L'actualité infosec de la semaine - 30ème numéro (23 octobre au 30 octobre)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
L’authentification multi-facteur par SMS, c’est bientôt fini ?
Dans son dernier draft (ou Request for Comments) de recommandations visant à dresser un état de l’art en matière d’authentification numérique sécurisée, le National Institute for Standards and Technology (NIST), l’institution américaine en charge des standards et de la technologie a déclaré le SMS comme « obsolète » pour une utilisation dans un contexte d’authentification multi-facteur qui, pour rappel, est composé de trois grands facteurs :
- Ce que vous savez (« Something you know ») ;
- Ce que vous avez (« Something you have ») ;
- Ce que vous êtes (« Something you are »).
Alors que l’usage de smartphone est au cœur de l’authentification et vise, à terme, à développer un point unique de défaillance (SPOF) en permettant, entre-autres, la réception d’e-mails et SMS de manière simultanée depuis un même appareil, l’institut expose les risques d’interceptions et de redirection de tels dispositifs de communication (cf. IMSI-Catcher et les problèmes d’implémentation de SS7) et recommande (sans obligation) fortement l’abandon de facteurs d’authentification n’attestant pas de la possession d’un dispositif « Out-of-band », c’est-à-dire permettant la disposition d’un canal de communication dédié privé permettant la réception ou l’envoie d’un secret à usage unique, ceci comprenant l’abandon des SMS, e-mails et autres dispositifs technologiques faisant l’objet d’une (trop) simple application.
Pour plus d’informations sur les recommandations :
- https://pages.nist.gov/800-63-3/sp800-63b.html
- http://www.theregister.co.uk/2016/07...uthentication/
- https://techcrunch.com/2016/07/25/ni...tication-over/
- http://searchsecurity.techtarget.com...s-long-overdue
- http://www.itespresso.fr/sms-authent...te-135061.html
Pour plus d’informations sur les IMSI-Catchers les problèmes d’implémentation de SS7 :
- https://penturalabs.wordpress.com/20...imsi-catchers/
- https://events.ccc.de/congress/2010/...ohl_Munaut.pdf
- https://events.ccc.de/congress/2014/...hl-31C3-v1.pdf
- https://www.youtube.com/watch?v=GeCkO0fWWqc
Bypass de la protection ASLR (système limitant les buffer overflow) des processeurs
Une équipe de chercheurs américains a réussi à contourner le mécanisme de protection ASLR (Address Space Layout Randomization) dans le but d’accéder à des espaces mémoire non-autorisés.
Cette technique de protection consiste à placer les données d'un programme à un emplacement mémoire aléatoire, permettant ainsi de limiter l'impact de l'exploitation d'une faille de type buffer overflow.
Afin de contourner l’ ASLR les chercheurs ont utilisé le BTB (Branch Target Buffer), un système de cache d’adresses mémoire utilisé dans beaucoup d'architectures de processeurs modernes.
D'après les chercheurs, le BTB est vulnérable aux attaques par collision, il suffit d'envoyer des données aléatoires au BTB jusqu'à trouver les données qui y sont stockées.
L'exploitation de cette faille a permis aux chercheurs d'accéder aux tables contenant les références vers les pages mémoire allouées via ASLR. Il leur a donc été possible d'outrepasser cette protection et de connaître l'emplacement mémoire occupé par une application spécifique. Rendant alors la protection inefficace et facilitant l’exploitation de buffer overflow.
Lors de leurs tests, il a suffi de 60 millisecondes aux chercheurs pour exploiter la faille.
Les tests ayant été effectués sur une machine Linux disposant d'un processeur Intel Haswell, cependant les autres systèmes d'exploitation seraient également vulnérables.
Le rapport complet est disponible ici : http://www.cs.binghamton.edu/%7Edima/micro16.pdf
Source :
http://news.softpedia.com/news/resea...u-509460.shtml
Les réseaux 4G vulnérables aux attaques Man in the Middle
Une présentation portant sur la sécurité des réseaux 4G LTE donnée lors de la conférence Ruxcon démontre qu'il est possible pour un attaquant de créer un faux réseau 4G lui permettant d'intercepter les communications (voix et données) des appareils qui y sont connectés. L’attaque Man In The Middle permet à l'attaquant d'espionner ces communications et de provoquer un déni de service. Il est également possible d'usurper l’identité des utilisateurs afin d’émettre des appels et des messages texte en leur nom.
