learn.hack.repeat

Publication de correctifs pour plusieurs vulnérabilités de Samba

de

On 10/02/2022

dans CVE, Sécurité

Les CVE-2021-44142, CVE-2021-44141 et CVE-2022-0336 affectant SAMBA ont été corrigés. Ces vulnérabilités facilitent l’exécution de code sur les systèmes qui utilisent SAMBA comme logiciel pour intégrer des ordinateurs Windows, Linux et macOS dans un réseau. Vous trouverez ci-dessous les correctifs qui ont été publiés pour atténuer ces vulnérabilités.

Ces vulnérabilités ont été divulguées dans le cadre du Pwn2Own Austin 2021 de la Trend Micro Zero Day Initiative et permettent à un attaquant distant d’exécuter du code arbitraire sur des installations utilisant le module vfs_fruit (module de système de fichiers virtuel). Les versions concernées sont les versions antérieures à 4.15.5 (CVE-2021-44142), 4.15.5 (CVE-2021-44141) et les versions 4.0.0 (CVE-2022-036) et ultérieures du démon smbd utilisé pour permettre le partage de fichiers et la connexion entre les périphériques réseau disponibles. Ces vulnérabilités sont respectivement de niveau critique, élevé et moyen. Outre l’exécution de code, un attaquant pourrait divulguer des informations et se faire passer pour un service arbitraire en cas d’exploitation de l’une de ces vulnérabilités.

Versions de RedHat affectées par CVE-2021-44142. Source: RedHat

Pour atténuer ces vulnérabilités, une série de correctifs a été développée et publiée sur le site web de SAMBA. Les versions actuellement corrigées pour atténuer cette vulnérabilité sont 4.15.5, 4.14.12 et 4.13.17. Il est conseillé aux administrateurs système d’appliquer les nouvelles mises à jour dès que possible. Si Trend Micro et Red Hat recommandent de supprimer le module VFS « fruit » de la liste des objets VSF configurés comme solution de contournement, ils indiquent également que cela pourrait poser des problèmes aux systèmes macOS qui tentent d’accéder à des informations sur des équipements réseau tels que des NAS, car ils pourraient rencontrer des problèmes tels que la perte d’informations ou l’inaccessibilité des informations stockées.

Plus d’information:
https://www.trendmicro.com/en_us/research/22/b/the-samba-vulnerability-what-is-cve-2021-44142-and-how-to-fix-it.html
CVE – CVE-2021-44142 (mitre.org)
https://access.redhat.com/security/cve/cve-2021-44142 https://www.samba.org/samba/history/security.html

Publication de multiples vulnérabilités dans les routeurs Cisco

de

On 09/02/2022

dans CVE, Sécurité

De multiples vulnérabilités classées comme critiques ont été publiées dans les produits de la gamme Cisco Small Business RV Routers Series. Elles pourraient permettre à un attaquant distant d’exécuter du code à distance sur l’appareil en plus de : l’élévation des privilèges, le contournement de l’authentification, l’exécution de logiciels non signés et le déni de service.

Parmi les vulnérabilités rapportées, il convient de signaler une vulnérabilité dans le module VPN SSL qui pourrait permettre l’exécution de code arbitraire par un attaquant non authentifié (CVE-2022-20699). Plusieurs failles dans l’interface de gestion web des routeurs pourraient permettre une élévation de privilèges en envoyant des commandes spécialement conçues (CVE-2022-20700, CVE-2022-20701 et CVE-2022-20702). Une autre faille existe dans la vérification incorrecte des images logicielles qui sont installées sur les ordinateurs, ce qui pourrait permettre l’installation d’images non signées (CVE-2022-20703). De multiples failles de sécurité ont été découvertes en raison d’une validation insuffisante des entrées fournies par l’utilisateur, permettant à un attaquant d’exécuter des commandes arbitraires sur le système (CVE-2022-20707, CVE-2022-20708 et CVE-2022-20749).

Certaines de ces vulnérabilités sont dépendantes les unes des autres, il est donc nécessaire d’en exploiter une pour en exploiter une autre.

Cisco recommande de mettre à jour vers les versions les plus récentes qui résolvent ces vulnérabilités :

Plus d’information:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D

Une application 2FA contenant un cheval de Troie bancaire infecte 10000 victimes via Google Play

de

On 01/02/2022

dans Malware, Sécurité

Après avoir été disponible pendant plus de deux semaines, une application malveillante d’authentification à deux facteurs (2FA) a été retirée de Google Play, mais pas avant d’avoir été téléchargée plus de 10 000 fois.

L’application, qui est entièrement fonctionnelle en tant qu’authentificateur 2FA, est chargée du malware Vultur Stealer qui cible les données financières de l’utilisateur.

Les chercheurs de Pradeo recommandent aux utilisateurs qui ont installé l’application malveillante, nommée « 2FA Authenticator », de la supprimer immédiatement de leurs appareils, car ils sont toujours en danger, tant pour le vol de données bancaires que pour d’autres attaques possibles grâce aux autorisations étendues de l’application.

Les cybercriminels ont développé une application fonctionnelle et convaincante, en utilisant le code de l’application open source Aegis, mais modifiée par des modules complémentaires malveillants. Cela l’a aidé à se propager dans Google Play sans être détecté, selon un rapport de Pradeo publié jeudi.

La demande d’autorisations élevées permet aux attaquants d’exécuter un certain nombre de fonctions supplémentaires, telles que l’accès à la localisation de l’utilisateur, la possibilité d’effectuer des attaques géociblées, la désactivation du verrouillage de l’écran ou du mot de passe, le téléchargement et l’installation d’apps tierces, etc.

L’équipe de Pradeo rapporte que, bien que leurs chercheurs aient contacté Google pour faciliter leurs découvertes, la société a mis près de 15 jours pour désactiver l’application.

Plus d’information:
https://threatpost.com/2fa-app-banking-trojan-google-play/178077/
https://blog.pradeo.com/vultur-malware-dropper-google-play

Microsoft atténue la plus grande attaque DDoS de l’histoire

de

On 01/02/2022

dans Sécurité

Ce billet du blog de Microsoft couvre les tendances en matière d’attaques par déni de service distribué (DDoS) au cours du second semestre 2021. Celui enregistré en novembre de l’année dernière mérite une mention spéciale. Avec 3,47 térabits et 340 millions de paquets par seconde, il s’agit de la plus grande attaque par déni de service jamais enregistrée. Cette attaque double presque le trafic détecté dans celle-ci, également au cours du même mois.

Largeur de bande de l’attaque. Source : Microsoft

Un client Azure de la région asiatique a été la cible de cette attaque massive. La génération du trafic malveillant a été répartie entre quelque 10 000 sources différentes dans le monde. L’attaque a été réalisée en utilisant la technique du miroir de paquets UDP sur le port 80, en exploitant différents protocoles.
Schéma d’attaque

Pour mettre en œuvre cette technique, le serveur d’origine malveillant génère un paquet UDP modifié pour avoir l’adresse IP de la victime comme source. Ce paquet est envoyé à un serveur intermédiaire qui, à sa réception, commence à envoyer les réponses à la victime de l’attaque. Ces réponses sont beaucoup plus volumineuses que le paquet original envoyé, de sorte qu’avec un trafic suffisant, le service attaqué cesse de répondre.

Esquema ataque reflejado paquetes UDP
Diagramme de la technique du miroir de paquets UDP. Source AWS

Dans ce cas, la plateforme de protection contre le déni de service d’Azure a pu atténuer cet incident. Face à un tel événement, la flexibilité de la plateforme cloud permet aux ressources de s’adapter rapidement pour absorber l’important volume de trafic. En outre, le service permet de détecter rapidement les attaques de grande envergure en assurant une surveillance à travers le réseau mondial de Microsoft. Le trafic est géré par le réseau Azure, ce qui protège le service et empêche les interruptions de service.

Plus d’information :
https://www.bleepingcomputer.com/news/security/microsoft-mitigates-largest-ddos-attack-ever-reported-in-history/
https://azure.microsoft.com/en-us/blog/azure-ddos-protection-2021-q3-and-q4-ddos-attack-trends/
https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/udp-reflection-attacks.html

StellarParticle, une campagne associée à COZY BEAR

de

On 31/01/2022

dans Malware, Sécurité

CrowdStrike a publié un article sur la campagne StellarParticle détaillant les principales observations à son sujet.

Cette campagne est liée à l’attaque de la chaîne d’approvisionnement via SolarWinds survenue en décembre 2020, que les gouvernements américain et britannique ont attribuée au groupe cybercriminel COZY BEAR ou APT29.

Dans ce cas, StellarParticle est le nom par lequel l’équipe de CrowdStrike a nommé la nouvelle campagne, caractérisée par l’utilisation de nouvelles techniques décrites dans le rapport, ou l’utilisation dans ces scénarios particuliers de techniques existantes. Parmi les techniques mises en avant, on trouve le fameux « credential hopping », caractérisé par l’utilisation d’informations d’identification différentes à chaque étape afin d’obtenir un déplacement latéral dans le réseau. Elle minimise les chances de détection de l’attaquant et, du point de vue de l’analyste, implique d’attribuer une plus grande sophistication à l’attaquant, si le reste des techniques accompagne cette perception, comme c’est le cas.

En particulier, l’un des points intéressants du rapport est la manière dont les attaquants parviennent à s’authentifier sur les comptes O365 des victimes, même si l’authentification multifactorielle (MFA) est activée pour ces comptes. Même avec des informations d’identification d’administrateur, ils devraient contourner le MFA. Dans ce cas, les attaquants s’appuient sur le vol de cookies du navigateur Chrome. Le compte administrateur leur permet d’accéder aux ordinateurs des utilisateurs et de voler les données des sessions. Les cookies sont décryptés et si les données de connexion sont récentes, ils pourraient utiliser les cookies pour contourner le MFA. Un certain nombre de conditions sont le signe que l’attaque est exécutée avec la connaissance du système cible.

Ce type d’analyse permet également de déterminer les points d’amélioration possibles, comme l’importance d’établir différents rôles administratifs, et comment, bien qu’une solution particulière puisse offrir cette possibilité (O365), combinée à d’autres solutions, elle peut faire en sorte que cela ne soit pas possible.

L’article est également une lecture intéressante pour ceux qui sont curieux de l’analyse forensique. Les ShellBags, une fonctionnalité du système Windows dont le but est de mémoriser les préférences de l’utilisateur lorsqu’il navigue dans différents répertoires, servent dans ce cas à permettre aux analystes de visualiser le comportement du malware lorsqu’il tente d’obtenir les données de Chrome. Une autre fonctionnalité native de Windows Server 2012 et des versions ultérieures est l’UAL (User Access Login), qui stocke des informations sur les différentes connexions de l’utilisateur, et permet aux analystes d’obtenir des preuves sur les traces de l’activité des attaquants sur le système compromis. D’après les journaux analysés, certaines preuves permettent de dater les accès des attaquants deux ans avant leur découverte.

Une fois que les attaquants ont obtenu l’accès, surtout si l’attaque se prolonge dans le temps, ils peuvent laisser des logiciels malveillants derrière eux pour des opérations ou des accès futurs. Dans ce cas, deux familles sont liées à l’activité de StellarParticle : TrailBlazer et GoldMax.

La première, TailBlazer, comme les autres familles, se caractérise par une fonctionnalité modulaire, parfaite pour la rendre viable dans de multiples scénarios. Il est intéressant de noter qu’il masque les commandes C2 comme des requêtes HTTP provenant des notifications de Google. L’obscurcissement du trafic C2 n’est pas nouveau, mais il est intéressant de voir comment l’attaque est à nouveau adaptée à ce stade à l’environnement, où l’on suppose ou l’on s’attend à ce que des comptes Chrome soient présents, et où le trafic Google est courant, précisément en raison de l’utilisation de Chrome.

GoldMax est utilisé dans sa variante Linux. Il est apparu pour la première fois dans la campagne qui a conduit à l’attaque de la chaîne d’approvisionnement de SolarWinds, et pour les systèmes Windows. L’objectif de cette variante de StellarParticle ne semble être autre que de permettre la persistance sur des plateformes autres que Windows. Ce n’est qu’un autre exemple d’adaptation opportune de logiciels malveillants qui ont été déployés dès la mi-2019.

Les chercheurs soulignent que dans la plupart des cas, l’enquête commence à partir d’un environnement Office 365 compromis (O635) et que, de fait, les attaquants ont une connaissance approfondie des systèmes d’exploitation Windows et Linux, de Microsoft Azure, d’Office 365 et d’Active Directory. Il ne pouvait en être autrement, conformément aux conclusions longuement décrites dans le rapport publié le 27 janvier sur le blog de CrowdStrike, où je vous renvoie pour une lecture complète.

Plus d’information:
https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

Page 17 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén