La semaine dernière, trois événements intéressants dans le domaine de la sécurité de l'information se sont produits simultanément: la vulnérabilité exploitée dans Whatsapp a été fermée, des correctifs ont été publiés pour des vulnérabilités critiques dans Windows, même pour les versions de système d'exploitation non prises en charge, et Intel a trouvé un autre problème de type Spectre. Commençons par une vulnérabilité dans le composant Remote Desktop Services (
actualités , article de blog Microsoft). Les détails techniques de la vulnérabilité n'ont pas été révélés, mais il est connu que le bogue vous permet de prendre le contrôle du système en utilisant le protocole RDP sans autorisation.
Les vulnérabilités sont affectées par Windows 7 et Windows 2008 Server, ainsi que Windows XP et Windows 2003 Server non pris en charge. L'article de Brian Krebs
souligne la similitude de la vulnérabilité avec le bogue
EternalBlue dans le protocole SMB, qui a conduit en 2017 à une épidémie à grande échelle du cheval de Troie rançongiciel WannaCry. Dans ce cas, l'attaquant peut accéder à tout système non corrigé accessible via le protocole RDP, et à travers lui pour propager l'attaque à d'autres ordinateurs sur le réseau local. Malgré la vitesse du patch, nous entendrons probablement encore les conséquences de l'exploitation de ce bug.
Pour réduire la probabilité d'une attaque à grande échelle, Microsoft a publié des correctifs pour Windows XP et 2003 Server, qui ne sont plus officiellement pris en charge par la société. Le 14 mai, Microsoft a
corrigé plusieurs autres vulnérabilités, notamment le bogue critique
CVE-2019-0863 du système de rapport d'erreurs Windows. Contrairement au problème dans RDP, cette vulnérabilité affecte les versions modernes du système d'exploitation jusqu'à Windows 10 et peut être utilisée pour augmenter les privilèges. Cette vulnérabilité est activement exploitée par les cybercriminels.
L'incident le plus discuté de la semaine dernière a été le rapport d'une grave vulnérabilité dans le messager Whatsapp (
news ). La vulnérabilité
CVE-2019-3568 a été
corrigée par la mise à jour Whatsapp pour Android et iOS
le 13 mai . Fait intéressant, dans l'annonce de la nouvelle version pour Android, le principal changement n'était pas du tout un patch, mais un «affichage plein écran d'autocollants»:
Au cours de la discussion, il a été noté que les utilisateurs ordinaires sont plus susceptibles de mettre à jour le client à cause des autocollants, et peu de gens pensent jusqu'à présent à la sécurité. Check Point Software a analysé le correctif et
trouvé quelques nouvelles vérifications sur la taille des paquets du protocole SRTCP utilisé pour la téléphonie Internet. Apparemment, l'absence de ces vérifications a provoqué un débordement de tampon. Mais que s'est-il passé ensuite - personne ne le sait, nous ne pouvons que supposer prendre le contrôle de l'application et de l'exfiltration des données. Mais on a beaucoup parlé de la source de l'exploit.
Selon le Financial Times, l'exploitation active de l'exploit a été constatée simultanément sur Facebook (l'actuel propriétaire du messager) et dans l'organisation de défense des droits humains Citizen Lab. Ce dernier a été contacté par un avocat britannique qui a reçu plusieurs appels vidéo de numéros inconnus sur un téléphone Apple avec un messager installé. Pour exploiter cette vulnérabilité, vous devez envoyer au destinataire un paquet de données spécialement préparé, que le client WhatsApp perçoit comme un appel vidéo. Il n'est pas nécessaire de répondre à l'appel. Selon le Financial Times, la vulnérabilité a été découverte par le NSO Group, spécialisé dans la vente d'exploits aux agences gouvernementales et aux services spéciaux. Il a été possible d'identifier le développeur par des métadonnées.
Un développement intéressant de l'histoire a été le poste du fondateur du messager Telegram Pavel Durov (
original ,
traduction sur Habré), intitulé "Pourquoi WhatsApp ne sera jamais en sécurité." Le télégramme lui-même est-il sécurisé - également un sujet de discussion, à la fois technique et émotionnel. Mais ce n'est pas le sujet: la publication de Durov est un exemple de la façon dont la sécurité devient un outil publicitaire. Un avantage (réel ou imaginaire) qui considère qu'une partie importante du public cible est importante. C'est une bonne nouvelle: si les acteurs du marché doivent en quelque sorte annoncer leurs services comme étant protégés contre le piratage, tôt ou tard, ils devront
vraiment faire quelque chose dans ce sens .
Nous terminerons la revue de presse avec quatre nouvelles attaques sur des chaînes tierces (
news ). Des vulnérabilités correspondantes ont été trouvées dans les processeurs Intel; elles ont été découvertes lors de vérifications internes dans l'entreprise elle-même (un article détaillé sur le site Web d'
Intel ), ainsi que dans des chercheurs d'une université technique de Graz en Autriche (minisite avec une URL «parlante»
cpu.fail ).
Des chercheurs indépendants ont identifié quatre vecteurs d'attaque, et pour chacun, ils ont décrit un scénario réaliste pour obtenir toutes les données d'intérêt pour l'attaquant. En cas d'attaque Zombieload, il s'agit de l'historique des pages visitées dans le navigateur. L'attaque RIDL vous permet d'extraire des secrets des applications s'exécutant sur le système ou les machines virtuelles. L'attaque Fallout ne peut qu'amplifier d'autres attaques, recevoir des informations sur la lecture de données précédemment écrites dans la mémoire par le système d'exploitation. Enfin, la méthode de transfert de stockage vers fuite peut théoriquement être utilisée pour contourner l'ASLR.
Chez Intel, ils essaient de ne pas adopter les noms créatifs (et légèrement effrayants) des attaques et les appellent un échantillonnage de données microarchitecturales complexes. La technique MDS permet à un processus local de lire des données inaccessibles dans la mémoire en utilisant la même méthode d'attaques sur des canaux tiers que la famille Spectre précédemment découverte. Intel promet de supprimer les vulnérabilités lors des prochaines révisions des processeurs, et les CPU des 8e et 9e générations ne sont en partie pas affectés par cette attaque. Une mise à jour du microcode sera publiée pour le reste des processeurs, et pour plus de sécurité contre la menace (jusqu'ici théorique), comme d'habitude, vous devrez payer une
baisse de performances .
Selon Intel, c'est quelques pour cent, mais ici le fait de déterminer le prix de la sécurité est intéressant, ce que nous devons tous payer.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.