Windows Hello : contournement de la reconnaissance faciale

Windows Hello est une fonctionnalité de Windows 10 qui permet aux utilisateurs de s’authentifier sans mot de passe, à l’aide d’un code PIN ou d’une identité biométrique (empreinte digitale ou reconnaissance faciale) pour accéder à un appareil ou à une machine.

L’équipe de recherche de CyberArk a trouvé un moyen de tromper le mécanisme de reconnaissance faciale utilisé par Windows Hello. La preuve de concept est ingénieuse; elle ne se contente pas de présenter uniquement une photo de l’utilisateur devant une webcam pour leurrer le système. Les chercheurs ont fabriqué un équivalent de Rubber Ducky mais pour de la vidéo : au lieu de se présenter comme un clavier et de taper des caractères, le périphérique USB se présente comme une caméra et envoie des frames RGB et infrarouge d’une personne préalablement filmée. De façon générale, la preuve de concept a des implications pour tout système qui, comme Windows, accepte les périphériques USB tiers se présentant comme des caméras pour faire l’authentification biométrique.

Zero-day : RETEX par l’équipe Google TAG

Le Threat Analysis Group (TAG) de Google a publié mercredi le détail de trois récentes campagnes de malware basées sur quatre vulnérabilités zero-day affectant WebKit, le moteur de navigateur utilisé par Google Chrome (CVE-2021-21166 et CVE-2021-30551), Internet Explorer (CVE-2021-33742) et Safari d’Apple (CVE-2021-1879).

En particulier, le groupe de hackers Nobelium, affilié aux services secrets russes et à l’origine de l’attaque supply-chain contre SolarWinds l’an dernier, semble être en cause de la campagne visant Safari. Les pirates ont utilisé la messagerie LinkedIn pour cibler des responsables gouvernementaux en Europe occidentale et envoyer des liens malveillants vers des domaines contrôlés par les attaquants qui exécutent du code malveillant sur les iPhones et les iPads.

De façon générale, le groupe a constaté une multiplication des attaques 0-day : rien qu’au premier semestre 2021, le nombre d’attaques publiées dépasse déjà d’une bonne dizaine le total de ce type d’attaques sur l’ensemble de l’année 2020. Bien qu’il y ait une réelle hausse (de plus en plus d’acteurs privés vendent ce type d’exploit), cette croissance s’explique aussi par l’amélioration des capacités de détection.

Vulnérabilités critiques dans Etherpad, une alternative populaire à Google Docs

Etherpad est une interface collaborative en temps réel qui permet à un document d’être édité simultanément par plusieurs auteurs. C’est une alternative open source à Google Docs en mode on-premise.

Des chercheurs de SonarSource ont révélé deux nouvelles vulnérabilités de sécurité dans l’éditeur de texte Etherpad (version 1.8.13) qui pourraient permettre aux attaquants de détourner des comptes d’administrateur, d’exécuter des commandes système et même de voler des documents sensibles.

La première est une XSS au sein de la fonctionnalité de messagerie instantanée (présente dans une configuration par défaut de la solution) pouvant être exploitée pour usurper l’identité d’un utilisateur, y compris un administrateur si un tel compte existe. La seconde correspond à une injection de code dans la gestion de plugin, mécanisme accessible aux administrateurs, permettant de compromettre le système et d’accéder au serveur.

Seule la XSS a été corrigée à ce jour.

SolarWinds encore la cible de zero-day

Après avoir été la cible d’une cyberattaque massive fin 2020, SolarWinds vient de publier un correctif pour résoudre une faille affectant ses produits Serv-U Managed File Transfer Server et Serv-U Secured FTP.

La société a été informée par Microsoft qu’une vulnérabilité 0-day était activement exploitée, permettant à un attaquant d’exécuter du code arbitraire avec des privilèges, via une connexion SSH. Le Microsoft Threat Intelligence Center (MSTIC) attribue cette campagne à un groupe chinois identifié sous le nom DEV-032.

Afin de déterminer si un environnement a été compromis, Microsoft fournis des pistes comme des connexions SSH réussies depuis certaines adresses IP et la levée de certaines exceptions.

GitHub Copilot: quand l’IA introduit des vulnérabilités

Présenté fin juin, GitHub Copilot fait beaucoup parler de lui. Cette solution d’assistance à la programmation développée en collaboration avec OpenAI vise à aider les développeurs de logiciels à écrire un meilleur code dans une variété de langages de programmation, notamment Python, JavaScript, TypeScript, Ruby et Go. Si certains sont enthousiasmés par son potentiel, d’autres se méfient de la qualité d’un code automatiquement généré ou se questionnent sur la notion de droits d’auteurs.

La solution, en phase de test, a déjà fait l’objet de plusieurs revues. En particulier, le chercheur « 0xabad1dea » a documenté plusieurs vulnérabilités de sécurité générées par l’outil basé sur l’intelligence artificielle. Parmi elles, une classique injection SQL dans du code PHP où une variable GET est insérée de façon brute dans une requête à la base de données. L’outil présente également des problèmes pour ce qui est de la génération des clés et autres secrets pouvant conduire à des éléments d’aspects aléatoires mais en réalité de faible entropie.

Il faut donc être réaliste quant aux limitions de GitHub Copilot qui manque souvent de contexte pour suggérer du code : « l’outil sera toujours capable d’émettre du code défectueux tant qu’il sera capable d’émettre du code« .

Bibliothèques cryptographiques : les problèmes de chiffrement ne sont qu’une minorité des vulnérabilités

Une étude par des chercheurs du MIT a conclu que les problèmes de gestion de la mémoire engendrent plus de vulnérabilités (37,2%) que d’erreurs d’implémentation de chiffrement (27,2%).

Cette analyse, portant sur huit bibliothèques cryptographiques largement utilisées dont Open SSL, a été réalisée à l’aide de données collectés depuis la base de vulnérabilités publique du NIST, des mailings-list, et d’autres sources pertinentes. Elle montre notamment une forte corrélation entre la complexité de ces bibliothèques et leur (in)sécurité ; complexité qui peut être liée au langage utilisé.

Les résultats des chercheurs soutiennent donc l’intuition commune qu’il est dangereux de maintenir des quantités excessives de code source, d’autant plus dans les logiciels de cryptographie.

Y’a plus, je laisse ?

LinkedIn est encore une fois de plus la cible d’une fuite de données massive. Retrouvez l’article d’Yves DUCHESNE pour en savoir plus.