Plusieurs nouvelles de cette semaine décrivent des attaques telles que Man-in-the-middle, ainsi que des moyens de les combattre. Commençons par la nouvelle relativement curieuse: SwiftOnSecurity, un utilisateur de Twitter, a accidentellement
découvert une vulnérabilité zero-day, une personne anonyme qui se spécialise principalement dans l'humour presque sûr.
La vulnérabilité affecte l'application Atlassian Companion, un composant facultatif du service de collaboration Confluence basé sur le cloud qui vous permet de travailler avec des fichiers sur votre ordinateur: télécharge une copie depuis le cloud, la transfère vers le logiciel de bureau, puis renvoie le fichier modifié. Une partie de l'application est un serveur Web local, et l'accès à celui-ci est réalisé via un domaine public avec le nom caractéristique
atlassian-domain-for-localhost-connections-only.com .
Le domaine se résout à l'IP local 127.0.0.1 - cette conception est faite pour crypter le trafic via SSL. Le problème est qu'un tel schéma peut être assez facilement utilisé par un attaquant qui peut modifier les enregistrements DNS: le certificat pour tous les utilisateurs locaux de l'application est le même, et rien n'empêche de rediriger le trafic local vers le serveur de l'attaquant avec un accès ultérieur aux données privées. Selon The Register, Atlassian s'efforce de résoudre cette vulnérabilité.
Des chercheurs de Breakpointing Bad et de l'Université du Nouveau-Mexique (
actualités ,
description technique ) ont trouvé une vulnérabilité beaucoup plus astucieuse dans un certain nombre de distributions Linux (ainsi qu'Android). La vulnérabilité vous permet de savoir si la victime est connectée au VPN et à quels sites elle se connecte. Cela fonctionne dans le scénario des «points d'accès dans un café» - lorsqu'un utilisateur se connecte au Wi-Fi public, qui est contrôlé par un attaquant. En plus de surveiller l'activité des utilisateurs, dans certains cas, la vulnérabilité permet d'injecter des données arbitraires dans le flux TCP et ainsi d'intercepter la connexion.
La vulnérabilité peut être partiellement corrigée par les paramètres réseau, notamment en activant l'option de filtrage de chemin inverse. La modification des paramètres de cette option dans la version du logiciel systemd datée du 28 novembre 2018 nous a permis d'implémenter le scénario d'attaque le plus grave.Par conséquent, seules les dernières versions d'Ubuntu (19.10), Debian (10.2), etc., sont répertoriées dans la liste des distributions Linux affectées. Cependant, systemd n'est pas le principal «coupable»: tout dépend des paramètres du système d'exploitation et des fonctionnalités de la pile réseau, il existe donc des distributions sans systemd dans la liste des affectées. Parmi les protocoles de tunneling, OpenVPN, WireGuard et IKEv2 / IPSec sont sensibles, mais probablement pas Tor.
Que s'est-il passé d'autre:Kaspersky Lab a résumé les résultats de 2019 avec un aperçu traditionnel des menaces et des événements (partie
analytique ,
statistiques ). Entre autres choses, les chercheurs ont tenté de calculer approximativement la quantité d'électricité que les utilisateurs des solutions de sécurité de l'entreprise ont économisée en bloquant les crypto-mineurs malveillants (sur les pages Web infectées ou sous la forme d'un logiciel local). Il s'est avéré un minimum de 240 et un maximum de 1670 mégawattheures, en argent c'est de 900 mille à 6,3 millions de roubles.
Plus d'homme au milieu. Checkpoint Software a parlé (
nouvelles ,
plus ) d'une attaque ciblée contre une start-up israélienne et une société chinoise d'investisseurs à risque. Les assaillants ont pu intercepter la correspondance entre les deux victimes. À un moment crucial, les données d'un virement bancaire ont été truquées, à la suite de quoi un million de dollars a été transféré à des attaquants au lieu d'une startup.
Le
correctif de décembre pour Android a corrigé plusieurs vulnérabilités graves, dont une qui pourrait provoquer un déni de service permanent. Deux autres vulnérabilités dans Media Framework permettent d'exécuter du code arbitraire.
Pour lutter contre les attaques MITM sur les téléphones Android, Google motive les développeurs d'applications à implémenter le cryptage des données transmises. L'entreprise a parlé de succès sur ce front. Selon un
récent rapport , 80% des applications sur Google Play utilisent le cryptage.
Le cheval de Troie de chiffrement a
attaqué un important fournisseur CyrusOne (45 centres de données aux États-Unis et en Europe). Les attaquants ont réussi à désactiver un centre de données à New York, six clients ont été blessés.