Archives par mot-clé : chercheurs

L’UEFI : cible persistante de TrickBot

Récemment les chercheurs en sécurité informatique la société AdvIntel ont fait une étonnante découverte.

Un module TrickBot permettant aux logiciels malveillants de persister et continuer à agir quand bien même que le système ciblé a été reformater ou remplacer. Une fonctionnalité qui ne va pas rendre la tâche facile aux responsables de sécurité de système d’information.

Cet article va aussi vous intéresser : Trickbot : Microsoft et les autorités Américaines contre le réseau de zombie le plus important au monde

De façon technique, on notera que TrickBot, utilise une plate-forme qui a la possibilité d’identifier les modules matériels tournant sur Intel mais de façon sous-jacente. Il permet alors de vérifier le registre de contrôle du BIOS, pour s’assurer qu’il est déverrouillé ou l’absence d’une quelconque protection.

Une évolution assez inquiétante du programme TrickBot, qui donnait déjà du fil à retordre aux professionnels. À titre de rappel, il faut noter que TrickBot est un Botnet c’est-à-dire un réseau d’ordinateurs connectés de façon frauduleuse dans le but de générer de la puissance de calcul, servant généralement aux pirates informatiques de passerelle d’accès aux réseaux des entreprises pour injecter des rançongiciels où d’autres programmes malveillants pour les soumettre à leur contrôle. Grâce aux nouveaux modules identifiés par les chercheurs en sécurité, le Botnet peut dorénavant rechercher la configuration UEFI qui présente des failles de sécurité sur des systèmes qu’ils ont précédemment infectés. Ce qui permet alors au cyber attaquants de pouvoir déployer des portes dérobées, de niveau si bas, qu’il est compliqué au les chercheurs de les supprimer.

À titre de précision signifions que l’UEFI pour « Unified Extensible Firmware Interface » est un outil qui permet de s’assurer que sur un système informatique aucun logiciel malveillant du genre rootkit (utilisé par les pirates informatiques pour modifier les systèmes d’exploitation dans le but de cacher des programmes malveillants, de transférer des données ou des portes dérobée), n’est installé. Rappelons de ce fait que Kaspersky annonçait avoir découvert un rootkit du nom de MoazaicRegressor, qui s’attaque à principalement aux disques UEFI.

« Cela marque une étape importante dans l’évolution de TrickBot », ont précisé les chercheurs des sociétés de sécurité informatique Advanced Intelligence (AdvIntel) et Eclypsium dans leur récent rapport publié aujourd’hui. « Les implants de niveau UEFI sont la forme de bootkits la plus profonde, la plus puissante et la plus furtive. Étant donné que le micrologiciel est stocké sur la carte mère par opposition aux lecteurs système, ces menaces peuvent fournir aux attaquants une persistance continue, même si le disque est remplacé. De même, si le micrologiciel est utilisé pour brique un appareil, les scénarios de récupération sont nettement différents et plus difficiles que la récupération à partir du cryptage traditionnel du système de fichiers qu’une campagne de ransomware comme Ryuk, par exemple ». Notent-elles.

Pour en revenir à TrickBot, c’était à la base un programme en malveillant de type cheval de Troie. Il faisait ses armes généralement dans le domaine de la fraude bancaire en ligne et du vol d’identifiant de connexion tels que des mots de passe et de noms d’utilisateurs.

Aujourd’hui, il se présente comme une vaste plateforme de cybercriminalité qui s’étend à plusieurs fonctionnalités et capacités qui prend en compte les analyses RDP, les accès à distance passant par le VNC plus, les exploits à travers les vulnérabilités SMB.

Plusieurs opérateurs ont été observés derrière l’utilisation de TrickBot. Parmi tant d’autres, il y a le célèbre groupe connu dans le secteur de la cybersécurité du nom d’Overdose ou The Trick. Il utilise le programme malveillant pour accéder aux réseaux d’entreprises, pour ensuite mettre à la disposition d’autres groupes des cybercriminels les accès obtenus, en particulier les opérateurs qui sont derrière le rançongiciel Ryuk. Le groupe Lazarus, connu comme un groupe de pirate informatique travaillant pour le compte de l’État Coréen aurait aussi user de TrickBot dans le but de développer des portes dérobées.

Selon les chercheurs en sécurité informatique, les opérateurs du programme TrickBot offrent le plus souvent leur service au groupe de catégorie APT où aux groupes de pirates informatiques de catégorie supérieure.

En octobre dernier, la société de Redmond Microsoft et plusieurs autres organisations se sont réunies pour porter un coup important sur les Infrastructures de commande et de contrôle du programme malveillant TrickBot. Si l’opération a été un succès, il n’en demeure pas moins que le Botnet vit toujours. En novembre, plusieurs compagnes de cybercriminalité en été initié en se fondant sur ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La clé de Intel pour les chiffrements de mise à jour découvert par des chercheurs

Dans un certain sens ce n’est pas une bonne nouvelle, car grâce à cette découverte, des hackers sont en mesure dorénavant de mettre à jour leur puce en utilisant leur propre code.

La découverte a été faite par des chercheurs en cybersécurité. Depuis lors, la clé de chiffrement utilisé par Intel pour crypter ses mises à jour est dévoilée. Dorénavant, il faudra faire très attention à la manière dont ces puces seront utilisés ou encore la manière dont elles pourront être protégées. En fait ici allusion à la clé qui permet à l’ordinateur de déchiffrer les mises à jour fourni par le géant américain lors de la correction de certains bugs ou faille de sécurité. Ce que signifie qu’avec cette possibilité, les pirates informatiques peuvent déchiffrer dorénavant les mises à jour. Si les hackers disposent d’une version déchiffrée d’un correctif de sécurité, ils peuvent déterminer dans quelle mesure utiliser cette information pour quand même exploiter la faille qui vient d’être corrigée. Par ailleurs grâce à cette clé, il est possible pour une tierce personne, de mettre à jour lui-même ces propres puces en utilisant ses propres codes.

Cet article va aussi vous intéresser : Les processeurs Intel seraient protégés dorénavant contre le Cryptojacking selon BlackBerry

Les chercheurs à l’origine de cette trouvaille sont l’Indépendant Maxim Goryachy et les chercheurs de Positive Technologies que sont Dmitry Sklyarov et Mark Ermolov. Pour réussir, cet exploit, il est en profiter d’une vulnérabilité critique découverte par les chercheurs de Positive Technologies en 2017, affectant le moteur de gestion de la société américaine.

« Pour le moment, il est assez difficile d’évaluer l’impact sur la sécurité », a noté Maxim Goryachy, le chercheur indépendant. « Néanmoins, dans tous les cas, c’est la première fois dans l’histoire des processeurs Intel que vous pouvez exécuter votre microcode à l’intérieur et analyser les mises à jour », ajoute ce dernier. Les 3 chercheurs ont travaillé durant des années conjointement sur le projet. L’extraction de la clé peut se faire sur n’importe quelle puce qu’elle soit, Pentium, Celeron ou même Atom, dès l’instant qu’elle est basée sur l’architecture Goldmont.

L’aventure a commencé depuis 2017. À la découverte de la vulnérabilité critique qui permettait aux chercheurs de Positive Technologies, Dmitry Sklyarov et Mark Ermolov, d’exécuter code sur le noyau indépendant des puces Intel, qui prenait en charge un système connu sous le nom de Intel management engine. À l’époque plusieurs failles de sécurité avaient été découvertes par les mêmes chercheurs. Des vulnérabilités qui affectaient notamment le firmware :

– du microcontrôleur (ME),

– la plateforme de configuration à distance des serveurs à base de processeur Intel (SPS)

– le moteur d’exécution fiabilisé (TXE).

Grâce à ces failles de sécurité, Un pirate informatique pouvait exécuter un code malveillant sur l’ordinateur ciblé.

Si ces failles de sécurité ont été déjà corrigées par Intel à travers des correctifs de sécurité, le fait que les puces puissent être restaurées permet aux pirates informatiques de revenir à l’état d’avant le correctif de sécurité.

Interrogé sur la question, les responsables de la société américaine ont déclaré : « Le problème décrit ne représente pas une exposition à la sécurité des clients et nous ne nous appuyons pas sur l’obscurcissement des informations derrière Red Unlock comme mesure de sécurité. En plus de l’atténuation INTEL-SA-00086, les OEM qui suivent les directives de fabrication d’Intel ont atténué les capacités de déverrouillage spécifiques aux OEM requises pour cette recherche ».

« La clé privée utilisée pour authentifier le microcode ne réside pas dans le silicium et un attaquant ne peut pas charger un correctif non authentifié sur un système distant. »

En d’autres termes, il n’a pas qu’on ne peut pas utiliser cela pour attaquer à distance un système informatique équipé de puce ou des terminaux équipés de puces Intel fonctionnant basé sur l’architecture Goldmont. Cependant, si l’attaque à distance n’est pas on ne peut pas nier que pour une personne ayant un accès physique aux terminaux, on peut envisager clairement une telle possibilité.

« Il y a une idée fausse commune selon laquelle les processeurs modernes sont pour la plupart fixés depuis l’usine, et parfois ils recevront des mises à jour de microcode qui seront rigoureusement analysés à la recherche de bogues particulièrement flagrants », a souligné le responsable de la sécurité des produits chez MongoDB, Kenn White. « Mais dans la mesure où c’est vrai (et ce n’est en grande partie pas le cas), il y a très peu de limites pratiques à ce qu’un ingénieur pourrait faire avec les clés du royaume pour ce silicium. », ajoute ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Apple face aux chercheurs en sécurité informatique

Le feuilleton Apple et la firme Corellium continue de prendre une tournure plus ou moins disgracieuse et cela affecte l’ensemble du secteur.

La firme de Cupertino voudrait forcément mettre au le pied du mur la start-up.

Cet article va aussi vous intéresser : Une faille de sécurité sur iPhone qui pourrait permettre des Jailbreaks d’iOS de façon permanente

Il y a quelques mois de cela, Apple avait intenté une action en justice contre Corellium pour avoir mis à disponibilité des chercheurs en sécurité informatique, des machines virtuelles fonctionnant sous iOS, l’objectif étant pour les chercheurs en sécurité de pouvoir mener des tests sur l’écosystème de Apple sans passer par le jailbreak. Pour le géant américain, ceci est clairement une atteinte à la protection de sa propriété intellectuelle, car il n’a jamais consenti au développement d’un tel outil ainsi que son déploiement. Dans un certain sens, on peut dire que Apple est totalement dans son droit. Cependant l’acharnement de la firme de Cupertino contre Corellium continue de susciter des bon nombre d’incompréhension et d’aggraver ses mauvaises relations avec les professionnels secteur de la sécurité. Cela ne fait que développer et révéler ces ressentiments qui ont toujours existé à l’égard de Apple.

C’est d’ailleurs pour cette raison qu’une grande majorité des spécialistes de la sécurité informatique ont mentionné le fait que la firme de Cupertino ne les aidaient pas vraiment dans leurs tâches. Et cela est même mis en évidence par le fait que la marque de la pomme a longtemps tardé avant de mettre en place le système de bug Bounty pour ses appareils et systèmes. Et même lors de sa mise en place en 2016, ce programme n’était à l’origine accessible que pour un nombre limité de hackers qui étaient triés sur le volet. Ce n’est que longtemps après que la firme américaine s’est enfin pliée de laisser d’autres personnes participer a son programme, bien longtemps avant beaucoup d’autres sociétés de son calibre. Ce revirement soudain n’a d’autres explications que que l’apparition de manière, fréquente depuis un certain moment, de failles de sécurité sur les iPhones. Fait suffisant pour pousser la société Américaine à non seulement permettre à n’importe qui de participer dorénavant à ses programmes de bug Bounty mais avec des récompenses énormes.

Mais tout ceci n’a pas freiné les mécontents, surtout ces fois ou Apple a procédé à une sélection limitée de chercheurs en sécurité, auxquels il a donné des iPhones jailbreakés pour leurs recherches. Laissant les autres spécialistes se débrouiller selon leurs moyens, obligeant certains à se procurer des iPhones de déblocage sur le marché noir à des prix souvent extrêmes. C’est dans de tels contexte que la solution proposée par Corellium tombe à point nommé, se révélant être très pratique comme alternative, car permettant de gagner beaucoup plus de temps.

Si le géant Américain a souligner lors de sa plainte que son objectif n’est pas de faire barrière à la recherche en sécurité informatique d’une quelconque manière, il demeure pas moins que les antécédents qu’il a avec plusieurs chercheurs lésés par son comportement rend difficile à croire avec de telles déclarations, estimant que ce dernier ne cherche que des excuses et chercherait derrière sa plainte, à limiter les recherches pourtant sur iOS. Apple a noté par ailleurs qu’il ne permettrait pas que son système d’exploitation soit commercialisé de manière frauduleuse quelle que soit la raison. Sur Twitter, MalwareTech écrivait sur la question : « Apple veut garder le contrôle sur la recherche et les failles qui en découlent. Sa volonté est probablement d’éviter que des chercheurs vendent des failles à des brokers ».

Pour sa défense, Corellium déclare avoir participé à plusieurs programmes de bug Bounty lancés par Apple. Cela en utilisant ces technologies de virtualisation qui lui ont permis de livrer certaines failles de sécurité au géant américain. Que à aucun moment : « Apple n’a jamais fait aucune remarque relative à une possible violation de la propriété intellectuelle », pouvait on lire dans un document juridique.

De toute évidence l’action en justice de Apple porte ces fruits. En effet, le géant a déclaré que la start-up incitait les personnes qui utilisaient son logiciel à vendre les failles aux plus offrants. Pour éviter les représailles de la part de géant américain, plusieurs chercheurs préfèrent ne plus se tourner vers Corellium et sa solution.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Des chercheurs découvrent 8 failles de sécurité sur les composants VoIP du système Android

Depuis la semaine dernière, il a été découverte des failles de sécurité sur le système Android qui pourrait permettre une fois exploité de pouvoir passer des appels à l’insu des utilisateurs, dérober l’identité des personnes vulnérables, où mettre des obstacles aux appels vocaux entrants et installer un programme malveillant sur les appareils vulnérables. Ces failles de sécurité sont au nombre de huit exactement.

A lire également : Le système d’exploitation des mobile Android piraté par « l’agent Smith »

Ces failles sont qualifiées comme étant les premières du genre. Depuis toujours en fait, les chercheurs en sécurité informatique ou les universitaires ne s’intéressaient qu’aux éléments caractéristiques des matériels de sécurité de matériel d’équipement, des applications et des serveurs VoIP. Bizarrement aucun d’entre eux avait une initiative tendant à ‘analyser les composants VoIP du système de Google. C’est ainsi que 3 universitaires ont décidé de s’atteler à cette tâche. Ils ont réussi à mettre en place 3 moyens pour analyser le back end VoIP de nombreux systèmes et ont réussi à systématiquement analyser totalement les composants concernés pour détecter s’il y avait de potentielle faille de sécurité pouvant être utilisée par des pirates informatiques.

Ils ont utilisé comme technique du « fuzzing » dans la majorité de leur test, qui est une technique consistant à transmettre des données erronées et de façon aléatoire aux composants logiciels pour ensuite observer quel comportement il y aura, ce qui permettra de déceler les anomalies comme des fuites de mémoire ou encore des crashs, s’il y en a dans les résultats.

L’équipe d’universités a annoncé la semaine dernière, qu’elle avait analysé pour la toute première fois « les API système et Android Intent en se concentrant sur les interactions avec les composants VoIP natifs du système d’exploitation. ». Par la suite, les chercheurs ont installé dans leur laboratoire un banc d’essai VoIP, et en procéder à l’analyse des différents protocoles tels que :

– SIP pour Protocole d’ouverture de session

– SDP pour Protocole de description de session

– RTP pour Protocole de transport en temps réel

Après avoir analysé les journaux et réaliser des audits du code sources, passant par l’analyse des versions les plus récentes de Android tel que : Android ; d’Android 7.0 ; Android 9.0 et Android Pie. Pour finir, il fut découvert 9 failles de sécurité, qu’ils ont fini par signaler à Google dont certaines ont déjà été corrigées. Sur les 9 failles de sécurité il y avait huit qui concernaient le Back end VoIP de Android. La restante concernait une application tierce.

Grâce à l’une de ses failles, un logiciel malveillant qui soit installé sur le terminal pourrait lancer à l’insu de l’utilisateur un appel VoIP grâce à une application dénommé VK. Il pourra aussi de permettre d’écouter tous les échanges qu’entendront les utilisateurs du téléphone. Ils ont par ailleurs ajouté qu’aucune interaction n’est exigée pour être en mesure d’exploiter la faille de sécurité. « le bug est idéal pour être intégré aux logiciels espions Android, aux chevaux de Troie d’accès à distance (RAT) et autres types de programmes malveillants. » par ailleurs ils expliquent ceci : « « Par exemple, en définissant physiquement « sipuser » et « serverip » dans le format de la figure 10 (a), mProfileDirectory devient « /data/data/-com.android.phone/files/alice/@SomeSite/../. ./../../../../sdcard/ « et permet de faire fuiter le fichier de profil SIP sur la carte SD. Un déni de service permanent peut également se produire si « serverip » est configuré pour écraser le fichier d’une autre application système, par exemple mmssms.db comme le montre la figure 10 (b). » un peu technique mais pour dire que ses failles sont assez dangereuses. En collaboration avec Google, ils essaient d’y remédier en maintenant en place un correctif de sécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Un Super virus contre les appareils Apple

Des chercheurs de Google ont découvert un nouveau virus capable d’infecter votre téléphone portable en un clic sur une plate-forme numérique infectée.

Il vous suffit simplement de visiter le site et si vous avez une iPhone, ou un Mac, ce téléphone sera corrompu immédiatement et vos données seront à la merci du virus.

Cet article peut aussi vous intéresser : iPhone est vulnérable par son application iMessage

Que ce soit la géolocalisation, les photos, en passant par les messages ou d’autres données personnelles ce virus permet d’avoir accès à tout le contenu de votre terminal sans limite.

C’est dans la journée du 29 août c’est-à-dire avant-hier que les chercheurs de Google ont publié l’existence de ce virus qu’ils venaient de découvrir. Selon les chercheurs ce virus infecte particulièrement les appareils Apple. Dès l’instant que celui-ci accède au terminal en question, il relève à la fois 14 failles de sécurité dans les programmes qui composent ces machines. C’est totalement surprenant que cela a pu passer inaperçu aussi longtemps. En effet Les chercheurs de Google affirment que ce virus existe depuis maintenant 2 ans.

Il est vrai qu’Apple avait corrigé certaines failles de sécurité qui entrait en ligne de compte des effets du virus. Avant cette correction, le virus a été efficace durant tout ce temps. À l’époque on ne pouvait pas se protéger des impacts de ce virus. Aujourd’hui même si certains correctifs ont été activés, il n’empêche que d’autres vulnérabilités demeurent, permettant encore aux utilisateurs de ce virus de s’en prendre aux appareils Apple.

L’une de particularité de ce programme malveillant, ce qu’il permet de déchiffrer les messages interceptés via les conversations engagées par des logiciels de messagerie tel que WhatsApp iMessage ou encore GMail. Une des plus dangereuses fonctionnalités s’appréhende par le fait qu’il permet l’accès aux messages stockés dans le téléphone.

Dangereux parce que les messages stockés dans le téléphone sont sans protection et souvent concernent des informations assez personnelles. Par Ailleurs, il permettait aussi aux pirates informatiques d’accéder à la géolocalisation de l’appareil infecté, au répertoire téléphonique, la galerie photos et vidéos. Certaines données devinaient alors facile à dérober telles que les données de connexion ou des identifiants bancaires par exemple.

L’avantage c’est que ce virus peut-être éliminer par le seul fait de redémarrer son terminal infecté. Cependant il est très discret de plus, d’autres se réinfectaient à chaque fois qu’ils visitaient les sites Internet infectés par ce même virus.

À la question de savoir combien de personnes auraient pu être infectées par virus, un spécialiste de la sécurité affirme qu’une population entière aurait pu être infectée par ce virus. Car en plus d’être très discret, il était facilement utilisable et a été beaucoup plus utilisé durant ces 2 ans. On Compte alors une centaines de millions de personnes parmi les utilisateurs les appareils Apple.

Les sites web qui ont servi à diffuser le virus ont été découverts par les chercheurs de Google qui ont entrepris de mener un nettoyage avec l’aide des autorités. Pendant ce temps, il refuse de dire quels sont ces sites, les emplacements ainsi que leur thème. Ce qu’ils ont notifié c’est qu’il s’agit généralement de communauté de personnes bien déterminées.

Les chercheurs ont décidé de se pencher beaucoup plus sur la complexité du programme malveillant, au niveau de sa conception. Car il présente bien évidemment certains Contrastes. En plus de fonctionner comme un logiciel sophistiqué qui s’en prend à un système sécurisé, avec autant d’aisance, on se rend compte que le simple redémarrage du terminal le détruit, ce qui tue la beauté du travail.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage