j'écris ceci à chaud alors que je n'arrive plus moi-même (qui suis bien l'actu sécu) à suivre toute les histoires, n'hésitez pas à compléter/corriger

The Shadow Brokers, dont vous avez peut-être déjà entendu parler (pour avoir diffusé des outils  top secret depuis l'été dernier), ont diffusé il y a quelques mois des archives chiffrées en mettant aux enchères le mot de passe. Archives contenant des exploit volé à l'Equation Group (suspecté d'être la NSA ou un sous-traitant proche), d'après les indication des SB.


Quelques jours après le dernier path tuesday (huhu), et l'arrêt du support de vista (haha), ainsi que la confirmation que microsoft ne mettra pas à jour les windows 7 et 8 ayant des processeurs trop récent (amd comme intel), les SB diffusent de nouvelles archivent et le mot de passe permettant de déchiffrer celles de l'enchère (celle-ci ayant à priori été infructueuse).

Bilan des heures (jours) de fun pour ceux qui devront corriger les multiples exploit 0-day (durant le week end de pâque, le timing est trop parfait pour être anodin) découverts ou à découvrir, surtout chez microsoft.

Particulièrement, ETERNALBLUE, un outil permettant de prendre le contrôle à distance d'un pc de windows xp à windows 8.1 (à priori pas win 10 en l'état) en exploitant des failles des protocoles (ou plutôt de l'implèmentation) SMB et NetBT.

Peu de chance que vos machines windows soient accessible sur le port 445 via internet et donc vulnérable, mais si vous êtes sur un réseau incertain, ou si vous en gérer un, il est bon de prendre vos précautions.

les trois archives:
-swift
Des outils de piratage et des preuves de la compromission d'une entreprise (EastNets) fournissant un accès au réseau SWIFT (communication interbancaire) au moyen orient.

-windows
Des outils de piratage ciblant Windows, ainsi que FUZZBUNCH, un framework permettant de charger des exploit dynamiquement (le metasploit de la NSA)

-oddjob
un cheval de troie et serveur de contrôle des machines infectés

des notes de https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/ :

EASYBEE appears to be an MDaemon email server vulnerability [source, source, source]
EASYPI is an IBM Lotus Notes exploit [source, source] that gets detected as Stuxnet [source]
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 to 7.0.2 [source, source]
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor [source, source]
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges [source, source]
EDUCATEDSCHOLAR is a SMB exploit [source, source]
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003 [source, source]
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino [source, source]
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users [source, source]
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003 [source, source]
ETERNALSYNERGY is a SMBv3 remote code execution flaw  for Windows 8 and Server 2012 [source, source, source]
ETERNALBLUE is a SMBv2 exploit [source] that also works on Windows 10, even if it wasn't designed to [source]
ETERNALCHAMPION is a SMBv1 exploit [source]
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers [source, source]
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003 [source, source]
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later [source, source]
ETRE is an exploit for IMail 8.10 to 8.22 [source]
FUZZBUNCH is an exploit framework, similar to MetaSploit [source, source]
EquationGroup had scripts that could scrape Oracle databases for SWIFT data [source, source]
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later [source, source], also not detected by any AV vendors [source]
Metadata [possibly faked, possibly real] links NSA to Equation Group [source]
NSA used TrueCrypt for storing operation notes [source]
Some of the Windows exploits released today were undetectable on VirusTotal [source]
Some EquationGroup humor in the oddjob instructions manual [source, source]
JEEPFLEA_MARKET appears to be an operation for collecting data from several banks around the world [source], previously linked to the NSA by Snowden [source, source]
The Equation Group targeted EastNets, a SWIFT connectivity provider [source, source, source, source, source]

liens connexes:

https://en.wikipedia.org/wiki/The_Shadow_Brokers
https://fr.wikipedia.org/wiki/The_Shadow_Brokers

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

https://isc.sans.edu/forums/diary/ETERNALBLUE+Possible+Window+SMB+Buffer+Overflow+0Day/22304/

https://motherboard.vice.com/en_us/article/your-governments-hacking-tools-are-not-safe
https://motherboard.vice.com/en_us/article/theyre-back-the-shadow-brokers-release-more-alleged-exploits

https://medium.com/@networksecurity/latest-shadow-brokers-dump-owning-swift-alliance-access-cisco-and-windows-7b7782270e70

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

Je continue de digérer la quantité d'information et peut-être que je ferais quelques résumés.

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

À priori les ShB ont remonté les failles à MS il y a quelques temps et celle-ci corrigés dans l'imposant patch tuesday de Mars

Oracle: patch record pour les failles des Shadow Brokers

Oracle corrige 299 vulnérabilités dans ses différents produits. Parmi les failles corrigées, on retrouve notamment celles dévoilées par le groupe des Shadow Brokers.

Oracle bat des records : la société publiait aujourd’hui un patch de sécurité trimestriel massif corrigeant un total de 299 vulnérabilités. C’est le patch le plus important en termes de nombre de vulnérabilités corrigées : le précédent record s’élevait à 276 vulnérabilités corrigées, dans le patch de juillet 2016.


Les 299 vulnérabilités ne sont évidemment pas toutes sur le même logiciel, mais se répartissent sur l’ensemble des produits développés et maintenus par Cisco. La société de sécurité Qualys s’est penchée en détail sur le contenu de ce patch et en a tiré une infographie qui résume les principaux logiciels concernés par les correctifs : les grands gagnants sont donc MySQL, Fusion Middleware, ainsi que les suites logicielles Retail et Financial Services proposés par l’éditeur.

Qualys note également que le patch contient des correctifs pour Solaris 10 et 11.3 qui corrigent notamment une faille découverte au sein des données publiées par le groupe des Shadow Brokers. Celle-ci permet une élévation de privilège au sein de l'OS. Qualys note également que sur les 299 vulnérabilités corrigées par ce patch, 162 concernent permettent d’être exploitées à distance.

Oracle qualifie ce patch de critique et conseille à tous les administrateurs d’appliquer rapidement les correctifs : la firme explique en effet que plusieurs des vulnérabilités concernées sont activement exploitées par des cybercriminels.

Source: ZDNet.fr par la Rédaction de ZDNet.fr | Mercredi 19 Avril 2017. 


Source: Blog.Qualys.com par amolsarwate dans The Laws of Vulnerabilities le 18 Avril 2017. 

et voilà les premières victimes

https://isc.sans.edu/diary/Massive+wave+of+ransomware+ongoing/22412

les hôpitaux britanniques sont à priori dans la mouise

Pour windows XP, 2003 (Vista ?), c'est maintenant trop tard pour les corriger (à moins que...)

Pour windows XP, 2003 (et Vista), à cause de la diffusion du ransomware Wannacrypt, Microsoft a exceptionnellement diffusé des patchs de sécurité pour ces systèmes :

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Par contre, quand j'essaye de télécharger le patch windows XP SP3 en français, je tombe à chaque fois sur celui "embedded", WindowsXP-KB4012598-x86-Embedded-Custom-FRA.exe, qui ne semble pas convenir pour un XP normal. Quelqu'un aurait-il pu arriver à trouver la version "non embedded" ? Pour la version en anglais, on a bien la version non embarquée, mais elle ne marche pas sur un système français...

Pour ton problème, c'est ça que tu recherche ?

Ce serait quelque chose comme cela, mais sur ton lien, je ne vois pas comment le télécharger. En fait, je pense qu'il y a du y avoir une erreur sur le site de Microsoft, en tout cas sur ce lien de blog, et aussi quand on essaye de la télécharger à partir du site de mises à jour de Microsoft :

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Il y a bien deux cas distingués, XP SP3 normal, et embedded, mais dans les deux cas, le fichier que l'on a quand on choisit 'French' est celui embedded.

Merci en tout cas pour avoir recherché.