Cette semaine en matière de sécurité : Exchange 0-day, Doppelgangers et Python se mêlent au TAR

Selon les chercheurs de GTSC, il existe un 0-day non corrigé utilisé dans la nature pour exploiter les serveurs Microsoft Exchange entièrement corrigés. Lorsqu’ils ont trouvé un serveur compromis, ils ont fait le rapport à Microsoft via ZDI, mais après avoir trouvé plusieurs serveurs Exchange compromis, ils sonnent l’alarme pour tout le monde. Il semble qu’il s’agisse d’une attaque similaire à ProxyShell, en ce sens qu’elle utilise le point de terminaison de découverte automatique comme point de départ. Ils soupçonnent que c’est un groupe chinois qui utilise l’exploit, sur la base de certains des indicateurs trouvés dans le webshell qui est installé.

Il existe une atténuation temporaire, en ajoutant un bloc de requête basé sur l’URL sur la chaîne .*autodiscover.json.*@.*Powershell.. Les détails exacts sont disponibles dans le post. Si vous utilisez Exchange avec IIS, cela devrait probablement être ajouté à votre système dès maintenant. Ensuite, utilisez l’outil automatisé ou exécutez le one-liner PowerShell pour détecter le compromis : Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200. Celui-ci a le potentiel d’être un autre problème vraiment désagréable, et peut être vermifuge. Au moment de la rédaction de cet article, il s’agit d’un problème en suspens non corrigé dans Microsoft Exchange. Revenez et terminez le reste de cet article après avoir sécurisé vos systèmes.

Les sosies numériques

[Connor Tumbleson] a eu une étrange surprise il y a quelques semaines, via un e-mail d’un autre développeur, [Andrew]qui avait été embauché pour faire semblant d’être [Connor] pour un entretien d’embauche. Tu peux répéter s’il te plait? Cette arnaque est nouvelle pour nous et semble se dérouler comme suit : l’escroc choisit un compte GitHub avec une photo professionnelle et une activité impressionnante, puis crée un compte Upwork au nom de ce développeur senior. Cela inclut une analyse approfondie des données accessibles au public sur le développeur cible. Ensuite, notre escroc contacte un autre titulaire de compte GitHub, avec des informations d’identification moins impressionnantes – un développeur junior, et fait une offre d’emploi : travailler avec une équipe de développement qui ne parle pas anglais, faire du travail de développement et travailler comme visage de l’équipe quand travailler avec des clients nord-américains. La seule partie douteuse du travail est que la nouvelle recrue mènera des entretiens en utilisant le nom de ses coéquipiers.

Cela nous amène à [Andrew], qui était le « développeur junior » dans ce scénario. Tout semblait légitime, jusqu’à ce qu’il se rende compte que le membre de l’équipe qu’il était censé représenter ne faisait pas réellement partie de l’équipe, et a contacté le vrai [Connor]qui a commencé à creuser.

Cela se résume à une arnaque à l’emploi, essayant d’utiliser le nom et la réputation d’un développeur qualifié pour décrocher un contrat. Gardez un œil sur les faux profils sur Upwork ou sur des sites d’emploi similaires. Et si vous recevez une offre qui ressemble à celle qui a mordu [Andrew], se méfier. Et enfin, si vous avez embauché un développeur via Upwork, demandez-vous si vous avez vraiment confirmé que votre nouveau développeur est bien celui qu’il prétendait être.

Modification des temps Byte Python dans le TAR

Pour ce bogue, ce que nous allons faire ici, c’est remonter, très loin, remonter dans le temps. CVE-2001-1267 était l’original tar vulnérabilité de traversée de répertoire. Vous pourriez inclure ../ dans le cadre du chemin du fichier dans les archives tar, et tar suivrait volontiers le chemin du répertoire où qu’il pointe. Vous voulez écraser /etc/passwd? Aucun problème. Eh bien, les développeurs de GNU ont réalisé qu’il s’agissait d’une vulnérabilité et ont corrigé GNU avec la version 1.13.20. Avance rapide jusqu’en 2007, et [Jan Matejek] remarqué que le décompresseur de tar de Python avait le même problème. Après quelques débats, le problème a été décidé comme n’étant pas un bogue et fermé avec des mises à jour de la documentation. La question a été soulevée * à nouveau * en 2017 et n’a jamais été traitée.

Et maintenant, nous arrivons aux découvertes récentes de Trellix. Les chercheurs là-bas ont d’abord pensé qu’ils avaient découvert un jour 0 en Python, pour se rendre compte qu’il s’agissait du bon vieux CVE-2007-4559, toujours caché. Même si le danger a été documenté, certains développeurs Python ont-ils introduit par erreur du code vulnérable dans leurs projets en utilisant le module Python tarfile de manière non sécurisée ? Sur GitHub, recherchez "Import tarfile" language:Python renvoie 300 000 occurrences. La vérification d’un sous-ensemble de ces projets a donné un taux de vulnérabilité de 61 %. Aïe !

Racine chromée

Google Chrome fait quelque chose de nouveau, qui est potentiellement controversé, qui pourrait bien casser les choses — donc juste un autre vendredi. Celui-ci est un peu spécial, cependant. Google Chrome va commencer à expédier son propre magasin racine. Il s’agit essentiellement de la liste principale des certificats HTTPS considérés comme valides par le navigateur. Le gros avantage ici est que cela signifie que Chrome se comportera de la même manière sur toutes les plates-formes, ne dépendant plus de la liste des certificats fournis par le système d’exploitation. Bien sûr, cela signifie également que Google contrôle qui peut utiliser HTTPS. Si un certificat a été ajouté manuellement du côté du système d’exploitation, Chrome le récupérera et l’honorera également. Nous verrons.

Chiffrement intermittent et autres récits de la taille d’un octet

Les campagnes de ransomwares ont une nouvelle astuce dans leurs manches collectives : le chiffrement intermittent. C’est l’observation que tous les octets d’un fichier cible n’ont pas besoin d’être chiffrés, afin de le rendre inutilisable pour le propriétaire. Le chiffrement tous les 16 octets sur deux permet un chiffrement plus rapide et une détection plus lente. Il existe d’autres tendances que Sentinel One a découvertes, comme les ransomwares écrits dans Rust and Go, et encore plus de variantes dans Ransomware as a Service.

WhatsApp vient de publier une mise à jour pour iOS et Android qui corrige une paire de vulnérabilités d’exécution de code à distance, toutes deux liées à la gestion de la vidéo. Dans un cas, il s’agissait d’un débordement d’entier accessible via un appel vidéo en direct, et dans l’autre cas, d’un débordement d’entier lors de la gestion d’un fichier vidéo.

Twitter a eu un problème vraiment désagréable, où une réinitialisation du mot de passe n’a pas réellement invalidé les jetons d’application. Ainsi, si quelqu’un a repris un compte et s’est connecté sur l’application mobile, la modification du mot de passe n’a pas mis fin à l’accès. Le problème a été résolu et toute personne concernée a été informée.

HP a publié des mises à jour du micrologiciel pour bon nombre de ses imprimantes, corrigeant une paire de vulnérabilités pouvant activer RCE sur bon nombre de ses imprimantes réseau. Il n’y a pas beaucoup d’informations disponibles sur le problème, mais un attaquant avec un accès réseau persistant dans un appareil souvent négligé est déjà assez effrayant. Attendez simplement la vague inévitable de vulnérabilités des pilotes où une imprimante malveillante peut déclencher l’exécution de code arbitraire sur une machine essayant d’y imprimer.