Pour réaliser l’attaque, il suffit de posséder une carte radio appelée USRP (Universal Software Radio Peripheral) ainsi qu'un ordinateur équipé d'un logiciel permettant d'utiliser les données transmises par la carte (ex. OpenLTE).
Cet équipement, très peu couteux, permet d’échanger des messages avec des appareils 4G afin de les inciter à se connecter au réseau contrôlé par l’attaquant.
L’attaque est rendue possible grâce à l'exploitation de 3 mécanismes visant à assurer la disponibilité du réseau en cas de surcharge (due par exemple à une catastrophe naturelle).
L'exploitation de ces mécanismes est connue depuis 2006 par le 3GPP (Third Generation Partnership Project, un regroupement d'organismes de standardisation définissant les spécifications techniques des réseaux 3G et 4G) mais a été acceptée comme un risque.
Une initiative a été lancée en mai 2016 par le groupe de travail sur la sécurité des réseaux LTE du 3GPP pour redéfinir et contrer les éléments du protocole de connexion permettant cette attaque.
La présentation est disponible à l'adresse suivante : http://www.slideshare.net/slideshow/...z63bGDQrP6EPY.
Source : http://www.theregister.co.uk/2016/10..._hacker_finds/
Des caméras IP suspectées d’être exploitées par le botnet Mirai rappelées par son fabricant
Suspectées d’être hautement vulnérable au botnet Mirai (DDoS), la société chinoise Hangzhou Xiongmai Technology rappelle ses caméras IP connectées produites avant avril 2015.
Le botnet Mirai utilise le mot de passe par défaut des caméras IP du fabricant pour s’installer et mener des attaques. La société menace cependant de porter plainte contre toute personne l’accusant d’être responsable de l’attaque sur l'infrastructure DNS de la société Dyn la semaine dernière.
Hangzhou Xiongmai Technology rappelle que le principal problème de sécurité reste la présence du mot de passe par défaut n’ayant pas été changé à l’installation, ce qui est par conséquent la responsabilité de l’utilisateur. Cependant, la faute de sécurité serait imputable directement à l'entreprise chinoise qui aurait codé en dur dans son logiciel le mot de passe, ceci empêchant la modification par les utilisateurs selon le blogueur spécialisé en sécurité KrebsOnSecurity.
Sources :
http://news.softpedia.com/news/chine...t-509595.shtml
https://krebsonsecurity.com/2016/10/...ge/#more-36754
http://seclists.org/oss-sec/2016/q4/224
Office 2013 se dote aussi d’un système anti-macros malveillantes
Les macros malveillantes sont un facteur d’infection revenant particulièrement à la mode depuis quelques années. En mars dernier, Microsoft dévoilait une nouvelle fonctionnalité de sécurité pour Office 2016 permettant de bloquer les macros qui téléchargeaient du contenu provenant d’Internet. Hier, la firme a annoncé que cette fonctionnalité allait être portée sur Office 2013 suite à de nombreuses demandes.
Cette fonctionnalité s’avère efficace puisqu’elle bloque toute macro téléchargeant du contenu en dehors du réseau interne d’une société. Elle se configure facilement par GPO (Group Policy Object) dont un modèle est disponible à l’adresse suivante : https://www.microsoft.com/en-us/down...aspx?id=35554.
Sources :
http://news.softpedia.com/news/micro...3-509689.shtml
https://blogs.technet.microsoft.com/...ent-infection/
L'espionnage des Américains, un business rapportant plusieurs millions de Dollars à AT&T
Les entreprises du secteur des télécommunications américaines ont l'obligation légale de fournir les données demandées par les services de renseignement. Il semblerait que la collaboration d'AT&T avec ces services dépasse le cadre juridique.
En 2013, le New York Times relève l’existence d’un outil, baptisé Hemisphere, développé par AT&T, permettant une surveillance massive de la population des États-Unis (métadonnées d'appels téléphoniques), soit plusieurs milliards d'enregistrements.
Plus précisément, AT&T conserve les métadonnées des communications passant par son infrastructure depuis 2008. Au total, la société possèderait donc plus de données que n'en a récoltées la NSA depuis l'instauration du Patriot Act.
Présenté alors comme un simple partenariat entre AT&T et le gouvernement américain, le département de la justice décrivait Hemisphere comme un outil indispensable dans la lutte contre les narcotrafiquants.
