Ransomware : Kaseya et ses clients victimes d’une cyberattaque de grand ampleur
Basée à Miami, la société américaine de servie informatique Kaseya est victime d’un ransomware depuis vendredi dernier. C’est à travers son logiciel VSA – destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une source unique – que le piratage s’est ensuite étendu aux clients de l’entreprise, puis à d’autres sociétés bénéficiant à leur tour de leurs services. Des milliers d’entreprises souffrent donc de cette cyberattaque dans 17 pays à travers le monde. C’est, par exemple, le cas de la société Coop, grande chaîne de supermarchés en Suède et sans lien direct avec Kaseya, qui représente environ 20 % du secteur dans le pays, qui a dû fermer samedi plus de 800 magasins, ses caisses étant paralysées par l’attaque.
Le mode opératoire classique, consistant à cibler une société relai pour toucher à travers elle un nombre important de structures, le tout à la veille d’un long week-end de festivité aux États-Unis, s’est donc une nouvelle fois montré particulièrement efficace. En juin dernier, des marketplaces Linux étaient également vulnérables à ce type d’attaques, dites supply chain attack.
Le groupe russe REvil est à l’origine de l’attaque, réclamant une rançon est de 45 000 dollars par entreprise. Cette organisation, active depuis 2019 est déjà soupçonnée d’avoir attaqué la société brésilienne JBS un mois auparavant.
L’Agence américaine de Cybersécurité et de Sécurité des Infrastructures (CISA) surveille actuellement la situation, de pair avec Kaseya et le FBI pour mener des actions de sensibilisation auprès des victimes, tels que l’arrêt immédiat des serveurs VSA.
Kaspershy Password Manager : génération de mots de passe vulnérable
Ledger vient de publier le détail d’une analyse démarrée il y a deux ans concernant Kaspersky Password Manager (KPM), un gestionnaire de mots de passe développé par Kaspersky. Outre le stockage sécurisé de mots de passe et documents, KPM permet de générer des mots de passe à partir d’une politique (taille, types de caractères, etc.).
Conclusion : la méthode de génération utilisée par KPM présente des biais. Certains caractères comme « q » et « x » sont plus susceptibles d’apparaître dans les mots de passe générés. La génération repose sur des PRNG (Pseudo-Random Number Generator) qui ne sont pas cryptographiquement sûrs ; la méthode Javascript Math.random() et un générateur Mersenne Twister pour la version PC. Ce second, en particulier, n’assure pas les propriétés de forward et backward-secrecy : connaître 624 sorties du générateur – soit 52 mots de passe de 12 caractères – permet de récupérer son état complet, et ainsi retrouve les sorties passées (tous les octets déjà générés) et de prédire les sorties futures (tous les octets qu’il va générer). La sécurité d’un générateur aléatoire dépend également de la façon dont il est initialisé à partir d’une source d’aléa qui fournit une graine (seed) : utiliser la même graine fait produire la même séquence au générateur ; c’est le déterminisme. KPM utilise comme graine le temps courant en seconde. Par conséquent, chaque instance de KPM dans le monde produit le même mot de passe à un temps donnée. Les conséquences sont donc catastrophiques puisque chaque mot de passe peut être calculé par force brute. Ainsi, Ledger a estimé, qu’entre 2021 et 2021, KPM pouvait générer près de 315 millions de mots de passe ; les retrouver par force brute ne nécessite que quelques minutes.
Les vulnérabilités ont bien entendues été corrigées fin 2020 ; l’avis de sécurité Kaspersky associé à quant à lui été publié en avril dernier.
PrintNightmare : un patch insuffisant
La semaine dernière nous vous faisions part de PrintNightmare (désormais identifiée CVE-2021-34527), cette vulnérabilité du spouleur d’impression Windows permettant une exécution de code à distance. En raison de sa criticité, dès mercredi, Microsoft annonçait la publication de correctifs en dehors de son traditionnel Patch Tuesday, y compris, depuis, pour les systèmes Windows Server 2012, Windows Server 2016 et Windows 10 Version 1607 pour lesquels la correction à nécessité un peu plus de temps. L’application du patch empêche les utilisateurs non administrateurs d’installer des pilotes non signés sur le serveur d’impression, ce qui devrait éviter l’installation de logiciels compromis par du code exploitant cette faille même si, comme Microsoft l’a reconnu dernièrement, des drivers malveillants ont récemment déjoué la vigilance de Microsoft et ont été signés sur la plateforme Windows Hardware Compatibility Program (WHCP).
Toutefois, les correctifs se sont révélés insuffisants. Parmi les différentes preuves de concept qui n’ont cessé d’être publiées pour exploiter PrintNightmare depuis le 1er juillet, certaines permettent une élévation de privilèges locale en plus de l’exécution de code distante. En particulier, un des exploit nommé SharpPrintNightmare utilise Microsoft Print System Asynchronous Remote Protocol (MS-PAR), là où les autres codes reposaient sur Microsoft Print System Remote Protocol (MS-RPRN) pour exploiter la vulnérabilité. Plusieurs chercheurs ont ainsi démontré que le vecteur d’élévation des privilèges local fonctionne toujours pour obtenir les privilèges SYSTEM. Certains montrent également que les RCE et LPE sont toujours réalisables après la mise à jour tant que la configuration Point and Print est activée pour les utilisateurs non privilégiés. Il est donc recommandé de vérifier les clés de registre et/ou politiques de groupe associés à cette configuration et les modifier les cas échéant.
Un pirate cherche à acheter des exploits zero-day pour 1 million de dollars
Inscrit depuis 2012 sur un forum de cybercriminalité populaire, un pirate y a déposé cette semaine la somme de 26.99 bitcoins afin d’acheter des exploits zero-day auprès des autres membres. La société de Cyber Threat Intelligence Cyble ayant identifié ce dépôt considère la situation préoccupante : le pirate, jouissant d’une forte réputation sur le forum, pourrait utiliser ces exploits pour mener des attaques directement ou alors les revendre.
Injection de fautes : une introduction par NCC Group
Envie de découvrir les attaques par injection de faute, cette méthode d’exploitation souvent utilisées en cryptanalyse qui permet notamment la récupération d’informations sensibles ? Dans le cadre de sa Fault Injection Week, NCC Group introduit dans une série de trois billets de blog le concept de ce type d’attaques, de plus en plus courantes et accessibles, ainsi que les contre-mesures possibles à la fois au niveau logiciel et matériel.
Y’a plus, je laisse ?
En Belgique, un artiste local du nom de Dries Depoorter a conçu un logiciel qui permet, grâce à l’intelligence artificielle et la reconnaissance faciale, d’identifier les politiciens distraits par leur téléphone pendant les séances du Parlement avant de les afficher sur les réseaux sociaux.