5 1 1 1 1 1 Rating 5.00 (3 Votes)

On vous avait déjà parlé des Shadow Brokers, mais bon comme Stuxnet et Fukushima, hélas c’est une information qui a dû couler sur vous, comme une goutte d’eau sur le plumage d’un canard : (, pourtant vous devriez être attentif à ce genre de nouvelles, car elles indiquent le comportement réellement hostile des États-Unis envers le monde entier. Hum ??? Du reste, c’est quel président déjà qui a demandé à ce que nos administrations et notre armée tournent sous Windows ??? Et franchement après ça vous croyez toujours que ce sont les Russes qui menacent les présidentielles Françaises ?

NSA 17 04 2017

14 avril 2017 à 23h29, Iain Thomson

Maintenant tout le monde peut pirater les vieilles machines vulnérables à volonté.

Mise à jour : Shadow brokers on fait fuiter plus d'outils de piratage volés au groupe Equation lié a la NSA – avec cette fois-ci des exploits vieux de quatre ans qui tentent de pirater des systèmes Windows vénérables, de Windows 2000 jusqu’à Windows Server 2012, Windows 7 et 8.

La boîte à outils met entre les mains de quelqu'un – des scripts kiddies débiles aux criminels endurcis – des armes hautement classifiées d’un niveau étatique qui risque de compromettre et prendre le contrôle de certains systèmes dans le monde entier. Ceci est la même boîte à outils puissante que l’Oncle Sam a utilisé pour pirater et secrètement espionner les gouvernements étrangers, les opérateurs télécoms, les banques et d'autres organisations.

Les fichiers vont des exploits Microsoft Windows jusqu'à des outils pour le suivi des paiements interbancaires SWIFT. Les analyses en cours des documents divulgués et exécutables ont révélé que les pare-feu Cisco et les passerelles VPN sont également ciblés.

Les Shadow brokers ont essayé de vendre aux enchères au plus offrant ces cybers armes volées, mais quand cette vente a tourné court (car il n’y avait pas d’acheteurs), l'équipe a commencé à mettre les outils en ligne gratuitement.

« Les Shadow Brokers ne voulaient pas en arriver là.  Mais comme personne ne les a payé pour juste la fermer et s’en aller au loin », le groupe a déclaré dans un billet de blog .

« Les Shadow brokers plutôt que d'être ivre avec McAfee sur une île déserte avec des filles chaudes. Peut-être que si tous les Shadow brokers survivent à la Troisième guerre mondiale  vous les verrez la semaine prochaine. Et qui sait ce que nous aurons la prochaine fois ??? »

Pour les responsables informatiques et les gens normaux, cet arsenal de piratage dédié à Windows, qui remonte à la mi-2013, est le plus préoccupant. Il contient des exploits de vulnérabilités qui peuvent être utilisés pour pirater des systèmes non patchés de Windows, allants de Windows 2000 à Windows 8 et Windows Server 2012. Dans certains cas, cela peut être fait à travers le réseau ou Internet via SMB, RDP, IMAP, et éventuellement d'autres protocoles.

Si vous avez une machine assez vieille et vulnérable à ces services en cours d'exécution, il est possible qu'ils soient détournés à l’aide des outils mis à disposition aujourd'hui – si ce n’est pas par des étrangers sur le net alors potentiellement par des employés malveillants ou des logiciels malveillants déjà sur votre réseau. Si vous utilisez un des derniers systèmes totalement mis à jour, tel que Windows 10, rien de tout cela vous affectera directement. Nous avons un soupçon furtif que les cibles de l'espionnage étranger de l'Oncle Sam ne sont pas exactement les genres de types qui gardent tous leurs systèmes au goût du jour.

L’archive fuitée contient également l'équivalent de Metasploit version NSA soit une boîte à outils de piratage: FUZZBUNCH.

Matthew Hickey, co - fondateur de la société de sécurité britannique Hacker House, a dit au Register :  FUZZBUNCH est un ensemble très bien développé qui permet aux serveurs d'être pénétrés avec quelques frappes de clavier. La boîte à outils comporte des modules pour installer une porte dérobée sur les systèmes piratés pour les contrôler à distance se promener à travers les systèmes de fichiers.

« Ceci est une boîte à outils d’État-nation disponible pour tous ceux qui veulent la télécharger - tout le monde avec un peu de connaissances techniques peut le télécharger et pirater des serveurs en deux minutes », a déclaré Hickey. « C’est aussi mauvais que vous pouvez l’imaginer. »

Il a souligné que le moment de la sortie - juste avant Pâques - est aussi important. Avec une grande partie du monde occidental, en vacation pour les jours fériés de Pâques, certaines organisations peuvent être prises de court par la mise à disposition de ces cyber-armes.

