learn.hack.repeat

Étiquette : Sécurité Page 1 of 27

Insomni’hack 2024

Cela faisait très longtemps que j’avais envie d’assister à un rendez-vous incontournable dans le panorama de la cyber sécurité en Suisse romande comme l’est Insomni’hack, mais en raison de contretemps professionnels de dernière minute, de contraintes de calendrier ou autres covid, ça n’avait jamais pu se concrétiser… c’est maintenant chose faite 🙂

Pour ma première visite à Insomni’Hack, le SwissTech Convention Center s’est révélé être l’endroit idéal pour un événement de cette envergure. Les interactions avec les partenaires et exposants, passionnés et non intrusifs, ainsi que le niveau technique élevé des présentations, ont rendu cette expérience inoubliable.

Insomni’hack c’est donc avant tout un évènement pour technards, passionnés de sécu et de gentils hackers. Qu’on se situe du côté des organisateurs, exposants, conférenciers ou visiteurs, les échanges sont toujours riches en partage d’expérience, bonne humeur et convivialité!

Célèbre pour son CTF, remporté cette année par 0rganizers, Insomni’hack c’est aussi plus de 30 conférences techniques, ainsi que plusieurs workshops pour ceux qui voudraient faire du deep dive sur un des nombreux sujets abordés.

Pour ma part, j’ai été présent toute la journée de vendredi et j’ai notamment eu la chance de participer à deux conférences concernant l’OIDC dans le cloud ainsi que la sécurité AD DS.

Abus de la configuration OIDC dans les environnements cloud

L’une des sessions les plus enrichissantes a été celle de Christophe Tafani-Dereeper, intitulée « Abusing misconfigured OIDC authentication in cloud environments« . Cette présentation détaillée a exploré les failles de sécurité courantes associées aux configurations OIDC dans les pipelines CI/CD. Christophe a commencé par une introduction aux fondamentaux d’AWS IAM, expliquant la différence entre les utilisateurs IAM et les rôles IAM, ainsi que l’importance de la gestion sécurisée des politiques d’accès.

Le cœur de la présentation a traité des erreurs de configuration spécifiques qui permettent des escalades de privilèges et des attaques par exécution de code arbitraire. Christophe a illustré comment une politique de confiance mal configurée dans un rôle IAM peut être exploitée pour obtenir des accès étendus sur l’infrastructure AWS. Il a utilisé des exemples réels, montrant des scripts et des commandes pour démontrer comment les attaquants peuvent récupérer des jetons Web JSON (JWT) mal sécurisés et les utiliser pour assumer des rôles IAM vulnérables. Des conseils pratiques ont été donnés pour sécuriser les configurations, incluant l’utilisation de conditions strictes dans les politiques de confiance et la limitation des permissions accordées aux rôles.

Des études de cas ont clôturé la session, où Christophe a détaillé comment son équipe a identifié et signalé de manière responsable des rôles vulnérables, aidant ainsi plusieurs entreprises à améliorer leur posture de sécurité. Cette présentation a non seulement mis en lumière les risques liés à une mauvaise gestion des identités dans le cloud mais a aussi montré l’importance d’une vérification continue et rigoureuse des configurations de sécurité.

Burn it, burn it all : Persistance dans AD DS

La deuxième conférence, présentée par Volker Carstein (Aka Volker) et Charlie Bromberg (Aka Shutdown), nous a plongé dans le monde complexe de la persistance au sein des services de domaine Active Directory avec leur présentation intitulée « Burn it, burn it all« . Le duo a exposé diverses méthodes de persistance, allant des attaques GoldenGMSA à Skeleton Key, en passant par des techniques de délégation KRBTGT et des manipulations de l’SID history.

Volker et Charlie ont commencé par expliquer le concept de GoldenGMSA, détaillant comment les attaquants peuvent exploiter les clés KDS root pour prendre le contrôle de comptes de service gérés par groupe (gMSA). Ils ont démontré, en direct, comment extraire et calculer les mots de passe des gMSA à partir d’informations système apparemment bénignes.

La discussion s’est ensuite tournée vers la technique du Skeleton Key, où ils ont illustré comment l’injection dans le processus LSASS permet de créer un mot de passe maître pour n’importe quel compte sans altérer les mots de passe existants. Cette partie de la session a mis en évidence les risques de sécurité liés aux contrôleurs de domaine et l’importance de surveiller et de sécuriser ces systèmes critiques.

Pour conclure, ils ont abordé des techniques plus avancées telles que la manipulation de l’SID history et l’exploitation de l’objet AdminSDHolder pour obtenir une persistance quasi-indétectable dans des environnements AD. Chaque technique était accompagnée d’exemples de code, de recommandations pour la mitigation et d’histoires de cas réels, rendant la session à la fois éducative et profondément technique.

Rideau de fin et à l’année prochaine!

Je tiens à exprimer ma gratitude envers l’organisateur de l’évènement, Orange Cyberdefense Suisse ainsi que tous les sponsors et exposants, tout particulièrement: Kyos, Yes We Hack, Kaspersky, Zscaler, Palo Alto Networks, et Boll pour leur accueil chaleureux sur leur stand. Leur engagement envers la communauté de la sécurité informatique est la clé de la réussite de ces échanges enrichissants.

Avec des souvenirs plein la tête, pas mal d’articles à lire et de sujets à approfondir, je suis plus que jamais motivé à revenir à Insomni’hack l’année prochaine. Et qui sait, peut-être même pour participer au célèbre CTF 😉

Plus d’information:
https://www.insomnihack.ch/
https://docs.google.com/presentation/d/1TwGYsxgJRWRhm9aO8SIK4NIhwYaXZelWzWk337DTxUk/edit?usp=sharing
https://drive.google.com/file/d/11tfRmol18T7itiZXbAS03OFu3UoRAwhC/view

Le groupe cybercriminel chinois Earth Krahang porte atteinte à la sécurité de 70 organisations dans 23 pays

Une campagne de cyberespionnage avancée attribuée au groupe cybercriminel chinois Earth Krahang a porté atteinte à la sécurité de 70 organisations dans le monde, y compris des ministères des affaires étrangères et d’autres agences gouvernementales, en déployant un arsenal sophistiqué d’outils pour compromettre des infrastructures clés et récolter des informations sensibles.

Ce groupe a utilisé des techniques avancées telles que l’exploitation de vulnérabilités dans des serveurs exposés à Internet, des emails de spear-phishing et des attaques par force brute pour installer des portes dérobées personnalisées et mener des activités de cyber-espionnage.

Les attaquants ont spécifiquement exploité des vulnérabilités telles que CVE-2023-32315 et CVE-2022-21587 pour accéder à des réseaux compromis et y persister. En outre, ils ont utilisé des emails de spear-phishing à thème géopolitique pour inciter les destinataires à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens, ce qui facilite l’installation de logiciels malveillants et l’extraction ultérieure d’informations.

Une fois dans le réseau, Earth Krahang a utilisé des infrastructures compromises pour héberger des charges utiles malveillantes, rediriger le trafic d’attaque et utiliser des comptes de messagerie gouvernementaux piratés pour cibler d’autres gouvernements ou contacts avec des courriels de spear-phishing. Dans un cas notoire, ils ont utilisé un compte de courrier électronique compromis d’une entité gouvernementale pour envoyer une pièce jointe malveillante à 796 adresses électroniques appartenant à la même entité.

Chaîne d’infection d’une attaque de spear-phishing de Earth Krahang (voir la section ATT&CK de MITRE pour plus de détails sur chaque identifiant de technique).
Source: trendmicro.com

Compte tenu de la sophistication et de l’ampleur de la campagne Earth Krahang, il est vivement conseillé aux organisations gouvernementales et aux autres entités cibles potentielles de rester vigilantes face à toute activité suspecte sur leurs systèmes. Dans ce contexte, la mise en œuvre des mises à jour de sécurité en temps opportun devient un pilier essentiel. En outre, la sensibilisation des employés aux risques inhérents à l’ingénierie sociale et aux attaques de spear-phishing, associée à l’adoption de mesures d’authentification multifactorielle, sont des stratégies clés pour atténuer le risque de compromission.

