Cette semaine en sécurité : Office 0-day, ForcedEntry, ProtonMail et OMIGOD

Un jour 0 particulièrement désagréable a été découvert dans la nature, CVE-2021-40444, une faille dans la façon dont le moteur MSHTML de Microsoft traitait les documents Office. Tous les détails ne sont pas encore clairs, mais le résultat est que l’ouverture d’un document Office peut déclencher une exécution de code à distance. Cela empire, cependant, car l’exploit peut fonctionner lors de la simple prévisualisation d’un fichier dans l’Explorateur, ce qui en fait un exploit potentiel à 0 clic. Jusqu’à présent, l’attaque a été utilisée contre des cibles spécifiques, mais un POC a été publié.

Il semble qu’il existe plusieurs astuces qui devraient être des CVE discrets derrière l’exploit. Tout d’abord, une simple invocation de mshtml:http dans un document Office déclenche le téléchargement et le traitement de cette URL via le moteur Trident, AKA notre vieil ami IE. Le vrai problème juteux est que dans Trident, un iframe peut être construit avec un .cpl URI pointant sur un inf ou dll fichier, et qui est exécuté sans aucune invite. C’est démontré ici par [Will Dormann]. Un correctif a été inclus dans la liste des correctifs de ce mois-ci pour le Patch Tuesday, alors assurez-vous de mettre à jour.

Entrée forcée

Encore un autre 0-clic 0-day, cette fois dans les produits Apple, CVE-2021-30860 a été découvert dans le cadre de la boîte à outils d’exploit du groupe NSO. Citizen Lab fait référence à la vulnérabilité en tant que FORCEDENTRY. C’est un problème dans le code de rendu d’image d’Apple, qui permet à un PDF malveillant de déclencher RCE. Comme Apple partage cette bibliothèque sur plusieurs appareils, l’exploit fonctionne sur iOS, MacOS et même watchOS avant le correctif. Fondamentalement, tous les détails techniques proviennent des notes de mise à jour d’Apple, où ils appellent cela un débordement d’entier.

IP de journalisation de ProtonMail

ProtonMail a été au milieu d’une agitation mineure après avoir donné l’adresse IP de l’un de ses utilisateurs aux autorités suisses. L’une des réponses compréhensibles est la déception qu’ils aient même la capacité de le faire, compte tenu de leur position de non-enregistrement.

La réalité est que ProtonMail est une entreprise suisse et qu’elle est liée par le droit suisse. Il semble que lorsqu’une demande d’informations contraignante est reçue, les administrateurs de ProtonMail activent la journalisation pour le compte spécifique nommé dans la demande. Ils soulignent que si les utilisateurs ciblés avaient utilisé leur offre VPN ou TOR, ils auraient pu garder leur IP privée. ProtonMail a également souligné que leur cryptage n’était pas rompu, de sorte que les forces de l’ordre n’étaient toujours pas en mesure d’accéder aux pièces jointes ou aux e-mails du service.

Vérification orthographique Plus Lien symbolique

GitHub dispose de la fonctionnalité Actions très utile, où certaines étapes du workflow peuvent être automatisées. L’un de ces flux de travail est la vérification orthographique, qui fait exactement ce qu’il dit sur l’étain. Une étrange interaction existe, lorsqu’une pull request contient une faute d’orthographe, ainsi qu’un lien symbolique de .github/actions/advice.md à /proc/self/environ. Advice.md est destiné à contenir les instructions sur la façon de procéder lorsqu’une faute d’orthographe est trouvée et est publié dans le cadre du commentaire automatisé sur la demande d’extraction. Le lien symbolique dans la demande d’extraction signifie que ce qui est réellement commenté est l’information d’environnement du lanceur de processus, y compris un jeton d’authentification GitHub secret.

check-spelling-bot révélant des secrets

Ce jeton est invalidé très rapidement une fois le workflow terminé, l’astuce consiste donc à gagner la course pour utiliser le jeton à temps. La preuve de concept montre comment interroger les commentaires, trouver le jeton et faire une « version d’urgence » qui est en fait un binaire fourni par un attaquant. Le correctif a été implémenté – en interdisant simplement de tels liens symboliques lors de l’exécution du flux de travail.

Il s’agit en fait d’un problème plus important, car les paramètres de configuration du flux de travail sont contenus dans la même base de code que la demande d’extraction. En termes simples, toute action GitHub déclenchée sur une demande d’extraction est potentiellement dangereuse et doit être très soigneusement renforcée contre des problèmes similaires.

Le routeur fuit l’IP

Les chercheurs de Fidus ont mis en place une attaque très intelligente pour démasquer les véritables IP des utilisateurs de certains VPNS. L’attaque repose sur la présence d’un wrapper Web SNMP (Simple Network Management Protocol) présent sur certains routeurs grand public. SNMP est un protocole utile pour obtenir par programmation des statistiques et d’autres informations d’état à partir d’un périphérique en réseau. La recherche a été effectuée sur les routeurs Virgin Media, qui permettaient des requêtes non authentifiées au wrapper SNMP. L’un des points de données accessibles est l’adresse IP publique attribuée au routeur.

Donc, tout ce qu’un attaquant a à faire est d’amener la victime à charger sa page Web et à utiliser du code JS pour faire une requête GET à partir de l’adresse IP du routeur, n’est-ce pas ? Sauf que les navigateurs ont ajouté des fonctionnalités de sécurité pour empêcher exactement ce genre d’abus. L’astuce qui fonctionne ici est la reconnexion DNS, où l’enregistrement DNS du site malveillant est défini sur une durée de vie (TTL) très faible et l’enregistrement est modifié une fois la page chargée. Cela permet à la page JS de faire une autre demande au même nom de domaine, et cette demande va en fait à une IP arbitraire. L’interface Web du routeur n’a aucune protection contre cette technique, il abandonne donc volontiers l’adresse IP.

Cela ne fonctionne pas contre tous les VPN. Certains clients bloquent l’accès aux adresses IP locales, probablement pour empêcher exactement ce genre d’attaque. Notamment, TOR fonctionne de cette façon. Pour un VPN qui ne le fait pas, cependant, cela peut divulguer l’adresse IP publique. L’autre particularité intéressante de cette histoire est que cela a été découvert pour la première fois en octobre 2019. Liberty Global, le propriétaire de Virgin Media, a demandé une année complète pour corriger la vulnérabilité. Plutôt que de travailler sur une divulgation coordonnée, Liberty a « fantôme » les chercheurs depuis lors. Il ne semble pas y avoir de correctifs déployés, cela devrait donc être traité comme un jour 0 jusqu’à preuve du contraire. La solution de contournement consiste à n’utiliser qu’un client VPN qui bloque l’accès aux adresses IP locales, si vous craignez de ne pas divulguer d’informations d’identification sur les sites que vous visitez.

Azure Linux de Microsoft — OMIGOD

Exécutez-vous une machine virtuelle Linux sur Azure de Microsoft ? Vous avez probablement des services vulnérables en cours d’exécution sur cette machine virtuelle en ce moment. Le service problématique est l’Open Management Infrastructure (OMI), qui est automatiquement installé dans le cadre de plusieurs services Azure. La pire des vulnérabilités est CVE-2021-38647, un RCE de pré-authentification en tant que root, ne nécessitant qu’un accès à un port HTTPS exposé. Il s’agit d’une simple faille de logique d’authentification, où une requête sans en-tête Authorization s’exécute par défaut en tant que root. Des mises à jour sont disponibles, mais il n’est pas clair si les correctifs seront déployés automatiquement. Vérifiez le omi emballer. S’il est présent, la version 1.6.8.1 est la version contenant les correctifs.

Bits et octets

J’ai récemment été informé du Gluu Server, une solution à guichet unique pour fournir votre propre service d’authentification OpenID. Si jamais vous êtes confronté à la nécessité de déployer une solution d’authentification unique, Gluu semble être un concurrent sérieux. Nous avons même interviewé le fondateur de Gluu sur FLOSS Weekly, si vous voulez en savoir plus.

Firefox en a assez des manigances de Microsoft. Vous avez peut-être remarqué à quel point il est difficile de modifier les paramètres par défaut du programme dans Windows 10. Il existe une liste de types de fichiers et vous devez tous les définir sur votre application préférée, à moins bien sûr que vous ne souhaitiez utiliser par défaut les produits Microsoft. Ensuite, c’est un simple clic. Certains ingénieurs très intelligents de Mozilla ont procédé à une rétro-ingénierie de la façon dont Edge se définit par défaut, et Firefox est maintenant capable de faire le même tour.