Les chercheurs Mathe Hertogh, Sander Wiebing et Cristiano Giuffrida de l’Université Vrije à Amsterdam ont mené une étude novatrice qui expose des vulnérabilités dans les processeurs Intel et AMD.

Leur recherche présente une nouvelle méthode d’attaque, exploitant la traduction d’adresses non canoniques, pour mettre en lumière des faiblesses dans le masquage d’adresse linéaire au coeur même des processeurs.

Leur méthode repose sur l’utilisation de gadgets Spectre « non masqués ».

Leaky Address Masking: Exploiting Unmasked Spectre Gadgets with Noncanonical Address Translation

void classical_gadget(long *secret) {
array[(*secret & 0xff) * 4096];
}

Ces gadgets, une fois exploités, permettent d’effectuer des attaques Spectre malgré les mesures de sécurité existantes.

L’attaque se concentre sur la manipulation des adresses mémoire pour accéder à des données normalement sécurisées.

L’impact de cette vulnérabilité est significatif, car elle peut permettre à un attaquant d’accéder à des informations sensibles et compromettre la sécurité des systèmes informatiques.

Cela soulève des préoccupations importantes pour les utilisateurs des processeurs Intel et AMD, notamment dans des environnements où la sécurité des données est cruciale.

En réponse à ces découvertes, les chercheurs proposent des stratégies de mitigation. Ces mesures visent à réduire le risque et l’impact potentiel de telles attaques, offrant des moyens pour renforcer la sécurité contre les vulnérabilités Spectre.

La recherche de Hertogh, Wiebing et Giuffrida représente donc un progrès significatif dans la compréhension et la protection contre les attaques Spectre dans les systèmes informatiques modernes.

Trois solutions sont proposées pour remédier aux attaques SLAM :

1. Restauration des vérifications de canonicalité (Niveau noyau) : Bloquer l’utilisation des fonctionnalités Intel LAM / AMD UAI par les processus non privilégiés, rétablissant les contrôles de canonicalité pour limiter l’exploitation par SLAM.

2. Extension des sémantiques SMAP (Niveau noyau): Étendre SMAP à la traduction d’adresses pour empêcher leur utilisation depuis le noyau, limitant ainsi le canal clandestin de SLAM.

3. Mitigation de l’exploitation des gadgets (Noyau et processeur): Annoter les gadgets avec des opérations comme `lfence` ou SLH et adapter la conception des futurs processeurs pour restreindre le traitement des branches indirectes.

Ces solutions offrent un équilibre entre la réduction des risques d’exploitation et la performance du système, tout en tenant compte des défis liés à l’identification et à la mitigation des gadgets Spectre exploitables.

le papier https://lnkd.in/dPUAe6tK
le code
https://lnkd.in/dGBV-ZS6
la page web https://lnkd.in/dTK2nMkw

Voici le document « An exploratory analysis of the last frontier: A systematic literature review of cybersecurity in space » par Georgios Kavallieratos et Sokratis Katsikas, une revue systématique sur la cybersécurité dans l’espace.

Il aborde les menaces, les vulnérabilités et les contre-mesures relatives aux infrastructures spatiales et aux satellites.

Cette étude catégorise et analyse les recherches existantes, identifie les résultats clés et propose des orientations pour la recherche future afin d’améliorer la cybersécurité des actifs spatiaux.

Les sujets principaux comprennent les menaces cybernétiques pour les satellites, les risques potentiels et les contre-mesures techniques et légales disponibles.

Dans le document, les risques évoqués concernant la cybersécurité dans l’espace incluent l’interception et la perte de données de capteurs, le piratage et l’utilisation de commandes non autorisées, ainsi que les injections de code malveillant.

Ces risques sont considérés comme les plus critiques.

D’autres risques de niveau élevé comprennent le déni de service, l’injection de capteurs et le brouillage.

Les risques de niveau moyen incluent l’espionnage, les attaques de type replay et la manipulation de données.

Concernant les contre-mesures, plusieurs stratégies de sécurité pour les satellites ont été analysées.

La plupart des contre-mesures sont liées aux fonctions de protection, de détection et de réponse, conformément à la classification du NIST CSF.

