Oracle: patch record pour les failles des Shadow Brokers
Oracle corrige 299 vulnérabilités dans ses différents produits. Parmi les failles corrigées, on retrouve notamment celles dévoilées par le groupe des Shadow Brokers.
Oracle bat des records : la société publiait aujourd’hui un patch de sécurité trimestriel massif corrigeant un total de 299 vulnérabilités (http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html). C’est le patch le plus important en termes de nombre de vulnérabilités corrigées : le précédent record s’élevait à 276 vulnérabilités corrigées, dans le patch de juillet 2016.
(http://www.zdnet.fr/i/edit/ne/2017/04/Oraclqualyslarge.png)
La société Qualys a réalisé une infographie résumant la ventilation des correctifs selon les différents logiciels
Les 299 vulnérabilités ne sont évidemment pas toutes sur le même logiciel, mais se répartissent sur l’ensemble des produits développés et maintenus par Cisco. La société de sécurité Qualys s’est penchée en détail sur le contenu de ce patch (https://blog.qualys.com/laws-of-vulnerabilities/2017/04/18/oracle-plugs-struts-hole-along-with-299-total-vulnerabilities) et en a tiré une infographie qui résume les principaux logiciels concernés par les correctifs : les grands gagnants sont donc MySQL, Fusion Middleware, ainsi que les suites logicielles Retail et Financial Services proposés par l’éditeur.
Qualys note également que le patch contient des correctifs pour Solaris 10 et 11.3 qui corrigent notamment une faille découverte au sein des données publiées par le groupe des Shadow Brokers. Celle-ci permet une élévation de privilège au sein de l'OS. Qualys note également que sur les 299 vulnérabilités corrigées par ce patch, 162 concernent permettent d’être exploitées à distance.
Oracle qualifie ce patch de critique et conseille à tous les administrateurs d’appliquer rapidement les correctifs : la firme explique en effet que plusieurs des vulnérabilités concernées sont activement exploitées par des cybercriminels.
Source: ZDNet.fr (http://www.zdnet.fr/actualites/oracle-patch-record-pour-les-failles-des-shadow-brokers-39851432.htm) par la Rédaction de ZDNet.fr | Mercredi 19 Avril 2017. (https://lafibre.info/images/smileys/@GregLand/by.gif)
(https://blog.qualys.com/wp-content/uploads/2017/04/Oracle_2.png)
Source: Blog.Qualys.com (https://blog.qualys.com/laws-of-vulnerabilities/2017/04/18/oracle-plugs-struts-hole-along-with-299-total-vulnerabilities) par amolsarwate (https://blog.qualys.com/author/amolsarwate) dans The Laws of Vulnerabilities (http://) le 18 Avril 2017. (https://lafibre.info/images/smileys/@GregLand/en.gif)
EternalRocks encore plus inquiétant que WannaCry
Après l'attaque du ransomware WannaCry, les chercheurs ont identifié le ver de réseau EternalRocks. Celui-ci utilise jusqu'à 7 outils de hacking ayant été volés à la NSA puis exposés par le groupe Shadow Brokers.
(http://images.itnewsinfo.com/lmi/articles/grande/000000057225.jpg)
Selon Malwarebytes, WannaCry a recherché les ports SMB vulnérables avant d'utiliser EternalBlue pour rentrer sur le réseau et le backdoor DoublePulsar pour installer le ransomware. EternalRocks utilise aussi ces deux outils. (crédit : D.R.)
Une semaine après l’attaque perpétrée par le ransomware WannaCry au niveau mondial, un autre logiciel d’exploitation de failles fait parler de lui. Selon des chercheurs en sécurité, il y a au moins une personne qui utilise 7 des outils d’attaque volés à la NSA dans un ver de réseau dénommé EternalRocks par ceux qui l’ont identifié. Les chercheurs ont constaté que ce ver ciblait la même vulnérabilité du protocole SMB de Windows, en s’avérant plus menaçant et plus difficile à contrer. Comme WannaCry, EternalRocks utilise EternalBlue, l’un des outils de la NSA. Malwarebytes pense que WannaCry (https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/) n’a pas été diffusé par une campagne de spams malveillant mais par une opération de scanning qui a d’abord recherché les ports SMB accessibles publiquement et vulnérables avant d’utiliser EternalBlue pour rentrer sur le réseau et d'utiliser la porte dérobée DoublePulsar pour installer le ransomware.
EternalBlue fait partie des outils de hacking de la NSA exposés en avril par le groupe Shadow Brokers (http://www.lemondeinformatique.fr/actualites/lire-des-techniques-de-la-nsa-exposees-par-les-fuites-des-shadow-brokers-67906.html). Presque immédiatement, des attaquants ont commencé à repackager EternalBlue. Le spécialiste en sécurité Secdo (http://blog.secdo.com/multiple-groups-exploiting-eternalblue-weeks-before-wannacry) a de son côté signalé que trois semaines avant l’attaque de WannaCry, au moins trois acteurs différents se servaient d’EternalBlue pour infecter des réseaux, y installer des backdoors et extraire des identifiants d’utilisateurs à travers le monde, Etats-Unis inclus. L’attaque n’a laissé aucune trace. En s’infiltrant dans des applications légitimes et en se faisant passer pour elles, l’attaque peut échapper aux solutions anti-virus avancées. Selon Secdo, ces intrusions pourraient présenter un risque supérieur à celui de WannaCry parce que de nombreux terminaux pourraient demeurer compromis même après avoir installé les derniers correctifs de sécurité.
EternalRocks recourt à 7 outils d’attaque de la NSA
La firme pense que l’un des attaquants a volé des identifiants en utilisant une adresse IP russe, tandis qu’un autre semble avoir utilisé EternalBlue dans des attaques opportunistes pour créer un botnet chinois. "Même si les entreprises ont pu bloquer WannaCry et patcher la faille SMB de Windows, il est possible qu’une porte dérobée soit toujours là et les identifiants compromis peuvent être utilisés pour retrouver un accès". De son côté, le fournisseur Proofpoint a remarqué une attaque utilisant EternalBlue et DoublePulsar pour installer un botnet d’extraction de cryptomonnaie. Cette attaque, qui a également démarré avant WannaCry, pourrait être plus étendue et pourrait même avoir limité la diffusion de WannaCry parce qu’elle a « fermé le réseau SMB pour empêcher d’autres infections avec d’autres malwares à travers la même vulnérabilité », explique Proofpoint. A chaque fois que la firme de sécurité a exposé un environnement vulnérable aux attaques d’EternalBlue, celui-ci était ajouté au botnet d’extraction de cryptomonnaie en une vingtaine de minutes.
L’information qui s’avère peut-être la plus préoccupante à propos de ces attaques vient du chercheur Miroslav Stampar (https://github.com/stamparm/EternalRocks). C’est la plus inquiétante parce que le ver de réseau EternalRocks ne recourt pas seulement à EternalBlue et à DoublePulsar comme WannaCry. Il utilise jusqu’à 7 outils différents de la NSA : EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch and SMBtouch.
Source: LeMondeInformatique.fr (http://www.lemondeinformatique.fr/actualites/lire-eternalrocks-encore-plus-inquietant-que-wannacry-68288.html?utm_source=mail&utm_medium=email&utm_campaign=Newsletter) par Ms Smith / Network World (adapté par MG) le 22 Mai 2017. (https://lafibre.info/images/smileys/@GregLand/by.gif)