Millions of people are still running Windows XP

Posté par vulnerabilitynews le 3 mai 2016

t’s been two years since Microsoft ended support for Windows XP, the popular operating system that’s been around since 2001 and which many people just don’t seem willing to let go.

Microsoft did about all it could to drag XP-ers into the present with pop-up warnings urging them that they need to upgrade, and a free migration tool to help people transfer their files and settings to Windows 7 or Windows 8.

It’s not merely that Microsoft wants to get everybody onto the latest version of Windows, although it has certainly gone to great lengths recently to get people to upgrade to Windows 10, whether they want to or not.

But as we at Naked Security repeatedly warned XP users, the end of support means “zero-days forever,” because those vulnerabilities will never be patched – and XP computers are sitting ducks for cybercriminals to attack.

 

La version française de l’article

Cela fait plus que deux ans que Microsoft a mis fin au support de Windows XP, le système le plus populaire mais il semble bel et bien que les utilisateurs de ce système se sont pas encore disposés a le quitter.

Microsoft a fait tout tout ce qu’il pouvait pour faire amener les gens à passer au système les plus récent sans pour autant donner de fruit; il faut noter que la fin du support de Windows XP signifie zéro mise a jour et par conséquent les failles ne seront jamais corrigées ce qui rendra le système encore plus vulnérable .

 

Publié dans vulnérabilité | Pas de Commentaire »

LastPass : attention, vos mots de passe ne sont pas en sécurité

Posté par vulnerabilitynews le 30 janvier 2016

LastPass : attention, vos mots de passe ne sont pas en sécurité

DR

Un site Web piégé suffit pour compromettre les données d’un utilisateur du service de gestion de mots de passe multi-plates-formes LastPass pour peu qu’il ne soit pas très attentif. Explications.

Si vous êtes utilisateur de LastPass, vérifiez bien où vous mettez votre mot de passe maître lors de votre prochaine connexion. Car il pourrait s’agir d’une tentative de phishing.

A l’occasion de la conférence Shmoocon 2016, le chercheur en sécurité Sean Cassidy a expliqué qu’une telle attaque n’était pas très compliquée à réaliser sur un navigateur Web et il en a fait la démonstration sur Google Chrome.

Intitulée « LostPass », son attaque s’appuie tout d’abord sur une faille de type « Cross-site-request-forgery » (CSRF) dans l’interface de programmation de LastPass. Désormais corrigée, elle permettait à n’importe quel site Web de déconnecter un utilisateur de ce gestionnaire de mot de passe. Un attaquant pouvait donc créer un site Web doté de cette fonctionnalité, puis afficher dans la fenêtre du navigateur le bandeau de notification correspondant (« Votre session LastPass a expiré. Reconnectez-vous. »).

LastPass : attention, vos mots de passe ne sont pas en sécurité  dans vulnérabilité d87ec24e9c73302ab063d2705d707
© DR

Si l’utilisateur tombe dans le panneau, l’attaquant lui présente une copie parfaite de l’écran d’authentification, pour récupérer les identifiants et se connecter dans la foulée à LastPass. Si ce dernier demande un deuxième facteur d’authentification, pas de problème : l’attaquant peut proposer là aussi le bon écran pour récupérer ce deuxième code secret. Et bingo, il a accès à toute la base de données de mots de passe.

Durant ces dernières étapes, bien que cela soit difficile à découvrir, un utilisateur attentif pourrait remarquer le pot aux roses, car l’URL n’est pas correcte.

76d78ff82ef85841b44abc7801480
© DR

Sur Firefox, l’attaque est plus compliquée à mener. Les notifications et les écrans de connexion n’apparaissent pas dans une page HTML du navigateur, mais dans des fenêtres séparées dont l’allure dépend du système d’exploitation. Toutefois, il n’est pas impossible de réaliser un leurre plus ou moins convaincant. « J’ai réalisé une version expérimentale [de l’attaque] pour Firefox sur OS X et Windows 8 », souligne le chercheur en sécurité dans une note de blog.

Une série de contremesures

Contacté par Sean Cassidy, LastPass a depuis corrigé la faille CSRF. Toutefois, cela n’aurait pas été suffisant, car un utilisateur pourrait très bien ne pas remarquer qu’il est toujours connecté et se laisser berner quand même. L’éditeur a donc mis en place un dispositif qui alerte automatiquement l’utilisateur s’il insère son mot de passe maître dans une page web qui n’appartient pas à LastPass. Il a également généralisé sa procédure de vérification par email à toute tentative de connexion venant d’une adresse IP ou d’un terminal inconnu, que l’utilisateur dispose d’une authentification en deux étapes ou non. « Cela atténue l’attaque de manière considérable, mais ne l’élimine pas », estime pour sa part Sean Cassidy, sans donner davantage de précisions.

Publié dans vulnérabilité | Pas de Commentaire »

Attention, ce site va faire planter tous les smartphones!

Posté par vulnerabilitynews le 30 janvier 2016

  Attention, ce site va faire planter tous les smartphones!

DR

Un petit malin a créé un JavaScript créant une boucle faisant planter les smartphones qu’il a caché derrière un lien semblant des plus anodins. Premiers visés, les possesseurs d’iPhone.

Crashsafari.com est le site où il ne faut pas aller. Non pas parce que son contenu est inintéressant ou parce qu’il est dangereux mais parce qu’il va immanquablement faire planter le navigateur et le smartphone sur lesquels il a été lancé.

Les premiers à avoir été affectés par ce « bug » sont, on s’en doute compte tenu du nom du site, les utilisateurs de Safari sur iPhone ou iPad. Mais les possesseurs de smartphones sous Android peuvent eux aussi être victimes de ce canular, ainsi que les utilisateurs de PC.

Derrière ce lien se cache en fait un JavaScript qui permet de lancer une API, laquelle se met à tourner sans fin jusqu’à faire planter navigateur et smartphone. Sur PC, le crash ne concerne que le navigateur et un message ironique vous demandant ce à quoi vous vous attendiez fait son apparition.

Attention, ce site va faire planter tous les smartphones!  dans vulnérabilité 57f7736833ac98e7ea3725b941a6b
© DR

Ce site aurait pu passer inaperçu s’il n’avait pas fait les délices de quelques plaisantins qui s’en sont emparés et ont inondé Twitter de liens courts évoquant un tout autre sujet mais renvoyant en fait vers Crashsafari. Juste pour pouvoir dire ensuite « je t’ai eu »…

https://t.co/t2647FWJSm so apparently we don’t have school on Friday?¿?

— ßen D Straws (@Ben_Dlabaj_) 25 Janvier 2016

On le retrouve ainsi derrière une supposée fuite d’un album de Kanye West, l’annonce d’une journée sans cours ou un énigmatique « j’aurais pas cru » qui pousse à cliquer pour en savoir plus…

D’après un tweet de la société spécialisée dans la sécurité informatique F-Secure, un de ces liens courts a déjà été ouvert plus de 100 000 fois. Et forcément, la blague commence à en lasser plus d’un.

Wow. One “Crash Safari” short-link has been clicked on more than one hundred thousand times… pic.twitter.com/JqotjPiN1j

— News from the Lab (@FSLabs) 25 Janvier 2016

Heureusement, ce script n’est pas dangereux et n’endommagera aucun PC ou smartphone. Au pire, il faudra redémarrer son appareil pour pouvoir à nouveau s’en servir comme si de rien n’était.

Source :
The Guardian

Publié dans vulnérabilité | Pas de Commentaire »

Protegez-vous des pirates informatiques

Posté par vulnerabilitynews le 30 janvier 2016

Quand le chef hacker de la NSA explique comment se protéger des pirates

Face aux pirates gouvernementaux, il ne faut rien négliger. « Nous connaissons vos réseaux mieux que vous-mêmes », souligne cet homme de l’ombre. C’est l’expérience qui parle.

Un orateur hors du commun s’est présenté cette semaine à l’occasion de la conférence de sécurité informatique Enigma, qui s’est déroulée du 25 au 27 janvier à San Francisco. A savoir Rob Joyce, le patron de Tailored Access Operations (TAO), la troupe de hackers d’élite de la NSA, dont on connaît l’existence grâce aux révélations d’Edward Snowden.

Devant un public composé d’experts en sécurité, l’homme a voulu leur donner de bons conseils pour protéger leurs réseaux face aux hackers gouvernementaux, c’est-à-dire précisément des gens comme lui (voir vidéo ci-dessous). « Nous faisons du hacking d’Etat. Et je vais vous dire en tant que hacker d’Etat ce qu’il faut faire pour me rendre la vie plus difficile », explique Rob Joyce.

Selon lui, la première chose à faire, c’est déjà de très bien connaître son réseau, ses appareils et les technologies sous-jacentes. « Pourquoi avons-nous tellement de succès ? Parce que nous investissons beaucoup de temps pour connaître un réseau mieux que ceux qui l’ont mis en œuvre ou qui le gèrent », ajoute-t-il, en toute modestie, avant de rentrer dans les détails d’une attaque ciblée, phase par phase.

