20 | Septembre | 2019 – Serveur d’impression
Les caméras VoIP, les DVR et les autres périphériques utilisant le protocole WSDD (Web Services Dynamic Discovery) sont utilisés dans un nouveau type d'attaque DDoS. Ce n’est pas la première fois qu’un service zeroconf est piraté dans le cadre d’une attaque DDoS, l’UPnP ayant également été victime d’abus similaires.
Envie de soupe à l'alphabet? Une attaque par déni de service est une attaque pour laquelle la cible est simplement rendue indisponible, plutôt que réellement compromise. L’exemple classique en est l’inondation SYN, où un attaquant ouvrirait simultanément des centaines de connexions à un serveur Web, épuisant ainsi les ressources du serveur et interrompant son utilisation légitime. Au fur et à mesure que des mesures d'atténuation de ces attaques ont été mises au point (SYN Cookies, par exemple), les attaques par déni de service ont été remplacées par des attaques par déni de service (DDOS). Plutôt que d'attaquer une faiblesse de la machine cible, telle que les cycles de RAM ou d'UC disponibles, un DDoS cible généralement la bande passante réseau disponible en atteignant le site Web cible à partir de nombreux sites à la fois. Aucune astuce logicielle astucieuse ne peut vous aider si votre connexion Internet est totalement saturée de trafic indésirable.
Et un moyen de faire en sorte que de nombreux ordinateurs envoient du trafic vers la même IP consiste à exécuter un réseau de zombies. Votre bande passante de chargement de cinq mégabits pourrait ne pas sembler beaucoup, mais si mille ordinateurs saturent chacun leur 5 mégabits, l’attaque résultante de 5 gigabits n’est rien d’étourdissant. L'amplification DDoS se produit lorsqu'un service tiers est utilisé dans le cadre d'une attaque. Imaginez envoyer une requête DNS avec une adresse IP source usurpée. Une connexion UDP n’a pas la poignée de main initiale d’un paquet TCP, il est donc beaucoup plus difficile de détecter une usurpation de ce genre. Vous envoyez une requête DNS relativement petite et un serveur DNS répond en envoyant une réponse plus grande – pas à votre IP, mais à l'IP cible que vous avez falsifiée. Ce type d’amplification est généralement effectué dans le cadre d’une attaque DDoS par botnet, ce qui augmente encore la bande passante de l’attaque. La plus grande attaque DDoS confirmée jamais enregistrée est de 1,3 Terabytes par seconde. Elle visait Github et utilisait Memcached comme vecteur d’amplification.
Revenons maintenant à Zeroconf. La mise en réseau sans configuration est l'idée que les choses devraient «fonctionner» quand elles sont connectées ensemble à un réseau. Lorsque vous avez la possibilité d’envoyer des vidéos sur votre Chromecast ou que Windows vous affiche la liste de tous les autres périphériques de votre réseau, vous voyez zeroconf en action. Les protocoles Zeroconf tels que UPnP et WSDD sont conçus pour s'exécuter uniquement sur le réseau local, mais les fournisseurs sont réputés pour leur mauvaise implémentation des normes et ne font pas exception à la règle. Les WSDD tels que définis ne doivent répondre qu'aux demandes de multidiffusion sur le port UDP 3702. De nombreux fournisseurs ont construit leur prise en charge WSDD de telle sorte que les périphériques répondent aux demandes WSDD à partir de n'importe quelle adresse IP, multidiffusion ou non. La dernière clé de cette technique d'amplification est l'amplification réelle. Quelle taille d'un paquet un attaquant peut-il envoyer par rapport à la taille d'un paquet que cela peut déclencher en réponse? Des chercheurs d’Akamai ont identifié un message de 18 octets qui déclenche une réponse beaucoup plus large. Ils ont géré un facteur d'amplification de 153x, ce qui est terrifiant. Heureusement, les attaques actives utilisent plutôt des facteurs d’amplification 10x.
Sommaire
Lastpass révèle votre dernier passage
Parfois, les noms de logiciels et les bugs qui les affectent sont carrément étranges. Le plugin Lastpass présentait un problème en raison duquel un site Web pouvait exécuter du code Javascript intelligent et récupérer le dernier mot de passe que Lastpass avait rempli automatiquement. Cela a fonctionné parce que le plugin Lastpass utilise Javascript sur les pages Web que vous visitez, surveillant les invites de mot de passe à remplir. Il a été découvert que le code JS d’un site Web malveillant pouvait interagir avec le code du plug-in de manière inattendue. Étant donné que la fenêtre contextuelle Lastpass peut être référencée sans appeler de fonction d'initialisation, les données étaient toujours présentes depuis la dernière fois que cette fenêtre contextuelle a été affichée. Lastpass a résolu le problème dans la version 4.33.0.
Plus de brèches de données
Cette semaine, il y avait deux histoires distinctes sur de très grandes violations de données. Sur le plan technique, il ne s'agit pas non plus d'une violation, mais des bases de données sans mot de passe négligemment exposées à Internet. Premièrement, plus de 100 bases de données médicales sont utilisées sur Internet sans sécurité adéquate. Jusqu'ici, il semble y avoir beaucoup d'indices, mais avec de nombreuses défaillances en matière de sécurité, il y a beaucoup de reproches à faire. Il convient de noter que chacune de ces bases de données exposées est une violation de la loi HIPAA et que chacune d’entre elles peut donner lieu à une amende considérable.
La seconde concerne les archives de pratiquement tous les citoyens de l’Équateur. Une instance Elasticsearch était mal configurée et accessible au public. À première vue, cela semblait être une autre base de données gouvernementale exposée à Internet, mais cette base de données avait quelque chose d'étrange. Il y avait des données provenant de sources multiples. Environ la moitié de la base de données était conforme à l’idée d’une base de données gouvernementale, mais le reste semblait provenir d’entités privées. Les chercheurs travaillant sur cette histoire ont déterminé qu'une société équatorienne nommée Novaestrat hébergeait la base de données vulnérable.
La base de données a été sécurisée et le site Web de Novaestrat a disparu. Il y a encore plus de questions que de réponses concernant cette histoire. Cette base de données constituait-elle le stockage combiné d'autres violations de données? Quoi qu’il en soit, les données personnelles de millions d’Équatoriens ont été exposées. Fait intéressant, Julian Assange faisait partie des personnes ayant des entrées dans cette base de données, en raison de son asile équatorien.
Ces deux bases de données contenaient des informations personnelles, qui ne sont bien sûr pas modifiables. Des millions de personnes ont été victimes de négligence et, hormis les mesures au niveau du plan de protection des témoins, il n'y a pas de bouton d'annulation.
Windows Defender
Vous utilisez Windows Defender? Vous pourriez être surpris par la prochaine fois que vous exécuterez une analyse manuellement. Depuis la mise à jour de ce mardi, Windows Defender n'analyse qu'un petit nombre de fichiers lors de l'exécution manuelle d'une analyse rapide ou complète. Comme souvent, ce bogue a été introduit lorsqu’un autre problème était en cours de résolution. Si vous utilisez Windows Defender et souhaitez exécuter une analyse manuelle, l'analyse personnalisée fonctionne toujours correctement.
Commentaires
Laisser un commentaire