WinRM

WinRM (Windows Remote Management) est une fonctionnalité native de Microsoft (introduite en 2007) qui permet la gestion des systèmes Windows et l’exécution de commandes Powershell et CMD à distance via le protocole HTTP(s) sur les ports TCP 5985/5986. Ansible sur Windows et un certain nombre d’outil de gestion de parc (notamment Solarwinds) utilise ce vecteur de communication.

Le 12 mai 2021 une vulnérabilité  (CVE-2021-31166 CVSS=7.5) à été rendue publique dans le pilote http.sys utilisé par le service WinRM.

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance et peut être exploitée dans le cadre d’attaques de type ransomware. 

WinRM a déjà été identifié comme partie intégrante des tactiques, techniques et procédures (TTP) utilisées par différents groupes de rançongiciels, tels que  MAZE, pour réaliser des mouvements latéraux au sein du réseau de leurs victimes.

Nous recommandons en sus d’une mise à jour immédiate des systèmes d’exploitation affectés, de désactiver WinRM, qui est

  • par défaut activé sur les serveurs
  • par défaut désactivé sur les clients Windows10, sauf à partir des builds 2004 et 20H2

Pour information, dans le cadre de notre service de “stress-test aux ransomwares”, dans la section “restriction des applications”, nous vérifions que WinRM est bien désactivé sur les échantillons de postes de travail que nous auditons.

Pour plus d’informations:

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-CVE-2021-31166

[2] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-009/

[3]https://gibnc.group-ib.com/s/3J7YRQw2D9Q8xDd?mkt_tok=Njg5LUxSRS04MTgAAAF9RwdhkfUHblvkX8uNIXcvkYXpdrVywXoGy3WFPaExgVvQSrd8GbK9RucYLS8qaMIThgpnQw8BRF62QnrT4xne4TIX6Il-ue5HP6xnTdHyHA#pdfviewer

[4]https://www.fireeye.com/blog/fr-threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

[5]https://www.bleepingcomputer.com/news/security/wormable-windows-http-vulnerability-also-affects-winrm-servers/

Vulnérabilité dans le serveur DNS BIND

Une vulnérabilité critique avec une sévérité “CVSS:8.1” a été découverte dans les serveurs DNS BIND le 17/02/2021.

Cette vulnérabilité est identifiée avec le CVE-2020-8625. Elle affecte les serveurs qui utilisent l’une des versions vulnérables ci-dessous, configurée pour utiliser les fonctionnalités du GSS-TSIG, le plus souvent pour signer les mises à jour dynamiques.

GSS-TSIG est une extension du protocole TSIG « Transaction Signature », il permet au système de noms de domaines (DNS) d’authentifier les mises à jour d’une base de données DNS. TSIG utilise des clés secrètes partagées, ces clés utilisent des fonctions de hashage à sens unique pour sécuriser et vérifier l’authenticité des communications entre deux parties sur le réseau.

Dans une configuration qui utilise les paramètres par défaut de BIND, la vulnérabilité n’est pas exploitable, mais un serveur peut être rendu vulnérable en définissant explicitement des valeurs valides pour les options de configuration « tkey-gssapi-keytab » ou « tkey-gssapi-credentialconfiguration ».

Du point de vue théorique, cette vulnérabilité permet à un attaquant distant et non-authentifié de provoquer un déni de service sur le serveur Bind et d’injecter du code arbitraire.

Systèmes affectés :

–   BIND versions 9.5.x à 9.11.x antérieures à 9.11.28

–   BIND versions 9.12.x à 9.16.x antérieures à 9.16.12

–   BIND versions 9.17.x antérieures à 9.17.1

Pour plus d’informations :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-132/

https://kb.isc.org/v1/docs/cve-2020-8625

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8625


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Le groupe Cybercriminel TA505

Le groupe TA505 (Threat Actor n° 505) doit son nom aux équipes de l’éditeur de sécurité Proofpoint, qui ont été les premiers à l’identifier et analyser son activité depuis 2014.

Au début de ses activités, le groupe cybercriminel est connu pour la distribution des chevaux de Troie bancaire (Dridex, TrickBot) et de rançongiciels (Locky).

Son activité a su évoluer et gagner en compétences au fil des années. En 2018, le groupe change son mode d’attaque en diminuant la distribution de codes malveillants bancaires et rançongiciels pour passer à la distribution des portes dérobées pour déployer le programme malveillant Clop en échange des rançons d’un montant élevé pour ses victimes. En Octobre 2020, une rançon de 20 millions de dollars a été demandé au groupe Allemand “Software AG” pour l’obtention de la clé de déchiffrement.

Le groupe TA505 a réalisé des campagnes de distribution de l’outil d’administration à distance SDBbot entre septembre 2019 et septembre 2020.

Le TA505 est connu aussi pour l’utilisation des outils et logiciels tiers tels que  «TinyMet/Metasploit» et «CobaltStrike» après avoir obtenu  des accès au réseau grâce à SDBbot RAT (Remote Access Trojan).

Une liste d’IOC utilisés par le malware est disponible à la fin de ce lien.

Pour note :

–   Dridex : est un logiciel malveillant de type cheval de Troie bancaire, Il cible en particulier les données bancaires notamment les identifiants, mots de passe et codes secrets (claviers virtuels ou code sms).

–   TrickBot : est un trojan bancaire apparu en 2016 pour voler les informations bancaires. Ensuite, il a évolué et est capable de voler des données sur le système et le réseau, des identifiants de connexion à des comptes de messagerie électronique. Il est aussi utilisé comme un botnet pour se propager à d’autres victimes via des campagnes de phishing pour distribuer des pièces jointes malveillantes.

–   Locky : est un rançongiciel qui fait son apparition en 2016. Il a fait de nombreuses  victimes, étant notamment propagé via des attaques de phishing l’incluant sous la forme d’une pièce jointe.

–   SDBbot : est un logiciel malveillant exploité par le groupe cybercriminel TA505 pour déployer des programmes indésirables.

Pour plus d’informations :

https://cyberveille-sante.gouv.fr/cyberveille/1891-anssi-publication-dun-rapport-et-dindicateurs-de-compromission-sur-le-groupe

https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-002/


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Le ransomware Babuk Locker

Le Babuk Locker est le premier ransomware découvert en ce début d’année 2021. Initialement identifié comme Vasa Locker en décembre 2020. Plusieurs entreprises ont été la cible de ce rançongiciel. L’une de ses victimes est l’entreprise britannique “Serco” qui est spécialisée dans le dépistage du COVID-19.

Le programme malveillant se présente sous la forme d’un exécutable 32 bits, il utilise la fonction du hashage “SHA256” qui est combinée au chiffrement ChaCha8 avec l’algorithme de génération et d’échange de clés Diffie-Hellman à courbe elliptique “ECDH”. Le but de cette technique robuste est de durcir les clés de chiffrement de ransomware . 

Babuk exploite également la fonctionnalité Windows Restart Manager de Microsoft afin de mettre fin à tout processus utilisant des fichiers, ce qui garantit que le malware n’aura aucun obstacle pour ouvrir et chiffrer des fichiers. 

Le ransomware utilise une extension “.__ NIST_K571__.” codée en dur qui est ajoutée à chaque fichier chiffré. La note de rançon est nommée “How to restore your file.txt” est créée dans chaque dossier du système compromis. Le contenu de la note indique à chaque victime de prendre contact avec les attaquants via le réseau Tor pour négocier et obtenir la clé de déchiffrement.

Pour note :

https://blog.cyberint.com/babuk-locker

https://www.trendmicro.com/en_us/research/21/b/new-in-ransomware.html


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Malware DanaBot

DanaBot est un Cheval de Troie bancaire découvert en 2018 par l’éditeur de sécurité Proofpoint.

Au début de son apparition, il a ciblé des utilisateurs via des campagnes de phishing contenant des URLs vers des sites  malveillants ou des fichiers malveillants en faisant croire à l’utilisateur que l’e-mail provient d’une entreprise légitime.

 Le but de cette attaque est que l’utilisateur clique sur le lien et renseigne ses données confidentielles (login, mot de passe, numéro compte bancaire…etc.) et ensuite que le programme malveillant les récupère.

Comme la plupart des programmes malveillants, DanaBot utilise la technique d’attaque via une pièce jointe infectée. Les cybercriminels usurpent des pages web et envoient des e-mails en faisant croire que la source est légitime. Le texte du mail incite l’utilisateur à ouvrir la pièce jointe (DOC ou PDF). Une fois le document ouvert, le programme malveillant est téléchargé via une macro ou pop-up qui apparaît pour demander à l’utilisateur d’activer les macros. À l’aide d’une structure modulaire, le programme malveillant télécharge des plug-in supplémentaires qui lui permettent d’intercepter le trafic et de voler les données sensibles de la victime.

Quelques exemples des plug-in utilisés :

–   VNC : ce plug-in permet d’établir une connexion entre l’ordinateur infecté et le contrôle à distance.

–   Sniffer : il permet d’injecter des scripts malveillants sur le navigateur de la victime, généralement  lorsqu’une personne visite un site bancaire en ligne.

–   Stealer : ce plug-in permet de voler des mots de passe provenant d’une grande variété d’applications (navigateurs, messagerie, client VPN …etc.)

Une nouvelle vague d’attaques du Cheval de Troie a été identifiée en Europe, ciblant les clients des banques en Italie, en Allemagne, en Pologne, en Autriche et au Royaume-Uni. Cette variante est configurée comme « malware as a service » dans laquelle un attaquant contrôle l’infrastructure de commande et de contrôle à distance (C&C) ensuite, il vend les accès à d’autres attaquants affiliés. La nouvelle version du malware utilise le réseau ToR pour créer un canal de communication secret entre l’attaquant et la victime (reverse backdoor).

Depuis 2020 l’activité de Danabot a chuté, probablement liée à la pandémie COVID-19 ou à la concurrence d’autres malwares bancaires qui ne cesse d’évoluer.

Pour plus d’informations :

https://www.proofpoint.com/us/blog/threat-insight/new-year-new-version-danabot

https://www.fortinet.com/blog/threat-research/breakdown-of-a-targeted-danabot-attack


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Vulnérabilité dans Google Chrome et Microsoft Edge

Le 04/02/2020, Google annonce avoir publié un correctif concernant la vulnérabilité (CVE-2021-21148) affectant un navigateur Chrome. Elle est classée comme critique avec un score CVSS 8.8

Cette vulnérabilité est présente dans le logiciel open source (OSS) Chromium utilisé par Microsoft Edge (basé sur Chromium). Elle permet le dépassement de la mémoire tampon dans le tas. Un attaquant distant et non-authentifié peut potentiellement exposer des informations, exécuter du code arbitraire ou provoquer un déni de service.

La vulnérabilité a été exploitée par des attaquants comme indiqué dans cet article. Google a corrigé la faille en publiant la nouvelle version « 88.0.4324.150 » de Chrome.

Systèmes affectés :

–   Google Chrome versions antérieures à 88.0.4324.150

–   Microsoft Edge (Chromium-based) versions antérieures à 88.0.705.63

Pour vérifier la version de son navigateur Edge, vous pouvez suivre les étapes ci-dessous :

–   Dans le navigateur Edge, cliquez sur les trois points (…) situés dans le coin supérieur droit de la fenêtre.

–   Cliquez sur « Aide et Commentaires »

–   Cliquez sur « A propos de Microsoft Edge » et si la version est antérieure, cliquez sur mise à jour.

Pour plus d’informations sur la vulnérabilité :


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Le ransomware Ragnar Locker

Ragnar Locker, apparu fin 2019, est un programme malveillant de type rançongiciel qui a pour objectif de chiffrer les données de sa victime.

Il dispose d’une spécificité de déploiement lui permettant de s’installer en tant que machine virtuelle sur un système cible.

Les cybercriminels utilisent une tâche Windows GPO (Group Policy Object/Objet de Stratégie de Groupe) pour exécuter Microsoft Installer, qui a téléchargé un MSI contenant un ancien hyperviseur d’Oracle VirtualBox (Sun xVM VirtualBox v3.0.4 datant de 2009) et un fichier d’image disque virtuelle micro.vdi (une image d’une version expurgée de Windows XP SP3 appelée MicroXP v0.82 embarquant l’exécutable du ransomware Ragnar Locker.

Le programme malveillant déploie un exécutable “va.exe” et un fichier batch “install.bat”.

L’installateur Microsoft MSI commence par exécuter “va.exe”, qui à son tour exécute le script “install.bat”. Le script consiste à enregistrer et à exécuter les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll nécessaires, ainsi que le pilote VirtualBox VboxDrv.sys:

Une fois le script exécuté, les attaquants désactivent la fonctionnalité de notification Windows AutoPlay, ils suppriment les sauvegardes Windows de type “Shadow copy” afin d’empêcher la restauration des fichiers dans leur version précédente non chiffrée, recenser tous les disques locaux et mapper des lecteurs réseaux sur la machine physique afin de les paramétrer pour être accédés depuis la machine virtuelle malveillante.En Septembre 2020 l’entreprise Française d’affrètement maritime CMA-CGM a été victime de ce ransomware.

Pour plus d’informations :


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Vulnérabilité Zéro Day SonicWall SMA100

Le 23/01/2021, le groupe NCC a signalé une vulnérabilité Zero Day à SonicWall dans leur produit SMA series 100. Son exploitation permet à un attaquant distant et non authentifié d’obtenir les informations de connexions, y compris celles des comptes administrateurs. Celle-ci affecte uniquement les versions 10.x. 

Produits affectés :

Équipements physiques : SMA 200, SMA 210, SMA 400, SMA 410

Équipements virtuels : SMA 500v (Azure, AWS, ESXi, HyperV). 

Le 03/02/20121 SonicWall annonce la disponibilité d’une mise à jour 10.2.0.5-29sv pour l’équipement SMA100 afin de corriger la vulnérabilité Zero day. Le correctif doit être appliqué immédiatement afin d’éviter toute exploitation malveillante. 

Pour plus d’information sur la vulnérabilité :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-001/

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/

Ransomware Egregor

Egregor a été détecté pour la première fois en septembre 2020, il fonctionne sous le modèle Ransomware as-a-service (Raas). Issu de la famille ransomware Sekhmet, il est considéré comme le successeur de Maze et utilise les mêmes techniques de chiffrement à savoir Chacha et RSA (2048 bits) pour chiffrer les fichiers des victimes.

Egregor, se propage via des campagnes de phishing avec des pièces jointes malveillantes, il utilise aussi des accès illégitimes via le protocole RDP.

Les cybercriminels ont également recours à des logiciels malveillants comme le cheval de Troie bancaire Qakbot et les chevaux de Troie Ursnif et IcedID. L’utilisation de ces outils malveillants permet aux attaquants de se déplacer latéralement au sein du réseau compromis, de voler les données avant de chiffrer les fichiers de leurs cibles et d’élever leurs privilèges afin de propager le ransomware sur le réseau.

Les bonnes pratiques pour se protéger d’Egregor :

–   Disposer des dernières mises à jour et de se déconnecter du réseau interne.

–   Appliquer les correctifs de sécurité (notamment sur les concentrateurs VPN).

–      Désactiver les macros des solutions bureautiques qui permettent d’effectuer des tâches de manière automatisée.

–   Surveillé  le nombre, la provenance et les horaires de  connexions RDP (en tout état de cause  ne pas exposer les services de bureau à distance sur des réseaux publics, sans une sécurité très renforcée).

Pour plus d’informations sur le ransomware :

https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-012/

https://www.trendmicro.com/en_us/research/20/l/egregor-ransomware-launches-string-of-high-profile-attacks-to-en.html


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Affaire Sunburst

L’activité suspecte a débuté en Septembre 2019 sur Orion, un des logiciels phare de l’éditeur américain SolarWinds.

Une mise à jour de ce logiciel contenant un code malveillant a été publié en Mars 2020, menant à la compromission des réseaux qui l’utilisait : cette affaire est identifiée sous le nom commun Sunburst (CVE-2020-10148 [12][13]) et concerne les versions antérieures à 2019.4 HF 6 et 2020.2.1 HF 2 du logciel Orion de SolarWinds.

Des grandes entreprises (telle que FireEye qui a détecté en premier l’activité suspecte) ou des agences gouvernementales américaines, utilisatrice de ce logiciel de supervision ont été la cible de cette attaque sophistiquée.

Initialement, les hackers sont parvenus à modifier les mises à jour officielles d’Orion afin de réaliser une attaque par la chaîne d’approvisionnement (supply chain attack). Le code malveillant injecté permet aux pirates d’exécuter du code à distance et d’exfiltrer des données.

D’autres investigations de SolarWinds ont identifié qu’un autre logiciel malveillant nommé « Sunspot » a été utilisé pour injecter une porte dérobée dans la plateforme Orion.

Ainsi, si un administrateur de Orion installe la mise à jour du logiciel, il installe par le même biais Sunburst. Les cybercrimininels se connectaient sur les serveurs des victimes via ce reverse backdoor, puis installaient manuellement d’autres malwares tels que « TEARDROP » et « RAINDROP ». Le fait que les attaquants aient inséré le code malveillant dans les mises à jour officielles de la plateforme Orion leur a permis de ne pas être détecté par les logiciels de sécurité car la préconisation était souvent d’exclure le répertoire d’installation de Orion des arborescence scannées par les antivirus.

En Décembre 2020, Palo Alto a publié que les attaquants avaient également installé un shell .NET nommé « SUPERNOVA ».

Le malware « SUPERNOVA » se décompose en deux composants :

1) Il utilise une DLL Shell “app_web_logoimagehandler.ashx.b6031896.dll” qui a été signée avec un certificat officiel de signature de code de SolarWinds afin de garantir sa confiance. Cette technique lui a permis d’être indétectable pendant plusieurs mois sur le réseau interne.

2) Il exploite une vulnérabilité dans la plate-forme Orion afin de déployer du code malveillant. La vulnérabilité a été résolue dans les dernières mises à jour réalisées par SolarWinds.

Pour plus d’informations sur la vulnérabilité :

https://www.solarwinds.com/securityadvisory#anchor1

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-026/

Note:

les mises à jour des versions infectées ont été réalisées:

  • Le 14/12/2020 pour la version 2019.4 HF 6
  • Le 15/12/2020 pour la version 2020.2.1 HF 2

https://www.solarwinds.com/securityadvisory#anchor1



[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.