Sélection de l’actualité de la semaine

 

Une attaque se joue du DNS over https (DoH) de Google pour charger un malware

L’équipe de recherche de Huntress Lab a récemment analysé un virus au comportement relativement atypique. Le programme malveillant s’inscrit dans la lignée des malwares utilisant le DNS over HTTPS (DoH), mais, celui-ci se démarque de ses congénères dans l’obfuscation mise en place pour contacter ses serveurs de contrôle. L’obfuscation – ou obscurcissement – est un comportement permettant à un attaquant de passer outre les vérifications de sécurité classiques menées sur le port associé au protocole de résolution de noms de domaine. Ce n’est pas la première découverte d’un malware de ce genre, ce type d’attaque est observé depuis peu plus d’un an (avec par exemple Godlua). Dans le cas du malware analysé par les équipes de Huntress Lab, le programme utilise le service de résolution public de Google (dns.google.com) pour récupérer une chaîne de caractères dans le champ TXT d’un serveur compromis. Le serveur DNS responsable de la résolution de noms ne retourne pas un nom de domaine mais une clef publique qui est censée servir à vérifier que les mails reçus de la part de ce domaine proviennent bien d’un serveur légitime (signature DKIM). Encodée en segments de base64 séparés par des barres obliques, la chaîne de caractère ressemble à s’y méprendre à une signature DKIM. En réalité, c’est une version obfusquée d’une liste d’adresses IP correspondant au serveur de contrôle du malware. Dernière subtilité, la notation entière (et non pointée) pour les adresses IP est de mise : pas de « 192.168.1.1 » mais « 3232235777 ». Les attaquants déploient ainsi un ensemble de mesures prévues pour contourner les mesures de sécurité de base, mais aussi tromper les analystes. Du point de vue du défenseur, ce genre de malware ne peut malheureusement pas facilement être bloqué, à moins de bloquer DoH directement, et le protocole TLS  rend la détection difficile et opaque sur un réseau.

 

Microsoft Defender permet de télécharger des malwares ! En fait, non.

Un chercheur en cybersécurité a récemment remarqué que le binaire qui sert à télécharger les mises à jour de Windows Defender, la solution antivirus intégrée à Windows 10, a été mis à jour et permet de télécharger des fichiers arbitraires (i.e. stockés ailleurs que sur microsoftupdate.com). Par conséquent, la communauté a immédiatement alerté sur la possibilité, rendue possible par cette nouvelle fonctionnalité, de télécharger des malwares directement avec Windows Defender, introduisant de fait une vulnérabilité dans les systèmes d’information. En pratique, les fichiers téléchargés via ce binaire, comme tous les autres sous Windows, sont analysés par Windows Defender dans un premier temps, ce qui fait que les virus seront toujours détectés. Fonction rappelée par Microsoft dans une déclaration suite à l’emballement d’une partie de la communauté sur les réseaux sociaux, qui ne semble pas être convaincue de l’utilité de cette nouvelle fonctionnalité.

 

BLURtooth, une nouvelle vulnérabilité qui affecte le protocole Bluetooth

La vulnérabilité, découverte par les équipes de l’École Polytechnique de Lausanne, est présente pour les tout derniers standards Bluetooth 4 et 5, la 5.1 disposant de contre-mesures à activer ayant comme conséquences de bloquer l’attaque. Si un utilisateur a plusieurs appareils bluetooth en cours d’utilisation en même temps, dont un ouvert à tout appairage externe, alors l’attaquant pourra s’y appairer. L’attaque consiste à profiter de cette position confortable (s’être appairé avec un appareil de la victime) pour aller attaquer la pile protocolaire d’échange de clefs (CTKD, pour cross-transport key derivation). Un protocole/norme (CTKD) permet de réaliser des échanges cryptographiques pour sécuriser les communications,indépendamment protocole utilisé lors de l’appairage. Comme Bluetooth supporte deux modes de communications différents (Bluetooth LE et BR/EDR plus ancien), il est possible pour un appareil d’annoncer qu’il souhaite être en mesure de basculer d’un mode à l’autre une fois appairé. La vulnérabilité réside dans le fait qu’en faisant cela, l’appareil auprès duquel on s’appaire va aller écraser les clefs crypto qu’il utilisait avec les autres appareils déjà appairés, et commencer à utiliser les nouvelles générées lors de l’appairage avec l’appareil de l’attaquant. Ce dernier devient alors capable d’accéder et de déchiffrer les flux entre les autres appareils auprès desquels il ne s’est jamais appairé. Une correction de faille est attendue prochainement.

 

Une nouvelle attaque cible le chiffrement TLS/SSL

L’attaque, baptisée « Raccoon » consiste en une mesure extrêmement précise du temps de réponse du serveur lors de l’initialisation d’un échange de clef cryptographiques via Diffie-Hellman. Sur les protocoles TLS en version 1.2 et précédentes, et sous certaines (et nombreuses) conditions, un attaquant peut savoir si un bout de clef cryptographique utilisé pour dériver d’autres clefs de session commence par zéro ou pas. Dans ce cas, une résolution mathématique permet de deviner une partie des clefs cryptographiques utilisées pour chiffrer les communications. Toutefois, l’attaque requiert des conditions de mise en œuvre très spécifiques : être très proche du serveur ciblé pour mesurer son temps de réponse (ce qui n’est pas faisable à travers internet, ni même à travers un LAN, a priori), le serveur doit utiliser TLS1.2, ne pas supporter la PFS (Perfect Forward Secrecy), ne pas utiliser de courbes elliptiques, et EN PLUS réutiliser les mêmes clefs éphémères lors de l’échange Diffie-Hellman, ce qui n’est pas du tout une bonne pratique, voire n’est même pas possible à configurer pour tous les serveurs web. Dans ces conditions, Internet n’est pas prêt de s’effondrer.

 

L’Irlande et Facebook ne sont plus amis

Le Commissaire à la protection des données de l’Irlande (Data Protection Commissioner), l’équivalent irlandais de la CNIL française, estime que le réseau social ne peut pas envoyer les données personnelles de ses utilisateurs issus de l’Union européenne aux États-Unis. Cette décision intervient plusieurs semaines après la décision de justice rendue le 16 juillet dernier par la Cour de Justice de l’Union Européenne, invalidant le statut juridique exceptionnel de l’accord UE-US Privacy Shield. En substance, l’accord prévoyait l’autorisation pour le transfert de données de citoyens européens vers les États-Unis à la condition que l’exportateur de données garantisse un niveau élevé de protection des données concernées. Pour la Commission irlandaise de la protection des données, les clauses contractuelles types ne peuvent en pratique pas être utilisées pour justifier le transfert de données. Facebook a signifié son désaccord vis-à-vis de cette décision, n’oubliant pas de signaler que la fin des transferts des données européennes vers les États-Unis aurait de lourdes conséquences économiques, voire stratégiques, pour l’Irlande comme pour les autres pays de l’UE. De quoi rappeler que sa position hégémonique actuelle lui permet de s’opposer aux décisions étatiques, alors même que ce choix expose Facebook a une amende pouvant atteindre jusqu’à 4% de son chiffre d’affaires annuel. Soit 2,8 milliards de dollars.

 

Y’a plus, je laisse ?

Alors que l’ANSSI publiait un guide sur la conduite à tenir en cas d’attaque par un rançongiciel, l’agence a également alerté sur la recrudescence d’activité du malware Emotet, un cheval de Troie modulaire utilisé (entre autres) pour déployer des ransomwares. On ne peut qu’encourager à prendre connaissance des conseils de l’ANSSI et à sensibiliser les utilisateurs sur le mode opératoire d’Emotet.