Actualités

Windows Sub-system for Linux : un exploit observé entre Mai et Août 2021 confirme la vulnérabilité initialement mise en lumière par CheckPoint, en 2017 ! (un ELF dans la nature…)

En effet, l’affaire insécuritaire remonte à quelques années : le 11 Septembre 2017, l’équipe CheckPoint démontrait un exploit potentiellement applicable sous WSL, dévoilé publiquement en Avril 2016 par Microsoft et qui permet, dans les grandes lignes, de pouvoir exécuter un sous-système (Linux) depuis le système d’exploitation Windows. Si le PoC restait à l’état théorique à l’époque, ce n’est désormais plus le cas : l’équipe sécuritaire Black Lotus Labs, dans un billet publié depuis le 16 Septembre 2021, a démontré des traces d’exploits réels…

 

 

Concernant le PoC originellement démontré par CheckPoint, la vulnérabilité Bashware, comme l’indique son nom, prend sa source depuis le terminal – bash – dédié, en permettant l’injection de code depuis ledit terminal pour compromettre le système avec, en prime, une quasi-impossibilité, pour les anti-virus (même récents) et systèmes de sécurité Windows notamment, de pouvoir détecter un tel exploit.

 

Une mise en pratique confirmée et identifiée par Black Lotus Labs via “plusieurs fichiers malveillants écrits principalement en Python (ndlr : v3) et compilés au format binaire Linux ELF (Excutable and Linkable Format) pour le système d’exploitation Debian“. De manière distante (serveur) ou en manuel, la viralité (produit sous PyInstaller) s’introduisait au sein d’un processus actif depuis l’API Windows. Là aussi, la cyber-attaque est passé sous les radars, ce qui confirme une mise en pratique viable du PoC – théorique – de CheckPoint. Pour l’heure et selon les chercheurs sécuritaires, une unique adresse IP aurait été observée ce qui indique une vulnérabilité encore très peu exploitée. Les cyber-attaques recensées se situeraient entre le 3 Mai et le 22 Août 2021.

Il est également rapporté qu’une variante sous Python aurait été produite : la concernant, elle n’utilise, par contre, aucunement l’API Windows avec des mentions russes dans le script (Пивет Саня – Bonjour Sanya). Une autre variante, qui exploite PowerShelle et Ctypes (pour ce dernier : résolution API Windows pour injection + appel de la charge utile), a été exploité pour l’injection et l’exécution sous ShellCode : “la fonction kill_av() a fait comme son nom l’indique : elle a tenté de tuer les produits AV suspects et les outils d’analyse en utilisant os.popen(). La fonction reverseshell() utilisait un sous-processus pour exécuter un script PowerShell codé en Base64 toutes les 20 secondes à l’intérieur d’une boucle infinie while true, bloquant l’exécution de toute autre fonction. La fonction windowspersistence() a copié le fichier ELF d’origine dans le dossier appdata sous le nom payload.exe et a utilisé un sous-processus pour ajouter une clé d’exécution de registre pour la persistance“, est-il expliqué, tout en mentionnant que des plages de ports “éphémères” sont usités (39000 – 48000).

L’Equateur et la France sembleraient être les seules cibles potentielles. Le code indiquerait qu’il est en cours de développement (certains aspects pointant sur une inaction, une opération non-active)… A veiller !

 

 

Source : blog Lumen (Black Lotus Labs) – 16 Septembre 2021 – WSL : 1ière vulnérabilité on the wild (dans la nature) observée.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5