Pegasus : nouvelle faille zero-day et zero-click dans iMessage, un revers pour Apple
Le logiciel d’espionnage israélien a contourné l’un des principaux mécanismes de défense qu’Apple avait ajouté dans iOS14. Un revers majeur pour la firme de Cupertino.
Les chercheurs en sécurité de Citizen Lab viennent de révéler une nouvelle faille zero-day dans iMessage, la messagerie instantanée d’iOS. Baptisée « ForcedEntry », elle a été utilisée par le fameux logiciel d’espionnage Pegasus pour espionner des activistes du Bahreïn entre février et juillet 2021. Elle a la particularité d’être zero-click, c’est-à-dire que l’on peut pirater un iPhone sans aucune intervention de l’utilisateur, simplement en envoyant un message sur le numéro ciblé. Cette faille exploite un bug dans la fonction d’affichage des images et a été utilisée dans les versions iOS 14.4 et 14.6.
Cette révélation est un sérieux revers pour Apple, car cette attaque contourne l’une des principales défenses que l’entreprise a récemment mises en place dans iOS 14 pour sécuriser son application de messagerie. Le dispositif « BlastDoor », en effet, était censé traiter les messages entrants d’iMessage dans un environnement sécurisé et isolé, pour éviter toute interaction malveillante avec le système d’exploitation. Mais force est de constater que cela ne fonctionne pas.
Interrogé par Wired, Apple a confirmé cette faille, mais aucun correctif n’est disponible pour l’instant. La firme de Cupertino a simplement indiqué que d’autres mécanismes de défense sont en développement et seront intégrés dans iOS 15, qui devrait être disponible le mois prochain. Par ailleurs, Apple a minimisé la portée de cette attaque. « Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques. Elles ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, pour autant nous continuons à travailler sans relâche pour défendre tous nos clients », a déclaré Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple, dans un communiqué.
Ces attaques auraient pu être évitées si Apple permettait la désactivation ou la désinstallation de l’application iMessage. Malheureusement, ce n’est pas le cas. À l’heure actuelle, les possesseurs d’iPhone n’ont donc aucun moyen pour se protéger contre ce type d’attaque. Pour autant, une telle possibilité ne permettrait pas forcément de se mettre totalement à l’abri face à Pegasus, qui exploite également d’autres messageries instantanées pour arriver à ses fins. Le problème du cyberespionnage par Pegasus reste donc entier. Tout comme la fragilité de l’application iMessage, dont la surface d’attaque semble désormais être trop grande pour pouvoir être sécurisée de manière efficace.
Une faille affecte les Livebox Fibre d’Orange
CVE-2021-20090, 8,1 sur l’échelle de la sévérité, affecte des routeurs et permet à un attaquant de contourner les mécanismes d’authentification pour accéder aux informations du périphérique et en modifier la configuration. Certaines Livebox sont concernées.
Tout commence lorsque les chercheurs de Tenable se penchent sur un routeur (WSR-2533) commercialisé par Buffalo, un vendeur d’équipements réseaux. Ils y découvrent une faille, estampillée CVE-2021-20090. Celle-ci est particulièrement sévère, avec un score CVSSv3 de 8,1.
En effet, cette vulnérabilité dite path traversal permet à un attaquant, depuis l’interface web du périphérique en question, de contourner à distance les mécanismes d’authentification, de sorte à pouvoir accéder à des informations sensibles ou encore de modifier la configuration du routeur.
Des dizaines de modèles concernés
Mais, poussant leurs investigations, les chercheurs découvrent que la vulnérabilité est présente au niveau du firmware du routeur, développé par Arcadyan. Par ricochet, le nombre de périphériques concernés explose. Sont ainsi affectés des routeurs mais aussi des boxes Internet chez Asus, O2, Deutsche Telekom, TelMex, Verizon ou encore Vodafone.
La France est elle aussi touchée, puisque certaines LiveBox Fibre d’Orange utilisent elles aussi le micrologiciel d’Arcadyan, et sont ainsi affectées par cette vulnérabilité. Le CERT de l’Institut Carnegie Mellon conseille aux utilisateurs de mettre à jour leurs routeurs et boxes mais aussi de désactiver les services d'administration à distance ainsi que l'interface Web sur le WAN.
Ransomware : Accenture victime de Lockbit
Le groupe de ransomware Lockbit revendique une attaque contre l’ESN française et menace d’en publier les données. Si la frappe n’a pas eu d’impact sur l’activité d’Accenture, l’attaque aurait pu être menée avec une aide en interne, c’est du moins ce qu’assurent les cybercriminels.
Accenture fait partie de la liste des victimes de Lockbit. Le ransomware, dont l’activité tournait au ralenti depuis le début de l’année, a multiplié les attaques depuis la mi-juillet, devenant l’un des programmes de ce type les plus prolifiques de l’été à en croire la liste que Darktracer tient à jour. Après les transports publics de Nottingham et une bonne dizaine de sociétés australiennes, c’est au tour de l’ESN française d’être frappée par le ransomware.
Le site spécialisé en malwares vx-underground a détecté sur la page de Lockbit 2.0 sur TOR une annonce du groupe cybercriminel revendiquant une attaque dirigée contre l’entreprise française et annonçant la publication de documents d’Accenture. Le groupe a brièvement publié hier à la fin du compte à rebours un dossier contenant 2 384 fichiers, rapidement inaccessibles du fait, probablement, d’un pic de trafic. Lockbit a depuis réinitialisé son compteur : les documents seront à nouveau publiés ce soir à 22h43, heure française.
Surtout, dans le message en baseline du compte à rebours, le groupe écrit : « Ces personnes sont au-delà de la confidentialité et de la sécurité. J'espère vraiment que leurs services sont meilleurs que ce que j'ai vu en tant qu'insider ». Ce terme d’ « insider » n’a pas manqué de faire réagir, de nombreux observateurs y voyant le signe d’une fuite en interne, ou du moins d’une aide reçue par Lockbit d’un salarié actuel ou ancien d’Accenture. Mais rien à ce stade ne permet de confirmer ou d’infirmer cette hypothèse.
« Gagner des millions »
Lockbit est connu pour proposer aux salariés dont le poste de travail est ciblé de « gagner des millions » en aidant le programme malveillant à se propager ou encore en vendant des accès, des comptes admin, etc. aux cybercriminels.
Diverses informations circulent depuis, de sources plus ou moins fiables, selon lesquelles 6 To de fichiers auraient été dérobés, les criminels exigeraient une rançon de 50 millions de dollars, 2500 postes de travail chez Accenture auraient été compromis. L’ESN aurait notifié au moins un de ses partenaires et commencé à prévenir ses clients. On ignore encore si les autorités compétentes sont dans la boucle.
Accenture n’a pas, pour sa part, publiquement communiqué sur le sujet, mais un porte-parole a confirmé l’attaque à BleepingComputer. « Grâce à nos contrôles et protocoles de sécurité, nous avons identifié une activité irrégulière dans l'un de nos environnements. Nous avons immédiatement contenu le problème et isolé les serveurs concernés » explique l’ESN, précisant que l’attaque n’a eu « aucun impact sur les opérations d'Accenture ou sur les systèmes de nos clients ».
Razer bug lets you become a Windows 10 admin by plugging in a mouse
A Razer Synapse zero-day vulnerability has been disclosed on Twitter, allowing you to gain Windows admin privileges simply by plugging in a Razer mouse or keyboard.
Razer is a very popular computer peripherals manufacturer known for its gaming mouses and keyboards.
When plugging in a Razer device into Windows 10 or Windows 11, the operating system will automatically download and begin installing the Razer Synapse software on the computer. Razer Synapse is software that allows users to configure their hardware devices, set up macros, or map buttons.
Razer claims that that their Razer Synapse software is used by over 100 million users worldwide.
Security researcher jonhat discovered a zero-day vulnerability in the plug-and-play Razer Synapse installation that allows users to gain SYSTEM privileges on a Windows device quickly.
SYSTEM privileges are the highest user rights available in Windows and allow someone to perform any command on the operating system. Essentially, if a user gains SYSTEM privileges in Windows, they attain complete control over the system and can install whatever they want, including malware.
After not receiving a response from Razer, jonhat disclosed the zero-day vulnerability on Twitter yesterday and explained how the bug works with a short video.
Getting SYSTEM privileges by plugging in a mouse
As BleepingComputer has a Razer mouse available, we decided to test out the vulnerability and have confirmed that it took us about two minutes to gain SYSTEM privileges in Windows 10 after plugging in our mouse.
It should be noted that this is a local privilege escalation (LPE) vulnerability, which means that you need to have a Razer devices and physical access to a computer. With that said, the bug is so easy to exploit as you just need to spend $20 on Amazon for Razer mouse and plug it into Windows 10 to become an admin.
To test this bug, we created a temporary 'Test' user on one of our Windows 10 computers with standard, non-administrator privileges, as shown below.
When we plugged the Razer device into Windows 10, the operating system automatically downloaded and installed the driver and the Razer Synapse software.
Since the RazerInstaller.exe executable was launched via a Windows process running with SYSTEM privileges, the Razer installation program also gained SYSTEM privileges, as shown below.
When the Razer Synapse software is installed, the setup wizard allows you to specify the folder where you wish to install it. The ability to select your installation folder is where everything goes wrong.
When you change the location of your folder, a 'Choose a Folder' dialog will appear. If you press Shift and right-click on the dialog, you will be prompted to open 'Open PowerShell window here,' which will open a PowerShell prompt in the folder shown in the dialog.
As this PowerShell prompt is being launched by a process with SYSTEM privileges, the PowerShell prompt will also inherit those same privileges.
As you can see below, once we opened the PowerShell prompt and typed the 'whoami' command, it showed that the console has SYSTEM privileges allowing us to issue any command we want.
As explained by Will Dormann, a Vulnerability Analyst at the CERT/CC, similar bugs are likely to be found in other software installed by the Windows plug-and-play process.
Razer to fix the vulnerability
After this zero-day vulnerability gained wide attention on Twitter, Razer has contacted the security researcher to let them know that they will be issuing a fix.
Razer also told the researcher that he would be receiving a bug bounty reward even though the vulnerability was publicly disclosed.
C'est un coup dur pour les clients de Solware qui sont des victimes collatérales directes de cette prise d'otage de la société informatique qui a communiqué correctement sur le sujet.
Conti signe le piratage de la société Solware
Les pirates opérateurs du ransomware CONTI annoncent être derrière le piratage et l’exfiltration de données de la société Solware. Les voyous 2.0 ont copié plus de 800 GB d’informations sensibles !
Je vous révélais, le 18 août dernier, l’enfer qu’était en train de vivre la société française Solware, et ses clients. Parmi eux, des EPHAD, des garagistes … Certains réparateurs automobiles, par exemple, se sont retrouvés sans possibilité de connexion à leur outil hébergé dans le cloud ; impossibilité de créer des factures ou remonter des garanties ; plus d’accès à leur base de données clients ! Le 20 août, Solware annonçait, a minima, un délai de 2 semaines pour une reprise partielle d’activité.
Des pirates informatiques, alors inconnus, avaient donc pris en otage la société, ses serveurs et ses fichiers.
Une semaine plus tard, les pirates du groupe CONTI, comprenant qu’ils ne seraient pas payés de leur acte de malveillance, ont décidé, comme il en est malheureusement habituel, de se transformer en terroristes du numérique.
ZATAZ vient de constater la diffusions de plusieurs milliers de documents internes et sensibles.
« Ô vengeance de Dieu, combien doit te craindre quiconque lit ce que virent mes yeux ! Je vis de grands troupeaux d’ombres nues qui toutes gémissaient misérablement. Quelques-unes sur le dos gisaient à terre. Partout sur le sable pleuvaient de larges flocons de feu. » Dante, La Divine Comédie, chant XIV
Quand je parlais d’enfer, le 18 août, je ne pensais pas avoir autant raison. Ces voyous du Net ont exfiltré les données personnelles des employés (adresses personnelles, numéros de téléphone, dates de naissance, contrats de travail, des centaines de numéros de Sécurité Sociale, documentation financière (états financiers, documents comptables, fiches de paie contenant des données confidentielles, paiements, les contrats avec les partenaires (contrats, accords …), des données sur les développements (code source, modifications, description), les archives des correspondances …
Bref, l’enfer de Dante, à côté, c’est effectivement une Divine comédie !
A noter une excellente communication de l’entreprise envers ses clients pour les aider dans leurs démarches. Les clients ont aussi et surtout intérêt à se méfier de toutes les sollicitations qu’ils vont recevoir, si ce n’est pas déjà fait, par courriel. Comme j’ai pu vous le montrer dernièrement, CONTI, comme beaucoup d’autres groupes de rançonnage, paient des analystes de données pour trier, classer, …
TousAntiCovid : vous devriez vite désactiver la collecte de statistiques
TousAntiCovid collecte désormais des statistiques et mesures d'audience. Cette fonction met cependant à mal la sécurité et la protection de la vie privée des utilisateurs.
Trois chercheurs viennent de publier une analyse de risque sur le système de statistiques intégré à l’application TousAntiCoviddepuis le mois de juin et censé permettre d’évaluer son utilisation et son efficacité. Le résultat est sans appel : selon eux, « la collecte de statistiques contredit le principe de minimisation des données et met en danger les propriétés de sécurité et de protection de la vie privée ». Explications.
CLÉA ET ROBERT ENTRENT DANS UN BAR…
Ça commence comme une mauvaise blague. TousAntiCovid intègre deux protocoles différents : Robert pour le traçage Bluetooth (contact tracing) et Cléa pour le traçage des lieux par QR Code. Mais désormais, le journal d’évènements détaillé du système et son horodatage précis permet de croiser de nombreuses informations et d’en tirer des conclusions qui vont à l’encontre des promesses de vie privée faites par gouvernement. Sur son compte Twitter, Gaëtan Leurent, l’un des trois chercheurs à l’origine de cette analyse, détaille plusieurs exemple permettant de se servir des données envoyées sur le serveur de statistiques.
PROBLÈME N°1 : LE RECOUPEMENT DES UTILISATEURS
Chaque scan de QR-Code avec le protocole Cléa est enregistré par le système de statistiques et un horodatage précis et envoyé sur un serveur. Ainsi en recoupant les scans de plusieurs personnes à un même endroit dans une unité de temps réduite, on peut deviner si deux personnes se sont rendues dans différents lieux au même moment, permettant ainsi d’en déduire qu’ils se connaissent.
Si Alice et Bob mangent au même moment dans des restaurants identiques tous les jours de la semaine par exemple, ils y sont certainement venus ensemble.
PROBLÈME N°2 : LA FUITE D’UNE DONNÉE DE SANTÉ
Le système de statistiques de TousAntiCovid synchronise de manière simultanée les informations provenant de Cléa et de Robert. Cependant, lorsqu’un utilisateur est testé positif au Covid, il n’a aucune raison de se rendre dans un lieu public et de scanner son QR-Code. La synchronisation des données de Cléa s’arrête donc et seul Robert continue.
En notant un arrêt de la synchronisation des données de Cléa, on peut donc déduire que l’utilisateur a été testé positif, révélant ainsi une donnée de santé confidentielle.
PROBLÈME N°3 : L’IDENTIFICATION PRÉCISE D’UNE PERSONNE
Certes, ces données peuvent être déduites, mais le serveur de statistiques cache l’identification personnelle de l’utilisateur en utilisant un identificateur unique (UUID) différent du couple nom + prénom. Malheureusement, le convertisseur de certificat enregistre une entrée spécifique horodatée. En croisant ses données avec l’horodatage de l’utilisation du convertisseur de l’application, il serait possible de déduire précisément l’identité d’une personne cachée derrière un UUID.
De même, les données de Robert et celles de Cléa sont enregistrées via des identifiants différents. Mais en recoupant l’horodatage de ces données, on peut déduire une corrélation entre ces deux paramètres.
COMMENT DÉSACTIVER LES STATISTIQUES
Depuis juin, cette collecte de statistiques est donc activée automatiquement pour tous les utilisateurs de TousAntiCovid. Il est cependant possible de la désactiver manuellement.
Pour cela, ouvrez l’application TousAntiCovid, descendez tout en bas de la page d’accueil, puis cliquez sur « Paramètres ». À nouveau tout en bas, vous verrez une case « Statistiques et mesure d’audience » qu’il est possible de désactiver. Profitez-en aussi pour cliquer sur « Supprimer mes données ».
