aka wow on ZATAZ.com
Posts tagged APT
CVE-2010-3962 : Nouveau 0day ciblant Internet Explorer et nouveau APT ?
01 year ago
in Various
Une nouveau “0day”, utilisé dans des attaques ciblant Internet Explorer, a été détecté par Symantec et remonté à Microsoft.
Suivant Symantec, ce “0day” a été découvert par le biais d’email envoyés à certains organisations ciblées. Ces emails contenaient un lien vers un site web légitime. Ce site web avait été piraté au préalable et diffusait des pages web qui ciblaient les versions 6 et 7 d’Internet Explorer. Une fois la version de navigateur et de l’OS du visiteur détectées, l’exploitation de la nouvelle vulnérabilité d’Internet Explorer entrait en jeux et un téléchargement invisible était lancé et tentait d’installer un cheval de Troie sans que l’utilisateur final ne puisse détecter quoi que ce soit. Ce cheval de Troie se connectait ensuite sur un serveur en Pologne, lui aussi piraté au préalable, pour récupérer les commandes à exécuter sur l’ordinateur infecté.
Microsoft a été prévenu de la nouvelle vulnérabilité par Symantec, qui a confirmé l’exploitation possible sous Internet Explorer 6, 7 et 8 par le biais d’un bulletin de sécurité MSA-2458511. Dans ce bulletin de sécurité, et sur le blog de “Microsoft Security Response Center” (MSRC), l’on peut y apprendre qu’effectivement les versions vulnérables sont Internet Explorer 6, 7 et 8 sur la majorité des plates-formes Microsoft supportées.
Par contre, la version d’Internet Explorer 8 semble la moins exposée à l’exploitation de cette vulnérabilité, du fait que le support de DEP (Data Execution Prevention) est activé par défaut dans cette version du navigateur phare de Microsoft. DEP permet de réduire l’impact des attaques en prévenant l’exécution de code dans des segments de mémoire déclarés comme non exécutables. Il est possible d’activé DEP aussi sur Internet Explorer 7 en utilisant “Enhanced Mitigation Experience Toolkit v2.0” (EMET).
Cette nouvelle vulnérabilité affecte effectivement toutes les plate-formes, ainsi que tous les navigateurs supportés par Microsoft, par contre l’exploitation de celle-ci n’a l’air d’être utilisée actuellement que contre des cibles bien précises, une nouvelle attaque ciblée du type Stuxnet (APT). Ce type d’attaque ciblée contre des organisations devient de plus en plus courantes, et la plupart du temps les “0day” découverts reviennent assez rapidement dans le domaine publique pour être exploités en masse sur tous types d’internautes.
Microsoft devrait, normalement, fournir une mise à jour comme chaque deuxième mardi du mois. N’hésitez pas à effectuer celle-ci, même si pour l’instant vous n’êtes pas une cible intéressante, demain vous pourriez l’être.
Ci-dessous des statistiques décrivant la répartition des versions d’Internet Explorer utilisées par les lecteurs ZATAZ :
- 71.77% des lecteurs ZATAZ sous IE ont la version 8
- 16.04% des lecteurs ZATAZ sous IE ont la version 7
- 9.85% des lecteurs ZATAZ sous IE ont la version 6
- 2.31% des lecteurs ZATAZ sous IE ont la version 9
0Day Windows Shell LNK dans la nature
01 year ago
in Various
Nous vous avions fait part ce week-end de la découverte d’une bien étrange affaire d’espionnage numérique ciblant les grandes industries nationales, principalement nucléaire. Cet espionnage numérique utilise une vulnérabilité non connue (0Day) de Windows qui s’avère toujours aujourd’hui être très dangereuse, nommée “Windows Shell LNK”. L’exploitation de cette vulnérabilité est très simple, car il suffit de naviguer sur un site Internet, ou que vous ouvriez un document (Word, par exemple) contenant des raccourcis, pour qu’un internaute malveillant prenne la main sur votre ordinateur, et cela en toute transparence sans que vous ne remarquiez quelque chose.
D’ailleurs, la vulnérabilité est considérée comme tellement dangereuse que l’institut SANS ISC a monté, Lundi, son niveau d’alerte (fait rarissime), pour finalement le redescendre à un niveau vert ce Mercredi.
Plusieurs PoC (Proof of Concept) sont actuellement disponibles sur Internet, mais aussi intégrés dans des outils d’audits de sécurité informatique, tel que Metasploit de Rapid 7. Voir la petite vidéo vous faisant une démonstration de la simplicité d’exploitation de cette vulnérabilité par le biais de Metasploit.
Microsoft a bien sûr fourni plusieurs solutions de contournements de cette vulnérabilité, mais celle-ci demeurait trop complexe à mettre en oeuvre pour de simples utilisateurs. C’est pour cela, que poussé par la pression des professionnels de la sécurité informatique, Microsoft a mis à disposition une solution “Fix it 50486” qui permet en un seul clic de ne plus se rendre vulnérable à celle-ci. Par contre, attendez-vous à avoir des surprises lors de l’application de ce “Fix it” car vous allez vous retrouver avec des raccourcis sans icônes… Bien sûr, vous pouvez faire marche arrière par le biais d’un autre “Fix it” cette fois-ci le “50486″.
