learn.hack.repeat

Étiquette : Vulnérabilité Page 7 of 15

La 5ème vague

de

On 18/02/2022

dans Chiffrement, Ransomware, Sécurité

Est-ce que quelqu’un pense encore que les ransomwares ne s’arrêtent que lorsque les données sont chiffrées et qu’un paiement est exigé ? Il existe plusieurs générations de groupes d’extorsion qui se concentrent exclusivement sur les ransomwares d’entreprise, et tant le succès que les opportunités de marché les poussent à innover dans leurs méthodes. En réalité, nous avons affaire à de multiples tentatives d’extorsion qui couvrent tous les flancs pour assurer le succès des attaquants et ne laisser aucune option à la victime.

La première vague d’extorsion consiste évidemment à s’introduire dans l’entreprise et à chiffrer les informations importantes. Si la rançon n’est pas payée, les données restent chiffrées et l’entreprise ne peut pas poursuivre son activité. Il y a quelques années, une nouveauté a été introduite : non seulement les attaquants chiffrent les informations, mais ils les volent également, et plus le paiement est long, plus ils rendent publiques les informations de l’entreprise.

La troisième vague, qui s’ajoute aux précédentes, consiste à faire pression en exécutant des attaques par déni de service sur les pages publiques de l’entreprise attaquée. Ils les font disparaître d’internet. La quatrième qui a été observée est le harcèlement. Les attaquants, parfaitement organisés, contactent les fournisseurs, les partenaires, les clients et même les médias pour les avertir de l’attaque et ruiner la réputation de la victime.

Mais il y en a aussi une cinquième. Depuis quelque temps, LockBit invite les victimes à fournir des données tierces pour les aider à pénétrer dans leur réseau (identifiants VPN, RDP, etc.). Cela pourrait être utilisé pour « diminuer » le paiement de la rançon. Condamner un tiers pour alléger sa propre peine. Pervers mais apparemment efficace.

Ils offrent donc, par le biais de la note de rançon du Ransomware, la possibilité de gagner de l’argent si vous leur fournissez des données d’accès à des sociétés tierces. Il s’agit de la note de rançon typique dans laquelle on peut lire un message comme ci-dessous :

Mettant en évidence du texte suivant :

“Would you like to earn millions of dollars?

Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.

You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. »

Si l’on y regarde de plus près, il s’agit d’une véritable perversion, étant donné qu’en plus du problème posé à l’entreprise touchée, qui doit faire face à la double extorsion du chiffrement et de l’exfiltration des données, l’attaquant tente de persuader l’entreprise attaquée ou même ses employés de fournir des données provenant d’entreprises tierces, de clients ou de fournisseurs de l’entreprise touchée. En d’autres termes, ils essaient de simplifier la manière dont ils entrent dans nombre de ces entreprises. Il existe déjà un marché sur lequel les attaquants peuvent acheter des informations d’identification à d’autres groupes criminels spécialisés dans la fourniture d’un accès initial aux entreprises, appelés Access Brokers. Mais ce modèle permettra à toute personne travaillant dans une entreprise et disposant d’identifiants d’accès à ses systèmes, ou à des systèmes tiers, de devenir Access Broker et de voir ainsi un moyen facile et discret d’obtenir un revenu supplémentaire.

En fait, le message pourrait aussi être lu comme une invitation à échanger l’extorsion contre des informations précieuses permettant à l’attaquant d’effectuer une transaction sur un compte plus important. Par exemple, si je suis le fournisseur d’une grande entreprise et que je suis compromis, j’échange la rançon en fournissant des informations d’identification qui permettent d’accéder à l’entreprise, ou en fournissant une porte dérobée qui permet à l’attaquant d’accéder à l’entreprise.

Ainsi, désormais, dans l’analyse des risques du modèle de ransomware, une nouvelle variable, auparavant mineure, prend une ampleur considérable : le risque qu’un potentiel insider fournisse aux attaquants le jeu de clés du château et leur facilite grandement la tâche pour mener à bien l’opération de compromission de l’infrastructure, ou le risque qu’un collaborateur extorqué donne accès aux systèmes.

Il est plus que probable que le modèle économique des ransomwares continuera d’évoluer et que nous verrons apparaître de nouvelles techniques et stratégies. Il faut donc continuer la sensibilisation au problème majeur que posent ces attaques, en renforçant la sécurité des entreprises et en collaborant avec les différents acteurs du secteur pour tenter de combattre ce fléau.

Plus d’information:
https://www.coveware.com/blog/2022/2/2/law-enforcement-pressure-forces-ransomware-groups-to-refine-tactics-in-q4-2021

Le jeton « God Mode » de Facebook pourrait être utilisé par des cybercriminels

de

On 14/02/2022

dans Sécurité

Utilisez-vous Facebook et avez-vous installé une extension sur votre navigateur ? Faites attention si vous avez installé l’extension Chrome dont on parle dans ce billet, car vous pourriez subir une exfiltration de données car elle donne à un serveur tiers l’accès aux données des utilisateurs.

Le token, désigné par le chercheur en cybersécurité Zach Edwards comme « God Mode », est exposé en clair dans les API du service, qui sont souvent utilisées pour l’intégration d’automatisations, de modules, de plugins, etc… En 2018, il y avait déjà des problèmes avec ce token, puisque 50 millions de comptes Facebook ont été supprimés en raison d’une « exposition du token ».

Francois Marier, ingénieur en sécurité chez Brave, a publié sur Github Issues qu’il a découvert que l’extension Chrome L.O.C. expose les données des réseaux sociaux à un éventuel vol. Si un utilisateur a installé cette extension sur son navigateur et qu’il est connecté à Facebook, l’application donne accès à certaines données de l’utilisateur à un serveur tiers.

Malgré les déclarations de Loc Mai, le créateur de l’application L.O.C., selon lesquelles, comme indiqué dans la politique de confidentialité de son application, celle-ci ne collecte pas d’informations sur les utilisateurs. L’application stocke le jeton localement. Ce dernier point permet à un développeur malveillant de l’utiliser pour obtenir les données des utilisateurs. Par exemple, l’API graphique de Facebook a besoin de ce jeton d’accès pour fonctionner. Cette API est l’un des principaux outils permettant aux applications d’effectuer des tâches de lecture et d’écriture sur le graphe social de Facebook, selon sa documentation.

Certains navigateurs, comme Brave, qui se vantent de prendre soin de la vie privée des utilisateurs qui utilisent ce navigateur, sont donc en train de bloquer l’installation de l’extension L.O.C..

Plus d’information:
https://cyber.vumetric.com/security-news/2022/02/12/facebook-exposes-god-mode-token-that-could-siphon-data/
https://github.com/brave/extension-whitelist/issues/48
https://news.dolakha.net/facebook-unveils-god-mode-can-be-used-by-crooks-register-original-news/
https://www.theregister.com/2022/02/12/facebook_god_mode/?&web_view=true

Correction de plusieurs vulnérabilités de haute gravité dans Mozilla Firefox 97

de

On 12/02/2022

dans CVE, Sécurité

Le dernier Patch Tuesday, la Fondation Mozilla a publié son bulletin de sécurité dans lequel 12 vulnérabilités ont été corrigées, dont 4 considérées comme étant de haute gravité.

Deux bugs présents dans les versions Firefox 96 et Firefox ESR 91.5 permettraient à un attaquant distant de corrompre la mémoire et vraisemblablement d’exécuter du code arbitraire (CVE-2022-22764 et CVE-2022-0511).

Une autre vulnérabilité, attribuée au code CVE-2022-22753, permettrait à un attaquant d’escalader ses privilèges en exploitant un bug « Time-of-Check Time-of-Use ». Dans un tel scénario, l’attaquant pourrait obtenir les privilèges du système et écrire dans un répertoire arbitraire. Cette vulnérabilité n’affecte que les systèmes Windows.

Un contournement des restrictions de sécurité qui permettrait à une extension malveillante d’installer une nouvelle version d’une telle extension sans afficher le message de confirmation est également corrigé (CVE-2022-22754).

Les vulnérabilités restantes sont considérées comme étant d’une criticité modérée et permettraient, entre autres, l’exécution de code Javascript à partir d’un onglet déjà fermé (CVE-2022-22755), l’exécution de code arbitraire en manipulant l’utilisateur pour qu’il fasse glisser une image sur son bureau ou dans un autre répertoire (CVE-2022-22756), la possibilité pour une page locale malveillante de contrôler un navigateur avec WebDriver activé (CVE-2022-22757), l’envoi de codes USSD via des liens « tel » (CVE-2022-22758), l’exécution de scripts dans des iframes isolées sans que la propriété « allow-scripts » soit active (CVE-2022-22760), ou l’application incorrecte des politiques de sécurité du contenu sur les pages accessibles depuis des extensions (CVE-2022-22761).

Il est fortement recommandé de mettre à jour dès que possible la dernière version de Mozilla Firefox qui corrige ces vulnérabilités.

Plus d’information:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/

Patch Tuesday

de

On 10/02/2022

dans CVE, Sécurité

Seulement 70 vulnérabilités corrigées ce mardi par Microsoft. Curieusement, aucune d’entre elles n’est critique, bien qu’il y en ait une publique sans exploit. La plus grave (mais pas critique, il y en a plusieurs qui sont censées permettre l’exécution de code) se trouve dans Sharepoint, avec un CVSS de 8.8. Elle semble facile à exploiter, bien qu’elle nécessite certaines autorisations de la part de l’attaquant (qui ne sont pas si difficiles à obtenir). Une autre faille de sévérité 8.8 dans le serveur DNS semble moins susceptible d’être exploitable.

La faille déjà connue est une élévation de privilège complexe à exploiter.

Et la file d’attente pour l’impression est toujours dans l’œil du cyclone. Quatre bugs, classés comme importants (ils permettraient une élévation), ont été corrigés. Microsoft semble bien auditer ce code depuis le fiasco de printNightmare en juillet 2021.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/

Microsoft désactive l’installateur MSIX pour éviter les abus

de

On 10/02/2022

dans CVE, Malware, Sécurité

Microsoft a annoncé la semaine dernière qu’elle avait temporairement désactivé le gestionnaire de protocole ms-appinstaler, qui était utilisé pour diffuser des logiciels malveillants tels que Emotet, TrickBot et Bazaloader.

MSIX est un format de paquet d’installation universel, qui permet aux développeurs de distribuer leurs applications pour le système d’exploitation Windows ou d’autres plateformes. Le protocole ms-appinstaler, en particulier, est conçu pour permettre l’installation facile d’applications en cliquant sur un lien dans une page web.

L’année dernière, une vulnérabilité, CVE-2021-43890, a été découverte qui permettait d’usurper les installateurs d’applications légitimes tout en installant une application malveillante.

Alors que Microsoft a corrigé cette vulnérabilité en décembre dernier, la société a maintenant décidé de désactiver complètement le protocole ms-appinstaler pendant qu’elle travaille sur une solution complète et sécurisée au problème.

Microsoft reconnaît que cette fonctionnalité est essentielle dans de nombreuses entreprises et organisations, mais prendra le temps nécessaire avant de la réactiver. Cependant, la possibilité d’activer et de contrôler ce protocole par le biais de politiques de groupe est envisagée.

Plus d’information:
https://thehackernews.com/2022/02/microsoft-temporarily-disables-msix-app.html
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890

Page 7 of 15

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén