Page 19 – learn.hack.repeat

Browser nightmare

On 19/01/2022

La sécurité des navigateurs s’est beaucoup améliorée ces dernières années, mais les dizaines de « 0days » découverts dans Chrome ces derniers temps font réagir le secteur. Chrome a annoncé qu’il mettrait en œuvre une spécification du W3C appelée accès au réseau privé (PNA), qui protégera les attaquants contre l’accès aux ressources internes telles que les routeurs ou les serveurs par CSRF dans le navigateur.

Edge, quant à lui, a fait un pas de plus. Il mettra en œuvre un mode de navigation spécialement conçu pour améliorer la sécurité contre les vulnérabilités inconnues (0days). Pour ce faire, elle a mis en œuvre une série de modifications du registre qui, une fois activées, permettront d’appliquer cette sécurité et d’autoriser des exceptions. Il s’agit de EnhanceSecurityMode, EnhanceSecurityModeBypassListDomains et EnhanceSecurityModeEnforceListDomains.
Cela permettra d’activer trois mesures génériques d’atténuation des exploits dans le navigateur :

Hardware-enforced Stack Protection : elle permet une protection au niveau du processeur (en prenant en charge la technologie Shadow stack sur AMD et la technologie CET sur Intel) contre les attaques typiques par débordement de pile.
Arbitrary Code Guard (ACG), Alors que grâce à la technologie CIG de Windows, un processus ne peut pas charger de binaires non signés, ACG empêche cela avec du code mappé en mémoire.
Content Flow Guard (CFG). Une technologie qui a échoué (Microsoft a dû arrêter de payer des primes pour le contournement) pour tenter de prévenir à nouveau les exploits fonctionnels.

Plus d’information:
https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnote-beta-channel#version-980110823-january-14

Les médias norvégiens piratés

de jabot

On 18/01/2022

dans Sécurité

Des données personnelles de clients pourraient avoir été divulguées à la suite d’une cyberattaque contre un média norvégien.

Le 21 décembre, selon Amedia (la société à laquelle appartient le média), il semble possible que des données personnelles stockées sur le système concerné aient été divulguées à la suite d’une attaque contre les serveurs du média, dont le résultat a empêché l’impression des journaux du jour. Ces données comprennent des informations sur les abonnés du journal, telles que leurs noms, adresses et numéros de téléphone, entre autres. L’entreprise a promis d’informer les groupes concernés, entre autres mesures.

En conséquence, la société a annoncé que toutes les ressources nécessaires ont été déployées pour déterminer l’étendue de la cyberattaque et, par conséquent, être en mesure de poursuivre ses activités normales. En outre, ils signalent que les autorités locales coopèrent également à l’enquête, ce qui nous permet de constater la gravité de l’affaire.

Il convient de noter que l’agence elle-même a offert un vote de confiance aux utilisateurs, déclarant qu’elle prend la situation très au sérieux et que la sécurité des données est un domaine prioritaire pour l’agence.

En plus de cet incident, deux autres incidents impliquant d’autres compagnies norvégiennes ont eu lieu le 21 décembre. Parmi elles, la plus importante appartient à l’entreprise alimentaire Nortura, l’une des plus grandes du pays, qui a annoncé que plusieurs de ses systèmes situés dans différentes usines devaient être déconnectés, car après avoir découvert qu’ils étaient touchés par une cyberattaque, c’était l’option la plus judicieuse pour réduire la probabilité de dommages directs ou collatéraux.

Jusqu’à présent, aucun groupe n’a revendiqué le « crédit » de l’attaque, et les raisons de celle-ci ne sont donc pas connues. Toutefois, les autorités ont déjà traité des cas similaires impliquant des groupes coopératifs gouvernementaux russes et chinois.

Plus d’information:
https://www.cpomagazine.com/cyber-security/norwegian-media-company-amedia-suffered-a-serious-cyber-attack-that-left-newspapers-unprinted

Patch Tuesday

de jabot

On 14/01/2022

dans CVE, Sécurité

Microsoft a publié, comme chaque deuxième mardi du mois, sa série de correctifs de sécurité. Au cours de ce mois, Microsoft a corrigé un total de 97 vulnérabilités, dont 9 vulnérabilités à risque critique, ainsi que 6 vulnérabilités 0day, qui ont été publiquement divulguées sans l’existence d’un correctif de sécurité.

Les vulnérabilités, établies comme critiques par Microsoft, et corrigées dans le Patch Tuesday sont les suivantes :

CVE-2022-21907 : Vulnérabilité d’exécution de code à distance dans la pile de protocoles HTTP, avec un score CVSSv3 de 9.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
CVE-2022-21846 : Vulnérabilité d’exécution de code à distance dans les serveurs Microsoft Exchange, avec un score CVSSv3 de 9.0.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21846
CVE-2022-21840 : Vulnérabilité d’exécution de code à distance dans Microsoft Office, avec un score CVSSv3 de 8.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21840
CVE-2022-21857 : Vulnérabilité d’escalade de privilèges dans les services de domaine Active Directory, avec un score CVSSv3 de 8.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21857
CVE-2022-21898 : Vulnérabilité d’exécution de code à distance dans le noyau DirectX, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21898
CVE-2022-21912 : Vulnérabilité d’exécution de code à distance dans le noyau DirectX, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21912
CVE-2022-21833 : vulnérabilité d’escalade de privilèges dans les lecteurs IDE virtualisés, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21833
CVE-2022-21917 : vulnérabilité d’exécution de code à distance dans les extensions vidéo HEVC, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21917
CVE-2021-22947 : Vulnérabilité d’exécution de code à distance dans le logiciel open source Curl, avec un score CVSSv3 de 5.9.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-22947

Les vulnérabilités, établies comme 0day par Microsoft, ont été identifiées comme CVE-2021-22947, CVE-2021-36976, CVE-2022-21919, CVE-2022-21836, CVE-2022-21839 et CVE-2022-21874.

Actuellement, aucune activité liée aux vulnérabilités divulguées n’a été détectée. Cependant, étant donné qu’il existe des POC publiques pour certaines de ces vulnérabilités, il est recommandé d’appliquer de toute urgence les correctifs de sécurité de Microsoft.

Pour obtenir une liste complète des vulnérabilités avec des correctifs de sécurité, veuillez consulter le guide des mises à jour de sécurité de Microsoft.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability
https://www.tenable.com/blog/microsofts-january-2022-patch-tuesday-addresses-97-cves-cve-2022-21907

Nouvelle vulnérabilité de HomeKit impacte les appareils iOS

de jabot

On 07/01/2022

dans Sécurité

Une vulnérabilité affectant le HomeKit d’Apple dans sa version 15.2 a été publiée.

HomeKit est le logiciel d’Apple qui permet de configurer, communiquer et contrôler les accessoires connectés et les appareils domestiques intelligents à l’aide des appareils Apple.

La vulnérabilité, baptisée « doorLock », a été signalée par le chercheur Trevor Spiniolas et peut provoquer un déni de service persistant sur tout appareil compatible avec Apple Home. Il se déclenche en changeant le nom d’un appareil HomeKit en un nom de plus de 500 000 caractères.

Si un appareil IPhone ou iPad tente de se connecter à l’appareil, il exploitera la vulnérabilité, ne répondra plus et redémarrera de telle sorte que, lorsqu’il sera remis sous tension, il tentera de se connecter à nouveau, faisant entrer l’appareil dans un cycle qui ne peut être atténué que par le mode de récupération ou une mise à jour du micrologiciel.

Bien qu’Apple ait tenté de corriger la vulnérabilité en limitant la longueur de nom autorisée, le bug se produit toujours, confirmant la théorie de Trevor Spiniolas selon laquelle le bug se situe dans la gestion des chaînes de caractères.

Le bug affecte la dernière version d’iOS 15.2, mais on pense qu’il est susceptible d’affecter toutes les versions depuis la version 14.

Le chercheur a publié des vidéos reproduisant le bug, montrant également que la tentative de correction d’Apple n’est pas suffisante (deuxième vidéo).

https://youtu.be/_BmI5Otsm9I

https://youtu.be/UwbhCliYuDg

Il met également en garde contre la gravité de ce bug, car les appareils HomeKit sont stockés dans iCloud si la synchronisation est active.

Si un utilisateur se connecte à un compte iCloud avec un tel appareil stocké, la vulnérabilité serait reproduite et seul le propriétaire de l’appareil peut la corriger en désactivant l’option de synchronisation des données HomeKit.

Plus d’information:
https://thehackernews.com/2022/01/researchers-detail-new-homekit-doorlock.html

Nouvelles failles de sécurité critiques chez Netgear

de jabot

On 04/01/2022

dans CVE, Sécurité

La société Netgear, spécialisée dans les systèmes de mise en réseau, publie plusieurs failles de sécurité critiques pour ses appareils.

Ces derniers jours, plusieurs vulnérabilités de sécurité ont été successivement publiées. Elles pourraient permettre à un attaquant non authentifié de provoquer un dépassement de tampon (CVE-2021-45611) et d’effectuer une injection de commande avant l’authentification, permettant ainsi une élévation de privilèges (CVE-2021-45618) ; toutes deux dues à la manipulation d’une entrée qui n’a pas été publiée par Netgear.

La dernière vulnérabilité critique annoncée permettrait à un attaquant de contourner l’authentification en raison d’une authentification faible (CVE-2021-45496), affectant l’intégrité, la disponibilité et la confidentialité des ordinateurs. Les fonctions affectées par ces bugs n’ont pas été divulguées.

De nombreux périphériques réseau fabriqués par la société sont affectés par ces failles de sécurité, il est donc recommandé de mettre à jour vers les dernières versions disponibles à partir du lien suivant :

https://www.netgear.com/support/

Plus d’information:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45618
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45496
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45611