Étiquette : Vulnérabilité Page 5 of 15

La pomme interdite

On 13/07/2022

Apple met en place un curieux mécanisme de sécurité pour protéger les systèmes d’exploitation mobiles de la société contre les attaques de logiciels espions sophistiqués. Il s’agit d’un mode de fonctionnement restreint qui pourrait être activé par un utilisateur s’il remarque ou soupçonne que son appareil mobile est attaqué.

Ce mode, baptisé « Lockdown », obligerait iOS à fonctionner en mode extrêmement réduit afin de réduire la zone d’exposition. Par exemple, des fonctions telles que la réception de pièces jointes dans les messages, la prévisualisation de liens, etc. ou certaines techniques d’optimisation du moteur JavaScript Webkit seraient arrêtées.

En pratique, il s’agirait évidemment de limiter l’utilisation du terminal et des applications, afin que seul un petit nombre d’utilisateurs – ceux qui pensent être la cible d’opérations d’espionnage – soit obligé de l’activer. Ce n’est pas un mode « populaire » pour les utilisateurs, car l’expérience utilisateur serait profondément affectée.

Apple s’engage ainsi à doter son système mobile d’un mode de protection destiné à un certain public restreint, mais dont l’impact médiatique est, comme nous l’avons vu à la une des journaux, important. En fait, l’entreprise offre une prime de bogue pouvant aller jusqu’à deux millions de dollars aux chercheurs qui parviendront à contourner les protections proposées par le mode Lockdown.

Plus d’information:
https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/

Vulnérabilité critique dans Sophos Firewall

de jabot

On 02/04/2022

dans CVE, Sécurité

La société de cybersécurité Sophos a publié un communiqué mettant en garde contre une grave faille de sécurité dans son pare-feu, qui est activement exploitée.

Pare-feu Sophos : cette faille critique est activement exploitée ! | IT-Connect — Source: it-connect.fr

La faille, enregistrée sous le nom de CVE-2022-1040, a un classement CVSS de 9,8 sur 10 et affecte la version 1.5 MR3 (18.5.3) de Sophos Firewall et les versions antérieures. La vulnérabilité est une vulnérabilité de contournement d’authentification dans le portail utilisateur et l’interface d’administration qui, si elle est exploitée avec succès, permettrait à un attaquant distant d’exécuter du code arbitraire.

Selon le communiqué, Sophos a détecté que la faille est activement exploitée contre des organisations spécifiques, principalement en Asie du Sud, qui ont été signalées directement à Sophos.

Le correctif qui corrige la vulnérabilité est automatiquement installé sur les clients dont l’option est activée sur leur pare-feu. Comme mesure d’atténuation, Sophos recommande de désactiver complètement l’accès Web aux portails utilisateur et administratif.

L’importance d’un développement sécurisé

Une fois de plus, il est démontré que lors de développement d’applications web, il est plus qu’important de les développer avec une perspective de sécurité que sur la convivialité ainsi que l’importance des tests OWASP (Open Web Application Security Project) dans les tests de pré-production afin que ces types de vulnérabilités puissent être évités autant que possible, contribuant à un environnement plus sûr.

Source: OWASP

Pour ceux qui ne connaissent pas l’OWASP, il s’agit d’un projet consacré à la recherche et à la lutte contre les vulnérabilités des logiciels. La Fondation OWASP est une organisation à but non lucratif qui fournit l’infrastructure et le soutien nécessaires pour rendre le projet possible. Il existe un guide bien connu pour effectuer les tests nécessaires afin de s’assurer que le développement réalisé par les équipes de programmeurs est conforme aux normes de sécurité, le guide OWASP Web Security Testing Guide (WSTG), un élément quasi indispensable dans la boîte à outils de toute équipe de développement soucieuse de la sécurité de ses projets.

Plus d’information:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
https://thehackernews.com/2022/03/critical-sophos-firewall-rce.html
https://owasp.org/www-project-web-security-testing-guide/stable/

Muhstik cible les serveurs Redis

de jabot

On 29/03/2022

dans CVE, Malware, Sécurité

Le botnet Muhstik vit une deuxième jeunesse grâce à une faille dans la base de données Redis sur Debian et Ubuntu (bien qu’elle puisse se produire sur plus de plateformes), qui permet d’y exécuter du code LUA en s’échappant de la sandbox. La faille, découverte début mars, s’ajoute à l’arsenal de vulnérabilités utilisées par le botnet pour se propager depuis 2018. Six au total, exploitant des problèmes dans Oracle WebLogic, Drupal, Confluence… Muhstik est responsable, entre autres activités, de la réalisation d’attaques par déni de service distribué.

Il est curieux que ce botnet utilise IRC pour communiquer avec son centre de commande et de contrôle et que le découvreur du bug Redis ait informé Ubuntu du problème, s’attendant qu’à leur tour, ils en informent Debian. Mais ils ne l’ont pas fait et il a dû notifier Debian séparément.

