IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une nouvelle porte dérobée baptisée Msupedge vise les systèmes Windows


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Juin 2023
    Messages
    924
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2023
    Messages : 924
    Points : 16 416
    Points
    16 416
    Par défaut Une nouvelle porte dérobée baptisée Msupedge vise les systèmes Windows
    Des pirates ont trouvé un nouveau moyen d'introduire une porte dérobée sur les systèmes Windows en exploitant une vulnérabilité PHP critique
    qui permet l'exécution de code arbitraire à distance

    Un acteur de la menace inconnu a récemment déployé une nouvelle porte dérobée baptisée Msupedge sur les systèmes Windows d'une université à Taïwan. Un rapport sur l'incident suggère que les attaquants ont probablement exploité une vulnérabilité PHP récemment corrigée, connue sous le nom de CVE-2024-4577. Cette vulnérabilité affecte principalement les installations Windows utilisant les langues chinoise et japonaise. L'exploitation réussie de la vulnérabilité peut conduire à l'exécution de code à distance. Au cours des derniers mois, les chercheurs ont observé que de nombreux acteurs de la menace recherchaient des systèmes vulnérables.

    Une université de Taïwan visée par une nouvelle porte dérobée baptisée Msupedge

    CVE-2024-4577 (Score CVSS : 9,8) est une faille critique d'injection d'arguments PHP-CGI corrigée en juin qui affecte les installations PHP fonctionnant sur des systèmes Windows avec PHP en mode CGI. Elle permet à des attaquants non authentifiés d'exécuter du code arbitraire et de compromettre complètement le système en cas d'exploitation réussie. Les auteurs de la menace ont diffusé le maliciel sous la forme de deux bibliothèques de liens dynamiques (weblog.dll et wmiclnt.dll), la première étant chargée par le processus Apache httpd.exe. La société de sécurité Symantec a fourni une analyse de l'incident.

    Nom : 3.png
Affichages : 178720
Taille : 245,1 Ko
    Récupération de l'adresse IP résolue

    La caractéristique la plus remarquable de Msupedge est l'utilisation du trafic DNS pour communiquer avec le serveur de commande et de contrôle (C&C). Bien que de nombreux gangs de pirates aient adopté cette technique par le passé, elle n'est pas couramment observée dans la nature. Selon le rapport de Symantec, le maliciel Msupedge exploite la tunnellisation DNS (une fonction mise en œuvre sur la base de l'outil open source dnscat2), qui permet d'encapsuler des données dans des requêtes et des réponses DNS afin de recevoir des commandes de la part de son serveur de commande et de contrôle.

    Par rapport à des méthodes plus évidentes comme la tunnellisation HTTP ou HTTPS, cette technique peut être plus difficile à détecter, car le trafic DNS est généralement considéré comme bénin et est souvent ignoré par les outils de sécurité. Selon les experts en cybersécurité, les acteurs de la menace peuvent utiliser Msupedge pour exécuter diverses commandes, qui sont déclenchées sur la base du troisième octet de l'adresse IP résolue du serveur de commande et de contrôle.

    Le rapport note que Msupedge prend également en charge plusieurs commandes, notamment la création de processus, le téléchargement de fichiers et la gestion de fichiers temporaires. Voici ci-dessous la liste des commandes prises en charge par la porte dérobée Msupedge :

    • 0x8a : création d'un processus à l'aide d'une commande reçue via un enregistrement DNS TXT ;
    • 0x75 : téléchargement d'un fichier à l'aide d'une URL de téléchargement reçue via un enregistrement DNS TXT ;
    • 0x24 : mise en veille pendant un intervalle de temps prédéterminé ;
    • 0x66 : mise en veille pendant un intervalle de temps prédéterminé ;
    • 0x38 : création d'un fichier temporaire « %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp » dont le but est inconnu ;
    • 0x3c : supprime le fichier « %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp ».


    L'équipe Threat Hunter de Symantec, qui a enquêté sur l'incident et repéré le logiciel malveillant, pense que les attaquants ont accédé aux systèmes compromis après avoir exploité la vulnérabilité CVE-2024-4577. Cette faille de sécurité contourne les protections mises en place par l'équipe PHP pour la CVE-2012-1823, qui a été exploitée dans des attaques des années après sa remédiation pour cibler des serveurs Linux et Windows avec le logiciel malveillant RubyMiner.

    « L'intrusion initiale s'est probablement faite par l'exploitation d'une vulnérabilité PHP récemment corrigée (CVE-2024-4577). Symantec a vu de nombreux acteurs de la menace rechercher des systèmes vulnérables au cours des dernières semaines. À ce jour, nous n'avons trouvé aucune preuve nous permettant d'attribuer cette menace et le motif de l'attaque reste inconnu », affirme l'équipe Threat Hunter de Symantec. Certains critiques accusent la Chine d'en être à l'origine.

    Les chercheurs observent une augmentation des attaques de logiciels malveillants

    Un jour après la publication des correctifs CVE-2024-4577 par les responsables du projet PHP, WatchTowr Labs a publié un code d'exploitation de type "preuve de concept" (PoC). Le même jour, la Shadowserver Foundation a signalé avoir observé des tentatives d'exploitation sur ses pots de miel. Toutefois, moins de 48 heures après la publication des correctifs, le gang du ransomware TellYouThePass a également commencé à exploiter la vulnérabilité pour déployer des Shell Web et chiffrer les systèmes des victimes. (Un Shell Web est un outil permettant aux pirates d'exécuter des commandes sur votre serveur Web.)

    Nom : 4.png
Affichages : 15728
Taille : 233,5 Ko
    Le comportement de la porte dérobée Msupedge change en fonction des valeurs du troisième octet de l'adresse IP moins sept

    D'après une étude publiée récemment par Malwarebytes, au cours de l'année écoulée, les États-Unis ont connu une augmentation spectaculaire de 63 % des attaques de ransomware, et le Royaume-Uni une augmentation encore plus importante de 67 %. La part des attaques menées par des gangs n'appartenant pas au top 15 est passée de 25 % à 31 %, ce qui indique que les ransomwares sont de plus en plus accessibles à un plus grand nombre de cybercriminels.

    Les États-Unis représentent désormais 48 % de l'ensemble des attaques de ransomware dans le monde, mais ils subissent 60 % des attaques contre le secteur de l'éducation et 71 % des attaques contre le secteur de la santé. Le secteur manufacturier a connu une augmentation de 71 % des attaques de ransomware d'une année sur l'autre, ce qui souligne la nécessité de mettre en place des mesures de cybersécurité solides dans l'industrie, qui cherche à se numériser.

    Au début du mois de juin, des chercheurs ont découvert une campagne menée par des pirates soupçonnés d'être affiliés à l'État chinois, connue sous le nom de RedJuliett, qui visait des dizaines d'organisations à Taïwan, dont des universités, des agences d'État, des fabricants d'électronique et des organisations religieuses.

    Comme beaucoup d'autres acteurs chinois de la menace, les chercheurs pensent que le groupe a probablement ciblé des vulnérabilités dans des dispositifs orientés vers Internet, tels que des pare-feu et des VPN d'entreprise, pour l'accès initial, car ces dispositifs ont souvent une visibilité et des solutions de sécurité limitées.

    En août, un institut de recherche affilié au gouvernement taïwanais et travaillant sur des technologies sensibles a été violé par l'un des groupes de pirates les plus célèbres de la Chine, APT41. Les pirates ont déployé le logiciel malveillant ShadowPad et plusieurs outils supplémentaires écrits en chinois simplifié.

    Source : rapport d'analyse

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous des techniques exploitées par les pirates pour déployer la porte dérobée Msupedge ?
    Quelles sont les habitudes que les utilisateurs et les organisations peuvent adopter pour se prémunir de ce type d'attaque ?
    Selon vous, qu'est-ce qui pourrait expliquer l'augmentation des attaques de logiciels malveillants au cours des dernières années ?
    Les pratiques en matière de sécurité ont-elles du plomb dans l'aile ? Ont-elles été dépassées par les efforts des acteurs de la menace ?

    Voir aussi

    Les attaques de ransomware augmentent de plus de 60 %, "les gangs de ransomwares ont le temps et la motivation de leur côté et évoluent constamment pour répondre aux dernières technologies"

    Un groupe de renseignement iranien est pointé comme responsable du piratage de l'équipe de campagne de Donald Trump, selon un récent rapport du groupe d'analyse de menaces de Google

    Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises pour discuter de l'amélioration de la résilience des logiciels

  2. #2
    Membre régulier
    Profil pro
    Ingénieur d'Etude
    Inscrit en
    Août 2002
    Messages
    30
    Détails du profil
    Informations personnelles :
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Ingénieur d'Etude

    Informations forums :
    Inscription : Août 2002
    Messages : 30
    Points : 98
    Points
    98
    Par défaut php sur windows ?
    Mon avis sur le sujet ?
    Utiliser windows en tant que serveur web php est une ânerie monumentale (sauf s'il s'agit d'un serveur destiné au développement en local, non accessible par internet)
    php, et apache se marient parfaitement avec Linux , pourquoi utiliser windows en environnement de production ?

    De plus, les "exploitants" de php font souvent la même erreur que ceux qui exploitent Mysql
    Il restent sur des versions anté-diluviennes (comme MySQL 5.6 ou php5.6, php 7.x etc... )

    Ca fait bien longtemps qu'on a abandonné en production le mode php-cgi pour utiliser php-fpm (php-fastcgi process manager) et on est en php 8.x (sortie en 2020) depuis 2021.

    Mais évidement pour pouvoir monter sereinement en version de php il faut :
    - avoir écrit du code propre
    - éviter les raccourcis que php a longtemps permis.
    - faire régulièrement des audits de codes de sorte que les scripts puissent évoluer au file de l'eau sans que cela ne représente une surcharge de travail à échéance.
    Merci à tous

    Christophe

  3. #3
    Membre actif Avatar de rsuinux
    Homme Profil pro
    Infirmier Formateur pour logiciel de Dossiers de Soins Informatisés
    Inscrit en
    Août 2007
    Messages
    147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Infirmier Formateur pour logiciel de Dossiers de Soins Informatisés
    Secteur : Santé

    Informations forums :
    Inscription : Août 2007
    Messages : 147
    Points : 209
    Points
    209
    Par défaut
    @christ d
    Utiliser windows en prod? Je le vois tous les jours pour mon chu.
    Pour les mises a jours c'est le merdier.
    Les app sont infernales a mettre a mettre a jour parce que mes fournisseurs n'ont pas les ressources humaines pour le faire en temps et en heure quand il y a une faille (et même quand il y a nécessité parfois.... Un humain coûte cher).
    Quand a bien programmer pour que ce soit rapide...
    Sans commentaire. A force d'ajouter des fonctionnalités sans optimiser ben ça rame.
    Oui je suis violant.mais l'exploitation a la DSI avec c'est système est pénible . ( J'ai un apache version 2.1.1 en cours d'utilisation)
    Si tu ne sais pas: demande, si tu sais, partage.

  4. #4
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    Octobre 2014
    Messages
    111
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aveyron (Midi Pyrénées)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2014
    Messages : 111
    Points : 237
    Points
    237
    Par défaut
    Je me suis fait un petit tracker de requêtes http sur mon site
    et je liste toutes les IPs et les requêtes qu'ils font.

    Dans la journée, j'ai au moins 5 attaques concernant Wordpress, sans compter les tentatives d'injection SQL et le reste.

    J'ai décidé de faire du reverse IP pendant un moment, de contacter les hébergeurs
    et de les menacer (gentiment) de porter plainte contre eux car ils fournissent un support informatique aux attaquants,
    ils peuvent donc être considérés comme complices (voir ce qui arrive au gars de Telegram)
    tout en leur donnant les IPs incriminées.

    Résultat 99% des hébergeurs s'en cognent, en première place Microsoft Azure, Vultr (nid à hackers) et d'autres.

    En fait, j'ai finit par croire qu'ils encouragent le fait que des gens hébergés chez eux fassent des centaines de requêtes
    vers un même site web (par jour), ma conclusion est que ça augmenterait les frais facturés sur un serveur cloud (mais pt je me trompe)
    où tu es facturé à l'usage.

    Je me dis, c'est bien fait pour leur gueule, on essaie de contribuer à faire cesser les attaques, ils s'en branlent.

    Et bien le jour où tout le monde se rendra compte que Linux, c'est l'informatique du siècle, ils regretterons amèrement,
    ou alors le jour où ils se retrouveront en procès car un couillon hébergé chez eux à fait chier une connaissance à un sénateur ou chépa quoi
    qui a un peu de pouvoir politique, ça sera pas la même.

    Même en France, si tu veux dénoncer un phishing ou une tentative de hack, lève-toi tôt mon ami car
    la procédure te fera regretter d'avoir voulu sauver des petits vieux de se faire siphonner leur compte.

    Et après on vient nous faire chier (mais sérieusement!) à chaque site web pour des histoire de coockies !

    Mais dormons bien, "on nous protège !".

    Note: encore une merde pour Windaube - Cheh !

  5. #5
    Membre expérimenté
    Homme Profil pro
    retraité
    Inscrit en
    Septembre 2014
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Septembre 2014
    Messages : 630
    Points : 1 499
    Points
    1 499
    Par défaut
    C'est quoi ce charabia : "Un acteur de la menace inconnu a récemment déployé une nouvelle porte dérobée baptisée Msupedge sur les systèmes Windows d'une université à Taïwan."
    La phrase originale : A previously unseen backdoor (Backdoor.Msupedge) utilizing an infrequently seen technique was deployed in an attack against a university in Taiwan.
    Et sa traduction correcte : Une porte dérobée inédite (Backdoor.Msupedge) utilisant une technique rarement vue a été déployée lors d'une attaque contre une université à Taiwan.

  6. #6
    Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2024
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 16
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2024
    Messages : 2
    Points : 3
    Points
    3
    Par défaut mon avis sur le sujet
    il est extraiment impordant de mettre a jour continuellement nos version en ce qui concerne php pour palier aux failles de securité decouvertent par les hackers car chaque mise a jour vient comme un corrective a une faille

Discussions similaires

  1. Réponses: 6
    Dernier message: 06/08/2015, 16h22
  2. SplatGL : une nouvelle bibliothèque de rendu Python pour les jeux 2D
    Par LittleWhite dans le forum Développement 2D, 3D et Jeux
    Réponses: 0
    Dernier message: 01/11/2014, 17h38
  3. Réponses: 4
    Dernier message: 09/09/2014, 12h30
  4. Réponses: 9
    Dernier message: 18/02/2014, 14h24
  5. Réponses: 2
    Dernier message: 27/05/2013, 17h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo