learn.hack.repeat

Comment exécuter un logiciel malveillant sur l’iPhone même s’il est éteint

de

On 21/05/2022

dans Uncategorized

Des chercheurs affirment avoir découvert un moyen d’exécuter des logiciels malveillants sur un iPhone en tirant parti des puces sans fil liées à Bluetooth pour manipuler et charger des logiciels malveillants même lorsque l’iPhone est éteint, tout cela grâce à la fonction Find My d’iOS.

L’exploit consiste à tirer parti de la relation Bluetooth qu’entretiennent certaines puces sans fil, la communication NFC et l’UWB, car ces éléments continuent de fonctionner même lorsque l’appareil est éteint en passant en mode faible consommation (LPM).

Si cela est fait pour permettre des fonctions telles que Find My et aussi pour faciliter les transactions par carte express, les trois puces sans fil ont un accès direct au Secure Element, selon les universitaires du Secure Mobile Networking Laboratory (SEEMOO) de l’Université technique de Darmstadt.

« Les puces Bluetooth et UWB sont connectées à l’élément sécurisé (SE) de la puce NFC, stockant des secrets qui devraient être disponibles dans le LPM« , expliquent les chercheurs.

« Le support LPM étant implémenté dans le matériel, il ne peut être supprimé en changeant les composants logiciels. Par conséquent, dans les iPhones modernes, on ne peut plus faire confiance aux puces sans fil pour s’éteindre après la mise hors tension. Cela pose un nouveau modèle de menace« .

Ces résultats seront présentés lors de la conférence ACM qui se tient cette semaine.

L’année dernière, l’arrivée d’iOS 15 a vu l’introduction des fonctionnalités LPM, qui permettent de retrouver des appareils perdus via Find My. Les appareils actuels qui prennent en charge l’ultra large bande sont l’iPhone 11, l’iPhone 12 et l’iPhone 13.

« L’iPhone est toujours localisable après que vous l’ayez éteint. Find My vous aide à localiser cet iPhone lorsqu’il est perdu ou volé, même s’il est en mode veille ou éteint« . Lorsque les iPhones sont éteints, ce message s’affiche.

Les chercheurs ont également découvert que le micrologiciel Bluetooth n’est ni signé ni chiffré.

En tirant parti de cette situation, un cybercriminel disposant d’un accès privilégié pourrait créer un logiciel malveillant capable de fonctionner sur la puce Bluetooth d’un iPhone, même si elle est désactivée.

Mais pour qu’un micrologiciel soit compromis, le cybercriminel doit être en mesure de communiquer avec le micrologiciel via le système d’exploitation, de modifier l’image du micrologiciel ou d’obtenir l’exécution de code sur une puce compatible LPM sans fil en exploitant des bugs tels que BrakTooth. L’idée principale est de modifier le fil de l’application LPM afin d’y intégrer un logiciel malveillant, ce qui lui permet de prendre le contrôle à distance de la victime.

« Au lieu de modifier les fonctionnalités existantes, ils pourraient également ajouter des fonctionnalités complètement nouvelles« , ont déclaré les chercheurs de SEEMO. Tout ceci a déjà été signalé à Apple, mais il n’y a toujours pas de réponse de la part de la société.

Les chercheurs du SEEMO ont demandé à Apple d’inclure une sorte de commutateur matériel pour pouvoir déconnecter la batterie et empêcher d’éventuelles attaques au niveau du microprogramme.

« Comme le support du LPM est basé sur le matériel de l’iPhone, il ne peut pas être supprimé avec les mises à jour du système« , notent les chercheurs. « Par conséquent, il a un effet durable sur le modèle de sécurité global d’iOS« .

« La conception des caractéristiques du LPM semble être motivée principalement par la fonctionnalité, sans tenir compte des menaces en dehors des applications prévues. Find My after power off, transforme les iPhones éteints en dispositifs de suivi par conception, et l’implémentation dans le firmware Bluetooth n’est pas sécurisée contre la falsification« .

Plus d’information:
https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html

Le malware More_eggs infiltre les CV

de

On 05/04/2022

dans Malware

Keegan Keplinger, chercheur en sécurité chez eSentire, a publié un communiqué de presse mettant en garde contre une nouvelle escroquerie dont l’ingénierie sociale est la clé.

Dans leur déclaration, ils indiquent que l’escroquerie vise à cibler les managers et les cadres supérieurs en utilisant de faux CV comme cheval de Troie, dans lesquels se trouve un logiciel malveillant appelé « More_eggs ».