Plus d’information:
https://blogs.juniper.net/en-us/security/muhstik-gang-targets-redis-servers

Résurgence du botnet Emotet infectant plus de 100 000 ordinateurs

de jabot

On 24/03/2022

dans Malware, Ransomware, Sécurité

Après avoir fait un retour en force en novembre de l’année dernière, Emotet montre à nouveau une croissance régulière dans l’infection des ordinateurs, accumulant plus de 100 000 hôtes infectés.

Emotet revisited: pervasive threat still a danger to businesses | Malwarebytes Labs — Source: Malwarebytes Labs

Selon des recherches récentes, Emotet n’a pas atteint l’ampleur qu’il avait autrefois, bien qu’il montre une forte résurgence après l’interruption de 10 mois en 2021. Depuis novembre, 130 000 hôtes répartis dans 179 pays ont été infectés.

Avant le démantèlement de janvier 2021, ce logiciel malveillant avait infecté 1,6 million d’appareils dans le monde. Emotet a permis aux cybercriminels d’installer des chevaux de Troie bancaires ou des ransomwares sur les systèmes compromis.

La résurrection de ce logiciel malveillant aurait été menée par le groupe Conti lui-même, utilisant Trickbot comme moyen de distribution, dans le but de changer de tactique pour échapper à la surveillance des activités malveillantes des forces de l’ordre.

Les chercheurs de Black Lotus Labs soulignent que l’ajout de bots n’a pas vraiment commencé pour de bon avant janvier 2022, où de nouvelles variantes ont modifié le schéma de chiffrement RSA, brouillant le trafic réseau. Ils peuvent également recueillir des informations allant au-delà de la liste des processus en cours sur les machines infectées.

Actuellement, le botnet compte près de 200 domaines de commande et de contrôle (C2), dont la plupart sont situés aux États-Unis, en Allemagne, au Brésil, en Thaïlande et en Inde. D’autre part, la plupart des bots infectés se trouvent en Asie, principalement au Japon, en Inde et en Chine.

« La croissance et la distribution des bots sont un indicateur important des progrès réalisés par Emotet dans le rétablissement de son infrastructure autrefois très étendue. Chaque bot est un point d’appui potentiel pour un réseau convoité et présente une opportunité de déployer Cobalt Strike ou d’être éventuellement promu au rang de bot C2 ».

Plus d’information:
https://blog.lumen.com/emotet-redux/

Spectre-BHB : le retour de Spectre

de jabot

On 21/03/2022

dans CVE, Sécurité

Des chercheurs de l’équipe VUSec, en collaboration avec Intel, ont découvert une nouvelle variante de Spectre. Cette variante, a été nommée Spectre-BHB. Cette nouvelle variante échappe aux mesures d’atténuation mises en place contre Spectre v2.

Qu’est-ce que Spectre ?

Spectre est une vulnérabilité qui a affecté une grande partie des microprocesseurs avec prédiction de branchement. Spectre a été divulgué au début de l’année 2018. L’exploit original de Spectre permettait à un attaquant de récupérer des données sensibles dans le cache d’un ordinateur.

Avec Spectre v2, le noyau pouvait être amené à exécuter des instructions injectées dans le cache. Pour ce faire, il était nécessaire de s’attaquer au moteur de prédiction de branchement pour l’exécution spéculative de ces instructions. La méthode d’attaque a été baptisée BTI (Branch Target Injection). Pour atténuer cette exécution, une restriction a été créée pour empêcher l’exécution d’instructions en cache à partir d’un niveau de privilège inférieur.

Spectre-BHB

Spectre-BHB parvient à échapper aux mesures d’atténuation prises pour Spectre v2 en utilisant une nouvelle attaque appelée BHI (Branch History Injection). Cette attaque consiste à empoisonner l’historique d’exécution pour forcer le noyau à exécuter certaines opérations sensibles. Cela ouvre la porte à une multitude d’attaques.

L’équipe de recherche VUSec a produit une vidéo de démonstration du concept. Dans ce cas, les informations d’identification de la racine du système sont obtenues en exploitant cette vulnérabilité :

L’équipe VUSec affirme que tout processeur affecté par Spectre v2 est susceptible d’être affecté par cette attaque. Cela inclut une large gamme de microprocesseurs Intel et ARM. Les deux fabricants ont publié une note contenant une liste des microprocesseurs concernés.

Mais il n’y a pas que des mauvaises nouvelles. Des mesures d’atténuation pour Spectre-BHB existent déjà. Elles sont déployées dans les versions du noyau Linux à partir de la version 5.16. En outre, ARM a publié des correctifs pour Linux et Trusted Firmware-A et a publié un ensemble de directives pour que les autres fournisseurs puissent créer leur propre correctif.

Plus d’information:
https://www.vusec.net/projects/bhi-spectre-bhb/
https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/technical-documentation/branch-history-injection.html
https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/spectre-bhb