Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Toute l'équipe du CERT-W se joint également à moi pour vous souhaiter de bonnes fêtes de fin d'année !
Veille cybercriminalité
Les données des 18 millions d'électeurs de l'Etat de Californie volées et sujettes à une rançon
Une base de données MongoDB de l'administration californienne, mal configurée et exposée sur Internet, a été victime d'une attaque visant à télécharger les données présentes sur base avant de les supprimer. Les attaquants ont laissé à la place une demande de rançon sous la forme d'un enregistrement de base de données, et ont demandé 0,2 BTC (soit $2,325.01 au moment des faits).
Les noms, prénoms, emails, adresses, numéros de téléphone, lieux de naissance, etc. figuraient à la liste des données volées.
Les noms, prénoms, emails, adresses, numéros de téléphone, lieux de naissance, etc. figuraient à la liste des données volées.
Sources :
- https://mackeepersecurity.com/post/cyber-criminals-steal-voter-database-of-the-state-of-california
- https://www.darkreading.com/attacks-breaches/19-m-california-voter-records-held-for-ransom-in-mongodb-attack/d/d-id/1330656
Un outil de sécurité pour détecter les fuites de données
Il fallait y penser. La société Tripwire a mis au point un système très simple de détection de fuites de données utilisateurs sur n'importe quel site Internet.
Des comptes "honeypot" sont créés de manière automatique sur un grand nombre de sites Internet, et sont chacun rattachés à un adresse email, hébergée chez un grand fournisseur de mails.
Lors d'une fuite données sur un site quelconque, les attaquants récupèrent les hashes des mots de passe des comptes compromis, cassent les mots de passe les plus faibles, et tentent de réutiliser ces mots de passe sur plusieurs services, notamment sur fournisseur de mail rattaché au compte compromis. La connexion au compte mail déclenche une alerte, et permet à la société Tripwire de détecter la fuite de données.
Des comptes "honeypot" sont créés de manière automatique sur un grand nombre de sites Internet, et sont chacun rattachés à un adresse email, hébergée chez un grand fournisseur de mails.
Lors d'une fuite données sur un site quelconque, les attaquants récupèrent les hashes des mots de passe des comptes compromis, cassent les mots de passe les plus faibles, et tentent de réutiliser ces mots de passe sur plusieurs services, notamment sur fournisseur de mail rattaché au compte compromis. La connexion au compte mail déclenche une alerte, et permet à la société Tripwire de détecter la fuite de données.
Sources :
- https://nakedsecurity.sophos.com/2017/12/15/simple-research-tool-detects-19-unknown-data-breaches/
- https://www.sysnet.ucsd.edu/~jdeblasio/papers/tripwire-imc17.pdf
Avast rend son décompilateur "RetDec" Open Source
Le décompilateur en ligne le plus utilisé (le seul ?) dans le monde, retdec.com, a vu ses sources publiées par Avast sur GitHub le 12 décembre dernier.
L'outil permet, à partir d'un binaire exécutable, d'obtenir une approximation du code source original.
Bien qu'il soit limité à la décompilation de binaires 32 bits, RetDec reste adapté à l'analyse de malwares (rarement en 64 bits pour des raisons de compatibilité) et supporte plusieurs plateformes (x86, ARM, MIPS, etc.).
L'outil permet, à partir d'un binaire exécutable, d'obtenir une approximation du code source original.
Bien qu'il soit limité à la décompilation de binaires 32 bits, RetDec reste adapté à l'analyse de malwares (rarement en 64 bits pour des raisons de compatibilité) et supporte plusieurs plateformes (x86, ARM, MIPS, etc.).
Sources :
- https://www.theregister.co.uk/2017/12/15/avast_open_sources_machinecode_decompiler/
- https://github.com/avast-tl/retdec
Veille vulnerabilité
A quand la cryptographie souveraine ?
Eric Filiol, directeur de recherche à ESIEA, et son collègue Arnaud Bannier, ont présenté lors de la Black Hat Europe dernière une conférence sur les portes dérobées mathématiques sur les algorithmes de chiffrement.
Lors de leurs recherches, ces deux experts en cryptographie ont pu concevoir un algorithme de chiffrement par blocs capable de passer les tests statistiques et cryptographiques du NIST et de la NSA, considérés comme étant une validation reconnue dans le monde de la cryptographie.
Cependant, l'algorithme qu'ils ont conçu contient une porte dérobée mathématique, qui leur permet de retrouver la clé de chiffrement utilisée à partir de 300Ko de données chiffrées et des textes clairs correspondants.
Cette recherche prouve donc par la pratique qu'il est possible de créer un algorithme "backdooré", ce qui pourrait remettre en cause la robustesse notoire de standards d'aujourd'hui tels qu'AES.
Lors de leurs recherches, ces deux experts en cryptographie ont pu concevoir un algorithme de chiffrement par blocs capable de passer les tests statistiques et cryptographiques du NIST et de la NSA, considérés comme étant une validation reconnue dans le monde de la cryptographie.
Cependant, l'algorithme qu'ils ont conçu contient une porte dérobée mathématique, qui leur permet de retrouver la clé de chiffrement utilisée à partir de 300Ko de données chiffrées et des textes clairs correspondants.
Cette recherche prouve donc par la pratique qu'il est possible de créer un algorithme "backdooré", ce qui pourrait remettre en cause la robustesse notoire de standards d'aujourd'hui tels qu'AES.
Sources :
- https://www.theregister.co.uk/2017/12/15/crypto_mathematical_backdoors/
- https://www.blackhat.com/docs/eu-17/materials/eu-17-Filiol-By-Design-Backdooring-Of-Encryption-System-Can-We-Trust-Foreign-Encryption-Algorithms.pdf
Le "Patch Tuesday" de décembre est sorti
34 vulnérabilités ont été corrigées dans le dernier lot de correctifs Microsoft. Parmi ces failles, beaucoup concernent des problématiques d'exécution de code à distance : deux dans le "Malware Protection Engine", une dans Internet Explorer, une dans Excel.
La vulnérabilité CVE-2017-11927, semble également intéressante, puisse qu'elle permet à un attaquant de récupérer le hash NTLM d'un utilisateur à distance en exploitant une vulnérabilité dans la façon dont Windows traite les lien "its://".
La vulnérabilité CVE-2017-11927, semble également intéressante, puisse qu'elle permet à un attaquant de récupérer le hash NTLM d'un utilisateur à distance en exploitant une vulnérabilité dans la façon dont Windows traite les lien "its://".
Sources :
- https://threatpost.com/microsoft-december-patch-tuesday-update-fixes-34-bugs/129154/
- https://krebsonsecurity.com/2017/12/patch-tuesday-december-2017-edition/
Une vulnérabilité critique exploitable à distance trouvée dans le gestionnaire de mots de passe "Keeper"
Depuis la version 1607 de Windows 10 (Anniversary Update), celui-ci présente une fonctionnalité nommée "Content Delivery Manager", qui s'autorise à installer silencieusement des logiciels tiers sur votre poste, dès lors qu'il font partie des suggestions Windows Spotlight.
Parmi ces logiciels, le gestionnaire de mots de passe Keeper, dont une vulnérabilité critique a été trouvée par Tavis Ormandy (Google).
Cette vulnérabilité permet à un attaquant de voler silencieusement les mots de passe stockés sur gestionnaire de sa victime, si celle-ci navigue sur un site malveillant en ayant le logiciel lancé. Un site "proof-of-concept" exploitant la vulnérabilité a été publiée (voir sources).
(pour désactiver le "Content Delivery Manager" sur vos postes personnels, voir les sources ci-dessous)
Parmi ces logiciels, le gestionnaire de mots de passe Keeper, dont une vulnérabilité critique a été trouvée par Tavis Ormandy (Google).
Cette vulnérabilité permet à un attaquant de voler silencieusement les mots de passe stockés sur gestionnaire de sa victime, si celle-ci navigue sur un site malveillant en ayant le logiciel lancé. Un site "proof-of-concept" exploitant la vulnérabilité a été publiée (voir sources).
(pour désactiver le "Content Delivery Manager" sur vos postes personnels, voir les sources ci-dessous)
Sources :
- https://twitter.com/taviso/status/941711305668411393
- https://insidewindows.net/2016/08/24/how-to-stop-windows-10-1607-from-installing-unwanted-apps/
- https://lock.cmpxchg8b.com/keepertest.html
Indicateurs de la semaine
L'attaque de la semaine - Une vulnérabilité importante trouvée dans des implémentations de SSL/TLS affecte 27 sites du top 100 mondial
Une vulnérabilité présente dans différentes implémentations du protocole SSL/TLS a été publiée la semaine dernière. L'attaque ROBOT est basée sur une attaque datant de 1998 (l'oracle de Bleichenbacher), dont les contre-mesures complexe auraient été parfois mal implémentées.
La faille concerne les serveurs SSL/TLS supportant l'algorithme RSA pour l'échange des clés de session. Un attaquant en écoute passive interceptant un échange chiffré par ce biais est en mesure de le déchiffrer, en échangeant des messages spécialement conçus avec le serveur affecté. La vulnérabilité permet également de signer un message arbitraire à l'aide de la clé privé du serveur sans y avoir accès.
Cette vulnérabilité affectait 27 sites du top 100 mondial, parmi lesquels PayPal et Facebook. La bibliothèque cryptographique BouncyCastle était également affectée par cette vulnérabilité.
La faille concerne les serveurs SSL/TLS supportant l'algorithme RSA pour l'échange des clés de session. Un attaquant en écoute passive interceptant un échange chiffré par ce biais est en mesure de le déchiffrer, en échangeant des messages spécialement conçus avec le serveur affecté. La vulnérabilité permet également de signer un message arbitraire à l'aide de la clé privé du serveur sans y avoir accès.
Cette vulnérabilité affectait 27 sites du top 100 mondial, parmi lesquels PayPal et Facebook. La bibliothèque cryptographique BouncyCastle était également affectée par cette vulnérabilité.
Sources :
- http://sam.afrahmariama.ma/robot-attack-security-experts-have-discovered-a-19-year-old/
- https://robotattack.org/
Le leak de la semaine - 1,4 milliards de mots de passe fuités dans une base de données
Une archive regroupant de plus de 40 Go, comprenant 1,4 milliards de mots de passe en clair, a été publiée sur le darknet. L'auteur du dump en question est inconnu mais celui-ci a laissé une adresse Bitcoin et DogeCoin afin de recevoir des dons.
Sources :
- http://www.theregister.co.uk/2017/12/12/1_point_4_billion_credentials_in_clear_text_in_dark_web_archive/
- http://securityaffairs.co/wordpress/66650/data-breach/1-4-billion-data-leak.html
L'exploit de la semaine - L'auteur de BrickerBot prend sa retraite et lègue son code
Le hacker connu sous le nom de janit0r, auteur du "projet" BrickerBot, a annoncé dans un manifeste publié la semaine dernière qu'il mettait fin à ses opérations. Les actions qu'il menait visaient à rechercher des périphériques IoT ou routeurs directement exposés sur Internet, et affectés par des vulnérabilités connues ou disposant d'authentifiants par défaut. Ces périphériques pouvant être piratés facilement, le but de janit0r était de les rendre hors d'usage ("bricked"), afin qu'ils ne puissent pas être infectés par des botnets tels que Mirai et contribuer à des attaques DDoS.
Le hacker a également publié le code source (très obfusqué) de ces attaques, compilant une grande quantité d'exploit, dont un exploitant une 0day sur un produit Huawei.
Le hacker a également publié le code source (très obfusqué) de ces attaques, compilant une grande quantité d'exploit, dont un exploitant une 0day sur un produit Huawei.
Sources :
- https://0x00sec.org/t/internet-chemotherapy/4664
- https://www.bleepingcomputer.com/news/security/brickerbot-author-retires-claiming-to-have-bricked-over-10-million-iot-devices/
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Maxime MEIGNAN