51ccfe6518954cab00b74a5dd4d62 dans vulnérabilité
© DR

La première chose à faire pour se protéger est déjà de réduire la surface d’attaque au minimum en désactivant et désinstallant tout ce qui n’est pas nécessaire. Puis, pour évaluer la sécurité d’un système, il n’y a pas 36 moyens : il faut faire des tests de vulnérabilité. « Faites venir des pentesters et trouvez les failles. Puis agissez en conséquence. Même après avoir été découvertes, il n’est pas rare que des vulnérabilités restent en place pendant des années. Nous le voyons sur nos cibles », poursuit le patron du TAO. Et surtout, il ne faut négliger aucune faille, aussi petite soit-elle. « Les hackers d’Etat sont patients et minutieux. Ils attendront jusqu’à ce qu’ils trouvent une opportunité », souligne-t-il.

Selon lui, la plupart des attaques réalisées par des hackers d’Etat n’utilisent d’ailleurs pas de failles 0day, contrairement à ce que l’on pourrait penser. « Pour les grands réseaux d’entreprises, si vous êtes persistant et focalisé, vous n’en avez pas besoin. Il y a tellement d’autres moyens qui sont plus faciles, moins risqués et plus productifs », ajoute-t-il. Les trois principaux vecteurs d’attaques sont – sans surprise – l’e-mail, les sites web et les clés USB.

Mention spéciale pour les services de réputation

Parmi les autres bons conseils de M. Joyce, rien de bien extravagant pour quelqu’un qui travaille dans la sécurité informatique : il faut segmenter les réseaux, limiter les privilèges d’accès, instaurer des listes blanches, mettre à jour ses systèmes, activer l’authentification à double facteur, etc. Il a mis, en particulier, l’accent sur les services dits de réputation capable d’évaluer le niveau de confiance d’un nom de domaine ou d’un code informatique. « Si votre prestataire de réputation vous indique que vous êtes en train d’utiliser un code qui n’a jamais été exécuté auparavant sauf par vous, c’est le moment d’avoir peur », lance-t-il avec un grand sourire. C’est sûr, c’est une situation qu’il connait bien. Mais de l’autre côté.

Publié dans vulnérabilité | Pas de Commentaire »

Hack Wifi en android.

Posté par vulnerabilitynews le 25 décembre 2015

je vous presente aujourd hui une appliaction tres rare qui sert a hacker pirater les reseaux wifi en utilisant un systeme android

un acces internet gratuit et efficace en 5 minutes le reseau est craquer

lien de telechargemnt

http://apkshared.net/1iOA

http://www.filetolink.com/e51fc5e7a9

Publié dans les reseaux wifi | Pas de Commentaire »

Des vulnérabilités XARA permettent de voler des mots de passe dans iOS et OSX

Posté par vulnerabilitynews le 16 juillet 2015

Un groupe de chercheurs de l’université d’Indiana signale qu’ils ont découvert plusieurs vulnérabilités dans Mac OS X et iOS. Mais le plus inquiétant est qu’ils ont réussi à cracker le service Keychain que le développeur utilise pour les applications et les bacs à sable dans OS X.

Le coupable est un mécanisme défaillant d’authentification qui intervient lors de l’interaction entre les applications. L’article publié par l’université indique que les failles mises en évidence permettent d’organiser des attaques à l’aide de codes d’exploitation contre les applications d’Apple et de voler le mot de passe d’accès à iCloud, les jetons d’authentification et les mots de passe d’accès aux ressources Internet stockés dans Google Chrome. L’étude a été menée par des étudiants de l’université d’Indiana avec l’aide de Tongxin Li, de l’université de Pékin, et de Xiajing Liao de l’Institut technologique de Géorgie.

Les auteurs de l’article intitulé « Unauthorized Cross-App Resource Access on MAC OS X and iOS » (PDF) ont désigné l’ensemble des défauts mis en évidence sous le nom XARA (pour Cross-App Resource Access, accès général aux ressources des applications).

A cause de XARA, un malware téléchargé sur l’ordinateur, placé dans le bac à sable et déjà soumis à l’analyse standard d’Apple, peut accéder aux données importantes des autres applications. Les auteurs de l’article expliquent que l’attaquant dispose ainsi de la possibilité de voler les informations des clients de Dropbox, Facebook, Evernote, du client de messagerie instantanée WeChat ainsi que les mots de passe stockés dans le référentiel 1Password. Un des étudiants chercheurs a déclaré à Threatpost, dans un commentaire sur la triste situation, qu’un outil d’attaque créé par le groupe de chercheurs sera prochainement proposé sur un site de démonstration ouvert au public.

D’après les résultats de l’étude, le problème principal se situe dans la faiblesse et et les défauts de mise en œuvre de liste de contrôle des accès (ACL) ainsi que dans des défauts de services d’interaction des applications Keychain et WebSocket dans OS X et URL Scheme dans OS X et iOS. Les applications dans le bac à sable peuvent supprimer des entrées aléatoires de Keychain et les recréer à l’aide de la liste ACL qui permet, à son tour, de lire les clés et les valeurs.

Le « malware » créé lors de l’étude est capable de supprimer et de recréer les entrées de Keychain. Autrement dit, il est capable de s’ajouter à la liste ACL ainsi que l’application cible. Lorsque l’utilisateur est invité à saisir à nouveau les informations d’authentification, il les enregistre, sans le savoir, dans un élément créé par un malware.

« Alors que nous tentions de comprendre l’essence du problème, nous avons découvert que dans la majorité des cas, ni le système d’exploitation, ni l’application vulnérable n’exécute comme il se doit l’authentification du partenaire d’interaction » peut-on lire dans l’article écrit par les chercheurs. « En gros, l’application n’est pas en mesure d’identifier correctement le propriétaire de l’enregistrement correspondant dans Keychain. Apple ne dispose pas d’une méthode pratique pour réaliser cette vérification. »

A en croire les auteurs de l’étude, ils ont réussi à mener une attaque contre Internet Accounts sous OS X 10.10 et à intercepter les données utilisées par cette application pour iCloud et Facebook. La vidéo, qui accompagne l’article, illustre le vol du jeton iCloud dans Keychain:

Il existe également sur YouTube des vidéos qui démontrent comment il est possible de voler des mots de passe de Chrome, des jetons de Pinterest et de Pushbullet, des enregistrements d’Evernote et des mots de passe de 1Password.

Un autre type de défaut XARA, provoqué par un défaut du mécanisme unique de répartition des ressources dans OS X qui repose sur les identificateurs BID, permet à un attaquant de « cracker un conteneur ». Lorsque les conteneurs de l’application sont dévoilés, d’autres applications peuvent facilement en explorer le contenu et, par conséquent, intercepter les informations de l’application qui fonctionne dans le bac à sable, qu’il s’agisse d’Evernote, de Tumblr ou de WeChat.

« Quand l’application cible est lancée, le système d’exploitation confirme chaque fois l’existence du répertoire avec le BID attribué par cette application (en guise de nom) et l’application est ajoutée automatiquement à la liste ACL du répertoire » explique les chercheurs de l’université. « Le malware obtient ainsi un accès complet aux conteneurs d’autres applications, ce qui équivaut à l’élimination de l’isolement que le bac à sable est censé garantir ».

Les auteurs de l’étude reconnaissent que les failles qu’ils ont mises en évidence concernent directement OS X, toutefois, ils signalent qu’iOS n’est pas épargné. Le canal IPC Scheme est vulnérable aux interceptions, à l’instar du service Websocket. Des rapports succincts ont été envoyés à Apple en octobre et en novembre, mais les représentants de la société ont décidé que le problème, « en raison de sa nature, » ne pourrait pas être réglé avant 6 mois.

Interrogé par Threatpost, un représentant d’Apple a déclaré que la société analysait la situation.

Les chercheurs de l’université pensent que la vulnérabilité liées à iCloud a été éliminée suite à la diffusion de la dernière mise à jour stable d’OS X, mais d’après eux, les autres défauts existent toujours. « Nous avons testé OS X 10.10.3 et la version bêta 10.10.4 et nous avons vu qu’Apple a tenté d’éliminer l’erreur touchant iCloud en introduisant un nombre aléatoire à 9 chiffres en guise d’accountName » écrivent les auteurs de l’article. Ils ajoutent que les autres services, dont Gmail, utilisent toujours l’adresse de l’utilisateur en tant qu’attribut.

