Sécurité - Vincent Lecomte

[Sécurité] Avast Threat Labs publie ses recherches sur Crackonosh

Publié le 24 juin 202124 juin 2021 par Vincent L

Le laboratoire Avast Threat Labs a publié ses recherches sur le malware Crackonosh. Ce dernier a pour particularité d’utiliser les ressources de votre machine afin de miner de la cryptomonnaie. On le retrouve dans des versions pirates de jeux vidéo. En circulation depuis près de trois ans, il aurait rapporté à ses créateurs près de deux millions de dollars en Monero, d’après Global Security Mag.

En France, Avast a recensé 7205 systèmes infectés. Chez nous, en Belgique, on compte 1815 systèmes touchés. Le top 3 des pays impactés comprend les Philippines, le Brésil et l’Inde, avec respectivement 18448, 16584 et 13779 systèmes touchés.

Dans ses recherches, Avast a détecté la présence du malware Crackonosh dans l’installateur des jeux suivants :

NBA 2K19
Grand Theft Auto V
Far Cry 5
Les Sims 4 : Saisons
Euro Truck Simulator 2
Les Sims 4
Jurassic World Evolution
Fallout 4 GOTY
Call of Cthulhu
Pro Evolution Soccer 2018
We Happy Few

Si vous voulez en savoir plus sur le fonctionnement de ce malware, consultez la publication complète – en anglais – sur le site Decoded, rédigée par Daniel Beneš. On notera par exemple que, parmi ses fonctionnalités, le logiciel malveillant est capable de désactiver certaines protections antivirus lorsqu’il est activé.

Pour éviter ce genre de situation fâcheuse, le mieux est finalement de vous procurer une copie légale de vos jeux.

Sources

Global Security Mag, via Cachem (Twitter)

[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

Publié le 18 février 202119 février 2021 par Vincent L

L’un des avantages de WordPress, c’est la possibilité d’installer des extensions pour en étendre les fonctionnalités. En 2019 on en comptait plus de 55.000 rien que dans le dépôt officiel. Et parmi celles-ci la populaire extension Ninja Forms fait parler d’elle. En effet c’est via Clubic que nous apprenons qu’elle est touchée par plusieurs failles de sécurité.

Pour ceux qui ne connaissent pas cette extension, Ninja Forms est en fait un gestionnaire de formulaires pour vos sites (exemple basique : pour créer facilement une page de contact pour vos visiteurs). D’après la page descriptive, il y aurait plus d’un million d’installations actives.

Les failles découvertes sont au nombre de quatre, et sont très bien détaillées par le site Threatpost. La première permettrait d’intercepter le trafic des e-mails envoyés via SendWP. Cela fait repenser au bug qui avait été découvert dans l’extension Easy WP SMTP Settings. Nous en parlions il y a quelques semaines. Le score CVSS de cette vulnérabilité est de 9.9 sur 10.

Ensuite deux failles concernent l’outil de gestion des modules complémentaires, intégré à Ninja Forms. L’une d’entre elle permettrait de mettre fin à une connexion autorisée via OAuth. Enfin, la dernière faille – considérée comme moyennement grave avec un score CVSS de 4,8 – permettrait de rediriger aisément un utilisateur vers une URL malveillante après sa connexion.

Un correctif rapide

Heureusement tous ces problèmes seraient résolus depuis la version 3.4.34.1 publiée le 8 février 2021. Depuis l’extension a reçu d’autres mises à jour. Les statistiques nous montrent qu’actuellement 64,2 % des versions actives sont en 3.4 (sans spécifier le numéro précis). 13% d’entre elles sont en version 3.2 ou inférieur. Cela fait donc potentiellement un paquet de sites vulnérables.

Si vous utilisez WordPress et en particulier Ninja Forms, vérifiez vite les mises à jour, sauf si vous avez activé l’automatisation de celles-ci pour vos extensions (ce qui peut être utile dans ce cas précis). De manière générale il est bon de rappeler de faire attention à ce que vous installez. Par exemple, une extension ou un thème dont le développement n’est plus suivi, pourrait être problématique.

Sources

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

Publié le 12 décembre 202018 février 2021 par Vincent L

WordPress est un CMS – Content Management System, ou “Système de gestion de contenu” en français – largement utilisé sur de nombreux sites. Il offre notamment aux utilisateurs la possibilité d’installer des extensions développées par des tiers. Celles-ci ne sont pas toujours sans défaut. C’est en tout cas ce qu’a démontré la découverte d’une faille dans l’extension Easy WP SMTP Settings, heureusement déjà corrigée.

Comme son nom le suggère, l’extension permet aux propriétaires de leur site de configurer les paramètres pour l’envoi d’e-mail. Cela concerne notamment ceux envoyés par WordPress. Par exemple, quand un utilisateur veut réinitialiser son mot de passe, un lien est généré puis transmis à l’utilisateur par e-mail.

C’est malheureusement à cause de ceux-ci que des personnes mal intentionnées ont été capables d’intercepter les liens et réinitialiser les mots de passe de comptes. En effet, dans la version 1.4.2 (et inférieures) le dossier de l’extension ne contient pas de page “index.html” ou similaire. Cela a pour conséquence de permettre l’affichage du contenu du dossier si la fonctionnalité est active sur le serveur.

Il est ainsi possible d’accéder à un fichier journal, qui contient toutes les traces d’envoi des mails. Il reprend évidemment le contenu de ceux-ci. Ainsi il ne reste plus qu’à récupérer les liens de réinitialisation… et le tour est joué !

L’auteur de l’extension a d’ores et déjà corrigé le problème dans la version 1.4.4 d’après les notes de version. On soulignera cependant que le nombre d’installations actives est de plus de 500.000. Si vous consultez la vue avancée sur la page de description de l’extension, vous pourrez constater que 43% de versions actives sont en 1.3, ce qui est relativement inquiétant. Cela signifie que de nombreux sites sont encore vulnérables aux attaques.

Si vous utilisez donc cette extension sur votre site, procédez rapidement à sa mise à jour!

Sources

ZDNet

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

Publié le 7 juillet 20207 juillet 2020 par Vincent L

Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.

Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.

Comment ça marche?

Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.

Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.

Les clés USB pour se propager

La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.

Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.

Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier “Update.exe” qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.

Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.

Faible sécurité

D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source “Stupid”.

Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.

.666, .adam, .alosia, .android, .ANNABELLE, .anon,
.bycicle, .corrupted, .crypted, .CYRON, .deria, .devil,
.Doxes, .encrypt, .eTeRnItY, .FailedAccess, .fucked, 
.fucking, .fun, .H34rtBl33d, .Harzhuangzi, .haters, 
.iGotYou, .jeepers, .jigsaw, .killedXXX, .lock, .malki, 
.Malki, .MIKOYAN, .Nazi, .powned, .purge, .slvpawned, 
.SnakeEye, .Tesla, .whycry, .WINDIE, .XmdXtazX, .xncrypt, 
_crypt0, _nullbyte

Sources

[Android] Retrait d’applications qui volaient les identifiants Facebook

Publié le 1 juillet 20201 juillet 2020 par Vincent L

Le Play Store regorge d’applications pour nos smartphones. Parmi celles-ci on retrouve régulièrement des applications malveillantes. C’est suite à un rapport de la société de cybersécurité Evina que Google a procédé au retrait de 25 applications qui volaient les identifiants Facebook.

Afin de tromper l’utilisateur, les applications développées proposaient des services classiques comme le scan de codes QR ou la gestion de fichiers. D’autres se présentaient sous forme de jeux vidéo. Cependant chacune d’entre elles contenait un code malicieux permettant de détecter la dernière application ouverte.

Si celle-ci était Facebook alors le malware enclenchait l’ouverture d’une fausse page web permettant de subtiliser les identifiants de l’utilisateur. Lorsque l’utilisateur confirmait les données étaient envoyées à un serveur distant.

Voici la liste d’applications concernées :

Accurate Scanning of QR Code
Anime Live Wallpaper
Classic Card Game
Color Wallpapers
com.tqyapp.fiction
Composite Z
Contour Level Wallpaper
Daily Horoscope Wallpapers
File Manager
iHealth Step Counter
iPlayer & iWallpaper
Junk File Cleaning
Padenatef
Pedometer
Plus Weather
Powerful Flashlight
Screenshot Capture
Solitaire Game
Super (Bright) Flashlight, Super Wallpapers Flashlight
Synthetic Z
Video Maker
Wallpaper Level
Wuxia Reader

Cette liste a été transmise à Google fin mai. La firme a ensuite procédé au retrait des applications malveillantes début juin. Dès lors si vous retrouvez l’un des éléments de cette liste sur votre smartphone, désinstallez-le rapidement.

En outre la société de cybersécurité met en garde les utilisateurs en leur recommandant de toujours télécharger des applications de développeurs de confiance. La prudence est donc de mise.

De plus en volant vos identifiants, les hackers peuvent accéder à votre compte ou des sites utilisant l’API Facebook. De manière générale il est donc vivement recommandé de protéger vos comptes actuels en utilisant l’authentification à deux facteurs.

A lire également
[Sécurité] Le phishing
Publié: 4 février 2013
Vous avez déjà dû entendre parler de la technique de “hameçonnage”, traduction de l’expression anglaise “phishing”. Expression obtenue en mixant deux mots de la même langue, à savoir “fishing” (l’action de pêcher) et “phreaking” (obtention d’informations transitant sur des réseaux téléphoniques, satellites, ou même via les ondes radios). La technique consiste à usurper l’identité de […]
0 commentaire

Sources

[Windows 10] La mise à jour de mai 2020 est retardée

Publié le 2 mai 202027 mai 2020 par Vincent L

Vous l’attendiez peut-être depuis quelques jours surtout après les bonnes nouvelles concernant la refonte du moteur d’indexation et de recherche du système d’exploitation, qui permettrait de significativement améliorer les performances sur les machines à disques durs. Et bien malheureusement la build 2004 de Windows 10 est retardée… à cause d’une faille de sécurité.

Comme chaque année depuis sa sortie, Windows 10 reçoit deux mises à jour importantes dont une aux alentours du mois d’avril. À la lecture de nombreux articles on pouvait penser à juste titre que celle-ci arriverait en début de mois de mai, sauf que suite à la découverte d’une faille zero-day, elle sera bel et bien repoussée. Dommage !

D’après Mary Jo Foley, une journaliste du site ZDNet, il n’est pas impossible que la mise à jour soit livrée le 28 mai. Quant aux développeurs ils devraient recevoir une mise à jour lors du Patch Tuesday (à savoir le 12 mai). On n’apprend malheureusement rien de plus sur cette fameuse faille de sécurité mais on peut facilement comprendre ce report surtout après les nombreuses critiques de ces dernières semaines.

Sources

Phonandroid
ZDNet

[Système] Microcode Intel pour Windows 10 1803

Publié le 17 mai 20185 mai 2020 par Vincent L

Jusqu’à présent Microsoft ne proposait pas les mises à jour nécessaires pour le microcode des processeurs Intel pour Windows 10 April Update (version 1803), laissant ainsi la faille Spectre à nouveau ouverte. C’est désormais réglé puisque le catalogue Microsoft Update reprend une nouvelle mise à jour, la KB4100347. Comme cela a déjà été expliqué dans un article sur ce blog, vous pouvez utiliser l’outil GRC InSpectre pour connaitre le CPUID de votre processeur.

Repérez ensuite la bonne version du patch à télécharger et l’architecture correspondant à celle de votre OS. Il vous sera demandé de redémarrer après l’installation. Vérifiez ensuite avec le petit outil si la protection est bien active.

Si la mise à jour ne s’applique pas à votre processeur, vérifiez si le constructeur de votre carte mère ne propose pas un nouveau BIOS. Dernièrement Asus – comme d’autres marques – a sorti des versions bêta pour certains modèles tels que les Maximus VII, et les retours sont plutôt positifs.

[Windows 10] Firmware Intel contre Spectre

Publié le 16 mars 201827 mai 2020 par Vincent L

Depuis le début du mois de mars Intel collabore avec Microsoft pour délivrer aux utilisateurs de Windows 10 (version 1709) les mises à jour du firmware de ses processeurs qui sont touchés par la fameuse faille Spectre. Déployée au démarrage du système, cela permet aux possesseurs de plus anciennes machines de se protéger au maximum alors qu’ils ne bénéficient pas forcément d’un BIOS mis à jour.

Il y a deux jours le patch a donc été mis à jour pour couvrir les processeurs des gammes Kaby Lake et Coffee Lake, en plus de Skylake. Il s’agit de la mise à jour KB4090007. Le tableau présent sur cette page liste les versions existantes de cette mise à jour, et précise quels sont les CPU concernés à chaque fois. La colonne CPUID vous permettra d’identifier si le votre peut recevoir le correctif.

Téléchargez l’outil InSpectre créé par Gibson Research Corporation, sur la page ici. Ce petit logiciel, ne nécessitant aucune installation, vous indique si votre ordinateur est protégé contre Spectre et Meltdown. Il vous permet également de désactiver les protections pour chacune, si vous rencontrez des problèmes de performances. Et nouveauté de la dernière version : elle indique le CPUID, soit le code qui identifie votre processeur, et qui doit correspondre à un élément dans le tableau sur la page Microsoft du correctif.

Localisez la bonne version du correctif lié au CPUID du processeur, puis rendez-vous sur le catalogue Microsoft Update pour récupérer le patch. Une fois téléchargé, exécutez-le. L’installation ne prend que quelques secondes et vous invite à redémarrer une fois terminée.

Au redémarrage, il faudra exécuter l’outil InSpectre en mode administrateur, et activer la protection pour Spectre.A noter que pour les anciennes versions de Windows, des patches logiciels sont déployés mais ne protègent pas complètement des attaques. Certains bidouilleurs passent alors par des solutions alternatives en moddant le BIOS pour injecter le firmware quand le constructeur de la carte mère ne fournit plus de support logiciel.

Pendant ce temps, Intel améliore le design de ses puces afin d’y intégrer une protection matérielle, et continuerait de mettre en production les firmwares pour les plus anciennes gammes, d’après le bout de document ci-dessus. Espérons que Microsoft continue à les déployer via Microsoft Update…

[Sécurité] Quel site fabrique de la cryptomonnaie?

Publié le 27 novembre 20175 mai 2020 par Vincent L

Il y a peu j’avais pu constater que certains sites (notamment des sites proposant du téléchargement illégal) utilisaient le moteur JavaScript du navigateur pour miner de la crypto-monnaie. C’est une pratique qui semble devenir… monnaie courante – pardon pour le jeu de mots – afin de générer des revenus. Cela vise à remplacer les bannières publicitaires. Le minage n’est pas toujours avantageux puisqu’il peut utiliser pas mal de ressources CPU de votre machine. Korben met en avant un site web intéressant pour vérifier où ce principe est appliqué. Il s’agit de Whoismining?

Saisissez l’adresse du site internet à vérifier et cliquez sur “Check“. Le résultat indique la méthode de fabrication, en analysant le script utilisé (ex : jsecoin, coinhive.com, etc). Vous pourrez donc savoir quels sont les coquins qui font craquer votre machine. Si vous êtes totalement contre cette pratique il n’est pas inutile d’employer des extensions comme Noscript. Cela bloquera l’exécution de ces scripts et donc, votre ordinateur restera tranquille !

Edition du 4 décembre 2017 : il semblerait que certains scripts ouvrent une fenêtre de votre navigateur en arrière-plan en positionnant celle-ci derrière la barre de tâches. Si la transparence est activée, vous pouvez facilement la repérer.

Sources

Korben

[Sécurité] Bad Rabbit arrive en Europe

Publié le 26 octobre 20175 mai 2020 par Vincent L

Bad Rabbit est un nouveau malware développé sur base du code de Petya. Il s’attaque aux partages réseau, notamment dans les entreprises. Le malware propose tout d’abord à l’utilisateur d’installer une soi-disant mise à jour d’Adobe Flash. Une fois qu’il accepte, le logiciel malveillant commence à scanner les partages réseaux SMB (“Server Message Block“, le protocole de partage utilisé par les PC sous Windows) ouverts et tente d’accéder à ceux qui sont protégés à l’aide d’une liste d’utilisateurs / mots de passe prédéfinie.

Il va évidemment chiffrer tout ce à quoi il a eu accès lors de son analyse, en demandant évidemment à la victime de débourser la somme de 0,05 bitcoin pour débloquer la situation (avec un prix qui semble augmenter au fil des heures). Comme d’habitude : ne payez pas ! Kaspersky recommande même de désactiver le service WMI pour bloquer la propagation du malware.

Sources

Korben