Mon
pseudo
Les forums Liste des discussions Site
Erotica51
Recherche
 
Message d'origine de la discussion :
"Une faille qui permet de pirater tous les windows"
Envoyé par Erotica51 le 22 mars 2017 à 19:26 - 234éme visualisation

DoubleAgent, la faille zero-day qui permet de pirater tous les logiciels Windows

Des chercheurs en sécurité ont trouvé une technique d’injection de code malveillant qui fonctionne sur toutes les plateformes Microsoft, depuis Windows XP à Windows 10.

Créer des fonctionnalités cachées n’est pas toujours une bonne idée, surtout si elles représentent un risque de sécurité. Les chercheurs en sécurité de Cybellum viennent justement de trouver une telle trappe secrète dans le logiciel « Application Verifier ».

Destiné aux développeurs, cet outil est présent dans toutes les versions Windows depuis la version XP et permet de chercher des bugs dans les programmes en leur injectant une DLL spécifique (bibliothèque logicielle chargée en mémoire).

Une fonction non documentée - et qui existerait depuis 15 ans ! - permet toutefois de remplacer cette DLL par une autre, créé sur mesure par le développeur. Un pirate capable d’exécuter du code sur une machine pourra donc s’appuyer sur cette technique pour saborder n’importe quel processus exécuté, y compris ceux du système d’exploitation lui-même.

14 antivirus sont vulnérables

A titre d’exemple, les chercheurs se sont penchés sur les antivirus qui sont des cibles de choix car elles ont des accès privilégiés sur le système. Les chercheurs ont ainsi créé un code qui, une fois exécuté, transforme de manière spectaculaire ces applications de sécurité en affreux malware.

Cela a fonctionné pour au moins 14 logiciels, dont Avast, AVG, Eset, F-Secure, Kaspersky et Norton. Les chercheurs ont démontré leur attaque dans une vidéo YouTube.


Cette technique de piratage est d’autant plus intéressante qu’elle est persistante. La DLL malveillante est associée durablement à l’application ciblée et sera automatiquement injectée à chaque exécution, même après un redémarrage de système. « L’injection de code se passe dès le début du démarrage du processus ciblé. L’attaquant obtient donc un contrôle total du processus, et celui-ci n’a aucun moyen pour se protéger », peut-on lire dans une note de blog technique. Selon les chercheurs, la seule manière d’éviter cette attaque est d’appliquer le principe des « process protégés » (« Protected Processes »). Introduit par Microsoft il y a quelques années, ce nouveau concept permet aux éditeurs de faire en sorte que seul du code signé et authentifié puisse être chargé en mémoire et exécuté. Parmi toutes les solutions antivirus testées, seul Windows Defender était conforme à cette architecture, ce qui la rendait donc insensible à cette attaque.

Selon HackerNews, Cybellum a alerté les éditeurs antivirus il y a plus de 90 jours avant la publication de la faille zero-day.

Important : A ce jour, seuls Malwarebytes et AVG auraient publié un patch.

Source: note de blog Cybellum


22/03/2017 à 15h39
  
Répondre
Liste des réponses :
Une cyberattaque mondiale touche+ de 10 pays, Erotica51, le 13 mai à 11:02
 
Contenu des réponses :
"Une cyberattaque mondiale touche+ de 10 pays"
Envoyé par Erotica51 le 13 mai 2017 à 11:02

Une cyberattaque mondiale touche des dizaines de pays

Les pirates ont exploité une faille dans les systèmes Windows. Des hôpitaux et des entreprises ont été touchés. La France fait partie des pays concernés, notamment le constructeur Renault.


Une cyberattaque de grande ampleur a touché des dizaines de pays dans le monde vendredi 12 mai 2017. À l'aide d'un logiciel de rançon, les pirates ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA.

« Aujourd'hui, nous avons assisté à une série de cyberattaques contre des milliers d'organisations et d'individus dans des dizaines de pays », a indiqué dans un communiqué l'agence britannique de cybersécurité (NCSC) qui recommande de mettre à jour ses logiciels de sécurité et ses antivirus.

« Nous avons reçu de multiples rapports d'infection par un logiciel de rançon », a écrit le ministère américain de la Sécurité intérieure dans un communiqué. « Particuliers et organisations sont encouragés à ne pas payer la rançon, car cela ne garantit pas que l'accès aux données sera restauré. »

Cette vague d'attaques informatiques de « portée mondiale » suscite l'inquiétude des experts en sécurité. Le logiciel verrouille les fichiers des utilisateurs et les force à payer une somme d'argent sous forme de bitcoins pour en recouvrer l'usage : on l'appelle le « rançongiciel ». « Nous avons relevé plus de 75 000 attaques dans 99 pays », a noté Jakub Kroustek, de la firme de sécurité informatique Avast, sur un blog. Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté « une campagne majeure de diffusion d'e-mails infectés », avec quelque 5 millions d'e-mails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.
Renault confirme la cyberattaque

Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées selon des analystes.

Le constructeur Renault en a été victime.

« Nous avons été touchés », a indiqué une porte-parole du groupe à l'Agence France-Presse, en précisant que le constructeur était en train d'analyser la situation.

« Une action est en place depuis hier soir. On fait le nécessaire pour contrer cette attaque », a-t-elle précisé. Il s'agit de la première institution française à reconnaître avoir été touchée par ces attaques.

Aux États-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté. Le ministère russe de l'Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s'il n'a pas été précisé s'il s'agit bien de la même attaque.

Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays.

« À ce stade, nous n'avons pas d'élément permettant de penser qu'il y a eu accès à des données de patients », a voulu rassurer la direction du service public de santé britannique.

L'attaque a toutefois sérieusement désorganisé des dizaines d'hôpitaux, contraints d'annuler certains actes médicaux et de renvoyer des ambulances vers d'autres établissements.


Le service public de santé britannique touché

Des images ont été partagées sur les réseaux sociaux avec des écrans d'ordinateur du NHS demandant le paiement de 300 dollars en bitcoins avec la mention :

« Oups, vos dossiers ont été cryptés. » Le paiement doit intervenir dans les trois jours, ou le prix double, et si l'argent n'est pas versé dans les sept jours les fichiers piratés seront effacés, précise le message.

Microsoft a publié un patch de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n'ont pas encore été mis à jour.

Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates « Shadow Brokers », qui affirme avoir découvert la faille informatique par la NSA.

« Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un e-mail ou clique sur un lien. Contrairement à des virus normaux, ce virus se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par e-mail », a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid.

Un chercheur en cybersécurité a indiqué à l'Agence France-Presse avoir trouvé une parade pour ralentir la propagation du virus.

Tweetant à partir de @Malwaretechblog, il a expliqué que « généralement un logiciel malveillant est relié à un nom de domaine qui n'est pas enregistré.

En, simplement, enregistrant ce nom de domaine, on arrive à stopper sa propagation », a-t-il expliqué. Le chercheur a néanmoins insisté sur l'importance d'une mise à jour immédiate des systèmes informatiques, car, selon lui, « la crise n'est pas terminée, ils peuvent encore changer de code et essayer à nouveau », a-t-il prévenu.

« Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l'ont découverte, plutôt que quand elle leur a été volée, ça aurait pu être évité », a regretté sur Twitter Edward Snowden, l'ancien consultant de l'agence de sécurité américaine qui avait dévoilé l'ampleur de la surveillance de la NSA en 2013.


Source AFP
Modifié le 13/05/2017

Le Point.fr
  
Répondre

Réponses - Liste - Message