L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10,
D'après des chercheurs de RiskSense
Le 2017-06-07 13:55:15, par Stéphane le calme, Chroniqueur Actualités
WannaCry a ciblé une vulnérabilité critique de Server Message Block (SMB) que Microsoft a corrigée avec son patch MS17-010 qui a été diffusé le 14 mars 2017. Le logiciel malveillant s’appuyait sur deux exploits de la NSA : EternalBlue, pour infecter les systèmes, et DoublePulsar, comme porte dérobée.
Alors que les dégâts de WannaCry étaient principalement limités aux machines tournant sur Windows 7, une version différente d'EternalBlue pourrait infecter Windows 10.
C’est en tout cas ce que suggèrent des chercheurs de RiskSense. Ils ont figuré parmi les premiers à analyser EternalBlue, sa charge utile DoublePulsar et la plateforme Fuzzbunch de la NSA (souvenez-vous de Metasploit). Ils ont déclaré qu'ils ne vont pas publier le code source du port Windows 10 pendant quelque temps, le cas échéant.
Dans le cadre de leurs analyses, ils ont découvert qu’il était possible de contourner les mécanismes de sécurité de Windows 10 en modifiant le code de l’exploit EternalBlue. Selon les chercheurs, la meilleure défense contre EternalBlue consiste à appliquer la mise à jour MS17-010 fournie en mars par Microsoft.
Les chercheurs ont publié un rapport dans lequel ils expliquent ce qui est nécessaire pour porter l'exploit de la NSA sur Windows 10. Ils prennent également le temps d’examiner les mesures d'atténuation mises en œuvre par Microsoft qui peuvent bloquer ces attaques.
« Nous avons omis certains détails de la chaîne d'exploit qui ne seraient utiles qu'aux attaquants et non à la construction de défenses », a déclaré l'analyste principal de recherche Sean Dillon. « La recherche est destinée à l'industrie de la sécurité de l'information des whites HAT afin d'accroître la compréhension et la connaissance de ces exploits. L’objectif est de voir se développer de nouvelles techniques prévenir des attaques futures. Cela aide les défenseurs à mieux comprendre la chaîne d'exploit afin qu'ils puissent construire des défenses face à l'exploit plutôt que face à la charge utile » .
Le module Metasploit disponible, qui est complètement séparé du nouveau port Windows 10, est une version simplifiée d'EternalBlue qui a réduit la quantité de trafic réseau impliqué et, par conséquent, plusieurs des règles du système de détection d'intrusion créées depuis la fuite et recommandées par les entreprises de sécurité et le gouvernement américain pourraient être contournées. Il supprime également la porte dérobée DoublePulsar, à laquelle Dillon a déclaré que de nombreuses entreprises de sécurité ont accordé une attention trop importante. DoublePulsar est un exploit au niveau du noyau abandonné par tous les exploits de la plateforme Fuzzbunch.
Il affirme que son équipe et lui ont réussi à « créer une nouvelle charge utile qui peut charger des logiciels malveillants directement sans installer au préalable la porte dérobée DoublePulsar. Ainsi, les personnes qui cherchent à se défendre contre ces attaques à l'avenir ne devraient pas se concentrer uniquement sur DoublePulsar. Concentrez-vous sur les parties de l'exploit que nous pouvons détecter et bloquer ».
Le nouveau port cible Windows 10 x64 version 1511, qui a été publié en novembre et était baptisé Threshold 2, est toujours pris en charge dans Windows Current Branch for Business. Les chercheurs ont pu contourner les atténuations introduites dans Windows 10 qui ne sont pas présentes dans Windows XP, 7 ou 8, et vaincre les dérivations EternalBlue pour DEP et ASLR.
« Pour nous connecter à Windows 10, nous avons dû créer une nouvelle dérivation pour DEP », a expliqué Dillon. Le rapport RiskSense présente plus de détails sur la nouvelle attaque, y compris sur la nouvelle charge utile qui vient remplacer DoublePulsar, dont Dillon a déclaré qu'elle était cryptographiquement instable et permet à quiconque de charger des logiciels malveillants secondaires. La nouvelle charge utile de RiskSense est une Asynchronous Procedure Call (APC) qui permet d'exécuter les charges utiles du mode utilisateur sans la porte dérobée.
« Une APC peut “emprunter” un thread de processus qui se trouve dans un état alertable inactif et s'il repose sur des structures dont les décalages changent entre les versions de Microsoft Windows, c'est l'un des moyens les plus fiables et les plus faciles de sortir du mode noyau et d'entrer dans le mode utilisateur », a expliqué RiskSense.
Source : rapport de RiskSense (au format PDF)
Alors que les dégâts de WannaCry étaient principalement limités aux machines tournant sur Windows 7, une version différente d'EternalBlue pourrait infecter Windows 10.
C’est en tout cas ce que suggèrent des chercheurs de RiskSense. Ils ont figuré parmi les premiers à analyser EternalBlue, sa charge utile DoublePulsar et la plateforme Fuzzbunch de la NSA (souvenez-vous de Metasploit). Ils ont déclaré qu'ils ne vont pas publier le code source du port Windows 10 pendant quelque temps, le cas échéant.
Dans le cadre de leurs analyses, ils ont découvert qu’il était possible de contourner les mécanismes de sécurité de Windows 10 en modifiant le code de l’exploit EternalBlue. Selon les chercheurs, la meilleure défense contre EternalBlue consiste à appliquer la mise à jour MS17-010 fournie en mars par Microsoft.
Les chercheurs ont publié un rapport dans lequel ils expliquent ce qui est nécessaire pour porter l'exploit de la NSA sur Windows 10. Ils prennent également le temps d’examiner les mesures d'atténuation mises en œuvre par Microsoft qui peuvent bloquer ces attaques.
« Nous avons omis certains détails de la chaîne d'exploit qui ne seraient utiles qu'aux attaquants et non à la construction de défenses », a déclaré l'analyste principal de recherche Sean Dillon. « La recherche est destinée à l'industrie de la sécurité de l'information des whites HAT afin d'accroître la compréhension et la connaissance de ces exploits. L’objectif est de voir se développer de nouvelles techniques prévenir des attaques futures. Cela aide les défenseurs à mieux comprendre la chaîne d'exploit afin qu'ils puissent construire des défenses face à l'exploit plutôt que face à la charge utile » .
Le module Metasploit disponible, qui est complètement séparé du nouveau port Windows 10, est une version simplifiée d'EternalBlue qui a réduit la quantité de trafic réseau impliqué et, par conséquent, plusieurs des règles du système de détection d'intrusion créées depuis la fuite et recommandées par les entreprises de sécurité et le gouvernement américain pourraient être contournées. Il supprime également la porte dérobée DoublePulsar, à laquelle Dillon a déclaré que de nombreuses entreprises de sécurité ont accordé une attention trop importante. DoublePulsar est un exploit au niveau du noyau abandonné par tous les exploits de la plateforme Fuzzbunch.
Il affirme que son équipe et lui ont réussi à « créer une nouvelle charge utile qui peut charger des logiciels malveillants directement sans installer au préalable la porte dérobée DoublePulsar. Ainsi, les personnes qui cherchent à se défendre contre ces attaques à l'avenir ne devraient pas se concentrer uniquement sur DoublePulsar. Concentrez-vous sur les parties de l'exploit que nous pouvons détecter et bloquer ».
Le nouveau port cible Windows 10 x64 version 1511, qui a été publié en novembre et était baptisé Threshold 2, est toujours pris en charge dans Windows Current Branch for Business. Les chercheurs ont pu contourner les atténuations introduites dans Windows 10 qui ne sont pas présentes dans Windows XP, 7 ou 8, et vaincre les dérivations EternalBlue pour DEP et ASLR.
« Pour nous connecter à Windows 10, nous avons dû créer une nouvelle dérivation pour DEP », a expliqué Dillon. Le rapport RiskSense présente plus de détails sur la nouvelle attaque, y compris sur la nouvelle charge utile qui vient remplacer DoublePulsar, dont Dillon a déclaré qu'elle était cryptographiquement instable et permet à quiconque de charger des logiciels malveillants secondaires. La nouvelle charge utile de RiskSense est une Asynchronous Procedure Call (APC) qui permet d'exécuter les charges utiles du mode utilisateur sans la porte dérobée.
« Une APC peut “emprunter” un thread de processus qui se trouve dans un état alertable inactif et s'il repose sur des structures dont les décalages changent entre les versions de Microsoft Windows, c'est l'un des moyens les plus fiables et les plus faciles de sortir du mode noyau et d'entrer dans le mode utilisateur », a expliqué RiskSense.
Source : rapport de RiskSense (au format PDF)
-
arondMembre expérimenté@koyosama
Mais non !!! il faut alterner entre la Russie la Chine et la corée du nord. Et de temps en temps les terroristes pour se souvenir que sa existe comme sa tu tapes pas toujours sur les mêmes. Effet Garantie !le 20/12/2017 à 8:44 -
4sStylZMembre éprouvéC’est les états unis qui l’accusent. Pas la corée du nord.le 10/09/2018 à 13:15
-
ItachiaurionMembre confirméQue je sache Donald Trump n'est pas expert en informatique ni en sécurité. Un président n'est pas représentatif de son état et il est fort probable qu'il ignorais l'existence même de cette personne avant que cela soit révéler officiellement ou non. C'est un peu comme dire la même chose mais 5 ans en arrière quand c'était Barack Obama qui étais bien plus cool en comparaison, les USA ne sont pas uniquement défini par leur président.le 10/09/2018 à 13:33
-
alexetgusMembre averti"Haut niveau de certitude", "suspectés", "confiance raisonnable", "nous ne sommes pas les seuls à le penser", ...
En voilà un dossier solide, que des doutes !
Les USA devraient se calmer avec leurs accusations à la légère. A moins que ça ne serve leurs intérêts comme en Irak.
Comme par hasard, c'est la Corée du Nord qui est désignée. Ca tombe au bon moment ! A quand les frappes sur ce pays ?le 19/12/2017 à 20:56 -
koyosamaMembre éprouvéAh je me rappelle quand Sony a lancé la mode. Je ferais la même chose, c'est la faute à la Corée du Nord dès que je fais une bourde.le 20/12/2017 à 0:45
-
Pill_SMembre expertY'a 6 mois tout le monde se fendait pas la gueule en se disant qu'un tel pays d'arriérés ne pourrait jamais rien pirater?
Ha oui pardon, maintenant qu'on soupçonne la CdN d'être capable de faire péter une bombe H et en plus de l'embarquer sur un missile, on revoit notre copie c'est ça?
A ce rythme-là dans 6 mois on dira qu'ils sont à la pointe dans tous les domaines high-tech?
Arrêtez de faire des plans sur la comète, la vérité c'est que personne n'en sait rien, et ça ça sent surtout l'argument foireux pour justifier (ou aider à justifier) une future attaque... mais pas informatique cette foisle 20/12/2017 à 13:02 -
Pierre GIRARDExpert éminentÇa n'est pas une envie, c'est juste que c'est précisément le sujet du fil : "WannaCry : les États-Unis incriminent officiellement la Corée du Nord". Et toi tu réponds à ce fil par : "Il y en a vraiment encore qui pensent que les USA de Trump sont credible?". Ma réponse à TA question va donc directement dans le sens du fil concernant les USA et la Corée du Nord. Contrairement à toi, sur cette affaire, j'ai beaucoup plus de raison de croire les USA que les Coréens ... d'où mon intervention précédente.le 23/12/2017 à 18:33
-
AiekickMembre extrêmement actifpourquoi relayer les annonces de la nsa comme celle ci ??? on ne les crois plus !le 16/06/2017 à 3:08
-
BufferBobExpert éminentle 17 mai dernier déjà, Symantec, Kaspersky Labs, des chercheurs indépendants comme Mathieu Suiche etc. annonçaient que le code des premières versions de WCry avait des allures de déjà vu du Lazarus Group, lequel est identifié depuis pas mal de temps comme ayant des liens avec la Corée du Nord
quand la NSA annonce ça 3 semaines après, non seulement ce n'est pas vraiment un scoop, mais ce ne sont finalement que les conclusions de l'enquête qu'ils menaient jusqu'alors
quant à plus y croire, battre le pavillon de la révolte ou s'offusquer de ci ou ça franchement...
faudrait que la NSA fasse une annonce: "ne vous jetez pas du haut d'une falaise, la chute pourrait être mortelle", du coup les moutons y croiraient bêtement, tandis que les plus malins eux, qui savent que la NSA ment, iraient se jeter du haut de la falaisele 16/06/2017 à 7:14 -
AfaureFutur Membre du Clubça part en *** vraiment là , je pige pas pourquoi ils ont arrêté le hacker qui à trouvé , en plus ils soupçonnent la Corée maintenant , on va terminer avec les illuminatis et tout ou quoi ?!
Les responsables , ce sont les shadows brokers , ce sont eux qui ont dérobés ces failles à la NSA , et des petits malins en ont profité .
Il ne faut pas aller bien loin , regardez : http://www.lemonde.fr/pixels/article...8_4408996.html
Je vous laisse méditer , Bonne journée .le 04/08/2017 à 10:59