Actualités

ModPipe : les terminaux de paiement ORACLE Micros RES 3700 impactés par une porte dérobée ! (restaurant à la sauvette…)

Les chercheurs ESET viennent de mettre en exergue une faille compromettant la gamme de terminaux de paiement ORACLE Micros Restaurant Enterprise Series 3700 POS : découverte originellement depuis le 28 Décembre 2017 ou encore récemment, le 23 Juin 2020, la vulnérabilité influerait sur un module pour transformer ce dernier en porte dérobée silencieuse pour, en finalité, collecter certaines données sensibles telles que les mots de passe.

 

Initial dropper : déchiffrement

 

Selon les investigations insécuritaires des experts sécuritaires, pour accéder à cet amas de données sensibles (y compris les données bancaires, les adresses IPs ou les processus-système en cours d’exécution…), il a fallu déchiffrer l’ensemble : cela a pu se faire, théoriquement, par l’entremise d’un autre module “téléchargeable”. Ainsi, par dérivation (rétro-ingénierie inversée) la clé a pu être entièrement mise à nue pour mieux être intégré dans ledit module supposé (incriminé) et lié à l’API DPAPI Windows.

 

ModPipe s’articule autour de cinq modules principaux dont un exploitant une communication de type command-and-control, permettant de télécharger d’autres outils du genre :

 

  • GetMicInfo est un composant téléchargeable qui cible les données liées au MICROS POS, y compris les mots de passe liés à deux noms d’utilisateur de base de données prédéfinis par le fabricant : dba et micros. Ces informations sont chiffrées et stockées dans les valeurs de registre DataS5 (pour dba) et DataS6 (pour micros)“, est-il indiqué, concernant le cinquième et dernier modèle permettant l’ex-filtration de données sensibles ;

  • ModScan (v2.20) : ce module se chargera de collecter les adresses IPs en scannant ces dernières. Celui-ci s’installe toujours depuis un appel émanant du serveur command-and-control “via une commande (0x72) InstallMod”. L’ensemble se cache derrière des processus légitimes (par exemple : msdtc.exe, spoolsv.exe, services. exe). Au préalable (avant le scan des IPs), un “ping spécial” est effectué sous la forme d’un message de 32 bits (valeurs) depuis l’API GetTickCount, sous Windows et vers les ports TCP 50123 (MDS HTTP Service) et 2638 (SAP Sybase). Pour que l’attaque matche et déclenche l’analyse-IP, le retour-ping doit retourner la valeur exacte depuis au moins l’un des deux ports attaqués ;

  • ProcList, relatif à la collecte de processus en cours : nom, identifiant (PID), processus-parent, nombre de fil d’exécution, propriétaire d’authentification (token), domaine du token, lignes de commandes et temps de création. Il est ajouté que les modules chargés peuvent aussi ex-filtrer des données (toujours au niveau des processus) par le biais de ProcList.

 

La vulnérabilité concerne les versions 4.7 et 5.4 de RES 3700 POS. Du reste, l’équipe ESET n’infirme ni ne confirme que la faille impacte d’autres versions. Pour l’heure, les États-Unis semblent la cible principale de cette cyber-attaque assez avancée. Il est recommandé de maintenir à jour ce modèle de terminal de paiement, de ne l’utiliser qu’avec des terminaux eux-mêmes mis à jour et de ne l’exploiter que sous un “logiciel de sécurité multi-couches fiable capable de détecter ModPipe”… A veiller !

 

 

Source : ESET – 12 Novembre 2020 – ModPipe : porte dérobée pour les TPEs ORACLE Micros RES 3700 POS.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1