Les catégories de cyber-risques identifiées incluent le détournement de signal, la manipulation de données, la sensibilisation à la situation spatiale, la tromperie, la prise de contrôle, le déni de service, le phishing et l’appâtage.

De quoi mener à bien, compléter ou amorcer une belle analyse de risque sur la sécurité des systèmes satellitaires et œuvrer à leur sécurisation 🙂

Accès au document : https://www.sciencedirect.com/science/article/pii/S1874548223000537

Le 7 décembre 2023, des chercheurs de l’Université de Technologie et de Design de Singapour et de l’I2R A*STAR ont dévoilé dans « 5GHOUL » 14 vulnérabilités critiques dans les modems 5G, affectant les modèles Qualcomm et MediaTek.

Ces failles soulèvent de graves préoccupations pour la sécurité des dispositifs et réseaux 5G.

Bref aperçu des 14 vulnérabilités :

1. Allocation PUSCH Invalide : Provoque un déni de service (DoS) en perturbant l’allocation des ressources pour le canal montant.

2. Message NAS RRC Vide : Entraîne un DoS en interrompant les communications essentielles.

3. Configuration RRC Invalide : Peut causer des interruptions, nuisant à la communication 5G.

4. Reconfiguration RRC Invalide : Mène à un DoS, affectant la continuité des services réseau.

5. PDU MAC/RLC Invalide : Problèmes dans les unités de données, causant un DoS.

6. PDU NAS Inconnu : L’envoi d’une unité de données non spécifiée résulte en un DoS.

7. Désactivation/Downgrade de la 5G via RRC : Permet la désactivation ou la rétrogradation de la 5G.

8. Configuration spCellConfig RRC Invalide : Entraîne un DoS en raison d’une configuration cellulaire spécifique incorrecte.

9. Configuration pucch CSIReportConfig RRC Invalide : Affecte les rapports de contrôle d’interférence, menant à un DoS.

10. Séquence de Données RLC Invalide : Perturbe la transmission des données, provoquant un DoS.

11. Configuration physicalCellGroupConfig RRC Tronquée : Problème dans la configuration cellulaire physique, causant un DoS.

12. Liste searchSpacesToAddModList RRC Invalide : Erreur affectant la connectivité et la recherche de cellules.

13. Configuration de Liaison Montante RRC Invalide : Nuit à la transmission des données montantes.

14. Configuration de Liaison Montante RRC Nulle : Affecte gravement la communication réseau avec un DoS.

Ces vulnérabilités mettent en lumière la complexité et les risques des réseaux 5G, nécessitant une vigilance accrue en matière de sécurité.

Étude complète publiée le 7 décembre https://asset-group.github.io/disclosures/5ghoul/

Le protocole SSH, largement utilisé, est confronté à une vulnérabilité importante.

Découverte par Keegan Ryan, Kaiwen He, George Arnold Sullivan et Nadia Heninger de l’UC San Diego et du MIT, cette faille est exposée dans leur étude « Passive SSH Key Compromise via Lattices ».

Ils démontrent qu’un attaquant passif peut, en cas de défaillance lors du calcul de signature, accéder aux clés RSA privées d’un serveur SSH.

Cette méthode exploite les paramètres de signature communs à SSH.

Les chercheurs ont utilisé une attaque basée sur des réseaux (lattices) pour récupérer les clés privées suite à une faute de signature.

Leur analyse ne se limite pas à SSH : les protocoles IKEv1 et IKEv2 sont également concernés.

Des centaines de clés compromises ont été découvertes, issues de plusieurs implémentations vulnérables.

Le papier est accessible ici : https://lnkd.in/eKdpQadP

La vulnérabilité décrite dans l’article  « Passive SSH Key Compromise via Lattices » implique qu’un attaquant passif sur le réseau peut exploiter des fautes naturellement survenant lors du calcul de la signature SSH pour obtenir des clés hôtes RSA privées.

Cette méthode était auparavant jugée impossible, car les signatures SSH incluent des informations telles que le secret partagé Diffie-Hellman, généralement inaccessibles aux observateurs passifs.

Cependant, l’étude montre que les paramètres de signature couramment utilisés dans SSH sont susceptibles à une attaque par réseau (lattice) efficace, permettant de récupérer la clé privée en cas de faute de signature.