Dans ce scénario, la collaboration avec des partenaires de confiance spécialisés dans la protection contre les cybermenaces peut fournir une couche de sécurité supplémentaire. Des entreprises comme Swisscom, qui ont fait leurs preuves en matière de détection et de réponse aux menaces numériques, proposent des solutions qui peuvent être cruciales pour anticiper, identifier et neutraliser les attaques avant qu’elles n’affectent les opérations critiques. L’utilisation de leurs services de protection contre les cybermenaces n’est pas seulement une mesure proactive, mais aussi un investissement dans la continuité et la résilience des opérations face à l’adversité dans le cyberespace.

Plus d’information:
https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html
https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
https://nvd.nist.gov/vuln/detail/CVE-2023-32315

Microsoft confirme le problème de Windows Server à l’origine des pannes de contrôleurs de domaine

Une fuite de mémoire introduite avec les mises à jour de sécurité Windows Server de mars 2024 provoque le plantage et le redémarrage de certains contrôleurs de domaine, selon de nombreux rapports d’administrateurs Windows.

Source: Microsoft

Cette situation dure depuis un certain temps, depuis qu’en décembre 2022, Microsoft a résolu une autre fuite de mémoire LSASS affectant les contrôleurs de domaine. Après l’installation des mises à jour de Windows Server publiées lors du Patch Tuesday de novembre 2022, les serveurs concernés se figeaient et redémarraient. En outre, en mars 2022, Microsoft a corrigé une autre panne LSASS qui provoquait des redémarrages inattendus des contrôleurs de domaine Windows Server.

Points importants :

  • Microsoft a confirmé qu’une fuite de mémoire introduite avec les mises à jour de sécurité de Windows Server de mars 2024 provoque le blocage des contrôleurs de domaine Windows.
  • De nombreux rapports d’administrateurs Windows indiquent que les mises à jour de mars 2024 provoquent le plantage et le redémarrage de certains contrôleurs de domaine.
  • La fuite de mémoire dans le processus Local Security Authority Subsystem Service (LSASS) affecte les serveurs, provoquant des pannes et des redémarrages inattendus.
  • Microsoft a identifié le problème et travaille à sa résolution.
  • En attendant, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine et Microsoft a publié des mises à jour d’urgence pour résoudre ce problème.

Microsoft publie un correctif pour les pannes de Windows Server

En attendant que Microsoft publie un correctif pour ce grave problème de fuite de mémoire, et s’ils ne sont pas disposés à surveiller l’utilisation de la mémoire des systèmes concernés et à les redémarrer si nécessaire, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine.

Le service d’assistance de Microsoft nous a recommandé de désinstaller la mise à jour pour le moment

Comme de nombreux administrateurs l’ont signalé, après l’installation des mises à jour Windows Server KB5035855 et KB5035857 publiées ce Patch Tuesday, les contrôleurs de domaine équipés des dernières mises à jour se bloquent et redémarrent en raison d’une utilisation accrue de la mémoire LSASS.

Pour supprimer ces mises à jour problématiques, il est recommandé d’ouvrir une invite de commande à partir du menu Démarrer en tapant « cmd », en cliquant avec le bouton droit de la souris sur l’application Invite de commande et en cliquant sur « Exécuter en tant qu’administrateur ».

Ensuite, en fonction de la mise à jour que vous avez installée sur les contrôleurs de domaine concernés, exécutez l’une des commandes suivantes:

wusa /uninstall /kb:5035855
wusa /uninstall /kb:5035849
wusa /uninstall /kb:5035857

Une fois la désinstallation effectuée, pensez à aller dans « Afficher ou masquer les mises à jour » pour masquer la mise à jour défectueuse afin qu’elle n’apparaisse plus dans la liste des mises à jour disponibles.

Plus d’information:

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes/
https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/bc-p/4088764/highlight/true#M38300
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kusp4bs/
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kvlf7ed/

Plus de 100 modèles IA/ML malveillants découverts dans Hugging Face

Les logiciels malveillants ont un nouveau vecteur à la mode : les grands modèles de langage (LLM) distribués gratuitement. La popularisation de l’intelligence artificielle a attiré l’attention des créateurs de logiciels malveillants. Distribués sur des sites tels que Hugging Face, les modèles sous licence libre sont accessibles à tous et n’importe qui peut publier un modèle ou un dérivé d’un modèle populaire.

