Catégorie : Sécurité

Informations et dossiers concernant la sécurité: virus et méthodes de suppression, conseils pour se protéger contre le phishing, actualités concernant les dernières failles de sécurité…

[Sécurité] Découverte d’une faille de sécurité critique dans Spring

[Sécurité] Découverte d’une faille de sécurité critique dans Spring

Comme nous le rapporte le magazine Programmez! VMWare signale la présence d’une faille de sécurité critique dans son produit Spring, permettant l’exécution de code à distance (RCE). Cela touche les versions de Spring Framework 5.2.0 à 5.2.19 et 5.3.0 à 5.3.17, ainsi que des versions plus anciennes. Reprise sous l’identifiant CVE-2022-22965 et baptisée Spring4Shell, cette faille ne peut être exploitée que si certaines conditions sont réunies.

Faille de sécurité Spring

En effet, sont vulnérables des applications Spring MVC ou WebFlux, tournant sur une JDK 9 (ou supérieur) sur un serveur Tomcat, et qui ne sont pas déployées en tant qu’exécutables Spring Boot (mais bien sous la forme d’archives WAR). Dans sa note, VMWare met toutefois en garde que la faille pourrait être exploitée par d’autres moyens.

VMWare recommande de mettre à jour au plus vite vos applications avec une version plus récente de Spring Framework. S’il n’est pas possible pour vous de changer de version, des solutions de contournement sont proposées dans une publication sur le blog de Spring.

Sources

[Sécurité] Avast Threat Labs publie ses recherches sur Crackonosh

[Sécurité] Avast Threat Labs publie ses recherches sur Crackonosh

Le laboratoire Avast Threat Labs a publié ses recherches sur le malware Crackonosh. Ce dernier a pour particularité d’utiliser les ressources de votre machine afin de miner de la cryptomonnaie. On le retrouve dans des versions pirates de jeux vidéo. En circulation depuis près de trois ans, il aurait rapporté à ses créateurs près de deux millions de dollars en Monero, d’après Global Security Mag.

avast recherches Crackonosh

En France, Avast a recensé 7205 systèmes infectés. Chez nous, en Belgique, on compte 1815 systèmes touchés. Le top 3 des pays impactés comprend les Philippines, le Brésil et l’Inde, avec respectivement 18448, 16584 et 13779 systèmes touchés.

Dans ses recherches, Avast a détecté la présence du malware Crackonosh dans l’installateur des jeux suivants :

NBA 2K19
Grand Theft Auto V
Far Cry 5
Les Sims 4 : Saisons
Euro Truck Simulator 2
Les Sims 4
Jurassic World Evolution
Fallout 4 GOTY
Call of Cthulhu
Pro Evolution Soccer 2018
We Happy Few

Si vous voulez en savoir plus sur le fonctionnement de ce malware, consultez la publication complète – en anglais – sur le site Decoded, rédigée par Daniel Beneš. On notera par exemple que, parmi ses fonctionnalités, le logiciel malveillant est capable de désactiver certaines protections antivirus lorsqu’il est activé.

Pour éviter ce genre de situation fâcheuse, le mieux est finalement de vous procurer une copie légale de vos jeux.

Sources

[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

L’un des avantages de WordPress, c’est la possibilité d’installer des extensions pour en étendre les fonctionnalités. En 2019 on en comptait plus de 55.000 rien que dans le dépôt officiel. Et parmi celles-ci la populaire extension Ninja Forms fait parler d’elle. En effet c’est via Clubic que nous apprenons qu’elle est touchée par plusieurs failles de sécurité.

wordpress ninja forms failles

Pour ceux qui ne connaissent pas cette extension, Ninja Forms est en fait un gestionnaire de formulaires pour vos sites (exemple basique : pour créer facilement une page de contact pour vos visiteurs). D’après la page descriptive, il y aurait plus d’un million d’installations actives.

Les failles découvertes sont au nombre de quatre, et sont très bien détaillées par le site Threatpost. La première permettrait d’intercepter le trafic des e-mails envoyés via SendWP. Cela fait repenser au bug qui avait été découvert dans l’extension Easy WP SMTP Settings. Nous en parlions il y a quelques semaines. Le score CVSS de cette vulnérabilité est de 9.9 sur 10.

Ensuite deux failles concernent l’outil de gestion des modules complémentaires, intégré à Ninja Forms. L’une d’entre elle permettrait de mettre fin à une connexion autorisée via OAuth. Enfin, la dernière faille – considérée comme moyennement grave avec un score CVSS de 4,8 – permettrait de rediriger aisément un utilisateur vers une URL malveillante après sa connexion.

Un correctif rapide

Heureusement tous ces problèmes seraient résolus depuis la version 3.4.34.1 publiée le 8 février 2021. Depuis l’extension a reçu d’autres mises à jour. Les statistiques nous montrent qu’actuellement 64,2 % des versions actives sont en 3.4 (sans spécifier le numéro précis). 13% d’entre elles sont en version 3.2 ou inférieur. Cela fait donc potentiellement un paquet de sites vulnérables.

Si vous utilisez WordPress et en particulier Ninja Forms, vérifiez vite les mises à jour, sauf si vous avez activé l’automatisation de celles-ci pour vos extensions (ce qui peut être utile dans ce cas précis). De manière générale il est bon de rappeler de faire attention à ce que vous installez. Par exemple, une extension ou un thème dont le développement n’est plus suivi, pourrait être problématique.

Sources

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

WordPress est un CMS – Content Management System, ou « Système de gestion de contenu » en français – largement utilisé sur de nombreux sites. Il offre notamment aux utilisateurs la possibilité d’installer des extensions développées par des tiers. Celles-ci ne sont pas toujours sans défaut. C’est en tout cas ce qu’a démontré la découverte d’une faille dans l’extension Easy WP SMTP Settings, heureusement déjà corrigée.

faille plugin smtp

Comme son nom le suggère, l’extension permet aux propriétaires de leur site de configurer les paramètres pour l’envoi d’e-mail. Cela concerne notamment ceux envoyés par WordPress. Par exemple, quand un utilisateur veut réinitialiser son mot de passe, un lien est généré puis transmis à l’utilisateur par e-mail.

C’est malheureusement à cause de ceux-ci que des personnes mal intentionnées ont été capables d’intercepter les liens et réinitialiser les mots de passe de comptes. En effet, dans la version 1.4.2 (et inférieures) le dossier de l’extension ne contient pas de page « index.html » ou similaire. Cela a pour conséquence de permettre l’affichage du contenu du dossier si la fonctionnalité est active sur le serveur.

Il est ainsi possible d’accéder à un fichier journal, qui contient toutes les traces d’envoi des mails. Il reprend évidemment le contenu de ceux-ci. Ainsi il ne reste plus qu’à récupérer les liens de réinitialisation… et le tour est joué !

L’auteur de l’extension a d’ores et déjà corrigé le problème dans la version 1.4.4 d’après les notes de version. On soulignera cependant que le nombre d’installations actives est de plus de 500.000. Si vous consultez la vue avancée sur la page de description de l’extension, vous pourrez constater que 43% de versions actives sont en 1.3, ce qui est relativement inquiétant. Cela signifie que de nombreux sites sont encore vulnérables aux attaques.

Si vous utilisez donc cette extension sur votre site, procédez rapidement à sa mise à jour!

Sources

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.

Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.

ransomware try2cry propage usb

Comment ça marche?

Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.

Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.

Les clés USB pour se propager

La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.

Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.

Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier « Update.exe » qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.

Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.

Faible sécurité

D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source « Stupid ».

Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.

.666, .adam, .alosia, .android, .ANNABELLE, .anon,
.bycicle, .corrupted, .crypted, .CYRON, .deria, .devil,
.Doxes, .encrypt, .eTeRnItY, .FailedAccess, .fucked, 
.fucking, .fun, .H34rtBl33d, .Harzhuangzi, .haters, 
.iGotYou, .jeepers, .jigsaw, .killedXXX, .lock, .malki, 
.Malki, .MIKOYAN, .Nazi, .powned, .purge, .slvpawned, 
.SnakeEye, .Tesla, .whycry, .WINDIE, .XmdXtazX, .xncrypt, 
_crypt0, _nullbyte

Sources