CERT-W : retour sur l'actualité de la semaine du 10 au 14 avril

Depuis la publication du code du botnet Mirai, de nombreux botnets visant les objets connectés ont été observés. Un nouveau botnet voit maintenant le jour sous le nom de « Brickerbot ». Cependant ce dernier va plus loin que son prédécesseur, qui était utilisé pour causer du Déni de Service temporaire, puisqu’il rend inutilisable les objets connectés n’étant pas sécurisés, et ce de manière permanente.

Pour compromettre les objets connectés, Brickerbot utilise un brute force via le protocole Telnet, tout comme le permettait Mirai. Une fois connecté sur un équipement vulnérable, le malware exécute la commande « rm -rf /* » qui permet de supprimer l’ensemble des fichiers présents sur le système. Le malware désactive également les timestamps TCP, réduit le nombre de thread noyau à 1, et remplace les règles iptables par une règle bloquant toute communication avec l’extérieur, laissant l’objet connecté complétement inutilisable.

L’entreprise de sécurité Kaspersky Lab a reporté une attaque ayant touché huit distributeurs de billets aux États-Unis en une seule nuit, aboutissant à plus de 800 000 dollars volés. Aucun malware n’a été retrouvé sur les distributeurs, mais leurs journaux contenaient des lignes inhabituelles telles que « Take the Money Bitch! ».

Le code malveillant serait donc directement injecté et exécuté en mémoire. Cette technique n’est pas nouvelle, et permet dans ce cas d’utiliser des scripts PowerShell pour injecter un meterpreter permettant aux attaquants de se connecter à la machine et de lancer les commandes distribuant l’argent, alors récupéré par un complice.

Des chercheurs des entreprises de sécurité McAfee et FireEye ont remonté une nouvelle vulnérabilité sur le logiciel Microsoft Word. Cette vulnérabilité, qui affecterait toutes les versions jusqu’à Office 2016 tournant sur un système d’exploitation Windows 10, pourrait permettre à un attaquant de prendre le contrôle à distance du poste. La particularité de cette vulnérabilité est que, contrairement à la plupart des attaques sur le logiciel Word, elle ne nécessite pas l’activation des macros par la victime.

FireEye et McAfee remontent déjà des cas d’attaques utilisant cette vulnérabilité, dont le vecteur d’attaque serait un mail contenant un document Word dans lequel est présent un objet OLE2link. Cet objet utiliserait l’exécutable winword.exe pour contacter un serveur distant à l’aide de requêtes HTTP. Un fichier .hta malveillant déguisé en RTF est ainsi récupéré puis, une fois chargé et exécuté, met un terme au processus lancé par winword.exe pour cacher une fenêtre de dialogue levée par l’objet OLE2link.

Cependant, cette attaque n’est pas applicable sur le mode protégé d’Office, ce qui semble être la seule protection en attendant une mise à jour de Microsoft.

Le chercheur Ralph-Phillip Weinmann, travaillant pour la compagnie Comsecuris, a dévoilé une vulnérabilité sur le firmware Baseband des puces 4G LTE qui pourrait affecter des millions de téléphones portables Huawei. Cette vulnérabilité pourrait permettre à un attaquant d’espionner les communications mobiles, exfiltrer des informations, envoyer des SMS ou passer des appels à l’insu de l’utilisateur, ou encore causer un Déni de Service à l’aide d’une corruption de la mémoire.

L’attaque requiert cependant de nombreux prérequis relativement complexes à mettre en place, réduisant ainsi le risque d’attaque.

Une vulnérabilité dans les systèmes SCADA Schneider Electric IGSS a été rendue publique par l’éditeur le 31 mars 2017. Cette vulnérabilité, qui affecte les systèmes utilisant les versions V12 et antérieures s’exécutant sur des systèmes d’exploitation Microsoft antérieur à Windows 10, permettrait à un attaquant de provoquer une exécution de code arbitraire. Cette vulnérabilité est due à la gestion non sécurisée des fichiers DLL et OCX par le système d’exploitation Windows.

En effet, les versions des systèmes d’exploitation de Microsoft antérieures à Windows 10 enregistrent les fichiers OCX à l’aide de chemins relatifs à une variable d’environnement, ce qui pourrait permettre à un attaquant d’exécuter une version contrefaite d’un fichier légitime. De plus, pour ces mêmes versions du système d’exploitation, la recherche de fichier autorise l’utilisation de chemins relatifs pour les DLL, ce qui l’expose à du DLL hijacking.

La recommandation associée à cette vulnérabilité est la montée de version vers le système d’exploitation Microsoft Windows 10.

Wikileaks continue de rendre publique[1] différents documents de l’archive Vault 7 récupérée à la CIA, avec cette fois un ensemble de 27 documents détaillant le framework nommé « GrassHopper ». Ce framework permet aux opérateurs de la CIA de construire, exécuter, et visualiser le résultat de l’exécution de charges malveillantes.

Dans le manuel d’utilisation est spécifié que différents installeurs sont créés pour différentes architectures et systèmes d’exploitation. Certaines techniques aperçues dans diverses attaques sont de plus reprises par le framework, comme c’est par exemple le cas de la méthode de persistance utilisée par le rootkit Carberp spécialement réadaptée dans ce framework.

La vulnérabilité connue sous le nom de « MS16-135 » permet à un attaquant une élévation de privilèges locale jusqu’au compte « NT AUTHORITY\System ». Cette vulnérabilité affecte l’ensemble des systèmes d’exploitation de Microsoft, jusqu’à Windows 10. Un premier POC écrit en C par @tinysec avait été rendu public[1] pour exploiter cette vulnérabilité, et @FuzzySecurity a adapté l’exploit en PowerShell[2]. 

Les ransomwares sont monnaie courante de nos jours, et il n’est plus rare de voir de nouvelles versions apparaitre de manière régulière. RensenWare est cependant un ransomware un peu particulier puisque, plutôt que de demander une rançon monétaire, il requiert d’atteindre un certain score sur un jeu vidéo nommé TH12. Le malware semble en effet fournir la clé de déchiffrement une fois le score atteint, ce qu’il parvient à déterminer en observant un processus nommé « th12 ».

À noter que le malware ne met aucune protection en place pour empêcher la récupération des fichiers chiffrés, comme c’est par exemple souvent le cas avec la suppression des shadow volumes.