Une faille zero-day permet de pirater des Mac à distance
Un banal bug typographique permet d’exécuter des commandes arbitraires sur toutes les versions de macOS, y compris la dernière.
C’est le moment « Oups ! » de la semaine. Le chercheur en sécurité Park Minchan vient de trouver une faille de sécurité particulièrement facile à exploiter dans macOS et permettant d’exécuter des commandes arbitraires au niveau du système. Il suffit en effet d’envoyer par un message un fichier « Inetloc » particulier. Ce type de fichier est utilisé dans macOS pour pointer vers des ressources locales ou sur le web, en s’appuyant sur des opérateurs tels que « file:// » ou « ftp:// ». Le cas de « file:// » est évidemment très sensible, car il permet l’ouverture de fichiers locaux potentiellement exécutables. C’est pourquoi ce préfixe a été bloqué.
Le souci, c’est que des variantes typographiques continuent de fonctionner, comme « FiLe:// » ou « fIle:// ». Un hacker pourrait donc, au moyen d’un message vérolé, lancer un exécutable de cette manière. Le site SSD Secure Disclosure, où l’alerte de sécurité a été publiée, a réalisé un GIF de démonstration.
Cette faille existe pour toutes les versions de macOS, y compris la dernière (Big Sur). Comme a pu le constater Bleeping Computer sur la plateforme VirusTotal, aucun logiciel de sécurité n’est capable, à ce jour, de détecter un tel fichier vérolé. Et Apple n’a fait aucun commentaire pour l’instant sur cette affaire.
FAILLE AMD. Suite à la découverte d'une faille de sécurité, AMD vient de publier une mise à jour de ses pilotes pour chipsets. Un correctif à appliquer d'urgence pour sécuriser de nombreux processeurs et circuits graphiques.
Les failles de sécurité ne touchent pas uniquement les systèmes d'exploitation et les navigateurs Web : elles peuvent aussi se loger dans les tréfonds des ordinateurs, à savoir dans les processeurs, les circuits graphiques et dans les composants qui les gèrent. Ainsi, Kyriakos Economou, chercheur en sécurité et cofondateur de la société ZeroPeril, a récemment découvert une vulnérabilité dans les puces AMD pour PC. Plus exactement, deux vulnérabilités dans le noyau du pilote amdpsp.sys pour plusieurs chipsets AMD, les circuits électroniques situés sur les cartes mères qui contrôlent les processeurs, les modules graphiques et d'autres composants. Sans entrer dans des considérations trop techniques (tous les détails sont publiés dans le rapport complet du chercheur), les bugs trouvés permettent à un pirate de récupérer des informations sensibles, et notamment des mots de passe, placées dans un espace chiffré et protégé des puces : un espace sécurisé lié à la plateforme PSP d'AMD, également connu sous le nom d'environnement d'exécution de confiance (TEE), l'équivalent de la technologie SGX d'Intel, avec lequel le système d'exploitation communique via le pilote amdpsp.sys.
La liste des processeurs AMD concernés par la faille de sécurité CVE-2021-26333
Sur son site, AMD publie une liste assez impressionnante de processeurs et de circuits graphiques vulnérables. De très nombreux modèles sont concernés, anciens et récents, pour ordinateur de bureau comme pour PC portable.
