Analyse des données divulguées par The Shadow Brokers le 14 avril 2017

Filtrer par catégorie :

16 Avril 2017 by Nicolas Kovacs
Cet article a pour but de présenter une première analyse des données publiées par le groupe The Shadow Brokers vendredi 14 avril 2017 et de la menace que cela représente pour les utilisateurs de systèmes d'information. Les données, désormais mises à disposition du public, contiennent notamment un ensemble d'outils d'attaques et de codes d'exploitation présumés appartenir au service de renseignement NSA.

Les données disponibles sont a minima des types suivants :
- Des outils d'attaques avancés, notamment un framework complet d'intrusion ;
- Des codes d'exploitation de vulnérabilités corrigées ou non corrigées, touchant principalement des solutions Microsoft, mais également le monde Unix, IBM, Oracle, Alt-N, etc ;
- Des informations et des techniques d'attaque sur le réseau interbancaire SWIFT, avec des preuves explicites de cibles concernées.

D’autres billets blog seront publiés pour présenter les détails de chaque catégorie.

Le groupe The Shadow Brokers, qui avait déjà communiqué des outils de hacking et autres exploits appartenant à la NSA, vient donc de frapper à nouveau en publiant de nouvelles archives comprenant des outils et exploits avancés (seuls les binaires sont cependant disponibles, sans les codes sources). Ces derniers sont caractérisés par des noms bien spécifiques et touchent plusieurs services tels les serveurs Web Microsoft IIS, le service de partage de fichiers Microsoft SMB, le serveur de messagerie IBM Lotus Domino, IMail et Alt-N Mdaemon, etc. ; en voici un aperçu :
 

Exploits

EASYBEE : exploit MDaemon ;
ETRE : exploit IMail 8.10 à 8.22 ;
EASYPI : exploit pour IBM Lotus Domino ;
EWOKFRENZY : exploit pour IBM Lotus Domino 6.5.4 à 7.0.2
EMPHASISMINE : exploit IMAP pour Lotus Domino ;
ENGLISHMANSDENTIST : utilise les règles Outlook Exchange Web Access pour déclencher du code côté client ;
EXPLODINGCAN : exploit IIS 6.0 qui semble lié à l’exploit PROPFIND récemment publié ;
ETERNALROMANCE : exploit SMBv1 qui cible Windows XP, 2003, Vista , 7 Windows 8, 2008 et 2008 R2 et qui permet de récupérer les privilèges SYSTEM ;
EDUCATEDSCHOLAR : exploit SMB ;
EMERALDTHREAD : exploit SMB pour Windows XP et 2003 ;
ERRATICGOPHER : exploit SMBv1 pour Windows XP et 2003 ;
ETERNALSYNERGY : exécution de code distant via SMBv3 pour Windows 8 et 2012 ;
ETERNALBLUE : exploit SMBv2 ;
ESKIMOROLL : exploit Kerberos ciblant Windows 2000,, 2003, 2008 et 2008 R2 ;
ESTEEMAUDIT : exploit RDP pour Windows 2003 ;
ECLIPSEDWING : RCE sur le service serveur de Windows 2008 ;
FUZZBUNCH : framework d’exploitation ;
DOUBLEPULSAR : injection en RING0 d’une porte dérobée en mémoire ;
GROK : keylogger ;
ODDJOB : permet de construire un implant et d’un serveur C&C.
 

Outils

PASSFREELY : utilitaire pour contourner l’authentification sur des serveurs Oracle ;
SMBTOUCH : permet de vérifier si la cible est vulnérable aux exploits ETERNALSYNERGY, ETERNALBLUE, ETERNALROMANCE ;
ERRATICGOPHERTOUCH : permet de vérifier que la cible dispose bien de services RPC ;
IISTOUCH : vérifie si le serveur IIS distant est vulnérable (potentiellement lié à l’exploit EXPLODINGCAN) ;
RPCOUTCH : vérifie certaines informations liées au service RPC ;
DOPU : permet de se connecter aux cibles infectées par l’exploit ETERNALCHAMPIONS.

Le tableau suivant synthétise en partie les différents exploits, les cibles, les versions impactées ainsi que les systèmes d’exploitation visés :

Source : https://twitter.com/etlow/status/853439288926777344

Il est intéressant de mentionner le fait que ces différents outils ont été mis en vente par le groupe il y a de cela quelques mois pour des montants allant de un à plusieurs centaines de bitcoins (650 BTC pour le framework FUZZBUNCH) :


Avec ce leak public, de nombreux chercheurs en sécurité dont ceux du CERT-UBIK de Digital Security ont pu tester ces outils et exploits qui semblent pour certains pleinement fonctionnels sur des systèmes d'exploitation récents non récemment mis à jour (Windows 7/8, Windows Server 2008 et 2008 R2, Windows 2012). A ce sujet, vous pouvez notamment consulter notre article sur les outils FuzzBunch et DanderSpritz.

Bien qu'un communiqué officiel de Microsoft précise que les vulnérabilités utilisées par les outils publiés disposent d'un correctif de sécurité adéquat (uniquement pour les produits encore supportés), de nombreux serveurs exposés en frontal sur Internet sont à l'heure actuelle encore vulnérables et pourraient être la cible d’attaques dans les jours à venir, d'autant que nombre de vulnérabilités révélées ont été judicieusement corrigées par une mise à jour du mois de mars 2017, ce qui d'une part laisse à penser que l'éditeur de Redmond a été informé d'une façon ou d'une autre sur la publication à venir desdites failles, et d'autre part que nombre de systèmes n'ont pas encore été mis à jour.

Avec la mise à disposition de ces nombreux exploits, les serveurs exposés frontalement sur Internet pourraient très rapidement se faire compromettre. En couplant cette problématique avec des défauts de cloisonnement réseau, les attaquants pourraient également propager du code malveillant sur le sytème d'information interne des entreprises. En ce sens, on peut penser que ces exploits et outils vont aussi être utilisés par des groupes de cybercriminels afin de propager plus facilement, par exemple, des ransomwares sur les réseaux. Ils vont par exemple faciliter, suite à une attaque par phishing réussi, les déplacements latéraux permettant de paralyser tous les systèmes d'une entreprise. Au moins un code d'exploitation révélé concerne par ailleurs un service d'administration à distance, permettant une automatisation de l'infection depuis Internet.

Il est important de prendre en compte que les solutions Microsoft ne sont pas les seules ciblées par ces révélations. En effet, plusieurs exploits sont disponibles comme ExtremeParr et Ebbisland qui visent les systèmes Solaris x86/SPARC et permettent une élévation de privilèges pour le premier et de l’exécution de commande distante en tant que root pour le second. De nombreux autres exploits touchant une pléiade de solutions d'éditeurs variés restent à analyser.

La question qu’il est alors nécessaire de se poser est : en quoi cet événement me concerne ou vise mon entreprise, quels impacts cela pourrait avoir sur cette dernière et comment me protéger ?

Nombre d'exploits visent des services utilisés par défaut dans les systèmes Microsoft et largement déployés dans les entreprises. Ce constat permet se faire une idée sur la nécessité de mettre à jour rapidement les serveurs et les postes de travail concernés. Dans un premier temps, il est recommandé de vérifier l’exposition des serveurs accessibles depuis Internet afin de mettre en place les mesures correctives adaptées au plus vite. Dans un second temps, il sera nécessaire de mettre à jour l’ensemble des serveurs internes les plus critiques (Active Directory, serveurs de fichiers, de messagerie, etc.) ainsi que des postes de travail. Pour finir, et pour les serveurs qui ne peuvent pas être mis à jour rapidement, il sera nécessaire d’appliquer un filtrage réseau strict et de cloisonner ces derniers afin de minimiser les risques.

Enfin et pour le moment, les systèmes d’exploitation qui ne sont plus supportés par Microsoft (2000, 2003, XP, Vista) doivent rapidement être migrés ou cloisonnés car ils ne bénéficieront d’aucune mise à jour alors qu'ils sont vulnérables à un certain nombre des attaques révélées. La présence de tels serveurs sur le SI doit alors être considérée comme un véritable danger à traiter, comme cela fût le cas pour les systèmes Windows NT à l'époque du ver Blaster par exemple.