Potentiellement 29 000 utilisateurs entreprises du gestionnaire de mots de passe Passwordstate ont téléchargé une mise à jour malveillante qui a extrait les données de l'application et les a envoyées à un serveur contrôlé par un attaquant, a déclaré le créateur de l'application aux clients.
Dans un e-mail, le créateur de Passwordstate, Click Studios, a déclaré aux clients que des acteurs malveillants avaient compromis son mécanisme de mise à niveau et l'avaient utilisé pour installer un fichier malveillant sur les ordinateurs des utilisateurs. Le fichier, nommé «moserware.secretsplitter.dll», contenait une copie légitime d'une application appelée SecretSplitter, ainsi qu'un code malveillant nommé «Loader», selon un bref résumé de la société de sécurité CSIS Group :
« La société ClickStudios a récemment notifié à ses clients une brèche ayant entraîné une attaque de la chaîne d'approvisionnement menée via une mise à jour du gestionnaire de mots de passe PASSWORDSTATE.
« ClickStudios a mentionné une brèche entre le 20 avril 2021 20h33 UTC et le 22 avril 2021 00h30 UTC. Le mécanisme de mise à jour a été utilisé pour déposer une mise à jour malveillante via un fichier zip «Passwordstate_upgrade.zip» contenant une DLL non autorisée «moserware.secretsplitter.dll». La société mentionne que le C&C de la DLL non autorisée utilisait un CDN (Content Delivery Network) qui a été résilié le 22 avril 2021 à 7h00 UTC.
« Les chercheurs du SCRS Security Group ont découvert l'une des DLL non autorisées au cours d'une enquête. Nous essaierons de partager les IoC que nous avons découverts afin que les entreprises puissent déterminer si elles ont été touchées par cette attaque. Nous avons baptisé cet incident / malware "Moserpass".
« La dll non autorisée que nous avons découverte était la dll nommée "Moserware.SecretSplitter.dll" qui a été injectée / modifiée avec un extrait de code malveillant. Un petit code «Loader» a été ajouté à la DLL d'origine:
« Le code malveillant tente de contacter l'URL suivante:
https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip
- afin de récupérer un code chiffré en utilisant la méthode "Container.Get ()", AES (Advanced Encryption Standard) le déchiffre en utilisant le mot de passe: f4f15dddc3ba10dd443493a2a8a526b0, puis le transmet à la classe Loader(). Une fois déchiffré, le code est exécuté directement en mémoire.
« Au moment de la rédaction de cet article, le C&C est en panne et nous n’avons malheureusement pas réussi à récupérer la charge utile de la deuxième étape.
« ClickStudios a mentionné plus de 29 000 clients prestigieux dans le monde. Nous supposons que cette attaque pourrait avoir potentiellement touché un grand nombre de ces clients.
Comme recommandé par ClickStudios, si vous utilisez Passwordstate, veuillez réinitialiser tous les mots de passe stockés, et en particulier les VPN, le pare-feu, les commutateurs, les comptes locaux ou tout mot de passe de serveur, etc.
« Nous avons localisé deux échantillons différents, mais nous nous attendons à ce que davantage de variantes avec des C&C différents soient utilisées ».
En clair, le code du chargeur tente de récupérer l'archive de fichiers à l'adresse https://passwordstate-18ed2.kxcdn[.]Com/upgrade_service_upgrade.zip afin de pouvoir récupérer une charge utile chiffrée en guise de deuxième étape. Une fois déchiffré, le code est exécuté directement en mémoire. L'e-mail de Click Studios indiquait que le code « extrait des informations sur le système informatique et sélectionne les données Passwordstate, qui sont ensuite publiées sur le réseau CDN des mauvais acteurs ».
La compromission du mécanisme de mise à jour de Passwordstate a duré du 20 avril à 8h33 UTC au 22 avril à 12h30. Le serveur de l'attaquant a été arrêté le 22 avril à 7h00 UTC.
