août 11th, 2014

Le journal du Sans attire l’attention de ses lecteurs sur Triage-IT, un script « d’inventaire d’urgence » combinant les forces de plusieurs outils édités par Sysinternal et Moonsols (DumpIt de Mattieu Suiche). Config IP, dump mémoire, BDR, données ARP, fichiers partagés et ouverts, informations réseau etc. sont immédiatement « logués » dans un fichier

Une fois de plus, l’un des frères Litchfield (David) dévoile, à l’occasion de la BlackHat 2014, un PoC visant une faille Oracle. Ce qui est moins banal, c’est que la faille en question concerne une extension de sécurité intégrée à Oracle 12c, extension baptisée Data Redaction. Ce module sert essentiellement à masquer, ou plus exactement à expurger le contenu affiché de certaines requêtes lorsque celles-ci sont susceptibles d’intégrer des données sensibles. Selon le niveau de privilège de l’usager qui consulte la base de données, les adresses, numéros de sécurité sociale ou identifiants bancaires par exemple pourront être supprimés du formulaire affiché. Contrairement à l’ancien Data Masking associé à l’application chargée de l’interrogation, Data Redaction dépend d’une politique de sécurité.

Pour David Litchfield, cette politique de sécurité peut être contournée au moins de trois manière différentes, dont deux par attaque brute force, un autre en utilisant la clause returning into avec une opération Insert, Update ou Delete. Les détails dans la communication officielle de l’auteur.

Après quasiment 2 longues années de silence, le clan Litchfield est de retour dans le landernau Oracle. Voilà qui promet quelques CPU agitées.

« Nous ne supporterons plus que les versions récentes d’Internet Explorer » affirme un billet du très officiel Blog I.E.. En d’autres termes, Microsoft abandonne, à brève échéance, la mise à jour et la publication de correctifs d’Internet Explorer version 8,9 et 10 sous Windows 7. Les usagers devront nécessairement migrer sous I.E. 11… ou tout autre navigateur concurrent.

De telles ruptures (ou abandon d’acquis) font régulièrement l’objet de querelles de chapelles et de problèmes de déploiement au sein de la communauté des utilisateurs professionnels. On se souvient de la longue agonie d’I.E. 6.x qui, bien que perclus de trous de sécurité, a longtemps été utilisé en entreprise pour des raisons de compatibilité avec des développements Web d’entreprise et autres motifs d’administration.

Le permis de séjour accordé à Edward Snowden par la Fédération de Russie a été reconduit pour une durée de 3 ans, nous apprend Anatoly Kucherena, l’avocat du lanceur d’alertes. Ce permis autorise l’intéressé à pouvoir quitter la Fédération pour une durée ne pouvant dépasser 3 mois indique le quotidien Russia Today.

Le bulletin anticipé d’avis de correctif Microsoft prévoit, pour le mois d’août, 9 rustines à appliquer. Sur la totalité, deux d’entre elles sont considérées comme critiques, notamment le traditionnel correctif Internet Explorer.

Personne n’ignore que les outils de la famille de L0phtckrack et autres Rainbow Table ne servent qu’aux seuls administrateurs frappés d’amnésie brutale. Il en est de même pour les travaux de Sylvio Cesare, Qualys, qui passe en revue une bonne partie des techniques de hack destinées à ouvrir les portes des véhicules actionnées par télécommande radio. Ce chercheur vient de publier, à l’occasion de la BlackHat 2014 un article très survolé mais très simple à comprendre et hébergé par nos confrères du Register. Trois approches très simples sont ainsi décrites.
La première approche, de loin la plus simple, consiste à enregistrer la séquence radio lorsque le propriétaire légitime émet le signal à l’aide de sa clef radio. C’est une « attaque par rejeu » (ou replay attack), que l’on peut d’ailleurs perfectionner et transformer en attaque evil twin à l’aide d’un petit émetteur de brouillage et de filtres de réception très sélectifs (Sylvio Cesare n’envisage d’ailleurs pas cette approche).

L’autre type de radio-crochetage observe une démarche plus informatico-informaticienne, puisqu’elle consiste à récupérer le signal, puis à le décoder et l’analyser afin d’en distinguer le préambule d’une part, le corps du message-clef ensuite, pour en extraire la logique qui permettra à son tour de forger une clef valide. « Les serrures radio utilisent généralement un nombre limité de clefs associées à une séquence pseudo aléatoire », explique le chercheur. Nombre fini de clefs, aléa fragile… il n’en faut pas plus pour deviner un jeu de clefs valides possibles.

La troisième approche est dérivée de la précédente… allégée de la phase consistant à forger une clef valide par de savants calculs. Cette étape est remplacée par la bonne vieille méthode brute force… qui ne semble pas franchement dépassée. Sur un modèle de voiture des années 2005, la porte s’ouvre en moins de deux heures affirme l’auteur, puisqu’en général, le nombre de combinaisons possibles que doit générer l’émetteur brute force est inférieur à un million.
Et d’ajouter qu’il n’est d’ailleurs pas nécessaire de tomber sur la « bonne séquence que le générateur d’aléa aurait pu créer ». Car bon nombre de ces dispositifs de protection sont fragilisés par la présence d’une backdoor (un passe-partout radio-numérique) qui facilite d’autant le déverrouillage du dispositif. Cette version bagnolesque du mot de passe par défaut est une véritable aubaine pour les amateurs technophiles de vol à la roulotte.

Cette superproduction dans laquelle s’affrontent les super-héros et super-vilains numériques s’achève, cette fois, avec la victoire des gentils, autrement dit l’ouverture d’ un site offrant une clef de déchiffrement gratuite aux victimes du « virus chiffreur de données ». Ce service en ligne ne demande aux victimes que l’envoi d’un des fichiers verrouillés (en priant tous les saints du paradis numérique qu’il ne s’agisse pas là d’un document sensible).

Cryptolocker n’est plus actif depuis un certain temps déjà. Ce service de déchiffrement s’adresse donc aux victimes qui n’ont osé ni contacter les pirates à l’origine de ce ransomware afin d’acheter la libération de leur données, ni effacer leurs disques durs.