Archives par mot-clé : zero-day

Découverte d’un 0Day dans Silverlight

Kaspersky Lab a découvert une vulnérabilité « Zero Day » dans Silverlight, une technologie web servant à visualiser des contenus multimédias. Cette faille offrirait à un pirate un accès total à un ordinateur infecté, lui permettant ainsi d’exécuter du code malveillant afin de dérober des informations confidentielles et de se livrer à d’autres activités illicites. La vulnérabilité (CVE-2016-0034) a été corrigée dans la dernière mise à jour de sécurité publiée par Microsoft ce mardi 12 janvier 2016. Sa découverte est le fruit de cinq mois d’enquête ayant fait suite à un article paru dans Ars Technica.

A l’été 2015, une cyberattaque lancée contre la société Hacking Team (connue pour le développement de « spyware légal ») a fait les gros titres. L’un des articles à ce sujet, publié dans Ars Technica, mentionnait une fuite dans des échanges supposés entre des représentants de Hacking Team et Vitaliy Toropov, un développeur indépendant de programmes exploitant des vulnérabilités. Entre autres choses, l’article citait une correspondance dans laquelle Toropov tentait de vendre à Hacking Team une faille Zero Day particulièrement intéressante : il s’agissait d’exploiter une vulnérabilité présente depuis quatre ans et toujours non corrigée dans la technologie Microsoft Silverlight. C’est cette information qui a mis la puce à l’oreille des chercheurs de Kaspersky Lab.

L’article en question ne fournissant aucune autre information sur la faille exploitée, les chercheurs ont entamé leur enquête en partant du nom du vendeur. Ils ont rapidement découvert qu’un utilisateur qui se nommait Vitaliy Toropov était un contributeur très actif de la base de données open source des vulnérabilités (OSVDB), où tout un chacun peut publier des informations dans ce domaine. En analysant son profil public sur le site OSVBD.org, les chercheurs de Kaspersky Lab se sont aperçu qu’en 2013, Toropov avait publié une preuve de concept (POC) décrivant un bogue dans la technologie Silverlight. Ce POC portait sur une ancienne vulnérabilité connue et aujourd’hui corrigée. Cependant, il donnait également des détails supplémentaires qui ont indiqué aux chercheurs de Kaspersky Lab comment l’auteur écrivait du code destiné à exploiter cette faille.

Au cours de l’analyse effectuée par les experts de Kaspersky Lab, certaines chaînes de code spécifiques se démarquaient véritablement. Grâce à ces informations, ils ont créé plusieurs règles de détection pour les technologies de protection de Kaspersky Lab : dès lors qu’un utilisateur, ayant accepté de communiquer des données sur les menaces à Kaspersky Security Network (KSN), rencontrait un logiciel malveillant qui présentait le comportement correspondant à ces règles de détection, le système marquait le fichier comme extrêmement suspect et adressait une notification à la société pour qu’il soit analysé. Cette tactique partait d’une hypothèse simple : si Toropov avait tenté de vendre l’exploitation d’une faille Zero Day à Hacking Team, il y avait de fortes chances pour qu’il ait fait de même auprès d’autres éditeurs de spyware. A la suite de cette activité, d’autres campagnes de cyber espionnage pouvaient s’en servir afin de cibler et d’infecter des victimes sans méfiance.

Cette hypothèse était fondée. Plusieurs mois après la mise en œuvre des règles spéciales de détection, un client de Kaspersky Lab a été la cible d’une attaque employant un fichier suspect présentant les caractéristiques recherchées. Quelques heures plus tard, quelqu’un (peut-être une victime des attaques) se trouvant au Laos a envoyé à un service multiscanner un fichier ayant les mêmes caractéristiques. Les experts de Kaspersky Lab, en analysant l’attaque, ont découvert que celle-ci exploitait en fait un bogue inconnu de la technologie Silverlight. Les informations concernant cette faille ont été communiquées sans délai à Microsoft pour validation.

« Bien que n’étant pas sûrs que la faille que nous avons découverte soit en fait celle évoquée dans l’article d’Ars Technica, nous avons de bonnes raisons de penser que c’est bien le cas. En comparant l’analyse de ce fichier aux travaux précédents de Vitaliy Toropov, nous sommes parvenus à la conclusion que l’auteur de l’exploitation de la vulnérabilité découverte récemment et l’auteur des POC publiés sur OSVDB sous le nom de Toropov était une seule et même personne. En même temps, il n’est pas impossible que nous ayons trouvé une autre faille Zero Day dans Silverlight. Globalement, ces recherches ont contribué à rendre le cyberespace un peu plus sûr en mettant au jour une nouvelle vulnérabilité Zero Day et en la révélant de manière responsable. Nous encourageons tous les utilisateurs des produits Microsoft à mettre à jour leurs systèmes dès que possible afin de corriger cette vulnérabilité », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Les produits Kaspersky Lab détectent la vulnérabilité CVE-2016-0034 sous le nom de  HEUR :Exploit.MSIL.Agent.gen.

Le processeur Qualcomm Snapdragon 820 équipé d’un anti malwares

Qualcomm Snapdragon Smart Protect équipera le prochain Snapdragon 820 de l’analyse comportementale afin de renforcer la sécurité et la détection de logiciels malveillants.

Qualcomm renforce son leadership technologique en matière de sécurité mobile avec l’introduction de Qualcomm Snapdragon™ Smart Protect. Le futur processeur Qualcomm Snapdragon 820 sera le premier équipé de Snapdragon Smart Protect, proposant le « machine learning » (apprentissage automatique) directement sur le terminal et en temps réel. Snapdragon Smart Protect va notamment permettre la détection précise et efficace de menaces émanant de malwares de type « zero-day » et améliorer ainsi la protection des données personnelles et la sécurité des terminaux. Snapdragon Smart Protect est également la première application à utiliser la technologie Qualcomm® Zeroth™ venant renforcer le champs d’action de solutions anti-malware conventionnelles, grâce à la détection de logiciels malveillants en temps réel, la classification et l’analyse des causes à un moteur d’analyse comportementale basé sur l’informatique cognitive.

Hidden Lynx : des pirates professionnels qui vendent leurs services

Hidden Lynx : des pirates professionnels qui vendent leurs services. Par Security Response pour datasecuritybreach.fr. Ces dernières années, des rapports ont été régulièrement publiés sur les activités d’acteurs du Web responsables de diverses attaques ciblées et d’APT (Advanced Persistent Threats), ou menaces avancées persistantes. Symantec a enquêté sur un groupe de pirates qui compte parmi les plus performants. Il a été surnommé « Hidden Lynx », suite à une chaîne de script trouvée dans les communications des serveurs de commande et de contrôle. Ce groupe est plus motivé et dynamique que les autres groupes bien connus tels que APT1/Comment Crew. Il se caractérise par les éléments suivants : prouesse technique ; agilité ; organisation ; ingéniosité et patience.   Les compétences du groupe se sont illustrées lors de campagnes incessantes menées simultanément contre plusieurs cibles sur une longue période de temps. Ces pirates ont été les premiers à utiliser la technique du « trou d’eau » – « watering hole » en anglais – pour piéger leurs cibles. Ils accèdent rapidement aux failles « zero-day », et disposent de la ténacité et de la patience du chasseur intelligent qui compromet  la chaîne logistique afin d’atteindre sa véritable cible. Ces attaques contre la chaîne logistique consistent à infecter les ordinateurs d’un fournisseur de l’entreprise visée, dans l’attente que les ordinateurs infectés soient installés chez la cible et communiquent avec des ordinateurs distants. Ce sont clairement des actions froidement préméditées plutôt que des incursions impulsives d’amateurs.

Ce groupe ne se limite pas seulement à quelques cibles, mais vise des centaines d’entreprises différentes dans de nombreuses régions, même simultanément. Étant donné la diversité et le nombre des cibles et des régions concernées, Symantec en déduit que ce groupe est très probablement une organisation professionnelle de pirates qui louent ses services à des clients souhaitant obtenir des informations. Ils volent à la demande ce qui intéresse leurs clients, quelle qu’en soit la nature, d’où le large éventail de cibles.

Symantec pense également que pour mener des attaques de cette envergure, le groupe doit disposer d’un nombre considérable d’experts en piratage. Symantec estime que 50 à 100 opérateurs sont employés et répartis en au moins deux équipes distinctes, chargées de mener différentes activités à l’aide d’outils et de techniques divers. Ces types d’attaque nécessitent du temps et du travail. Certaines campagnes impliquent de rechercher et de collecter des renseignements avant de pouvoir mettre au point une attaque fructueuse.

Une équipe en première ligne utilise les outils disponibles ainsi que des techniques de base, mais suffisamment efficaces pour attaquer plusieurs cibles différentes. Elle peut également collecter des informations. Nous l’appelons l’équipe Moudoor, d’après le nom du cheval de Troie qu’elle utilise. Moudoor est un cheval de Troie de porte dérobée que l’équipe emploie largement sans se soucier de sa découverte par les spécialistes de la sécurité. L’autre équipe agit comme une unité d’opérations spéciales, composée de membres d’élite qui infiltrent les cibles les plus précieuses ou les plus robustes. Cette équipe utilise un cheval de Troie nommé Naid et, en conséquence, nous la définissons comme l’équipe Naid. Contrairement à Moudoor, le cheval de Troie Naid est utilisé avec parcimonie et prudence pour éviter qu’il ne soit détecté et bloqué, comme une arme secrète utilisée uniquement lorsque l’échec n’est pas envisageable.

Depuis 2011, Symantec a observé au moins six campagnes importantes menées par ce groupe. La plus remarquable d’entre elles est l’attaque VOHO de juin 2012. L’aspect intéressant de cette action était l’utilisation d’attaques de type « watering hole » (« trou d’eau ») destinée à compromettre la fiabilité des fichiers Bit9 pour la signature d’infrastructure. La campagne VOHO visait les fournisseurs de l’armée américaine dont les systèmes étaient protégés par une solution de protection de Bit9, mais lorsque l’attaque des pirates Hidden Lynx a été bloquée par cet obstacle, ils ont reconsidéré leur approche et estimé que la meilleure façon de contourner ce logiciel était de compromettre le cœur du système de protection proprement dit pour l’exploiter à leurs fins. C’est exactement ce qu’ils ont fait en se concentrant sur Bit9 et en pénétrant ses systèmes. Les pirates se sont alors rapidement introduits dans l’infrastructure de signature de fichier sur laquelle repose le modèle de protection de Bit9, et ont utilisé ce système pour signer un certain nombre de fichiers malveillants. Ils ont ensuite utilisé ces fichiers pour compromettre leurs cibles.