Le côté obscur des gestionnaires de mots de passe
Les professionnels de la sécurité recommandent régulièrement des gestionnaires de mots de passe, car ils permettent aux utilisateurs de stocker facilement des mots de passe longs et complexes, propres à des centaines, voire des milliers de comptes. Sans l'utilisation d'un gestionnaire de mots de passe, de nombreuses personnes ont recours à des mots de passe faibles qui sont réutilisés pour plusieurs comptes.
Mais la compromission de Passwordstate souligne le risque posé par les gestionnaires de mots de passe, car ils représentent un point de défaillance unique pouvant conduire à la compromission d'un grand nombre d'actifs en ligne. Les risques sont nettement moindres lorsque l’authentification à deux facteurs est disponible et activée, car les mots de passe extraits à eux seuls ne sont pas suffisants pour obtenir un accès non autorisé. Click Studios indique que Passwordstate fournit plusieurs options 2FA.
La violation est particulièrement préoccupante, car Passwordstate est principalement vendu aux entreprises qui utilisent le gestionnaire pour stocker les mots de passe des pare-feu, des VPN et d'autres applications d'entreprise. Click Studios affirme que Passwordstate « jouit de la confiance de plus de 29 000 clients et 370 000 professionnels de la sécurité et de l'informatique à travers le monde, avec une base d'installation allant des plus grandes entreprises, y compris de nombreuses sociétés Fortune 500, aux plus petits ateliers informatiques. »
Une autre attaque de la chaîne d'approvisionnement
Le piratage de Passwordstate est la dernière attaque de grande envergure de la chaîne d'approvisionnement mise au jour ces derniers mois. En décembre, une mise à jour malveillante du logiciel de gestion de réseau SolarWinds a installé une porte dérobée sur les réseaux de 18 000 clients. Plus tôt ce mois-ci, un outil de développement mis à jour appelé Codecov Bash Uploader a extrait des jetons d'authentification secrets et d'autres données sensibles des machines infectées et les a envoyés vers un site distant contrôlé par les pirates.
Les charges utiles de la première étape téléchargées sur VirusTotal ici et ici ont montré qu'au moment de la mise en ligne de cet article, aucun des 68 programmes de protection des points de terminaison suivis n'avait détecté le malware Moserware.SecretSplitter.dll. Jusqu'à présent, les chercheurs n'ont pas été en mesure d'obtenir des échantillons de la charge utile de suivi.
Quiconque utilise Passwordstate doit immédiatement réinitialiser tous les mots de passe stockés, en particulier ceux des pare-feu, VPN, commutateurs, comptes locaux et serveurs.
Source : CSIS
Et vous ?
Comment conservez-vous vos mots de passe (dans votre tête, par écrit sur une feuille de papier, grâce à un gestionnaire de mots de passe, autre) ?
Si vous utilisez un gestionnaire de passe, lequel a votre préférence ?
Avez-vous activé l'authentification à plusieurs facteurs ? Si non, envisagez-vous de le faire ?
Quelle lecture faites-vous de la situation de Passwordstate ?
Voir aussi :
La version gratuite de LastPass deviendra beaucoup moins utile dès le mois de mars 2021. Version mobile ou version desktop ? Désormais vous devrez faire un choix
Firefox 85 débarque avec le blocage des supercookies, la suppression du support de Flash sans possibilité de réactivation et apporte des améliorations au gestionnaire de mots de passe
Sondage : quels sont les meilleurs gestionnaires de mots de passe pour une entreprise ? 1Password, Keeper, LastPass, etc.
KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe
Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité
Un gestionnaire de mots de passe a permis à des pirates de voler potentiellement les données de 29 000 entreprises
Suite à un piratage du mécanisme de mise à jour de Passwordstate
Un gestionnaire de mots de passe a permis à des pirates de voler potentiellement les données de 29 000 entreprises
Suite à un piratage du mécanisme de mise à jour de Passwordstate
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !