j d’origine inconnue. Cependant, les techniciens du ministère ont réussi à atténuer l’attaque en quelques jours, déclarant sa neutralisation complète dimanche.

Le porte-parole du ministère, Olivier Séverin, a déclaré que le ministère de la défense a découvert jeudi l’attaque de son réseau informatique, qui a été menée à partir d’Internet. Cependant, elle a rapidement mis en quarantaine les parties concernées. Sa priorité à l’époque était de maintenir le réseau de défense opérationnel et d’informer ses partenaires. Il a ajouté que l’équipe technique était mobilisée tout au long du week-end pour contenir la cyber-attaque et reprendre les activités dès que possible. Dans l’intervalle, la situation en cours a été suivie.

Selon le ministère de la défense, la cyberattaque a exploité la vulnérabilité critique Log4Shell, une faille de sécurité dans la bibliothèque Log4j récemment identifiée. Il s’agit d’une bibliothèque Java utilisée par des millions d’ordinateurs dans le monde entier pour exécuter des services en ligne. Le problème a suscité des inquiétudes au-delà de la communauté de la sécurité. Selon le Centre national de cybersécurité (NCSC) du Royaume-Uni, il s’agit peut-être de la vulnérabilité informatique la plus grave depuis des années.

Cette bibliothèque est largement utilisée pour tester le bon fonctionnement d’une application. On s’attend donc à ce que les attaquants recherchent activement des cibles potentielles pour les systèmes qui n’ont pas encore corrigé la vulnérabilité de Log4j.

Plus d’information :
https://www.vrt.be/vrtnws/en/2021/12/21/cyberattack-partly-downs-defence-department-network/
https://www.brusselstimes.com/belgium/198521/belgian-defence-ministry-network-partially-down-following-cyber-attack

Microsoft corrige un zero-day utilisé pour propager Emotet.

Comme signalé en novembre, Emotet est redevenu une menace pour les ordinateurs de bureau. Ce mois-ci, Microsoft a inclus dans les mises à jour de sécurité de décembre, un correctif pour le zero-day qui a permis la propagation de ce malware, qui a été classé comme le plus dangereux au monde.

Comme chaque deuxième mardi du mois, les mises à jour des produits de Microsoft sont désormais disponibles. À cette occasion, un total de 67 failles de sécurité ont été incluses dans la mise à jour de Windows, dont sept sont critiques et les autres sont classées comme étant de haute sévérité.

L’une des plus critiques est une vulnérabilité qui usurpe le programme d’installation AppX affectant Microsoft Windows (CVE-2021-43890). Les attaquants ont exploité cette vulnérabilité pour installer des paquets comprenant certaines familles de logiciels malveillants comme Emotet, TrickBot ou Bazaloader.

D’autres failles de sécurité critiques ont été corrigées par la dernière mise à jour de Windows :

CVE-2021-43240 : vulnérabilité d’élévation de privilège liée au service NTFS.
CVE-2021-43883 : vulnérabilité d’élévation de privilège dans Windows Installer.
CVE-2021-41333 : vulnérabilité d’élévation de privilèges dans la file d’attente d’impression de Windows.
CVE-2021-43893 : vulnérabilité d’élévation de privilèges dans le système de fichiers cryptés (EFS) de Windows.
CVE-2021-43880 : vulnérabilité d’élévation de privilège dans l’administration des périphériques Windows Mobile.

Mais la mise à jour de décembre ne comprend pas seulement des failles liées à l’élévation de privilèges, mais aussi celles liées à l’exécution de code à distance dans Defender for IoT, le client de bureau à distance, le serveur SharePoint, etc.

Plus d’information:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Dec
https://jabot.tech/emotet-fait-un-retour-en-force-grace-a-trickbot/

Une faille critique dans Apache Log4j

Une vulnérabilité zero-day dans la bibliothèque Apache Log4j a été divulguée. Elle est activement exploitée et permettrait l’exécution de code à distance sur les systèmes vulnérables.

Apache Log4j est une bibliothèque open source développée en Java qui permet aux développeurs d’écrire des messages de journal. Il s’agit d’une bibliothèque largement utilisée dans les logiciels populaires de divers fournisseurs, notamment Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter et même des jeux vidéo tels que Minecraft.

La vulnérabilité, identifiée sous le nom de CVE-2021-44228 et surnommée « Log4Shell » ou « LogJam », est due aux fonctionnalités JNDI (Java Naming and Directory Interface) utilisées dans la configuration, les messages de journal et les paramètres qui ne fournissent pas de protection contre l’accès aux services d’annuaire distants et autres points finaux.