- Processeurs mobiles AMD série 3000 avec circuit graphique Radeon
- Processeurs AMD série A de 6e génération avec circuit graphique Radeon
- Processeurs mobiles AMD série A de 6e génération
- APU AMD FX de 6e génération avec circuit graphique Radeon R7
- APU AMD série A de 7e génération
- APU AMD série A4 avec circuit graphique Radeon
- APU AMD A6 avec circuit graphique Radeon R5
- APU AMD A8 avec circuit graphique Radeon R6
- APU AMD A10 avec circuit graphique Radeon R6
- APU AMD série E1 avec circuit graphique Radeon
- Processeurs mobiles AMD Athlon série 3000 avec circuit graphique Radeon
- Processeurs mobiles AMD Athlon avec circuit graphique Radeon
- Processeur AMD Athlon X4
- Processeurs mobiles AMD Athlon série 3000 avec circuit graphique Radeon
- Processeurs mobiles AMD série A de 7e génération
- Processeurs mobiles AMD série E de 7e génération
- Processeurs mobiles AMD Ryzen série 2000
- Processeurs mobiles AMD Ryzen de 2e génération avec circuit graphique Radeon
- Processeurs mobiles AMD Ryzen série 3000 avec circuit graphique Radeon
- Processeurs mobiles AMD Ryzen série 3000
- Processeurs mobiles AMD Ryzen série 5000 avec circuit graphique Radeon
- Processeurs de bureau AMD Ryzen série 1000
- Processeurs de bureau AMD Ryzen série 2000
- Processeurs de bureau AMD Ryzen série 3000
- Processeurs de bureau AMD Ryzen série 4000 avec circuit graphique Radeon
- Processeur de bureau AMD Ryzen série 5000
- Processeur de bureau AMD Ryzen série 5000 avec circuit graphique Radeon
- Processeurs AMD Ryzen Threadripper de 1ère génération
- Processeurs AMD Ryzen Threadripper de 2e génération
- Processeurs AMD Ryzen Threadripper de 3e génération
- Processeur AMD Ryzen Threadripper Pro
AMD recommande ainsi d'effectuer une mise à jour vers le pilote AMD PSP 5.17.0.0 via Windows Update ou avec le pilote AMD Chipset Driver 3.08.17.735. Vous trouverez tous les pilotes AMD officiels à jour sur cette page de support. En principe, Windows Update doit aussi signaler l'existence d'une nouvelle version lors de ses recherches de mise à jour. Installez-la dès que possible pour éviter tout risque de piratage.
Bitdefender propose gratuitement un déchiffreur du ransomware REvil.
REvil, un ransomware as a service, arrive peut être enfin de vie avec le déchiffreur universel proposé par BitDefender. L’outil a été développé en coopération avec un « partenaire de confiance ».
Nous n’en saurons pas plus. Après une interruption de deux mois, le gang REvil est de retour. Bitdefender exhorte les organisations à être en état d'alerte élevé et à prendre les précautions nécessaires. Le 13 juillet dernier, certaines parties de l'infrastructure de REvil ont été déconnectées, laissant les victimes infectées, qui n'avaient pas payé la rançon, incapables de récupérer leurs données chiffrées.
Cet outil de déchiffrement offre à ces victimes la possibilité de reprendre le contrôle de leurs données et de leurs actifs.
Les victimes du ransomware REvil peuvent télécharger gratuitement le nouvel outil de déchiffrement de Bitdefender pour récupérer leurs données. Un didacticiel pas à pas sur l'utilisation de l'outil de déchiffrement REvil est disponible ici.
“Secret” Agent Exposes Azure Customers To Unauthorized Code Execution
Wiz Research recently discovered a series of alarming vulnerabilities that highlight the supply chain risk of open source code, particularly for customers of cloud computing services.
Update September 18, 08:00AM EST - Microsoft updated its advisory and declared an auto-update for their PaaS service offerings that use vulnerable VM extensions by September 22, 2021. Microsoft also clarified which instances will still require manual patching, see details.
Update September 17, 10:00AM EST - Wiz's threat research team is aware of wide active exploitation attempts of OMIGOD by malicious DDoS botnets (Mirai) and cryptominers. We urge customers to follow the remediation steps below.
Update September 17, 06:00AM EST - Microsoft has started updating impacted Azure services. Azure Log Analytics and others are yet to be patched. Existing machines onboarded to impacted services still require manual update. Follow the updated mitigation guidance by MSRC.
Update September 16, 07:00AM EST - The list of impacted services was updated thanks to individuals who approached Wiz (credit below).
Update September 15, 10:00AM EST - As of now, the affected Azure services (see list below) haven't been fixed. Vulnerable OMI versions are still deployed to new Linux VMs when enabling these services
Update September 14, 3:30PM EST - Microsoft's remediation guidance was fixed after Wiz approached MSRC.
Update September 14, 2:00PM EST - Microsoft's remediation guidance is not effective. Azure Linux machines are not configured to the repository where the fixed OMI version is located.
Supply chain cyberattacks have disrupted everyday life and dominated headlines this year. One of the biggest challenges in preventing them is that our digital supply chain is not transparent. If you don’t know what’s hidden in the services and products you use every day, how can you manage the risk?
Wiz’s research team recently discovered a series of alarming vulnerabilities that highlight the supply chain risk of open source code, particularly for customers of cloud computing services.
The source of the problem is a ubiquitous but little-known software agent called Open Management Infrastructure (OMI) that’s embedded in many popular Azure services.