Toujours suite à cette affaire d’espionnage numérique, nous vous remontions, aussi dimanche, que le malware distribué par le biais de l’exploit “Windows Shell LNK” tentait d’installer deux drivers signés numériquement par “Realtek Semiconductor Corp.“, une société connus dans le monde de l’informatique. Le fait que deux drivers contenu dans un malware, participant à une infection, soient signés par Realtek signifiait éventuellement que la clé privée de RealTek aurait été compromise, et que celle-ci aurait éventuellement servie pour signer d’autres logiciels malveillants. Par mesure de précaution, Microsoft et Verisign, en collaboration avec Realtek ont décidé de révoquer le certificat mis en cause. Sage décision…
Sage décision, quand on apprend un jour après qu’une autre société “JMicron Technology Corp”, un constructeur de matériel informatique, aurait lui aussi été la victime d’un vol de clé privé permettant aussi de signer les drivers d’installation Windows ! Comme par hasard ces deux sociétés se retrouvent toutes les deux à Taïwan et dans le même quartier (Hsinchu Science-based Industrial Park), la Silicon Valley de Taïwan. Bien sûr, le certificat de la société JMicron à lui aussi été révoqué en collaboration avec Microsoft et Verisign.
Pour l’instant les informations récupérées par le malware ne sont pas encore connus, ni même les auteurs de celui-ci. Dès que nous aurons plus d’informations nous vous tiendrons au courant.
Windows 0Day “LNK” et un nouveau cas APT ?
01 year ago
in Various
VirusBlokAda, une société spécialisée dans les anti virus a rapporté le 17 Juin, que ses chercheurs en sécurité informatique avaient découverts un 0Day Windows, et un malware. Le 0Day Windows pourrait permettre d’infecter tous les systèmes Windows ayant le dernier niveau de mises à jour, tandis que le malware découvert serait un nouveau cas de “Advanced Persistant Threat” (APT).
A l’origine des investigations, le 0Day Windows ne s’exécutait que dans le cas de l’exploration d’une clé USB par le biais d’un explorateur, par exemple Windows Explorer ou Total Commander, du aux fonctionnalités “Autorun” ou “Autoplay” de Windows. La clé USB doit contenir, à sa racine, un raccourcis Windows forgé (extension .lnk) et dès que la clé USB est explorée l’exécution de ce raccourcis est effectuée automatiquement, permettant ainsi l’exécution de code malveillant.
Après des analyses supplémentaires de la part de ISC, il s’avère que le 0Day Windows “LNK” permet aussi de s’exécuter aussi de n’importe quel point de montage (disque dur, dossiers locaux, dossiers en réseaux ou dossiers WebDav).
Ci-dessous une vidéo, de Sophos, sur le 0Day Windows “LNK”.
Microsoft a réagit en émettant une alerte de sécurité (2286198) et est en cours d’investigation. Mais nous pouvons déjà savoir que l’exécution du 0Day s’effectue dans le contexte des droits de l’utilisateur Windows, donc si vous utilisé un utilisateur Windows ayant des droits administrateur, celui-ci s’exécutera avec les mêmes droits. Les simples utilisateurs auront beaucoup moins de chance de se faire impacter par cet exploit.
Nous vous conseillons donc, de ne pas utiliser votre système Windows avec des droits privilégiés, de désactiver les fonctionnalités “Autorun” et “Autoplay” de Windows, et aussi de désactiver l’option “icônes” sur les raccourcis Windows.
Au niveau du malware découvert, celui-ci tente d’installer deux drivers “mrxnet.sys” et “mrxcls.sys” signés numériquement par “Realtek Semiconductor Corp.“, une société connus dans le monde de l’informatique. Vu que ces deux drivers soient signés par un certificat d’une entreprise reconnue par Microsoft, permet l’installation de ces deux drivers sans aucune alerte. Le premier driver “mrxcls.sys” cache la présence de fichiers “.lnk” et le deuxième driver “mrxnet.sys” injecte des données encryptées supportant l’activité courante du malware.
Le fait que deux drivers contenu dans un malware, participant à une infection, soient signés par Realtek signifierait éventuellement aussi que la clé privée de RealTek a été compromise, et que celle-ci servirait éventuellement pour signer d’autres logiciels malveillants. Ou il se pourrait que les auteurs de ce malware aient simplement achetés un certificat au nom de RealTek pour signer leur logiciel. Par mesure de précaution, Microsoft et Verisign, en accord et avec le support de RealTek, ont révoqué le certificat suspect.
Frank Boldewin, un autre chercheur en sécurité informatique à eu l’occasion d’analyser le malware de façon plus détaillée, et celui-ci a remarqué que le malware ciblait particulièrement “WinCC Scada system“, un système utilisé dans les grandes industries (nucléaire, énergie, etc) et dans les organismes gouvernementaux. Ce malware serait donc utiliser pour effectuer de l’espionnage, un nouveau cas APT ? En tous cas Siemens a émis, lui aussi, une alerte à destination de ses clients utilisant le système Scada, ce qui confirmerait l’attaque ciblée et éventuellement persistante. Microsoft suspecte que le malware serait actif depuis au moins 1 mois, voir plus, ce qui rendrait la menace persistante.
Recent Comments