Il semble que la NSA maintienne son habitude de nomenclature amusante. Les fichiers comprennent un exploit baptisé ENGLISHMANSDENTIST, qui semble déclencher un code exécutable sur les ordinateurs des victimes par les clients Outlook. D' autres exemples comprennent , sans s'y limiter :

  • ESKIMOROLL, un exploit Kerberos ciblant les contrôleurs de domaine Windows 2000, Windows Server 2003, Windows server 2008 et Windows Server 2008 R2.
  • EMPHASISMINE, un exploit a distance IMAP pour les versions ultérieures de Lotus Domino.
  • ETERNALROMANCE, un exploit a distance des serveur de fichiers réseau SMB1 ciblant Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows 8, Windows Server 2008 et Windows Server 2008 R2. Ceci est une raison de cesser d' utiliser SMB1 – car il est vieux et vulnérable.
  • ETERNALBLUE, un autre exploit SMB1 et SMB2. Voici une vidéo montrant ETERNALBLUE compromettant un système Windows 2008 R2 SP1 64 bits via FUZZBUNCH afin d’installer un outil d'exécution de commande à distance appelée DOUBLEPULSAR.
  • ETERNALCHAMPION, un autre exploit SMB2.
  • ERRATICGOPHER, un autre exploit ciblant Windows XP et Windows Server 2003.
  • ETERNALSYNERGY, un exploit d’exécution de code à distance contre SMB3 qui fonctionne potentiellement contre les systèmes d'exploitation comme le récent Windows Server 2012.
  • EMERALDTHREAD, un exploit qui implante un programme de type  Stuxnet sur les systèmes.
  • ESTEEMAUDIT, un exploit a distance RDP ciblant Windows Server 2003 et Windows XP pour installer des logiciels espions cachés.
  • EXPLODINGCAN, un exploit Microsoft IIS ciblant WebDav Server 2003 uniquement.

Microsoft n'a fait aucun commentaire sur les fuites au moment de la publication, mais ses ingénieurs devraient être en état d’alerte pour corriger les défauts exploités par les outils, où ils peuvent. La plupart des logiciels exploités ne sont plus officiellement pris en charge. Étant donné que Redmond rend de plus en plus secrètes les corrections, nous espérons qu'ils seront plus ouverts sur les mises à jour à venir pour faire face aux failles de sécurité exploitées par la NSA.

SWIFT non sécurisé

Le deuxième répertoire est étiqueté SWIFT, mais ne comprend pas les outils pour pirater directement le système des paiements interbancaires. Au contraire, il permet la surveillance des paiements qui passent par les bureaux de services utilisés par les clients bancaires du SWIFT.

« SWIFT est au courant des allégations entourant l'accès non autorisé aux données à deux bureaux de service » a déclaré un porte-parole du groupe au Register .

« Il n'y a pas d'impact sur l'infrastructure ou les données de SWIFT, mais nous comprenons que les communications entre ces bureaux de services et leurs clients peuvent avoir été préalablement consultés par des tiers non autorisés. Nous n’avons aucune preuve suggérant qu'il y ait jamais eu un accès non autorisé à notre réseau ou aux services de messagerie ».

Les données semblent provenir de Septembre 2013 et indiquent en détail comment les opérateurs pourraient pénétrer dans les pare-feu et surveiller les opérations du plus grand Bureau de Service SWIFT du Moyen-Orient, appelé EastNets.

Le hack EastNets a été surnommé JEEPFLEA_MARKET et comprend des fichiers PowerPoints de l'architecture du réseau de l'entreprise, les mots de passe pour le système, et des milliers de comptes compromis d’employés de différentes branches de bureau.

Les attaquants ont installé des pontages dans les pare-feu de l'entreprise et ont ensuite travaillé via deux serveurs de gestion pour mettre en place des stations de surveillance sur neuf de leurs serveurs de transactions, et probablement capturer les données pour analyse.

« Nous ne pouvons pas vérifier les informations qui ont été publiées, nous pouvons confirmer qu'aucune donnée client EastNets n’a été compromise de quelque façon », a déclaré Hazem Mulhim, PDG de EastNets dans une déclaration.

« EastNets continue de garantir la sécurité et la sécurité des données de ses clients avec les niveaux de protection les plus élevés de son bureau de service certifié SWIFT. »

Une deuxième arme, appelée JEEPFLEA_POWDER, a ciblé un partenaire EastNets au Venezuela et Panama appelé BCG Computer Business Group. Les comptes d'administrateurs ont été ciblés en utilisant le code d'attaque baptisée SECONDATE et IRONVIPER. Aucune donnée n'a été collectée à ce moment, selon les diapositives des fichiers Powerpoint.

Il n’est pas surprenant que la NSA cible les banques au Moyen-Orient - compte tenu de la menace terroriste et du fait que les États-Unis livrent une guerre depuis 14 ans dans la région - et l'accent est mis sur le Venezuela et le Panama, ce qui pourrait être lié à l'argent de la drogue ou aux relations un peu agitées des États-Unis avec ces deux pays. Les espions font de l’espionnage, non?

Où est James Bond quand vous avez besoin de lui?

Le dossier Oddjob du groupe  équation semble contenir des logiciels espions qui fonctionnent sur les machines jusqu'à Windows Server 2008 et, comme d’autres méchants logiciels de la NSA, il est assez modulaire : vous pouvez ajouter des fonctionnalités en ajoutant plusieurs modules.

Le répertoire contient des instructions sur la façon de configurer Oddjob avec Microsoft IIS 7 et, une fois installé, le logiciel malveillant peut être mis à jour à distance pour acquérir de nouvelles attaques et des outils de suivi. Il peut utiliser le protocole HTTP et HTTPS pour recevoir et installer son nouveau code.

« Oddjob s'attendra à une charge utile chiffrée. Pour chiffrer la charge utile, ouvrez le Builder et naviguez jusqu'à la section « Payload Encryption », » les instructions lues. « Sélectionner un Payload non crypté, (à savoir ce que vous voulez exécuter sur la cible). Sélectionnez ensuite une charge utile chiffrée, ce qui est vraiment un fichier fictif pour l'instant. Ensuite, sélectionnez un exe ou une dll, selon que le Payload Unencrypted est un exe ou une dll. »

Sur la base d'une feuille de calcul Excel partagé avec le logiciel malveillant, Oddjob est efficace sur Windows 2000, XP, Windows Server 2003, Windows Vista, Windows Server 2008 et Windows 7, bien que dans chaque cas, seules les versions Enterprise des systèmes d'exploitation sont impactées, plutôt que les versions clientes.

« Ceci est une estimation du pire des cas pour lesquels les versions de Windows fonctionneront avec Oddjob, » indique la feuille de calcul. « Une version mise à jour de bits est disponible en téléchargement pour un grand nombre de ces versions, tel que XP SP1. En outre, Oddjob v3 fonctionne de HTTP à HTTPS. Ainsi, et en cas de doute, il indique HTTPS sur la cible. »

Comment se présente ce panneau de vulnérabilité maintenant ?

Cette dernière version va être une lecture inconfortable pour la NSA. Ce n’est pas seulement quelques-uns de ses exploits classiques - considérés comme ayant une valeur peut être de l’ordre de deux millions sur le marché gris – qui ont été brûlés en une seule journée, l'agence sait également  depuis des mois que ses goodies du groupe équation sont entre les mains d'escrocs qui vont faire fuiter les fichiers.

Est-ce que la NSA aurait considéré ces programmes comme perdus pour de bon, et alerté Microsoft, Cisco et d'autres, pour corriger les vulnérabilités avant que les outils ne soient jetés partout sur le web? Microsoft dit que personne ne lui a demandé de précision sur les programmes fuités par les Shadow Brokers jusqu'ici.

Maintenant, toutes ces cyber-armes sont entre les mains de ceux qui les veulent. Les gouvernements qui ont un intérêt dans le piratage en Amérique - à savoir, tous - peuvent désormais utiliser ces derniers. Pire encore, chaque script kiddy sur la planète va télécharger ces outils et les utiliser ce week-end pour le piratage en ligne des machines âgées, les machines vulnérables. ®

Mise à jour pour ajouter

Microsoft estime qu'il a déjà corrigé les bugs exploités à l' exception des ENGLISHMANDENTIST, ESTEEMAUDIT et EXPLODINGCAN, qui ne fonctionnent pas sur certaines versions de Windows, par exemple: Windows 7, 8 et 10, et ainsi ne sera pas patché de toute façon. Si vous avez effectué vos mises à jour de Patch Tuesday, vous devriez être protégé, selon Microsoft.

Ce qui est assez curieux est qu'un porte-parole de Redmond a affirmé plus tôt vendredi : « A part les journalistes, aucune personne ou organisation ne nous a contacté en ce qui concerne les programmes fuités  par Shadow Brokers. »

En d'autres termes, apparemment aucune personne privée n’avertit Microsoft au sujet des failles de sécurité exploitées afin qu'ils puissent être fixés – ni les Shadow Brokers ni la NSA. Et pourtant , il se trouve que maintenant Microsoft a patché tranquillement en Mars de cette année un groupe des vulnérabilités SMB exploitées par l'agence d'espionnage des États-Unis. Et puis les Shadow Brokers ont rendu publics les exploits SMB exactement un mois plus tard.

Quel calendrier fortuit pour Redmond !

Aujourd'hui, le principal gestionnaire de groupe de sécurité du géant du logiciel Phillip Misner a déclaré: « Microsoft a trié une grande partie des exploits rendus publics par Shadow Brokers ... Les clients ont exprimé des inquiétudes autour du risque que cette divulgation a potentiellement créés, nos ingénieurs ont étudié les exploits divulgués et la plupart des exploits sont déjà patchés » .

Comme c’est étrange, mais aussi : quel soulagement.

 

Source : Theregister.co.uk

Traduction :  ~ folamour ~
Corrections : Doudou

Informations complémentaires :

Vous êtes ici : Accueil Arrow Informatique Arrow Sécurité Arrow Des outils de piratage fuités de la NSA menacent les ordinateurs équipés de Windows 2000 à Windows 8