When customers set up a Linux virtual machine in their cloud, the OMI agent is automatically deployed without their knowledge when they enable certain Azure services. Unless a patch is applied, attackers can easily exploit these four vulnerabilities to escalate to root privileges and remotely execute malicious code (for instance, encrypting files for ransom).
We named this quartet of zero-days “OMIGOD” because that was our reaction when we discovered them. We conservatively estimate that thousands of Azure customers and millions of endpoints are affected. In a small sample of Azure tenants we analyzed, over 65% were unknowingly at risk.
Microsoft issued the following CVEs for OMIGOD and made a patch available to customers during their September 2021 Patch Tuesday release:
- CVE-2021-38647 – Unauthenticated RCE as root (Severity: 9.8)
- CVE-2021-38648 – Privilege Escalation vulnerability (Severity: 7.8)
- CVE-2021-38645 – Privilege Escalation vulnerability (Severity: 7.8)
- CVE-2021-38649 – Privilege Escalation vulnerability (Severity: 7.0)
We urge all Azure users to read the mitigation section of this blog to ensure OMI is patched in their environment. For a deeper dive into the technical details, see our other OMIGOD post.
Who is vulnerable?
Azure customers on Linux machines – which account for over half of all Azure instances according to Microsoft -- are at risk if they use any of the following services / tools:
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite (OMS)
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics
- Azure HDInsight
- Azure Container Insights (Added September 16, 07:00AM EST)
Note that this is only a partial list. Contact us at
In addition to Azure cloud customers, other Microsoft customers are affected since OMI can be independently installed on any Linux machine and is frequently used on-premise. For example, OMI is built in System Center for Linux, Microsoft’s server management solution.
What is OMI?
Open Management Infrastructure (OMI) is an open source project sponsored by Microsoft in collaboration with The Open Group. Essentially, it’s Windows Management Infrastructure (WMI) for UNIX/Linux systems. Open source Linux is the OS of choice on the modern web and has come to dominate Azure in recent years.
OMI allows you to gather statistics and sync configurations across your environment. Thanks to the ease of use and abstraction that OMI provides, it is used extensively by Azure services, including Open Management Suite(OMS), Azure Insights, Azure Automation.
Azure’s Achilles Heel
When users enable any of these popular services, OMI is silently installed on their Virtual Machine, running at the highest privileges possible. This happens without customers’ explicit consent or knowledge. Users simply click agree to log collection during set-up and they have unknowingly opted in.
Because Azure provides virtually no public documentation about OMI, most customers have never heard of it and are unaware that this attack surface exists in their environment (as illustrated by the discussion board querybelow).
Attack surface
The OMI agent runs as root with the highest privileges. Any user can communicate with it using a UNIX socket or via an HTTP API when configured to allow external access. As a result, the vulnerabilities we found would allow external users or low-privileged users to remotely execute code on target machines or escalate privileges.
Three of the four zero-days we found are privilege escalation vulnerabilities. They enable attackers to gain the highest privileges on a machine with OMI installed. Attackers often use such vulnerabilities as part of sophisticated attack chains, after gaining initial low-privileged access to their targets.
The fourth and most serious vulnerability (with a severity score of 9.8 out of 10) allows remote code execution (RCE). Some Azure products, including Configuration Management, expose an HTTPS port (port 5986) for interacting with OMI. That’s what makes RCE possible. Note that most Azure services that use OMI deploy it without exposing the HTTPS port.
In situations where the OMI ports are accessible to the internet (5986/5985/1270) to allow for remote management, this vulnerability can be also used by attackers to obtain initial access to a target Azure environment and then move laterally within it. We dive into this in more detail in the section below.
An exposed HTTPS port is the holy grail for malicious actors. As depicted in this diagram, with one simple exploit they can get access to new targets, execute commands at the highest privileges and possibly spread to new target machines.
Remove the auth header and you are root!
This is a textbook RCE vulnerability that you would expect to see in the 90’s – it’s highly unusual to have one crop up in 2021 that can expose millions of endpoints. With a single packet, an attacker can become root on a remote machine by simply removing the authentication header. It’s that simple.
Thanks to the combination of a simple conditional statement coding mistake and an uninitialized auth struct, any request without an Authorization header has its privileges default to uid=0, gid=0, which is root.
This vulnerability allows for remote takeover when OMI exposes the HTTPS management port externally (5986/5985/1270). This is the default configuration when installed standalone and in Azure Configuration Management or System Center Operations Manager (SCOM). Fortunately, other Azure services (such as Log Analytics) do not expose this port, so the scope is limited to local privilege escalation in those situations.
