« Operation Cookie Monster » se classe parmi les meilleurs noms de code de mémoire récente. Et c’est approprié, étant donné ce qui s’est exactement passé. Genesis Market était l’un de ces marchés où les criminels pouvaient acheter et vendre des informations d’identification volées. Celui-ci était un peu spécial.
Les sites Web et les services s’améliorent dans la détection des connexions à partir d’ordinateurs inattendus. Votre compte Google se connecte soudainement à partir d’un nouvel ordinateur et un défi d’authentification à deux facteurs est lancé. Pourquoi? Il manque un cookie à votre navigateur indiquant que vous vous êtes déjà connecté. Mais il y a plus. Les fournisseurs ont commencé à déployer des analyses intelligentes qui vérifient les changements d’adresse IP et les empreintes digitales du navigateur. Votre mélange de fuseau horaire, de chaîne d’utilisateur, de polices installées et de langue sélectionnée constitue un identifiant assez unique. Ainsi, des sites comme Genesis proposent Impersonation-as-a-Service (IMPaaS), qui est un détournement de session pour l’ère moderne.
Un ordinateur victime devient propriétaire et les informations d’identification sont collectées. Mais il en va de même pour les cookies et l’empreinte digitale du navigateur. Ensuite, un acheteur criminel se connecte et exécute un navigateur virtuel avec toutes les données collectées. Passez par un proxy pour obtenir une adresse IP géolocalisée suffisamment proche de la victime, et M. Bad Guy a une machine clonée avec tous les comptes intacts.
Et maintenant, revenons à Operation Cookie Monster, un démontage multi-organisations de Genesis. Il s’agit apparemment d’un retrait partiel, car le dernier mot est que le site est toujours en ligne sur le réseau Tor. Mais les domaines conventionnels sont en panne, et quelque chose comme huit millions d’informations d’identification ont été capturées et ajoutées à la base de données Have I Been Pwned.
Une autre équipe de chercheurs, Sector 7, a travaillé sur le cas avec les autorités néerlandaises et a quelques détails intéressants. Le vecteur qu’ils couvrent était un faux crack d’activation pour un produit antivirus. Ironique. Plusieurs extensions sont installées sur l’ordinateur de la victime, et l’une des plus pernicieuses est déguisée en Google Drive. Cette extension recherche un serveur de commande et de contrôle, utilisant Bitcoin comme DNS. Une adresse Bitcoin codée en dur est interrogée pour sa dernière transaction, et l’adresse de réception est en fait un nom de domaine codé, you-rabbit[.]com au dernier contrôle.
Cette extension recherchera et réécrira les e-mails qui pourraient avertir la victime d’un compromis. Vous recevez un e-mail d’avertissement concernant un retrait de crypto-monnaie ? Il le modifie dans le navigateur pour être un avertissement de connexion. Il permet également aux clients de Genesis de se connecter par proxy via le navigateur de la victime, en contournant les mesures de sécurité de l’adresse IP.
Fantôme dans le VPN
Il y a plusieurs raisons pour lesquelles vous pourriez vouloir utiliser un VPN. C’est comme accéder à distance aux éléments de votre réseau, sans ouvrir de ports vers l’Internet au sens large. Ou parce que vous utilisez le WiFi public et que vous craignez que quelqu’un ne tente une attaque d’empoisonnement ARP. Ou peut-être même pour obtenir une adresse IP géolocalisée dans un autre pays. C’est légalement douteux, mais un VPN avec un point de terminaison britannique vous offre des émissions de la BBC, et Netflix est ravi de diffuser beaucoup plus de contenu animé avec une adresse IP japonaise.
Tout cela pour dire qu’il existe certaines raisons pour lesquelles même les utilisateurs de Linux pourraient utiliser un service VPN comme CyberGhost. Il prend même en charge Wireguard. Et malheureusement, il y avait des problèmes de sécurité très graves dans le client Linux. Le flux de connexion contient plusieurs requêtes HTTPS à une API CyberGhost, et l’une de ces connexions est effectuée sans vérification de certificat appropriée. Ceci est assez courant pendant le développement, pour tester le code avant que les domaines et les certificats ne soient en place. Mais ce n’est pas une raison pour le code déployé, car cela donne un pied à cet hypothétique attaquant empoisonnant l’ARP.
L’appel d’API vulnérable se trouve être celui qui récupère les détails du serveur Wireguard, y compris l’adresse, le port et la clé publique. Et cela empire, car le fichier de configuration de wireguard est rempli par une commande bash, construite en concaténant ces détails sur un modèle. Sans désinfection appropriée. Ainsi, ce VPN que vous pourriez utiliser pour rester en sécurité sur le wifi public, avait une vulnérabilité qui permettait à un attaquant sur le même réseau non fiable d’exécuter du code bash sur votre machine pendant le processus de connexion. Aïe !
La bonne nouvelle est que [mmmd] a signalé les failles en privé, et CyberGhost a pris le rapport au sérieux, libérant un client fixe en quelques semaines seulement. La très mauvaise nouvelle est que le client ne dispose pas d’une fonction de mise à jour automatique. Les utilisateurs Linux de CyberGhost ont donc désespérément besoin d’aller vérifier que leur client est au moins en version 1.4.1, et de le mettre à jour s’il s’agit d’une version antérieure.
Pseudo e-mail d’entreprise
[Evan Connelly] eu du plaisir et des bénéfices aux dépens / avantages de Tesla. Tesla gère deux fournisseurs d’authentification unique distincts, sso.tesla.com pour les initiés et auth.tesla.com pour le reste d’entre nous. Cette paire de fournisseurs est intéressante, et il y a peut-être une bizarrerie à trouver là où ils se chevauchent. Comme enregistrer une ancienne adresse e-mail @tesla.com auprès du fournisseur SSO public. Comme il ne nécessitait pas de vérification par e-mail, il était possible de réclamer le compte d’un ancien employé de Tesla. Avec ce compte à nouveau valide en main, il ne restait plus qu’à découvrir s’il permettrait réellement quelque chose d’intéressant. Et il s’avère que Tesla Retail Tool ne vérifie pas quel fournisseur SSO est utilisé et possède des noms de compte codés en dur avec des privilèges. Score!
Angles morts
Nous avons couvert Acropalypse à quelques reprises, mais Trail of Bits a une approche intéressante du problème et un outil pour trouver des problèmes similaires. L’acropolypse est ce qui se passe lorsqu’une image est recadrée, mais que le fichier lui-même n’est pas tronqué. Ce que ToB observe, c’est que ce problème pourrait être généralisé, en tant qu’octets d’entrée ignorés par un analyseur et inclus dans la sortie. L’outil Polytracker suit avec succès les données qui se retrouvent dans le fichier de sortie, mais en dehors de l’image PNG.
Le terme utilisé pour cela est «angle mort», traduit vaguement du français «angles morts», mais je préfère de loin la traduction plus littérale, «angles morts». C’est un peu une nouvelle façon de voir les choses, car ces angles morts impliquent une sorte de défaut d’analyse, ainsi qu’un moyen de faire passer les données par le traitement. Et, rétrospectivement, l’outil PolyTracker attrape effectivement la faille Acropalypse. Il pourrait donc être intéressant d’aller chercher d’autres angles morts de traitement dans d’autres programmes.
NEXX
Si vous êtes l’un des bailleurs de fonds du système d’alarme NEXX ou un utilisateur du contrôleur de garage intelligent NEXX, vous pouvez avoir un problème. Il s’avère qu’il existe un seul mot de passe d’univers partagé entre tous les appareils, sans oublier que tous les messages MQTT étaient envoyés à chaque appareil et client. Alors oui, chaque appareil NEXX peut être contrôlé de n’importe où dans le monde, par n’importe qui. Donc, si vous tombez sur un appareil NEXX, il est peut-être temps de le débrancher pendant un moment.
Cependant, il semble que SimpalTEK NEXX ait débranché le serveur cloud qui exécute les appareils. La trame de fond ici est que SimpalTEK est une très petite entreprise et montre des signes d’inactivité. [Sam Sabetan] découvert et tenté de signaler les problèmes en janvier, et n’a reçu que le silence en réponse. 90 jours se sont écoulés, nous voilà donc à parler publiquement du problème sans aucun correctif. De plus, CISA a émis un avis, en raison de la gravité du problème et de l’absence de réponse du fabricant. Et maintenant que l’histoire est devenue publique, le site NEXX a supprimé des pages sur les appareils vulnérables et a hébergé l’avis ci-dessus. Le temps nous dira si un correctif atterrit ou si NEXX est encore une autre startup qui a échoué.
Surprise 3CX
L’attaque de la chaîne d’approvisionnement 3CX a quelques rides surprenantes, et l’une des plus étranges est le fait que l’une des DLL malveillantes est légitimement signée par Microsoft.
Deux fichiers DLL malveillants (ffmpeg.dll et d3dcompiler_47.dll) dans l’application de bureau compromise.
L’un est ffmpeg.dll, qui n’est pas signé
Cependant, d3dcompiler_47.dll est signé par Microsoft lors de la recherche dans Windows, ce qui est assez préoccupant, même s’il a été modifié. pic.twitter.com/toKKhyu18y
— Lawrence Abrams (@LawrenceAbrams) 30 mars 2023
Il s’avère que cela exploite CVE-2013-3900, une vulnérabilité Windows vieille de dix ans dans la validation des signatures. Des données arbitraires peuvent être ajoutées à la signature Authenticode, sans invalider cette signature. Microsoft a publié un correctif fin 2013, mais l’a rendu facultatif, car plusieurs fournisseurs l’utilisent en fait comme une fonctionnalité, pour intégrer des informations dans un binaire après l’heure de signature. Il convient également de noter que ces données ne modifient pas l’exécution à moins que l’application ne soit explicitement programmée pour rechercher des données dans cette section du fichier. Mais dans ce cas, c’était un endroit pratique pour stocker des données pour l’attaque, protégées par la signature valide.
Et enfin, la mise à jour Android d’avril comporte un trio de correctifs importants, dont deux sont l’exécution de code arbitraire par le système lors de l’ouverture d’un fichier. Ces deux-là semblent avoir été trouvés par des chercheurs et corrigés avant d’être utilisés à des fins malveillantes. D’autre part, CVE-2022-38181 est une vulnérabilité dans le pilote du noyau GPU Mali activement exploitée dans des attaques réelles. Il n’y a pas encore eu beaucoup de détails sur ces bogues, mais il semble que la mise à jour de ce mois-ci soit importante.