La subtilité de cette vulnérabilité réside dans son exploitation des fautes de calcul de signature, qui n’étaient pas auparavant considérées comme une menace significative dans la sécurité du protocole SSH.

La méthodologie des chercheurs implique l’analyse de la sécurité des protocoles SSH, IKEv1 et IKEv2 sous ces conditions, menant à la découverte de centaines de clés compromises dans diverses implémentations indépendantes.

Mesures de remédiation :

Les implémentations devraient valider les signatures avant de les envoyer.

Par exemple, OpenSSH, l’implémentation SSH la plus couramment observée dans les données, met déjà en œuvre cette contre-mesure car elle s’appuie sur OpenSSL pour générer des signatures.

OpenSSL a inclus des contre-mesures contre les attaques de faute RSA depuis 2001.

De plus, OpenSSH a déprécié le schéma de signature ssh-rsa dans sa version 8.8, publiée en septembre 2021.

Cette dépréciation n’élimine pas l’utilisation de RSA dans son ensemble, mais vise spécifiquement le type de signature ssh-rsa qui utilise la fonction de hachage SHA-1.

À la place, elle préconise des types de signature tels que rsa-sha2-256 et rsa-sha2-512, qui utilisent la fonction de hachage SHA-2.

L’utilisation de ssh-rsa reste cependant plus courant​.

Le framework DisARM, dans le contexte de la guerre de l’information, est un outil développé pour analyser et gérer la désinformation.

Ses origines remontent à 2018, lorsqu’un groupe s’est réuni lors d’un atelier sur la guerre hybride.

En 2019, avec le soutien de diverses organisations, ce groupe a créé AMITT (Adversarial Misinformation Influence Tactics & Techniques) sous le MisinfoSec Standards Working Group et la Credibility Coalition.

En 2020, le Cogsec Collaborative a été formé, utilisant les méthodes AMITT/DISARM pour connecter des groupes de réponse et des outils

En collaboration avec The MITRE Corporation, connue pour son framework d’information sécuritaire ATT&CK, l’équipe a intégré des éléments de AMITT, qui avaient une synergie avec ATT&CK.

MITRE a ensuite développé SP!CE, un fork de AMITT, et les deux ont été fusionnés pour créer le framework open source DisARM.

Ce framework est désormais géré par la DISARM Foundation, créée en 2021, pour protéger et promouvoir ce ressource en tant qu’outil open source.

La désinformation prospère par exemple souvent dans des environnements où il y a un manque d’informations fiables ou un vide d’information.

Ce vide crée un terrain fertile pour les rumeurs, les théories du complot et les fausses informations, car les gens cherchent des réponses ou des explications aux événements ou situations incertains.

Les acteurs malveillants exploitent ce vide en diffusant des informations trompeuses ou manipulées pour influencer l’opinion publique, semer la confusion, ou atteindre des objectifs spécifiques.

Fournir des informations fiables et transparentes de manière proactive est donc crucial pour combattre la désinformation.

D’autres techniques avancées sont avancées dans le framework, en défensif comme en offensif.

Plus d’information sur www.disarm.foundation

Le cadre DISARM est aussi conçu pour lutter contre une variété de problèmes liés à l’information, allant au-delà de la désinformation.

Il englobe des concepts comme les opérations d’influence, la manipulation et l’interférence de l’information, et la désinformation d’origine étrangère.

Le nom « DISARM » reflète son objectif : « DIS- » pour désinformation, et « -ARM » pour l’analyse et la gestion des risques.

Ce cadre vise à établir un langage commun pour une défense efficace et une collaboration pour réduire l’impact des acteurs malveillants.

La désinformation est définie comme une tentative délibérée d’influencer la perception en présentant des informations incomplètes, incorrectes ou hors contexte.

Le cadre DISARM cherche à contrer la propagation et le ciblage hyper-spécifique de la désinformation, facilités par internet, qui représentent un défi majeur de notre temps.

Un bypass universel EDR a été découvert dans Windows 10, exploitant les mécanismes de surveillance des processus

Ce bypass permet à un processus malveillant de désactiver certains événements de sécurité, contournant ainsi les EDR.

Les EDR utilisent des techniques dans l’espace utilisateur et noyau pour la surveillance.

Le mécanisme ETW-Ti, crucial pour la surveillance, peut être partiellement désactivé par des processus avec privilèges spécifiques.

Cela permet à des programmes malveillants d’éviter la détection en désactivant la télémétrie avant d’agir.

Ces fonctions peuvent être par exemple  PsIsProcessLoggingEnabled et EtwTiLogReadWriteVm, qui sont liées à la journalisation et à la surveillance des opérations de mémoire.

Microsoft est informé mais n’a pas modifié l’API sur Windows 10, probablement pour maintenir la compatibilité. Cela semble être fixé sous windows 11 cependant. 

Le DNS Tunneling utilise le protocole DNS, normalement employé pour relier les noms de domaine à leurs adresses IP.

Cette méthode est efficace car le trafic DNS est généralement peu restreint sur les réseaux informatiques, permettant ainsi aux attaquants de transmettre discrètement des données malveillantes.

Ils l’utilisent pour des actions comme le vol d’informations sensibles, le contrôle de malwares, ou la mise en place de canaux de communication cachés.

Détecter ces attaques requiert une surveillance attentive du trafic DNS.

Un signe révélateur peu être un déséquilibre entre les données envoyées (upload) et reçues (download).

Un volume anormal de données envoyées peut indiquer un DNS Tunneling, par exemple si ces données sont encodées en MIME, un format d’encodage souvent utilisé pour les emails mais inhabituel dans les requêtes DNS.

L’analyse du contenu des demandes DNS est également cruciale.

La recherche de données encodées ou atypiques peut aider à identifier les tentatives de DNS Tunneling.

De plus, le suivi des domaines associés à de telles activités peut aider à bloquer ou surveiller le trafic suspect.

Des outils de surveillance avancés sont également employés pour une analyse en profondeur du trafic réseau, permettant de détecter les comportements anormaux.

Ces techniques combinées aident à mieux identifier et contrer le DNS Tunneling, protégeant ainsi les réseaux informatiques contre ces types d’attaques sournoises qui exploitent les politiques de sécurité moins rigoureuses sur le trafic DNS.

Une nouvelle étude sur la securité bluetooth  publiée par Daniele Antonioli ce 27 novembre 2023 et intitulée « BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses » démontre les faiblesses du standard et les moyens de remédiation.

L’étude « BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses » explore les mécanismes de sécurité de Bluetooth, en particulier l’appariement et l’établissement de session, et leur capacité à protéger les sessions passées et futures en cas de compromission d’une session actuelle.

L’étude révèle six nouvelles attaques, nommées attaques BLUFFS, qui brisent la confidentialité future et antérieure des sessions Bluetooth.

Ces attaques permettent l’usurpation d’identité et les interceptions de type man-in-the-middle en compromettant seulement une clé de session.

Elles exploitent deux vulnérabilités inédites dans la norme Bluetooth liées à la dérivation unilatérale et répétable de la clé de session.

Pour démontrer l’efficacité de ces attaques, les chercheurs ont développé un kit d’outils nommé BLUFFS, conçu pour manipuler et surveiller la dérivation de la clé de session Bluetooth en patchant dynamiquement un firmware Bluetooth propriétaire qu’ils ont reverse-engineered.

L’évaluation des attaques sur divers dispositifs et composants Bluetooth a révélé un impact critique et à grande échelle sur l’écosystème Bluetooth.

En réponse à ces découvertes, les chercheurs ont développé et testé avec succès une fonction améliorée de dérivation de clé pour Bluetooth, capable de prévenir les six attaques BLUFFS et leurs quatre causes principales.

Cette solution a été intégrée efficacement dans la norme Bluetooth, et des mesures d’atténuation au niveau de l’implémentation ont été discutées.

Les contributions de cette recherche ont été divulguées de manière responsable au groupe d’intérêt spécial Bluetooth (Bluetooth SIG)

Le papier de recherche : https://lnkd.in/e9rbQvnv

Les slides de présentation : https://lnkd.in/ejfjZ-cm

Le toolkit développé pour cette étude : https://lnkd.in/ejfjZ-cm

Le post de l’auteur, Daniele Antonioli, sur son site web : https://lnkd.in/ejfjZ-cm

En 2023, diverses vulnérabilités marquent le paysage de la cybersécurité, affectant une gamme de technologies et systèmes :

– La Campagne ESXiArgs cible les serveurs VMware ESXi, exploitant la vulnérabilité CVE-2021-21974 dans le protocole OpenSLP, permettant l’exécution de code à distance sur des serveurs non mis à jour. Cette attaque chiffre de nombreux serveurs exposés sur internet.

– Le Wiper Aïkido est un logiciel malveillant qui détourne les fonctionnalités des antivirus/EDR pour supprimer des composants systèmes critiques. Il utilise des liens symboliques pour induire en erreur l’antivirus, l’amener à supprimer des fichiers ou pilotes essentiels.

– Une vulnérabilité dans OpenSSL (CVE-2023-0286) affecte les versions 3.0.0, 1.1.1, et 1.0.2, permettant la lecture à distance de la mémoire du serveur et pouvant causer un déni de service. Des patchs correctifs sont disponibles.

– Les vulnérabilités dans l’Active Directory comprennent PrintNightmare, l’utilisation de protocoles obsolètes, et une mauvaise gestion des comptes de service, impactant la sécurité des systèmes d’information modernes.

– Les Active Directory Certificate Services sont vulnérables à des attaques comme PetitPotam, exploitant le protocole Encrypting File System Remote pour mener des attaques par relais NTLM.

– Une vulnérabilité critique dans Microsoft Outlook (CVE-2023-23397) permet à un attaquant de récupérer le hash NTLMv2 du mot de passe d’un utilisateur via un lien mail pointant vers une ressource SMB contrôlée.

– Les méthodes d’authentification forte sont contournées, en particulier par des services comme EvilProxy, qui emploient des techniques de phishing pour capturer des informations de connexion et des tokens MFA.

– Les pipelines de développement CI/CD révèlent des vulnérabilités dues à une intégration insuffisante des recommandations de sécurité, avec des risques d’attaques par empoisonnement de pipeline.

– Les équipements industriels connectés deviennent des cibles fréquentes pour les cyberattaques, nécessitant une attention accrue pour leur sécurisation.

– L’usage croissant de l’intelligence artificielle soulève des inquiétudes quant à son utilisation dans les cyberattaques et les risques de corruption dans les outils basés sur le machine learning.

Suricata est un moteur de surveillance de la sécurité réseau, d’IDS (système de détection d’intrusion) et d’IPS (système de prévention d’intrusion) à haute performance.

Il est open source et géré par une fondation à but non lucratif, l’Open Information Security Foundation (OISF)​

Pour l’installer sur Ubuntu, utilisez le PPA officiel pour installer Suricata.

Configurez Suricata en modifiant le fichier `/etc/suricata/suricata.yaml`.

Cela comprend la définition de l’interface réseau sur laquelle Suricata doit écouter et la configuration de la variable `HOME_NET`, qui représente les adresses IP du réseau local à surveiller

Suricata utilise des règles pour identifier les activités suspectes ou malveillantes sur le réseau.

Ces règles sont appelées signatures.

Utilisez `suricata-update` pour télécharger et mettre à jour les règles.

Par défaut, cela récupère le jeu de règles ET Open.

Les règles sont stockées dans `/var/lib/suricata/rules` et utilisées par Suricata pour analyser le trafic réseau.

Suricata inspecte les paquets réseau sur l’interface configurée, en utilisant les règles installées pour détecter les activités suspectes.

Lorsqu’une activité correspond à une règle, Suricata déclenche une alerte.

Ces alertes peuvent être consultées dans les logs de Suricata, tels que `/var/log/suricata/fast.log`.

Pour tester la fonctionnalité IDS, vous pouvez utiliser une règle spécifique et déclencher une alerte pour confirmer que Suricata fonctionne correctement.

Suricata surveille le trafic réseau en temps réel, en utilisant un ensemble de règles définies pour détecter des comportements suspects ou malveillants.

Il peut fonctionner en tant qu’IDS, détectant les intrusions, ou en tant qu’IPS, bloquant activement les menaces.

Plus d’info sur suricata.io et sur  https://lnkd.in/eKNuFR-m

Épisode nolimitsecu sur le sujet : https://lnkd.in/e_HxAkrY

Présentation SSTIC 2023 attaques de type Supply Chain sur Suricata : https://lnkd.in/eviUbT86