Source: pexels.com

Des chercheurs de JFrog ont découvert de nombreux modèles de langage (LLM) compromis par des virus informatiques sur Hugging Face. Ils ont notamment identifié un modèle malveillant qui utilisait un pickle (une façon de sauvegarder des objets dans un fichier) pour insérer un reverse shell (un outil de contrôle à distance) qui s’activait au moment où le modèle était utilisé avec PyTorch, un logiciel de machine learning. Des problèmes similaires ont été trouvés avec des modèles destinés à TensorFlow, qui est un autre outil important dans ce domaine.

Ces modèles ont été conçus pour exécuter un code malveillant en chargeant des fichiers pickle, ce qui compromet la sécurité des systèmes qui les mettent en œuvre.

Les modèles malveillants, qui se faisaient passer pour des modèles légitimes, pouvaient exécuter un code caché lorsqu’ils étaient téléchargés par les utilisateurs, ce qui permettait aux attaquants d’obtenir un shell sur les machines compromises et d’en prendre le contrôle total. Ce type d’attaque, connu sous le nom d’exécution de code à distance (RCE), utilise des fichiers pickle malveillants comme vecteur d’attaque. La plateforme Hugging Face, réputée pour sa vaste bibliothèque de modèles d’IA/ML, est donc affectée par un fort impact sur la sécurité de ses utilisateurs.

Pour limiter les risques, il est conseillé aux utilisateurs d’être extrêmement prudents lors du téléchargement et de l’installation des modèles Hugging Face, d’examiner attentivement les modèles avant leur déploiement et d’utiliser des solutions de sécurité capables de détecter et de bloquer les fichiers malveillants.

Cet incident souligne l’importance de la cybersécurité dans le domaine de l’IA/ML et la nécessité pour les utilisateurs d’être informés des risques associés à l’utilisation de modèles open source. Il est essentiel de prendre des mesures préventives pour protéger les systèmes et les informations précieuses.

Ces incidents nous rappellent l’importance cruciale de l’AML (Apprentissage Automatique Adversarial), qui vise à élaborer des méthodes pour attaquer et défendre les modèles d’IA. Ce domaine nous montre combien il est nécessaire d’avoir des protections solides pour maintenir la sûreté de ces systèmes. L’AML crée des stratégies comme l’empoisonnement de données, les techniques d’évasion, et les attaques par rétropropagation pour tester et renforcer la sécurité des modèles d’IA. L’objectif est d’éviter que les performances des modèles soient diminuées ou que leurs prédictions soient altérées. En réponse, des tactiques de défense, telles que la détection des anomalies et le renforcement des modèles, sont mises en place pour prévenir ces dangers. Détecter rapidement les comportements suspects et concevoir des modèles plus robustes face aux tentatives de manipulation est vital pour se protéger contre les menaces, y compris celles concernant la sécurité financière comme la lutte contre le blanchiment d’argent.

Il est vital de connaître les faiblesses des modèles de ML et de développer des défenses efficaces contre les attaques adverses. Avec l’évolution de l’AML, il est de plus en plus important pour les développeurs d’adopter des stratégies de sécurité avancées pour préserver l’intégrité de leurs modèles.

Plus d’information:
https://fr.wikipedia.org/wiki/Grand_mod%C3%A8le_de_langage
https://fr.wikipedia.org/wiki/PyTorch
https://fr.wikipedia.org/wiki/TensorFlow
https://huggingface.co/docs/hub/security-pickle
https://jfrog.com/blog/data-scientists-targeted-by-malicious-hugging-face-ml-models-with-silent-backdoor/
https://www.vaadata.com/blog/fr/rce-remote-code-execution-exploitations-et-bonnes-pratiques-securite/

La Cour européenne dit non à la création d’une porte dérobée pour accéder aux messageries chiffrées

La Cour européenne des droits de l’homme (CEDH) a statué que les lois exigeant un chiffrement affaibli et une conservation extensive des données constituent une violation du droit au respect de la vie privée en vertu de la Convention européenne des droits de l’homme. Cette décision pourrait faire dérailler la législation européenne sur la surveillance des données, connue sous le nom de Chat Control.

Source: Wikipedia

La législation contestée prévoyant la conservation de toutes les communications Internet de tous les utilisateurs, l’accès direct des services de sécurité aux données stockées sans garanties adéquates contre les abus et l’obligation de décrypter les communications cryptées, telle qu’elle s’applique aux communications chiffrées de bout en bout, ne peut être considérée comme nécessaire dans une société démocratique.

décision de La cour rendue mardi

Les gouvernements peuvent légiférer pour que les sociétés de télécommunications et de messagerie conservent temporairement les communications électroniques des citoyens, mais l’accès au contenu de ces communications « à grande échelle et sans garanties suffisantes porte atteinte à l’essence même du droit au respect de la vie privée consacré par l’article 8 de la Convention européenne des droits de l’homme ».

La législation contestée mentionnée ci-dessus concerne un recours en justice qui a débuté en 2017 après que le Service fédéral de sécurité (FSB) de Russie a exigé que le service de messagerie Telegram fournisse des informations techniques pour aider au déchiffrement des communications d’un utilisateur. Le plaignant, Anton Valeryevich Podchasov, a contesté l’ordonnance en Russie, mais sa demande a été rejetée.

En 2019, M. Podchasov a porté l’affaire devant la Cour européenne des droits de l’homme. La Russie a adhéré au Conseil de l’Europe, une organisation internationale de défense des droits de l’homme, en 1996 et en est restée membre jusqu’à son retrait en mars 2022 à la suite de son invasion illégale de l’Ukraine. L’affaire de 2019 étant antérieure au retrait de la Russie, la Cour européenne des droits de l’homme a poursuivi l’examen de la question.

La Cour a conclu que la loi russe imposant à Telegram de « décrypter les communications chiffrées de bout en bout risque de constituer une obligation pour les fournisseurs de tels services d’affaiblir le mécanisme de chiffrement pour tous les utilisateurs ». En tant que telle, la Cour considère qu’une telle exigence est disproportionnée par rapport à la réalisation d’objectifs légitimes de maintien de l’ordre.

Bien qu’il soit peu probable que la décision de la Cour européenne des droits de l’homme affecte la Russie, elle est pertinente pour les pays européens qui envisagent d’adopter des lois similaires sur le déchiffrement, telles que Chat Control et la loi sur la sécurité en ligne du gouvernement britannique.

Patrick Breyer, membre du Parlement européen pour le Parti Pirate, a salué la décision qui démontre que le Chat Control est incompatible avec le droit européen.

Avec cette décision historique, la surveillance par balayage côté client de tous les smartphones proposée par la Commission européenne dans son projet de loi sur le contrôle du chat est clairement illégale.

a déclaré M. Breyer.

Elle détruirait la protection de toutes les personnes au lieu d’enquêter sur les suspects. Les gouvernements de l’UE n’auront pas d’autre choix que de retirer la destruction du cryptage sécurisé de leur position dans cette proposition, ainsi que la surveillance indiscriminée des communications privées de l’ensemble de la population.

Chat Control est un raccourci pour la législation européenne sur la surveillance des données qui exigerait que les fournisseurs de services Internet analysent les communications numériques à la recherche de contenu illégal, en particulier de matériel pédopornographique et d’informations potentiellement liées au terrorisme. Pour ce faire, il faudrait nécessairement affaiblir le chiffrement qui préserve la confidentialité des communications. Malgré la condamnation générale des universitaires, des organisations de défense de la vie privée et des groupes de la société civile, des efforts ont été déployés depuis plusieurs années et se poursuivent encore aujourd’hui pour élaborer des règles réalistes.

Plus d0information:
https://www.theregister.com/2024/02/15/echr_backdoor_encryption/
https://www.echr.coe.int/documents/d/echr/Convention_SPA
https://fr.eureporter.co/world/human-rights-category/european-court-of-human-rights-echr/2024/02/14/european-court-of-human-rights-bans-weakening-of-secure-end-to-endencryption-the-end-of-eus-chat-control-csar-mass-surveillance-plans/

Page 1 of 27

Fièrement propulsé par WordPress & Thème par Anders Norén