Cependant, d'après un document interne appartenant à AT&T et analysé par The Daily Beast, Hemisphere serait utilisé dans tout type d'affaires, allant de l'homicide à la fraude à la sécurité sociale.
Plutôt que le fruit d’un partenariat, Hemisphere serait en réalité un produit développé de son plein gré par AT&T, vendu ensuite à différentes agences gouvernementales pour un prix pouvant atteindre le million de dollars.
Source : http://www.thedailybeast.com/article...or-profit.html
Dirty Cow ciblerait également les téléphones Android
Souvenez vous, la semaine dernière, nous vous avons parlé de la faille Dirty Cow qui permettait de faire du privilege escalation sur tous les environnements Linux existants. Et bien nouvelle semaine, nouveau choc. Cette faille permettrait aussi de rooter un téléphone Android à l'insu de son utilisateur.
Comme pour le cas de Linux, la faille est bien importante puisqu'elle concerne tous les appareils Android depuis la version 1 de cet OS mobile.
Il apparaît également qu'une seconde méthode de root basée sur cette vulnérabilité existerait elle aussi.
Les deux codes sources sont hébergés sur GitHub. En voici un :
https://github.com/timwr/CVE-2016-5195
Source : http://news.softpedia.com/news/dirty...s-509590.shtml
LDAP comme amplificateur de DDOS
La semaine passée, Internet a subit l'une de ses plus grosses attaques depuis sa création avec un DDoS à 70 Gbps
Cette attaque ciblait le fournisseur DNS Dyn et a provoqué de nombreux problèmes chez des géants du web.
Cette semaine la firme Corero Network Security affirme avoir découvert comment les attaquants ont pu amplifier le trafic de leur attaque.
Pour ce faire, ils ont utilisés un mini botnet afin de faire des requêtes à des serveurs LDAP (utilisé pour faire de l'authentification centralisée).
Ces requêtes étaient spoofées afin de faire croire aux serveurs LDAP qu'elles provenaient du fournisseur Dyn.
Les serveurs LDAP ont alors répondu à ces requêtes via des réponses légitimes mais très volumineuses ce qui a eu pour effet d'amplifier l'attaque d'un facteur variant de 46 à 55.
Cela a été possible car de nombreux administrateurs laissent le port 389 de LDAP ouvert dans le firewall. Hors, cela est complètement inutile dans la mesure où les applications utilisant LDAP sont très rarement en dehors du réseau ou de la boucle locale.
La solution est donc comme souvent d'adopter une meilleure hygiène de la sécurité informatique.
Source : http://www.scmagazine.com/zero-day-d...rticle/568225/
La surveillance des ondes Hertziennes décrétée anti-constitutionnelle
En juillet 2015, la loi Renseignement a été adoptée en France. Pour les têtes en l'air, cette dernière permet à l'état de surveiller les communications en tout genre.
Pour plus d'infos, rendez-vous ici : http://anonymat.hackademics.fr
C'est donc après plus d'un an que les mentalités se réveillent et que cette surveillance, après un nouvel examen demandé via une QPC (Question Prioritaire de Constitutionnalité), est décrétée anti-constitutionnelle.
En effet, l'article L. 811-5 du code de la sécurité intérieure permettait la surveillance sans demande judiciaire préalable de toutes les connexions sans fils.
Ce qui permettait sans aucun doute une attaque disproportionnée sur la vie privée des citoyens français.
Cependant, cette décision est à remettre dans son contexte:
Si le conseil Constitutionnel a bien en effet décrété cet article inconstitutionnel, il reste applicable pour les procédures lancées avant la déclaration d’inconstitutionnalité. De plus, pour les nouvelles procédures, l'article reste en vigueur mais les autorités doivent alors rendre des comptes à la Commission nationale de contrôle des techniques de renseignement (CNCTR).
Enfin, le législateur abrogera (supprimera) définitivement cet article le 30 décembre 2017, afin de ne pas priver les autorités d'un moyen de renseignement.
Ce mouvement de révolte est le signe que cela vaut encore la peine de se battre pour son droit à la vie privée.
Sources :
http://www.csoonline.com/article/313...ourt-says.html
http://www.conseil-constitutionnel.f...16.148047.html
https://exegetes.eu.org/censure-surv...e-incontrolee/
By gohy, Anonyme77, L'OMBRE, Creased, Bioshock & _47
Merci à Creased pour sa contribution.
Commentaire