Cette faille de sécurité pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire chargé depuis des serveurs distants. Cela peut se faire par l’intermédiaire d’une simple chaîne de texte, qui amène une application à communiquer avec un hôte externe malveillant, à partir duquel la charge utile est téléchargée et exécutée localement sur le système affecté. À titre d’exemple, la possibilité d’exécuter du code à distance sur les serveurs de jeu Minecraft en tapant simplement un message spécialement conçu dans la boîte de discussion a été démontrée.

La vulnérabilité, découverte par Chen Zhaojun de l’équipe de sécurité d’Alibaba Cloud, a reçu un score CVSS de 10 sur 10 en raison, notamment, de sa gravité et de sa facilité d’exploitation.

Les versions d’Apache Log4j comprises entre 2.0-beta9 et 2.14.1, toutes deux incluses, sont affectées. L’Apache Software Foundation a publié des correctifs pour contenir la vulnérabilité dans les versions 2.15.0 et ultérieures.

Selon les experts en sécurité, cette faille dans Apache Log4j pourrait probablement être considérée comme la vulnérabilité la plus critique découverte au cours de cette année 2021.

Actuellement, des Proof of Concept (PoC) ont été publiées et la vulnérabilité est activement exploitée. Des entreprises de cybersécurité telles que BitDefender, Cisco Talos, Huntress Labs et Sonatype confirment l’existence de scans massifs des applications concernées à la recherche de serveurs vulnérables et ont enregistré des attaques contre leurs pots de miel. Selon les déclarations de Cloudflare, ils ont été contraints de bloquer environ 20 000 requêtes par minute cherchant à exploiter la faille de sécurité ; ces attaques se sont produites vers 18 h UTC vendredi dernier et provenaient principalement du Canada, des États-Unis, des Pays-Bas, de la France et du Royaume-Uni.

Compte tenu de la facilité d’exploitation, les attaques visant les serveurs sensibles devraient continuer à se multiplier au cours des prochains jours. Il est donc fortement recommandé de s’attaquer immédiatement au problème.

La mise à niveau de la bibliothèque vers Apache Log4j 2.15.0 ou une version ultérieure corrige la faille de sécurité. Toutefois, s’il n’est pas possible d’appliquer les correctifs de sécurité, les contre-mesures suivantes sont recommandées pour atténuer le problème :

  • Dans les versions 2.10 à 2.14.1, il est recommandé de définir le paramètre log4j2.formatMsgNoLookups ou la variable d’environnement LOG4J_FORMAT_MSG_NO_LOOKUPS à true.
  • Dans les versions inférieures à 2.10 et jusqu’à 2.0-beta9, supprimez la classe JndiLookup du chemin des classes (en utilisant la commande zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).

Il est également recommandé d’effectuer des contrôles pour déterminer si une application est potentiellement vulnérable à la vulnérabilité « Log4Shell » en recherchant les fichiers correspondant au motif : log4j-core-*.jar. L’emplacement de ces fichiers indique quelle application doit être vérifiée (par exemple, sous Windows, si le fichier se trouve dans C:\Program Files\ApplicationName\log4j-core-version.jar, cela indique que l’application potentiellement affectée est ApplicationName). Sur les systèmes GNU/Linux, la commande lsof peut également être utilisée pour déterminer quels processus ont ces fichiers en cours d’utilisation.

Enfin, une compilation des hachages des différentes versions de la bibliothèque vulnérable est fournie sur GitHub pour faciliter leur recherche sur les systèmes.

Plus d’information :
log4shell/README.md at main · NCSC-NL/log4shell · GitHub
https://logging.apache.org/log4j/2.x/security.html
https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes

CVE-2021-41379

En novembre, Microsoft a corrigé une élévation de privilèges dans le programme d’installation. CVE-2021-41379. Mais ça a mal tourné. Le découvreur lui-même a publié un exploit capable de contourner le correctif et d’élever à nouveau les privilèges grâce à une faille dans le système d’installation des MSI. Et il fonctionne mieux que le précédent, même. Pour l’instant, il n’y a pas de correctif et il n’est pas facile de penser à une contre-mesure, comme le souligne l’auteur lui-même.

Le POC écrase les permissions du service d’élévation Edge (car Edge fonctionne avec très peu de privilèges, mais pour certaines opérations, il doit s’élever). Une fois écrasé, il y copie un programme et parvient à se lancer.

On se demande toutefois pourquoi le découvreur qui signale le bug précédent de manière responsable, lance-t-il l’exploit sans avertissement ? Depuis avril 2020, les chercheurs considèrent que la politique de primes aux bugs de Microsoft est très médiocre et laisse beaucoup à désirer. Ils paient de moins en moins à chaque fois.

Plus d’information:
https://github.com/klinix5/InstallerFileTakeOver

Page 7 of 10

Fièrement propulsé par WordPress & Thème par Anders Norén