PrintNightmare : Vulnérabilité critique du PrintSpooler Windows
Début juin, Microsoft déployait un correctif pour combler la faille de sécurité CVE-2021-1675 et qui affectait le service spouleur d’impression, un composant présent par défaut sur Windows. Qualifiée initialement d’élévation de privilèges en local (LCE), une équipe du fournisseur chinois QiAnXin indiquait pouvoir également exploiter cette vulnérabilité pour mener exécution de code à distance (RCE).
Suite à cette publication, deux chercheurs, d’une autre compagnie de sécurité chinoise, ont publié les détails techniques et une preuve de concept sur Github avant de se rétracter. Il s’avère que le bug identifié – nommé PrintNightmare et devant faire l’objet d’une présentation à la conférence BlackHat US cet été – n’est pas corrigé par le patch de Microsoft publié début juin ; dès lors, l’installation du correctif n’est pas suffisante pour se protéger. Le PoC, bien que publié brièvement, a été récupéré et des codes d’exploitation sont donc désormais disponibles publiquement sur Internet nécessitant de prendre cette faille très au sérieux comme l’estime l’ANSSI.
Le problème réside dans RpcAddPrinterDriver, une fonction légitime conçue pour permettre l’impression à distance et l’installation de pilotes. Malheureusement, elle présente une faille logique qui permet à tout utilisateur authentifié d’ajouter à distance n’importe quel « pilote d’impression » (et donc un code malveillant) à Windows, sans avoir besoins d’être administrateur ou d’avoir une autorisation. Le service spouleur d’impression est activé par défaut sur Windows ce qui inclut les contrôles de domaine Active Directory. Par conséquent, un attaquant, ayant préalablement compromis un poste utilisateur du domaine, pourra compromettre le contrôleur de domaine.
En attendant la correction par Microsoft, il est recommandé de désactiver le service sur les contrôleurs de domaine et toute machine sur laquelle il n’est pas nécessaire.
LinkedIn : Publication de données personnelles
Deux mois après la « fuite » de 500 millions de profils, LinkedIn fait de nouveau face à une importante publication de données personnelles de ses utilisateurs. Elle concerne 92 % des personnes inscrites sur le service et expose adresse email, nom complet, numéro de téléphone, adresse postale, situation géographique, expériences professionnelles et même genre. La bonne nouvelle est que cette base ne contient pas les mots de passe des utilisateurs, il n’est donc pas nécessaire d’en changer.
Comme en avril dernier, la base de données personnelle d’utilisateurs de LinkedIn a été constituée grâce au scraping, une technique permettant l’extraction des données d’un site via un programme qui va automatiser la collecte. L’extraction de données publiques est une violation des conditions d’utilisation du réseau social professionnel.
Bien qu’aucun mot de passe n’ait été récupéré, les données personnelles ainsi collectées peuvent être exploitées par des pirates pour mener des campagnes de spam ou de phishing par mail ou par SMS. En conséquence, si vous possédez un profil LinkedIn, redoublez de vigilance lorsque vous recevez des mails, des appels ou des SMS de contacts inconnus.
Une backdoor dans les algorithmes de chiffrement du réseau 2G ?
Implémentés dans les années 90, les schémas GEA-1 et GEA-2 assuraient le chiffrement des données sur les réseaux mobiles 2G et 3G.
Publié le 15 juin, l’article Cryptanalysis of the GPRS Encryption Algorithms GEA-1 and GEA-2 met en évidence une backdoor dans la conception de ces schémas permettant de limiter le niveau de sécurité à respectivement 40 bits et 45 bits par conception au lieu de 64 bits, rendant leur exploitation praticable. La faiblesse observée (une interaction exceptionnelle entre les LSFRs et l’initialisation de la clé) étant très peu probable de se produire par hasard, il est tentant d’en déduire qu’elle a été cachée intentionnellement.
Les chercheurs estiment toutefois que ces vulnérabilités ne constituent plus une menace sérieuse pour les utilisateurs à l’heure actuelle. En effet, aujourd’hui, la plupart du trafic de données est envoyé sur le réseau 4G.
Africrypt : Arnaque au bitcoin
Deux Sud-Africains, les frères Ameer et Raees Cajee, avaient lancé en 2019 leur plateforme d’investissement dans les cryptomonnaies, Africrypt. Ils ont aujourd’hui disparu avec 69 000 bitcoins, d’une valeur de 3,6 milliards de dollars. Les deux frères avaient informé, en avril dernier, les clients que la plateforme était victime d’un piratage informatique et leur avaient demandé de ne pas signaler cet incident aux autorités.
Il ne s’agit pas de la première escroquerie du genre en Afrique du Sud, le projet MIT ayant soutiré 23 000 bitcoins à ses investisseurs l’année dernière.
Encore un peu de crypto ?
Envie de vous pencher sur le sujet de la cryptographie post-quantique cet été ? Jetez un œil à la chaîne YouTube de Taja Lange.
Y’a plus, je laisse ?
La première bêta de Windows 11 est désormais disponible au téléchargement.