Pour gérer vos consentements :

Sécurité IT : comme un air de WannaCry dans le monde Unix

Le couple SambaCryEternalRed est-il à Unix ce que le duo WannaCryEternalBlue est à Windows ? Pas tout à fait, mais il y a des ressemblances.

Partie intégrante du kit FuzzBunch utilisé par la NSA à des fins de cyberespionnage, l’exploit EternalBlue avait fuité au mois d’avril à l’initiative des Shadow Brokers, groupe de pirates ayant déjà éventé d’autres secrets de l’agence américaine.

Il a constitué, sur les OS Windows, un vecteur de propagation du ransomware WannaCry, au travers d’une faille (CVE-2017-0144) dans le protocole SMB pour le partage de ressources sur des réseaux locaux.

Depuis fin mai, on entend parler d’une vulnérabilité similaire (CVE-2017-7494) visant Samba, c’est-à-dire l’implémentation de SMB sur Unix.

La communauté des chercheurs en sécurité IT lui a donné le nom d’EternalRed. Elle touche toutes les versions de Samba depuis la 3.5.0 sortie en 2010.

Un correctif a été diffusé automatiquement pour les dernières moutures (4.6.4, 4.5.10 et 4.4.14). En fonction des plates-formes, le patch doit être appliqué manuellement sur les plus anciennes.

Par ici la (crypto)monnaie

À l’aide de son pot de miel (infrastructure spécialement conçue pour l’étude des attaques informatiques), Kaspersky Lab a constaté que la faille était principalement exploitée pour le minage d’une cryptomonnaie ; en l’occurrence, le monero.

Première étape : déposer, sur un volume partagé auquel la machine ciblée accède via Samba, un fichier malveillant, puis l’exécuter.

Certains systèmes sont d’autant plus vulnérables qu’ils ne requièrent pas d’authentification pour avoir les droits en écriture sur le stockage réseau.

Le fichier malveillant en question prend, dans le scénario d’attaque observé par Kaspersky, la forme d’une bibliothèque logicielle.

Celle-ci s’exécute en mode super-utilisateur pour donner un accès à distance au shell (/bin/sh) sur le poste visé. Une condition toutefois : connaître le chemin d’accès exact dans l’arborescence du volume partagé. Une technique de force brute est utilisée à ces fins, en testant les noms de dossiers les plus courants.

Des échappatoires

Une fois en mémoire virtuelle, le fichier est supprimé du stockage réseau. Est alors téléchargé, depuis un domaine enregistré il y a quelques semaines, l’outil open source cpuminer, dans une version améliorée exécutable sans paramètres additionnels.

Le porte-monnaie électronique associé contenait, au 8 juin 2017, environ 100 moneros, soit près de 5 000 euros au cours actuel ; sachant que les premières sommes avaient été créditées le 30 avril.

D’après F5 Networks, qui se base sur les données du « moteur de recherche IoT » Shodan, il existe, dans le monde, au moins un million de systèmes non équipés de Windows dont le port TCP 445 – utilisé par Samba – est grand ouvert.

Une attaque échouerait probablement sur certains de ces systèmes, que ce soit parce que Samba y a été patché, que SELinux est activé (il l’est pas défaut sur des distributions comme Red Hat Linux, même s’il arrive de devoir le couper pour éviter les interférences avec des logiciels tiers), que les volumes partagés sont montés en « noexec » ou que le paramètre « nt pipe support » est désactivé dans le fichier smb.conf.

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago