Auteur Sujet: ETERNALBLUE etc, nouveaux dump des Shadow Brokers  (Lu 1339 fois)

0 Membres et 1 Invité sur ce sujet

minidou

  • Client Orange Fibre
  • *
  • Messages: 400
  • FTTH 300 Mb/s sur Nantes (44)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« le: 15 avril 2017 à 00:19:59 »
j'écris ceci à chaud alors que je n'arrive plus moi-même (qui suis bien l'actu sécu) à suivre toute les histoires, n'hésitez pas à compléter/corriger

The Shadow Brokers, dont vous avez peut-être déjà entendu parler (pour avoir diffusé des outils  top secret depuis l'été dernier), ont diffusé il y a quelques mois des archives chiffrées en mettant aux enchères le mot de passe. Archives contenant des exploit volé à l'Equation Group (suspecté d'être la NSA ou un sous-traitant proche), d'après les indication des SB.


Quelques jours après le dernier path tuesday (huhu), et l'arrêt du support de vista (haha), ainsi que la confirmation que microsoft ne mettra pas à jour les windows 7 et 8 ayant des processeurs trop récent (amd comme intel), les SB diffusent de nouvelles archivent et le mot de passe permettant de déchiffrer celles de l'enchère (celle-ci ayant à priori été infructueuse).

Bilan des heures (jours) de fun pour ceux qui devront corriger les multiples exploit 0-day (durant le week end de pâque, le timing est trop parfait pour être anodin) découverts ou à découvrir, surtout chez microsoft.

Particulièrement, ETERNALBLUE, un outil permettant de prendre le contrôle à distance d'un pc de windows xp à windows 8.1 (à priori pas win 10 en l'état) en exploitant des failles des protocoles (ou plutôt de l'implémentation) SMB et NetBT.

Peu de chance que vos machines windows soient accessible sur le port 445 via internet et donc vulnérable, mais si vous êtes sur un réseau incertain, ou si vous en gérer un, il est bon de prendre vos précautions.

les trois archives:
-swift
Des outils de piratage et des preuves de la compromission d'une entreprise (EastNets) fournissant un accès au réseau SWIFT (communication interbancaire) au moyen orient.

-windows
Des outils de piratage ciblant Windows, ainsi que FUZZBUNCH, un framework permettant de charger des exploit dynamiquement (le metasploit de la NSA)

-oddjob
un cheval de troie et serveur de contrôle des machines infectés

des notes de https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/ :
Citer
EASYBEE appears to be an MDaemon email server vulnerability [source, source, source]
EASYPI is an IBM Lotus Notes exploit [source, source] that gets detected as Stuxnet [source]
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 to 7.0.2 [source, source]
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor [source, source]
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges [source, source]
EDUCATEDSCHOLAR is a SMB exploit [source, source]
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003 [source, source]
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino [source, source]
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users [source, source]
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003 [source, source]
ETERNALSYNERGY is a SMBv3 remote code execution flaw  for Windows 8 and Server 2012 [source, source, source]
ETERNALBLUE is a SMBv2 exploit [source] that also works on Windows 10, even if it wasn't designed to [source]
ETERNALCHAMPION is a SMBv1 exploit [source]
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers [source, source]
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003 [source, source]
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later [source, source]
ETRE is an exploit for IMail 8.10 to 8.22 [source]
FUZZBUNCH is an exploit framework, similar to MetaSploit [source, source]
EquationGroup had scripts that could scrape Oracle databases for SWIFT data [source, source]
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later [source, source], also not detected by any AV vendors [source]
Metadata [possibly faked, possibly real] links NSA to Equation Group [source]
NSA used TrueCrypt for storing operation notes [source]
Some of the Windows exploits released today were undetectable on VirusTotal [source]
Some EquationGroup humor in the oddjob instructions manual [source, source]
JEEPFLEA_MARKET appears to be an operation for collecting data from several banks around the world [source], previously linked to the NSA by Snowden [source, source]
The Equation Group targeted EastNets, a SWIFT connectivity provider [source, source, source, source, source]

liens connexes:

https://en.wikipedia.org/wiki/The_Shadow_Brokers
https://fr.wikipedia.org/wiki/The_Shadow_Brokers

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

https://isc.sans.edu/forums/diary/ETERNALBLUE+Possible+Window+SMB+Buffer+Overflow+0Day/22304/

https://motherboard.vice.com/en_us/article/your-governments-hacking-tools-are-not-safe
https://motherboard.vice.com/en_us/article/theyre-back-the-shadow-brokers-release-more-alleged-exploits

https://medium.com/@networksecurity/latest-shadow-brokers-dump-owning-swift-alliance-access-cisco-and-windows-7b7782270e70

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

Je continue de digérer la quantité d'information et peut-être que je ferais quelques résumés.

minidou

  • Client Orange Fibre
  • *
  • Messages: 400
  • FTTH 300 Mb/s sur Nantes (44)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #1 le: 15 avril 2017 à 01:16:23 »
https://twitter.com/Balgan/status/853023995473661952

potentiellement 3.5 millions de machines vulnérables aux exploit ETERNAL* sur internet?   ::)

minidou

  • Client Orange Fibre
  • *
  • Messages: 400
  • FTTH 300 Mb/s sur Nantes (44)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #2 le: 15 avril 2017 à 14:24:05 »
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

À priori les ShB ont remonté les failles à MS il y a quelques temps et celle-ci corrigés dans l'imposant patch tuesday de Mars

alain_p

  • Client Free adsl
  • *
  • Messages: 3 768
  • Arpajon (91)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #3 le: 15 avril 2017 à 18:30:30 »
Ce qui montre une chose, les failles "0 day" gardées pour soi par la NSA, ou d'autres agences/entreprises du même acabit, pour "la sécurité de l'état", peuvent partir dans la nature, et être exploitées par des individus ou organisations bien moins recommandables, peut-être contre les intérêts de ces mêmes états.

Moralité : il faut que ces agences informent les entreprises, Microsoft ou autres, des vulnérabilités découvertes, pour qu'elles les corrigent, ou que des mesures de précaution soient prises. Pour windows XP, 2003 (Vista ?), c'est maintenant trop tard pour les corriger (à moins que...), mais au moins connaitre les failles permet de prendre les précautions nécessaires.

Marco POLO

  • Client Free fibre
  • *
  • Messages: 1 257
  • FTTH 100 Mb/s sur Paris (75)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #4 le: 23 avril 2017 à 19:34:55 »
Oracle: patch record pour les failles des Shadow Brokers

Oracle corrige 299 vulnérabilités dans ses différents produits. Parmi les failles corrigées, on retrouve notamment celles dévoilées par le groupe des Shadow Brokers.

Oracle bat des records : la société publiait aujourd’hui un patch de sécurité trimestriel massif corrigeant un total de 299 vulnérabilités. C’est le patch le plus important en termes de nombre de vulnérabilités corrigées : le précédent record s’élevait à 276 vulnérabilités corrigées, dans le patch de juillet 2016.


La société Qualys a réalisé une infographie résumant la ventilation des correctifs selon les différents logiciels

Les 299 vulnérabilités ne sont évidemment pas toutes sur le même logiciel, mais se répartissent sur l’ensemble des produits développés et maintenus par Cisco. La société de sécurité Qualys s’est penchée en détail sur le contenu de ce patch et en a tiré une infographie qui résume les principaux logiciels concernés par les correctifs : les grands gagnants sont donc MySQL, Fusion Middleware, ainsi que les suites logicielles Retail et Financial Services proposés par l’éditeur.

Qualys note également que le patch contient des correctifs pour Solaris 10 et 11.3 qui corrigent notamment une faille découverte au sein des données publiées par le groupe des Shadow Brokers. Celle-ci permet une élévation de privilège au sein de l'OS. Qualys note également que sur les 299 vulnérabilités corrigées par ce patch, 162 concernent permettent d’être exploitées à distance.

Oracle qualifie ce patch de critique et conseille à tous les administrateurs d’appliquer rapidement les correctifs : la firme explique en effet que plusieurs des vulnérabilités concernées sont activement exploitées par des cybercriminels.


Source: ZDNet.fr par la Rédaction de ZDNet.fr | Mercredi 19 Avril 2017. 


Source: Blog.Qualys.com par amolsarwate dans The Laws of Vulnerabilities le 18 Avril 2017. 

Marco POLO

  • Client Free fibre
  • *
  • Messages: 1 257
  • FTTH 100 Mb/s sur Paris (75)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #5 le: 25 avril 2017 à 22:52:13 »
Un spyware de la NSA aurait infecté près de 100 000 machines

Un chercheur a mis au point un script permettant de détecter un code d'implant supposément développé par la NSA. Selon le script, jusqu'à 100 000 machines auraient été infectées dans le monde.

Après la découverte d’outils de piratages dans l’archive non cryptée diffusée mi-avril par le groupe de hackers Shadows Brokers, Luke Jennings, un chercheur en sécurité travaillant pour le consultant en sécurité Countercept a mis au point un outil gratuit qui permet de savoir si votre ordinateur a été infecté par un implant-espion supposément développé par l'Agence de sécurité nationale américaine (NSA). Le script conçu par le chercheur permet de détecter un spyware appelé Doublepulsar, intégré dans un grand nombre d’exploits Windows retrouvé dans la fuite. Cet implant peut servir à charger d'autres logiciels malveillants.

Le script de Luke Jennings, qui nécessite quelques compétences en programmation, est disponible en téléchargement libre sur GitHub. Des chercheurs en sécurité ont déjà fait tourner le script pour rechercher les machines infectées par l'implant. Leurs résultats ont été très variables puisqu’ils ont trouvé entre 30 et 100 000 ordinateurs infectés dans le monde. Des graphiques publiés sur Tweeter par Below0Day, une entreprise spécialisée dans les tests de pénétration, permettent de voir les pays les plus touchés. Les États-Unis arrivent nettement en tête avec 11 000 machines infectées. Plusieurs autres pays, dont le Royaume-Uni, Taïwan et l'Allemagne, comptent plus de 1500 machines infectées.

Les anciens systèmes Windows les plus vulnérables

Selon Luke Jennnings, « il est difficile de savoir exactement quand ces machines ont été infectées par l'implant ». Cependant, les exploits attribués à la NSA qui diffusent Doublepulsar ont été disséminés il y a une semaine, si bien qu’une personne ayant des compétences en piratage pourrait commencer à les utiliser. Les experts en sécurité craignent que des cybercriminels ou des gouvernements étrangers ne s’emparent de ces exploits pour mener via Internet des attaques contre des machines vulnérables. Selon les mêmes chercheurs, les ordinateurs tournant avec d’anciens systèmes Windows ou avec des OS Windows qui ne sont pas à jour sont particulièrement exposés. Le redémarrage d'un système infecté supprime l'implant, mais n’élimine pas nécessairement le malware associé.

Luke Jennings a expliqué qu'il avait développé son script en analysant la manière dont l'implant Doublepulsar communiquait avec son serveur de contrôle. Mais, son objectif premier était d'aider les entreprises à identifier l'implant sur leurs réseaux et non à retrouver la trace de l'implant en scannant tout l'Internet. "Ce sujet a suscité beaucoup de discussions sur Twitter", a-t-il déclaré. "Les gens se demandent si le script est bien écrit, car ils sont surpris par le nombre de systèmes infectés. Mais, personne n'a pu prouver que le script ne fonctionnait pas correctement", a-t-il ajouté. "Je pense qu’actuellement, un ou plusieurs groupes de pirates utilisent probablement ces exploits pour compromettre les machines vulnérables", a-t-il déclaré.

Installer sans tarder les correctifs

Les anciens systèmes Windows Server, en particulier ceux qui fonctionnent sans pare-feu, sont faciles à pirater avec les exploits. Des milliers de machines de ce type semblent être exposées. Dan Tentler, CEO du spécialiste de la sécurité Phobos Group, a testé la précision du script de Luke Jennings. Pour cela, il a réalisé des contrôles manuels sur 50 machines identifiées comme infectées par le script. Et en effet, les 50 machines étaient bien infectées. "En général, quand on effectue des vérifications sur un aussi grand nombre de machines et que le script est mauvais, on retrouve toujours des faux positifs. Mais, là, je n’en ai trouvé aucun", a-t-il déclaré.

Il faudra sans doute plus de temps aux chercheurs en sécurité pour vérifier la pertinence des résultats du script pour détecter Doublepulsar. Néanmoins, Dan Tentler recommande aux opérateurs système de prendre des mesures pour prévenir une infection par le malware. En premier lieu, il conseille aux utilisateurs d’installer tous les correctifs disponibles pour leur système Windows. Les anciens correctifs de Microsoft élimineront le risque, mais des systèmes plus anciens, comme Windows XP et Windows Server 2003, ne bénéficient plus d’aucun support de la part de Microsoft. Dans ce cas, les utilisateurs peuvent soit niveau leur système vers un système d'exploitation plus récent. Ils peuvent également scanner leurs machines avec des antivirus comme Windows Defender pour supprimer les éventuels malwares.


Source: LeMondeInformatique.fr par Michael Kan / IDG News Service (adapté par Jean Elyan) , publié le 24 Avril 2017. 

minidou

  • Client Orange Fibre
  • *
  • Messages: 400
  • FTTH 300 Mb/s sur Nantes (44)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #6 le: 12 mai 2017 à 20:21:22 »
et voilà les premières victimes

https://isc.sans.edu/diary/Massive+wave+of+ransomware+ongoing/22412

les hôpitaux britanniques sont à priori dans la mouise

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 387
  • Malissard (26)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #7 le: 13 mai 2017 à 19:11:56 »
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

Infections

    NHS (uk) turning away patients, unable to perform x-rays. (list of affected hospitals)
    Nissan (uk) http://www.chroniclelive.co.uk/news/north-east-news/cyber-attack-nhs-latest-news-13029913
    Telefonica (spain) (https://twitter.com/SkyNews/status/863044193727389696)
    power firm Iberdrola and Gas Natural (spain)
    FedEx (us) (https://twitter.com/jeancreed1/status/863089728253505539)
    University of Waterloo (us)
    Russia interior ministry & Megafon (russia) https://twitter.com/dabazdyrev/status/863034199460261890/photo/1
    VTB (russian bank) https://twitter.com/vassgatov/status/863175506790952962
    Russian Railroads (RZD) https://twitter.com/vassgatov/status/863175723846176768
    Portugal Telecom
    Сбербанк - Sberbank Russia (russia)
    Shaheen Airlines (india, claimed on twitter)
    Train station in frankfurt (germany)
    Neustadt station (germany)
    the entire network of German Rail seems to be affected (@farbenstau)
    in China secondary schools and universities had been affected (source)
    A Library in Oman (@99arwan1)
    China Yanshui County Public Security Bureau (https://twitter.com/95cnsec/status/863292545278685184)
    Renault (France) (http://www.lepoint.fr/societe/renault-touche-par-la-vague-de-cyberattaques-internationales-13-05-2017-2127044_23.php) (http://www.lefigaro.fr/flash-eco/2017/05/13/97002-20170513FILWWW00031-renault-touche-par-la-vague-de-cyberattaques-internationales.php)
    Schools/Education (France) https://twitter.com/Damien_Bancal/status/863305670568837120
    University of Milano-Bicocca (italy)
    A mall in singapore https://twitter.com/nkl0x55/status/863340271391580161
    ATMs in china https://twitter.com/95cnsec/status/863382193615159296
    norwegian soccer team ticket sales https://www.nrk.no/telemark/eliteserieklubber-rammet-av-internasjonalt-dataangrep-1.13515245


EDIT: des fakes parmi les infections notamment les distributeurs en Chine, donc méfiance sur les sources Twitter

alain_p

  • Client Free adsl
  • *
  • Messages: 3 768
  • Arpajon (91)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #8 le: 14 mai 2017 à 17:53:12 »
Pour windows XP, 2003 (Vista ?), c'est maintenant trop tard pour les corriger (à moins que...)

Pour windows XP, 2003 (et Vista), à cause de la diffusion du ransomware Wannacrypt, Microsoft a exceptionnellement diffusé des patchs de sécurité pour ces systèmes :

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Par contre, quand j'essaye de télécharger le patch windows XP SP3 en français, je tombe à chaque fois sur celui "embedded", WindowsXP-KB4012598-x86-Embedded-Custom-FRA.exe, qui ne semble pas convenir pour un XP normal. Quelqu'un aurait-il pu arriver à trouver la version "non embedded" ? Pour la version en anglais, on a bien la version non embarquée, mais elle ne marche pas sur un système français...

alegui

  • Client Bbox fibre FTTH
  • *
  • Messages: 403
  • FTTH Courbevoie (92)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #9 le: 14 mai 2017 à 21:22:18 »
Pour windows XP, 2003 (et Vista), à cause de la diffusion du ransomware Wannacrypt, Microsoft a exceptionnellement diffusé des patchs de sécurité pour ces systèmes :
Ce n'est pas exceptionnel pour Vista : Le correctif a été apporté lors du patch tuesday classique de mars 2017 (vista était supporté jusqu'au mois dernier) de manière parfaitement banale.
Par contre, les systèmes normalement non supportés (hors support spécial payant pour des grands groupes) qui sont ici patchés sont : XP, XP 64, XP embedded, Server 2003, et W8 (!) (Les mises à jour normales ont été conditionnées à l'installation de W8.1 qui agit comme un service pack)

Par contre, quand j'essaye de télécharger le patch windows XP SP3 en français, je tombe à chaque fois sur celui "embedded", WindowsXP-KB4012598-x86-Embedded-Custom-FRA.exe, qui ne semble pas convenir pour un XP normal. Quelqu'un aurait-il pu arriver à trouver la version "non embedded" ? Pour la version en anglais, on a bien la version non embarquée, mais elle ne marche pas sur un système français...
Pour ton problème, c'est ça que tu recherche ?

alain_p

  • Client Free adsl
  • *
  • Messages: 3 768
  • Arpajon (91)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #10 le: 14 mai 2017 à 21:44:21 »
Pour ton problème, c'est ça que tu recherche ?

Ce serait quelque chose comme cela, mais sur ton lien, je ne vois pas comment le télécharger. En fait, je pense qu'il y a du y avoir une erreur sur le site de Microsoft, en tout cas sur ce lien de blog, et aussi quand on essaye de la télécharger à partir du site de mises à jour de Microsoft :

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Il y a bien deux cas distingués, XP SP3 normal, et embedded, mais dans les deux cas, le fichier que l'on a quand on choisit 'French' est celui embedded.

Merci en tout cas pour avoir recherché.
« Modifié: 14 mai 2017 à 22:24:03 par alain_p »

alain_p

  • Client Free adsl
  • *
  • Messages: 3 768
  • Arpajon (91)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #11 le: 14 mai 2017 à 22:29:10 »
En fait, j'ai trouvé, on peut le télécharger ici dans la bonne version :

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Bon, je n'ai pas testé, on verra demain...