The diagram below illustrates the unexpected behavior of OMI when a command execution request is issued with no Authorization header.
- Normal flow with valid password in the auth header—The OMICLI issues an HTTP request to the remote OMI instance, passing the login information in the Authorization header.
- Exploit flow when passing a command without auth header—Surprise! The OMI server trusts the request even without an auth header and enables the perfect RCE: single-packet-to-rule-them-all.
Takeaways
Is open source a supply chain risk?
Open source that is used by the community and gets vetted by thousands of expert eyes is much more secure than proprietary software. However if misused, open source can definitely become a source of risk.
One of the benefits of open source is that it’s easy for developers to grab code from different projects and mix it with other open source and proprietary software. As a result, bad open source code can wind up in an enormous range of products and services – inadvertently becoming a “single point of failure.”
Because customers don’t know what franken-code is running in the background of the services they use, they remain at risk and unaware.
More “secret agents” lurk in the cloud
OMI is just one example of a “secret” software agent that’s pre-installed and silently deployed in cloud environments. It’s important to note that these agents exist not just in Azure but in AWS and GCP as well.
We hope to raise awareness of the risks that come with unknown agents running with high privileges in cloud environments, particularly among Azure customers who are currently at risk until they update to the latest version of OMI. We urge the research community to continue to audit OMI and report issues they may find with similar agents.
Protecting your environment
We reported the four vulnerabilities to Microsoft through the responsible disclosure process and they have been patched effective 9/14/2021. Upgrading OMI happens through the parent Azure service that installed it. However, we urge customers to verify that their environment is indeed patched and they are running the latest version of OMI (Version 1.6.8.1).
System Center deployments of OMI are at greater risk because the Linux agents have been deprecated. Customers still using System Center with OMI-based Linux may need to manually update the OMI agent. We’ll update this post with more information as it becomes available.
Discovery
Wiz customers can use the Threat Center to see if OMIGOD is a risk in their environment.
Just click “view findings” to see VM instances with vulnerable OMI agents installed:
For all other Azure customers, you can connect to your Azure VMs and run the commands below in your terminal to ensure OMI is updated to the latest version:
- For Debian systems (e.g., Ubuntu):
dpkg -l omi - For Redhat based system (e.g., Fedora, CentOS, RHEL):
rpm -qa omi
If OMI isn’t installed, no results will return, and your machine isn’t vulnerable to OMIGOD. If results return, you’ll be able to see what the installed OMI version on your machines is. Version 1.6.8.1 is the patched version.
Remediation
On September 17, 2021, Microsoft announced auto-update for OMI agents installed as part of Azure cloud services. According to the announcement, the auto-update process should be completed by September 22, 2021. Standalone and on-premises installations, along with specific additional products still require manual update of the OMI package. We recommend following the Microsoft guidance for manual update instructions and to ensure that the auto-update was applied to your Azure services machines.
If you have OMI listening on ports 5985, 5986, 1270 we advise limiting network access to those ports immediately in order to protect from the RCE vulnerability (CVE-2021-38647).
AU COLLÈGE ET AU LYCÉE, FORMER À LA CYBERSÉCURITÉ PAR LE JEU !
Et si le jeu était une bonne porte d’entrée pour former élèves et enseignants aux enjeux de la cybersécurité ? L’ANSSI, en partenariat avec le ministère de l’Éducation nationale, de la Jeunesse et des Sports (MENJS) lance l’expérimentation CyberEnJeux pour former à la cybersécurité par la création de jeux. Plusieurs enseignants se sont portés volontaires en métropole et en outre-mer.
Depuis avril 2019, l’ANSSI et le MENJS s’associent dans un but commun : œuvrer à la meilleure formation des jeunes aux enjeux et aux filières de la sécurité numérique, afin notamment d’encourager les vocations dans ce domaine.
Ce travail a commencé par l’ébauche d’une feuille de route Sécurité numérique : former et susciter des vocations déclinant neuf axes de progression concrets, dont l’un d’eux consiste à enrichir les ressources pédagogiques d’outils d’apprentissages innovants, comme par exemple le jeu.
À l’initiative du laboratoire d’innovation de l’ANSSI et du 110 bis, laboratoire d’innovation du MENJS, une première expérimentation a été conduite en juin 2020. Experts cybersécurité, pédagogiques et en mécaniques ludiques ont été rassemblés autour du prototypage de jeux sur mobile.
FORMER ENSEIGNANTS ET ÉLÈVES
Alors que l’organisation d’une seconde session de conception de jeux impliquant des élèves n’était pas envisageable compte tenu de la situation sanitaire, un nouveau projet a vu le jour : le kit CyberEnJeux, élaboré notamment avec le soutien de la communauté Open Serious Game.
Composé de 14 fiches thématiques et objectifs pédagogiques ainsi que de fiches pratiques permettant d’organiser de manière autonome une session de conception de jeux portant sur la cybersécurité, le kit CyberEnJeux a vocation à aider les enseignants à construire une séquence pédagogique sur la cybersécurité.
À la suite d’un appel à participation lancé par le laboratoire d’innovation de l’ANSSI et le 110 bis en juin dernier, 10 enseignants ont répondu présent et organiseront entre septembre et décembre 2021 une séquence pédagogique dédiée à la formation des élèves à la cybersécurité par la conception de jeux.
PLUSIEURS HYPOTHÈSES AU BANC D’ESSAI
L’objectif de l’expérimentation est double. Il s’agira de :
- tester la pertinence des contenus proposés au travers de fiches thématiques et d’objectifs pédagogiques, dans le contexte des différentes disciplines ou filières représentées (mathématiques, gestion, hôtellerie, etc.) ;
- évaluer si la participation d’élèves à une session de conception de jeux peut contribuer à l’acquisition et à la consolidation des savoirs.
Le cœur de l’expérimentation portera donc sur le processus d’apprentissage plutôt que sur une évaluation des prototypes de jeux créés par les élèves.
Conçu sous licence Etalab 2.0 et actuellement en version Bêta dans le cadre de l’expérimentation lancée, le kit est accessible à tout curieux souhaitant approcher de manière ludique la cybersécurité, qu’il soit agent public gravitant dans les sphères éducatives et/ou sécurité numérique, ou membre d’une collectivité territoriale, d’une association…
Enfin, n’hésitez pas à informer le laboratoire d’innovation de l’ANSSI et du 110 bis de vos utilisations du kit : nous serons ravis de récolter vos retours en vue de l’améliorer ! Contactez-nous à lab-innov[at]ssi.gouv.fr et à 110bis[at]education.gouv.fr.
Covid-19 : une faille informatique rend accessible les données personnelles de milliers de personnes testées
Selon Mediapart, les noms, prénoms, dates de naissance, ainsi que le résultat des tests de 700 000 personnes ont été disponibles. En cause : la société privée Francetest.
Des personnes font la queue pour faire un test contre le Covid-19 à Deauville (Calvados), le 4 août 2021. (SAMEER AL-DOUMY / AFP)
Une faille sur Francetest, un site transmettant les résultats de tests Covid réalisés en pharmacie vers la plateforme gouvernementale SI-DEP, a rendu accessibles les données personnelles et les résultats de tests de milliers de personnes, a révélé mardi 31 août Mediapart (article réservé aux abonnés).
Les noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et adresse e-mail, ainsi que le résultat des tests de 700 000 personnes, étaient disponibles jusqu'à vendredi grâce à "un mot de passe trouvable, en clair, dans un dossier accessible à tous" sur le site de Francetest, écrit le site d'information.
Francetest n'était pas agréé par la DGS
Francetest est une société privée fondée en janvier dernier qui s'est spécialisée dans le transfert de données de tests Covid réalisés en pharmacie vers la plateforme SI-DEP. Le SI-DEP (système d'informations de dépistage) est une plateforme sécurisée gérée par les autorités sanitaires, où sont systématiquement enregistrés les résultats de tests Covid-19.
Cette plateforme, "fabriquée par l'AP-HP [Assistance publique-Hôpitaux de Paris] en urgence en décembre (...) n'est pas très ergonomique", explique Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France (FSPF). Résultat : nombre de pharmaciens ont recours à des intermédiaires, dont Francetest, pour rentrer les résultats des tests réalisés dans le SI-DEP. Francetest facture ainsi un euro par transmission, d'après Mediapart.
Dimanche, la Direction générale de la santé (DGS) a envoyé un courriel aux pharmaciens pour leur rappeler les logiciels agréés et compatibles avec le SI-DEP, dont Francetest ne fait pas partie. Interrogé par franceinfo, Philippe Besset explique cependant n'avoir reçu la liste des plateformes agréées que le 18 août.