Source: Threatpost

Publié dans vulnérabilité | Pas de Commentaire »

Gunpoder : le nouveau malware pour Android qui passe tous les systèmes de surveillance

Posté par vulnerabilitynews le 16 juillet 2015

Les malwares qui se « présentent » comme tels sont assez rapidement détectés et éradiqués sur nos plates-formes informatiques. En revanche, il suffit que les malwares se fassent passer pour quelqu’un d’autre et la tâche est tout de suite plus compliquée.
Gunpoder : le nouveau malware pour Android qui passe tous les systèmes de surveillance dans vulnérabilité 1143757
dot dans vulnérabilité

L’adware qui cache la forêt

C’est le cas de Gunpoder, nouveau malware, pour ne pas dire nouvelle famille de logiciels malveillants, qui se répand depuis quelque temps via les magasins applicatifs tiers sur Android. Il a été repéré notamment dans un émulateur de console NES pleinement fonctionnel et open source. L’application modifiée intègre une régie publicitaire agressive appelée Airpush, et qui fait parler d’elle depuis plusieurs années désormais.
Le problème est que les développeurs mal intentionnés ont caché la partie malware dans la partie adware. Ainsi, la collecte d’informations sur l’appareil (identifiant, modèles, etc.), les données de l’utilisateur et la communication avec le serveur de l’attaquant sont masquées. Les solutions de sécurité pendant qu’il s’agit d’un « simple » adware.
« Nous sommes persuadés que l’auteur du malware a intentionnellement ajouté la librairie Airpush comme un  bouc émissaire, afin que tous les comportements malicieux soient attribués » à cette librairie, explique le rapport de la société de sécurité Palo Alto Networks qui a levé ce loup.
Car, contrairement à un adware, Gunpoder a une vraie activité criminelle. Il est utilisé pour l’expédition de SMS surtaxé, par exemple. Il fait en plus payer l’accès à l’application et à ses fonctions de triche entre 29 et 49 cents…
1143791

© Palo Alto Networks
L’application vous permet évidemment de payer…
dot

Comme une traînée de poudre

Et si le joueur ne souhaite pas payer, il lui est proposé d’envoyer le jeu par SMS via une short URL Google. Le malware se répand ainsi très rapidement. Il se propage d’un smartphone à un autre via un simple SMS envoyé aux contacts de la personne dont l’appareil est contaminé.
D’ores et déjà repéré dans treize pays, dont la France, Gunpoder est décliné en trois variantes, identifiées par les équipes de Palo Alto Networks. Les chercheurs en sécurité pensent que la collecte d’information pourrait être utilisée en vue de préparer de futures attaques en phishing.
Sauf à ne pas aller sur des kiosques de téléchargements alternatifs et à faire attention à  ce que vous installez sur votre smartphone ou tablette Android, la seule solution pour être épargné serait de vivre en Chine. Lorsque que le malware détecte que l’utilisateur se trouve dans ce pays, étonnamment, il ne s’exécute pas…

Publié dans vulnérabilité | Pas de Commentaire »

Apple patches FREAK vulnerability on Mountain Lion, Mavericks, Yosemite

Posté par vulnerabilitynews le 4 avril 2015

Apple has published its second major security roll-up package of the year, Security Update 2015-002, which contains fixes for multiple versions of OS X stretching from Mountain Lion 10.8.5 to Yosemite 10.10.2. These updates mitigate threats from several different vulnerabilities, but the most notable is a fix that will inoculate Safari users against the so-called « FREAK » SSL/TLS exploit (CVE-2015-0204, although at publication time the Apple page shows CVE-2015-0167 as the CVE ID for FREAK).

First publicized a week ago, the « FREAK » vulnerability can be used by an attacker to force someone’s SSL/TLS connection to a Web server to use a weak 512-bit key, which the attacker can then factor with a relatively trivial amount of work and thereby decrypt and/or modify the supposedly secure connection. The vulnerability affects OS X, iOS, Android, and Windows devices. The acronym « FREAK » stands for « Factoring attack on RSA-EXPORT Keys, » which references the fact that the 512-bit weak keys are so-called legacy « export-grade » keys mandated for use in the 1990s with cryptographic hardware and software built in the US but intended for sale outside of the country.

Before Security Update 2015-002…

  1. Screen-Shot-2015-03-10-at-11.15.16-AM-150x150 dans vulnérabilité
  2. Screen-Shot-2015-03-10-at-11.19.46-AM-150x150

Apple promised a fix within a week, and true to the company’s word, the patch for the vulnerability arrived today. OS X users browsing the Web with updated versions of Chrome and Firefox were already immune (Firefox appeared to be immune to start with, and Chrome was patched last week), but Safari users were open to attack until today. After installing the 2015-002 update, this is no longer the case, and all three mainstream Web browsers on OS X are now secure.

iOS users aren’t forgotten, either—yesterday’s iOS 8.2 release included a FREAK fix for Apple’s mobile operating system.

Folks wishing to check whether or not their browser/operating system combination is exploitable to FREAK can use the site FREAKAttack.com to test themselves.

Publié dans vulnérabilité | Pas de Commentaire »

Des Français découvrent une importante faille de sécurité sur Internet

Posté par vulnerabilitynews le 4 avril 2015

Une équipe de l’Inria a découvert Freak, une vulnérabilité informatique qui peut compromettre les connexions sécurisées sur Internet. La législation américaine des années 1990 est mise en cause.

Publicité

Les failles de sécurité informatique sont des marques comme les autres. Après «Heartbleed» qui a fait saigner Internet et «Sandworm» qui a grignoté Windows XP, voici le monstre «Freak». Derrière cet acronyme barbare, signifiant en anglais «Attaque par factorisation des clés RSA-Export», se cache une faille touchant des millons de sites Internet.

Antoine Delignat-Lavaud est chercheur à l’Inria, à Paris, et fait partie de l’équipe qui a découvert Freak. Il décrypte avec Le Figaro les enjeux de cette nouvelle faille médiatique.

● En quoi consiste Freak?

Freak touche au protocole HTTPS, qui détermine les communications entre un navigateur Internet et un serveur. Ce protocole, généralement employé par les sites qui gèrent des données personnelles comme les banques, les administrations ou les réseaux sociaux, a deux fonctions. D’une part, il permet, grâce à un certificat, de s’assurer de l’identité du serveur avec lequel un appareil communique. Une connexion sécurisée de la sorte certifie que le site de télédéclaration des impôts provient bien du gouvernement. Les échanges entre un site à l’adresse en «https» et le navigateur sont, quant à eux, chiffrés. Pour ce faire, le protocole HTTPS utilise divers algorithmes de cryptographie afin de chiffrer les communications entre les deux parties.

C’est là que le bât blesse. Lorsque la faille Freak est exploitée, «l’utilisateur croit utiliser une suite d’algorithmes sécurisée», explique Antoine Delignat-Lavaud. «Mais l’attaquant force le navigateur à utiliser des algorithmes de cryptographie très faibles». La faiblesse de ces algorithmes fait qu’un attaquant peut en venir à bout en quelques heures. La sécurité des échanges n’est alors plus assurée, et un potentiel assaillant peut alors se faire passer pour un site vulnérable à Freak. C’est ce qu’on appelle une attaque «Man-in-the-Middle»: l’internaute et son navigateur croient qu’ils communiquent avec un site sécurisé, alors la connexion passe par une troisième entité, contrôlée par un potentiel pirate. Ce dernier peut alors intercepter toutes les données (bancaires, personnelles) qui transitent lors de la connexion.

● Qui est concerné par cette vulnérabilité?

Freak dépend de deux paramètres: il faut que le site visité et le navigateur soient tous deux vulnérables. «Sur le million de sites les plus visités recensés par Alexa, 12% étaient vulnérables au moment où la faille a été révélée. Aujourd’hui, on est à un peu moins de 10%», constate le chercheur rattaché à l’Inria. Parmi les sites initialement concernés se trouvent celui d’American Express, de plusieurs médias américains et français ou encore de celui de la NSA, l’agence de renseignement américaine.

Le bouton «se connecter avec Facebook», implanté par le réseau social sur de nombreux autres sites partenaires, était aussi sujet à cette vulnérabilité. Cela a été corrigé par Facebook, avant la divulgation de la faille. «Mais c’était potentiellement très grave», affirme Antoine Delignat-Lavaud. «Un pirate qui parvient, grâce à cette faille, à se faire passer pour le serveur de Facebook en charge du bouton «se connecter» peut intercepter les communications sur de nombreux sites».

Pour ce qui est des navigateurs concernés, la question est plus sensible. En effet, en sécurité informatique, la pratique veut qu’une faille n’est pas dévoilée tant qu’elle n’a pas été corrigée. Dans le cas de Freak, une entreprise concernée, Akamai, a dévoilé la vulnérabilité à ses clients. Antoine Delignat-Lavaud et ses collègues ont donc dû dévoiler les navigateurs concernés: il s’agit de versions obsolètes de Google Chrome, du navigateur proposé dans certaines versions d’Android, et de toutes les versions de Safari, le navigateur d’Apple. Apple prévoit de publier un correctif la semaine prochaine. Google, de son côté, s’est abstenu de tout commentaire, d’après l’agence Reuters.

Cependant, «d’autres navigateurs pourraient être vulnérables», reconnaît Antoine Delignat-Lavaud. «Mais tant que tous les éditeurs concernés n’ont pas été informés des détails techniques de l’attaque, il nous est impossible d’en dire plus.»

Mise à jour 18h15: La liste des navigateurs touchés s’est rallongée. Elle comporte notamment Google Chrome, lorsqu’il est utilisé sur Mac OS X, le système d’exploitation des ordinateurs d’Apple. Les autres sont:

•Internet Explorer (Versions 10, 11 et Windows Phone)

•Chrome sur Mac OS and Android

•Safari sur Mac OS and iOS

•Le navigateur de Blackberry

•Le navigateur d’Android

•Opera sur Mac OS et Linux

●Est-ce grave?

Tout dépend ce que l’on entend par grave. On peut dire que cette faille est grave car elle a des conséquences potentiellement importantes. En outre, elle concerne plusieurs navigateurs et un nombre important de sites, dont certains sont très visités.

Toutefois, il n’y a pas de quoi céder à la panique. «Le niveau de compétence requis pour réaliser ce type d’attaque est quand même très élevé: celui d’un gouvernement ou d’une très grande entreprise», tempère Antoine Delignat-Lavaud. Il faut par exemple parvenir à se connecter sur le réseau Wi-Fi public utilisé par sa cible. En pratique, cette faille est donc plus utile à ceux qui voudraient mener des opérations d’espionnage très ciblées.

«Nous avons déjà révélé des failles plus graves et qui n’ont pas reçu le même écho médiatique», note d’ailleurs le chercheur.

● Pourquoi en parle-t-on?

L’histoire de Freak est intéressante. La faille vient tout droit… des années 1990. À l’époque, la cryptographie était encore considérée comme problématique, et d’utilisation principalement militaire. Les États-Unis avaient alors une législation à deux vitesses pour les clés de chiffrement produites dans leur pays.

Plus une clé de chiffrement est longue, plus elle offre une protection importante. Les clés RSA utilisées couramment aujourd’hui, de 2048 ou 4096 bits, sont, en pratique, incassables aujourd’hui. Dans les années 1990, les clés américaines destinées à l’export devaient avoir une longueur maximum de 512 bits. Une protection qui peut, depuis longtemps, se briser bien facilement. Pour les États-Unis, il s’agissait de ne pas donner trop de moyens à ses ennemis pour se protéger.

«Les navigateurs concernés par la faille ont gardé une trace de cette législation dans leur code. En s’interposant entre le serveur et l’utilisateur, l’attaquant peut alors convoquer ce bout de code endormi», pour fonctionner comme à la vieille époque, explique Antoine Delignat-Lavaud.

Publié dans vulnérabilité | Pas de Commentaire »

Everything you need to know about Bash Bug « ShellShock »

Posté par vulnerabilitynews le 31 octobre 2014

A new critical security vulnerability in the BASH shell, the command-line shell used in many Unix and Linux operating systems, leaves a large number of systems at security risk. The bug also affects Mac OS X.

CVE Number: CVE-2014-6271

Technical Details: 

Here is technical details of the vulnerability, posted by Florian Weimer in Seclists:

« Bash supports exporting not just shell variables, but also shell functions to other bash instances, via the process environment to (indirect) child processes.  Current bash versions use an environment variable named by the function name, and a function definition starting with “() {” in the variable value to propagate function definitions through the environment.

Sponsored Links
The vulnerability occurs because bash does not stop after processing the function definition; it continues to parse and execute shell commands following the function definition.  For example, an environment variable setting of

VAR=() { ignored; }; /bin/id

will execute /bin/id when the environment is imported into the bash process. (The process is in a slightly undefined state at this point. The PATH variable may not have been set up yet, and bash could crash after executing /bin/id, but the damage has already happened at this point.)  »

Proof of Concept:

env e=’() { Ignored; }; echo Vulnerable’ bash -c « echo Hello »

Running the above command in Linux Terminal prints « vulnerable » and « Hello ».So what exactly is happening here.

The ‘env’ command used to either print a list of environment variables or run another utility in an altered environment without having to modify the currently existing environment.

Here, the utility is ‘bash’ that executes the ‘echo hello’ command – and the environment variable ‘e’ is imported into the ‘bash’ process.

The bash shell process the function definition « () { Ignored; };« and then executes the « echo vulnerable » command.

* You can use the above POC code to test whether your system is vulnerable or not.

Real world Attack Scenario:

CGI stores the HTTP headers in environment variables. Let’s say the example.com is running a CGI application written in Bash script.

We can modify the HTTP headers such that it will exploit the shellshock vulnerability in the target server and executes our code.

POC:

curl -k http://example.com/cgi-bin/test -H « User-Agent: () { :;}; echo Hacked > /tmp/Hacked.txt« 

Here, the curl is sending request to the target website with the User-Agent containing the exploit code.  This code will create a file « Hacked.txt » in the « /tmp » directory of the server.

Who should be worried?
An attacker needs to send a malicious environment variable to an application that interacting with the Internet and this application should have either written in Bash or execute bash script within the app. So, Normal Desktop users are likely not affected by this bug.

However, if you are admin of a website and running CGI app written in BASH or using Bash script, You should be worried.

Metasploit Module:

A Metasploit Module has been released that exploits a code injection in specially crafted environment variables in Bash, specifically targeting Apache mod_cgi scripts through the HTTP_USER_AGENT variable.

You can find the module here.

Malware:
Cyber Criminals are already started to exploit this vulnerability for the malicious purpose.  A malware(ELF format) named as ‘Linux/Bash0day‘, found by @yinettesys.

« Cybercriminals exploit bash 0day to get the ELF malware into web servers. ELF scans routers IP and sends exploit busybox to hack routers and doing DDoS. » Malware Must Die who analyzed the malware told EHN.

« If exploit busybox hits the target, they will try to gain shell /bin/sh & brute the default login/passwords commonly used by routers »
Everything you need to know about Bash Bug
Strings contained in the Malware sample

At the time of writing, the detection ratio in Virustotal is 0/55.

You can find the malware sample and more details of the malware at KernelMode website.

Wormable:
Robert Graham of Errata Security says the bug is wormable.  He wrote a script that scans the Internet and finds the vulnerable machines. So far, he found nearly 3,000 vulnerable systems on port 80.

« Consequently, even though my light scan found only 3000 results, this thing is clearly wormable, and can easily worm past firewalls and infect lots of systems. » Graham wrote in his blog post.

DHCP RCE Proof of Concept:
https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

ModSecurity Rules:
RedHat has posted several mod_security rules that helps to prevent the attack:

Request Header values:

SecRule REQUEST_HEADERS « ^\(\) { » « phase:1,deny,id:1000000,t:urlDecode,status:400,log,msg:’CVE-2014-6271 – Bash Attack’ »

SERVER_PROTOCOL values:

SecRule REQUEST_LINE « \(\) { » « phase:1,deny,id:1000001,status:400,log,msg:’CVE-2014-6271 – Bash Attack’ »

GET/POST names:

SecRule ARGS_NAMES « ^\(\) { » « phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:400,log,msg:’CVE-2014-6271 – Bash Attack’ »

GET/POST values:

SecRule ARGS « ^\(\) { » « phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:400,log,msg:’CVE-2014-6271 – Bash Attack’ »

File names for uploads:

SecRule  FILES_NAMES « ^\(\) {«   « phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:400,log,msg:’CVE-2014-6271  – Bash Attack’ »

Patch:
A Patch has been released which ensures that no code is allowed after the end of a Bash function.  If you try to run the exploit code after applying the patch, you will get the following error message:

Selection_007

Unfortunately, the patch is incomplete, it still can be bypassed.  There is a workaround here, but it is not advisable. « CVE-2014-7169 » has been assigned for the incomplete fix.

If you think we missed any information, feel free to comment here, we will add it to the article.

———————————

Additional details:
This details isn’t for you if you already know how export functions,’env’ commands work :

Bash Export function-definition feature: 

bash-export-function

Defining a function in Bash script:

hello(){ echo « Hello World »;}

Calling function in Bash script:
hello

Create a child bash process and call our user-defined function:
bash -c hello

It won’t work, because the child bash process doesn’t aware that there is user-defined function called « hello ». So, what to do?! Let us add the ‘hello’ function to the environment variable with Export command:

export -f hello

This will export the ‘hello’ function to the child process.  Let’s try to create the child bash process again:

bash -c hello

Now the function is called without a problem.

We can achieve the samething in a single line with ‘env’ command. Let me first explain what ‘env’ command does.


‘env’:

The ‘env’ command used to either print a list of environment variables or run another utility in an altered environment without having to modify the currently existing environment.

Let’s try to print environment variables with bash(creating child process):

bash -c printenv

environment-var-printenv1

The above command will print environment variables. Using ‘env’ command, you can pass a temporary environment variables to the child process:

env e= »hello » bash -c printenv

environment-var-printenv

Now, If you check the printed environment variables, you can find the « e=’hello » in the result :)

Function passing with env command:

env hello=’() { echo Hello World;};’ bash -c hello

bash-env-command

Publié dans Non classé | Pas de Commentaire »

1234
 

Mauiamaru |
Productique cfao |
Ways to improve your web pr... |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | Geekinfo
| Upgradesapbd
| Mon histoire unique