Hackers Abusing LinkedIn's Direct Messaging Service to Deliver More_eggs Malware | by Digitalmunition | Medium

Qu’est-ce que le logiciel malveillant More_eggs ?

Le malware More_eggs est un cheval de Troie qui permet aux cybercriminels d’atteindre plusieurs objectifs sur un ordinateur infecté. Ils peuvent supprimer des fichiers et des entrées de démarrage, télécharger et exécuter des exécutables portables, modifier les paramètres de Windows et exécuter des commandes shell. Cela se fait en établissant une connexion entre une machine compromise et le centre de commande et de contrôle de l’attaquant.

Un logiciel malveillant caché comme un cheval de Troie

Une nouvelle série d’attaques de phishing véhiculant le logiciel malveillant More_eggs a été observée, frappant les responsables du recrutement des entreprises avec de faux CV comme vecteur d’attaque, un an après que des candidats potentiels à la recherche d’un emploi sur LinkedIn aient été attirés par des offres d’emploi armées.

L’entreprise a identifié quatre incidents, dont trois se sont produits en mars. Les entités concernées comprennent une entreprise aérospatiale, un cabinet comptable, un cabinet d’avocats et une agence pour l’emploi.

Le malware more_eggs est capable de voler furtivement des informations précieuses sur le réseau compromis en utilisant les CV pour atteindre sa cible afin d’échapper à la détection et de lancer le malware.

Les attaquants utilisent un style d’attaque impeccable et entièrement ciblé qui fait appel à des communications tout à fait attendues, telles que des CV, qui correspondent aux attentes d’un responsable du recrutement ou à des offres d’emploi, ciblant des candidats pleins d’espoir qui correspondent à leur titre de poste actuel ou précédent.

Si l’on fait abstraction de l’inversion des rôles dans le modus operandi, on ne sait pas exactement ce que les attaquants recherchaient, puisque les intrusions ont été stoppées avant qu’ils ne puissent mettre leurs plans à exécution.

Ce qui est clair, et qui mérite d’être noté, c’est que More_eggs, une fois déployé, pourrait servir de point de départ à d’autres attaques, comme le vol de données et les ransomwares.

Plus d’information:
https://thehackernews.com/2022/04/hackers-sneak-moreeggs-malware-into.html

Vulnérabilité critique dans Sophos Firewall

de

On 02/04/2022

dans CVE, Sécurité

La société de cybersécurité Sophos a publié un communiqué mettant en garde contre une grave faille de sécurité dans son pare-feu, qui est activement exploitée.

Pare-feu Sophos : cette faille critique est activement exploitée ! | IT-Connect
Source: it-connect.fr

La faille, enregistrée sous le nom de CVE-2022-1040, a un classement CVSS de 9,8 sur 10 et affecte la version 1.5 MR3 (18.5.3) de Sophos Firewall et les versions antérieures. La vulnérabilité est une vulnérabilité de contournement d’authentification dans le portail utilisateur et l’interface d’administration qui, si elle est exploitée avec succès, permettrait à un attaquant distant d’exécuter du code arbitraire.

Selon le communiqué, Sophos a détecté que la faille est activement exploitée contre des organisations spécifiques, principalement en Asie du Sud, qui ont été signalées directement à Sophos.

Le correctif qui corrige la vulnérabilité est automatiquement installé sur les clients dont l’option est activée sur leur pare-feu. Comme mesure d’atténuation, Sophos recommande de désactiver complètement l’accès Web aux portails utilisateur et administratif.

L’importance d’un développement sécurisé

Une fois de plus, il est démontré que lors de développement d’applications web, il est plus qu’important de les développer avec une perspective de sécurité que sur la convivialité ainsi que l’importance des tests OWASP (Open Web Application Security Project) dans les tests de pré-production afin que ces types de vulnérabilités puissent être évités autant que possible, contribuant à un environnement plus sûr.

Source: OWASP

Pour ceux qui ne connaissent pas l’OWASP, il s’agit d’un projet consacré à la recherche et à la lutte contre les vulnérabilités des logiciels. La Fondation OWASP est une organisation à but non lucratif qui fournit l’infrastructure et le soutien nécessaires pour rendre le projet possible. Il existe un guide bien connu pour effectuer les tests nécessaires afin de s’assurer que le développement réalisé par les équipes de programmeurs est conforme aux normes de sécurité, le guide OWASP Web Security Testing Guide (WSTG), un élément quasi indispensable dans la boîte à outils de toute équipe de développement soucieuse de la sécurité de ses projets.

Plus d’information:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
https://thehackernews.com/2022/03/critical-sophos-firewall-rce.html
https://owasp.org/www-project-web-security-testing-guide/stable/

Muhstik cible les serveurs Redis

de

On 29/03/2022

dans CVE, Malware, Sécurité

Le botnet Muhstik vit une deuxième jeunesse grâce à une faille dans la base de données Redis sur Debian et Ubuntu (bien qu’elle puisse se produire sur plus de plateformes), qui permet d’y exécuter du code LUA en s’échappant de la sandbox. La faille, découverte début mars, s’ajoute à l’arsenal de vulnérabilités utilisées par le botnet pour se propager depuis 2018. Six au total, exploitant des problèmes dans Oracle WebLogic, Drupal, Confluence… Muhstik est responsable, entre autres activités, de la réalisation d’attaques par déni de service distribué.

Source: Juniper

Il est curieux que ce botnet utilise IRC pour communiquer avec son centre de commande et de contrôle et que le découvreur du bug Redis ait informé Ubuntu du problème, s’attendant qu’à leur tour, ils en informent Debian. Mais ils ne l’ont pas fait et il a dû notifier Debian séparément.

Plus d’information:
https://blogs.juniper.net/en-us/security/muhstik-gang-targets-redis-servers

Microsoft piraté : LAPSUS$ vole son code source

de

On 25/03/2022

dans Sécurité

Microsoft a été piraté par le groupe de hackers LAPSUS$. Ce groupe de pirates a volé le code source de certains produits Microsoft. Le groupe cybercriminel LAPSUS$, célèbre pour avoir publié ses méfaits sur un canal Telegram, a volé des informations et extorqué de l’argent à Nvidia et Samsung le mois dernier. Sa prochaine cible était le géant technologique Microsoft.

Le groupe LAPSUS$ a rendu public via Telegram qu’il disposait du code source de Cortana et de Bing. Ce groupe a publié des informations confidentielles extraites des serveurs d’Ubisoft, Nvidia et Samsung. Ils leur ont également extorqué de l’argent en échange de ne pas rendre publiques les informations qu’ils ont obtenues sur eux. Dans le cas de Nvidia, les attaquants ont demandé quelque chose de très curieux, qu’ils débloquent certains aspects des cartes graphiques de l’entreprise pour les rendre plus adaptées au minage de crypto-monnaies.

Capture d’écran téléchargée par le groupe sur le canal Telegram de LAPSUS$.

Une capture d’écran de ce qui semblait être un accès au compte interne d’un développeur Microsoft est apparue sur le canal Telegram de LAPSUS$ dimanche. Cette capture d’écran semble provenir d’Azure DevOps. Le projet montré dans l’image mettait en évidence des dossiers portant les noms Bing_UX, Bing-Source, Cortana ; ce qui a fait naître des soupçons quant à l’accès à l’expérience utilisateur du moteur de recherche de Microsoft, au code source et au code de l’assistant intelligent du géant technologique. Cette image n’a été publique sur la chaîne Telegram du groupe que pendant quelques heures et a été supprimée par l’un des administrateurs de la chaîne. À sa place, on peut trouver le message « Supprimé pour l’instant, sera reposté plus tard ».

Capture d’écran du canal Telegram de LAPSUS$.

Depuis, Microsoft a mené une enquête à ce sujet. Il y a quinze jours, le groupe LAPSUS$ a posté sur le même canal qu’il recrutait des employés initiés. Ils ont indiqué qu’ils recherchaient un VPN ou un accès au bureau à distance pour de grandes entreprises dans différents secteurs. Dans ce message, ils mentionnent des entreprises de télécommunications, des entreprises de jeux vidéo ou de logiciels telles que IBM, Apple, EA ou Microsoft, etc. Cela peut être considéré comme une déclaration d’intention visant à découvrir les prochaines cibles du groupe cybercriminel.

Capture d’écran du canal Telegram de LAPSUS$.

Microsoft s’exprime sur l’attaque

Selon les dernières informations communiquées par Microsoft, aucune donnée client n’a été divulguée. Microsoft lui-même publie dans son blog que le groupe LAPSUS$ n’a compromis qu’un seul compte qui avait des autorisations d’accès limitées. En outre, ils soulignent que les équipes de réponse aux incidents ont agi rapidement pour éviter des problèmes majeurs.

Plus d’information:
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating?&web_view=true

Page 12 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén