Sécurité - Vincent Lecomte

[Sécurité] Découverte d’une faille de sécurité critique dans Spring

Publié le 1 avril 20221 avril 2022 par Vincent L

Comme nous le rapporte le magazine Programmez! VMWare signale la présence d’une faille de sécurité critique dans son produit Spring, permettant l’exécution de code à distance (RCE). Cela touche les versions de Spring Framework 5.2.0 à 5.2.19 et 5.3.0 à 5.3.17, ainsi que des versions plus anciennes. Reprise sous l’identifiant CVE-2022-22965 et baptisée Spring4Shell, cette faille ne peut être exploitée que si certaines conditions sont réunies.

En effet, sont vulnérables des applications Spring MVC ou WebFlux, tournant sur une JDK 9 (ou supérieur) sur un serveur Tomcat, et qui ne sont pas déployées en tant qu’exécutables Spring Boot (mais bien sous la forme d’archives WAR). Dans sa note, VMWare met toutefois en garde que la faille pourrait être exploitée par d’autres moyens.

VMWare recommande de mettre à jour au plus vite vos applications avec une version plus récente de Spring Framework. S’il n’est pas possible pour vous de changer de version, des solutions de contournement sont proposées dans une publication sur le blog de Spring.

Sources

Programmez!

[Sécurité] Avast Threat Labs publie ses recherches sur Crackonosh

Publié le 24 juin 202128 mars 2022 par Vincent L

Le laboratoire Avast Threat Labs a publié ses recherches sur le malware Crackonosh. Ce dernier a pour particularité d’utiliser les ressources de votre machine afin de miner de la cryptomonnaie. On le retrouve dans des versions pirates de jeux vidéo. En circulation depuis près de trois ans, il aurait rapporté à ses créateurs près de deux millions de dollars en Monero, d’après Global Security Mag.

En France, Avast a recensé 7205 systèmes infectés. Chez nous, en Belgique, on compte 1815 systèmes touchés. Le top 3 des pays impactés comprend les Philippines, le Brésil et l’Inde, avec respectivement 18448, 16584 et 13779 systèmes touchés.

Dans ses recherches, Avast a détecté la présence du malware Crackonosh dans l’installateur des jeux suivants :

NBA 2K19
Grand Theft Auto V
Far Cry 5
Les Sims 4 : Saisons
Euro Truck Simulator 2
Les Sims 4
Jurassic World Evolution
Fallout 4 GOTY
Call of Cthulhu
Pro Evolution Soccer 2018
We Happy Few

Si vous voulez en savoir plus sur le fonctionnement de ce malware, consultez la publication complète – en anglais – sur le site Decoded, rédigée par Daniel Beneš. On notera par exemple que, parmi ses fonctionnalités, le logiciel malveillant est capable de désactiver certaines protections antivirus lorsqu’il est activé.

Pour éviter ce genre de situation fâcheuse, le mieux est finalement de vous procurer une copie légale de vos jeux.

Sources

Global Security Mag, via Cachem (Twitter)

[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

Publié le 18 février 202128 mars 2022 par Vincent L

L’un des avantages de WordPress, c’est la possibilité d’installer des extensions pour en étendre les fonctionnalités. En 2019 on en comptait plus de 55.000 rien que dans le dépôt officiel. Et parmi celles-ci la populaire extension Ninja Forms fait parler d’elle. En effet c’est via Clubic que nous apprenons qu’elle est touchée par plusieurs failles de sécurité.

Pour ceux qui ne connaissent pas cette extension, Ninja Forms est en fait un gestionnaire de formulaires pour vos sites (exemple basique : pour créer facilement une page de contact pour vos visiteurs). D’après la page descriptive, il y aurait plus d’un million d’installations actives.

Les failles découvertes sont au nombre de quatre, et sont très bien détaillées par le site Threatpost. La première permettrait d’intercepter le trafic des e-mails envoyés via SendWP. Cela fait repenser au bug qui avait été découvert dans l’extension Easy WP SMTP Settings. Nous en parlions il y a quelques semaines. Le score CVSS de cette vulnérabilité est de 9.9 sur 10.

Ensuite deux failles concernent l’outil de gestion des modules complémentaires, intégré à Ninja Forms. L’une d’entre elle permettrait de mettre fin à une connexion autorisée via OAuth. Enfin, la dernière faille – considérée comme moyennement grave avec un score CVSS de 4,8 – permettrait de rediriger aisément un utilisateur vers une URL malveillante après sa connexion.

Un correctif rapide

Heureusement tous ces problèmes seraient résolus depuis la version 3.4.34.1 publiée le 8 février 2021. Depuis l’extension a reçu d’autres mises à jour. Les statistiques nous montrent qu’actuellement 64,2 % des versions actives sont en 3.4 (sans spécifier le numéro précis). 13% d’entre elles sont en version 3.2 ou inférieur. Cela fait donc potentiellement un paquet de sites vulnérables.

Si vous utilisez WordPress et en particulier Ninja Forms, vérifiez vite les mises à jour, sauf si vous avez activé l’automatisation de celles-ci pour vos extensions (ce qui peut être utile dans ce cas précis). De manière générale il est bon de rappeler de faire attention à ce que vous installez. Par exemple, une extension ou un thème dont le développement n’est plus suivi, pourrait être problématique.

Sources

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

Publié le 12 décembre 202028 mars 2022 par Vincent L

WordPress est un CMS – Content Management System, ou « Système de gestion de contenu » en français – largement utilisé sur de nombreux sites. Il offre notamment aux utilisateurs la possibilité d’installer des extensions développées par des tiers. Celles-ci ne sont pas toujours sans défaut. C’est en tout cas ce qu’a démontré la découverte d’une faille dans l’extension Easy WP SMTP Settings, heureusement déjà corrigée.

Comme son nom le suggère, l’extension permet aux propriétaires de leur site de configurer les paramètres pour l’envoi d’e-mail. Cela concerne notamment ceux envoyés par WordPress. Par exemple, quand un utilisateur veut réinitialiser son mot de passe, un lien est généré puis transmis à l’utilisateur par e-mail.

C’est malheureusement à cause de ceux-ci que des personnes mal intentionnées ont été capables d’intercepter les liens et réinitialiser les mots de passe de comptes. En effet, dans la version 1.4.2 (et inférieures) le dossier de l’extension ne contient pas de page « index.html » ou similaire. Cela a pour conséquence de permettre l’affichage du contenu du dossier si la fonctionnalité est active sur le serveur.

Il est ainsi possible d’accéder à un fichier journal, qui contient toutes les traces d’envoi des mails. Il reprend évidemment le contenu de ceux-ci. Ainsi il ne reste plus qu’à récupérer les liens de réinitialisation… et le tour est joué !

L’auteur de l’extension a d’ores et déjà corrigé le problème dans la version 1.4.4 d’après les notes de version. On soulignera cependant que le nombre d’installations actives est de plus de 500.000. Si vous consultez la vue avancée sur la page de description de l’extension, vous pourrez constater que 43% de versions actives sont en 1.3, ce qui est relativement inquiétant. Cela signifie que de nombreux sites sont encore vulnérables aux attaques.

Si vous utilisez donc cette extension sur votre site, procédez rapidement à sa mise à jour!

Sources

ZDNet

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

Publié le 7 juillet 202028 mars 2022 par Vincent L

Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.

Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.

Comment ça marche?

Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.

Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.

Les clés USB pour se propager

La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.

Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.

Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier « Update.exe » qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.

Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.

Faible sécurité

D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source « Stupid ».

Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.

.666, .adam, .alosia, .android, .ANNABELLE, .anon,
.bycicle, .corrupted, .crypted, .CYRON, .deria, .devil,
.Doxes, .encrypt, .eTeRnItY, .FailedAccess, .fucked, 
.fucking, .fun, .H34rtBl33d, .Harzhuangzi, .haters, 
.iGotYou, .jeepers, .jigsaw, .killedXXX, .lock, .malki, 
.Malki, .MIKOYAN, .Nazi, .powned, .purge, .slvpawned, 
.SnakeEye, .Tesla, .whycry, .WINDIE, .XmdXtazX, .xncrypt, 
_crypt0, _nullbyte

Cookie	Description
cookielawinfo-checkbox-advertisement	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-necessary	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non-necessary".
cookielawinfo-checkbox-others	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Others".
cookielawinfo-checkbox-performance	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".

Cookie	Description
IDE	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
VISITOR_INFO1_LIVE	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Description
cookielawinfo-checkbox-functional	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
DYvWfFsi	No description
LvgUFJCPO_ds	No description
RCvgKpczA	No description
yt-remote-connected-devices	No description available.
yt-remote-device-id	No description available.