Spécial sécurité : virus pour DAB, faille de firmware d'imprimante, conficker

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent à un virus pour distributeur automatique de billets (DAB). Ils reviennent également cette histoire de faille cachée dans le firmware d'imprimantes HP et, bien sûr, sur l’incontournable Conficker.

cnis logo

Sommaire

- 1 - Le premier virus pour DAB, un joli cas d’école

- 2 - L’intrus habitait dans l’imprimante

- 3 - Feuilleton Conficker : détection et clefs de registre

1 - Le premier virus pour DAB, un joli cas d’école

Sophos publie l’analyse de ce qui semble être le tout premier virus –un « Dropper »- s’attaquant à certains Distributeurs Automatiques de Billets Américains. La nouvelle a fait l’effet d’une bombe, et ce virus quasi confidentiel s’est vu propulsé à la Une du Reg, de CSO Online, de Good Gear Guide et quelques bonnes centaines d’autres titres. Précisons que nos confrères de CSO accompagnent leur article de deux fac simile des lettres d’alertes expédiées par le constructeur des appareils, Diebold. Une filiale de cette entreprise, Premier Election Solution, spécialisée dans les machines à voter, fait régulièrement les gros titres de la presse et le bonheur des conférences sécurité (section « easy hacking »).

Disons le tout de suite, ce dropper bancaire est à deux doigts d’appartenir à la catégorie des « virus en chambre », l’un des rares cas détecté ayant été signalé en Russie. Il « doit probablement être injecté dans la machine par un complice » précise l’auteur Vanja Svajcer. Le code malin n’est jamais qu’une variante des programmes utilisés par les « carders », et semble se charger de voler et stocker les données des véritables cartes introduites dans le DAB infecté. Plutôt donc de se lancer dans une dangereuse opération de maquillage du distributeur lui-même (skimming), les black-hats ont décidé de transformer la machine elle-même en usine de récupération de code. Et ce, probablement, en partant d’une constatation logique : tout, dans un DAB, est prévu pour empêcher un vol de l’argent liquide contenu dans la caisse automatique. La sécurité est « pensée » pour contrôler tout ce qui peut « sortir » de l’appareil…. Mais rien n’est prévu pour sécuriser ce qui y entre, en d’autres termes les données contenues sur la carte. Ni les claviers d’entrée de code PIN, ni les écrans ne sont prévus pour résister à une écoute « Tempest » par exemple. Probablement parce que ce qui est extérieur au DAB ne relève pas de la responsabilité de la banque.

Bien que confidentiel, ce virus « voleur de comptes » a une valeur symbolique considérable : il prouve –si besoin en était- que l’infaillibilité et l’herméticité tant vantée des DAB n’est qu’une illusion. Il remet également sur le tapis l’éternel débat sur la « vulnérabilité provoquée par l’absence de diversité des socles logiciels », cheval de bataille de Dan Geer. En généralisant Windows, dans sa version « embedded » ou non, sur la majorité des automates en service, l’industrie des distributeurs a pris un risque relativement élevé et facilité le travail des pirates. Ceci étant dit, un noyau Linux ou un système plus exotique aurait de toute manière fini par succomber de la même manière, compte-tenu de la convoitise et des espérances de gain que peut susciter ce genre d’appareil.

2 - L’intrus habitait dans l’imprimante

« Mais corrigez moi le firmware de ces imprimantes HP » s’écrie HongZheng Zhou dans un papier publié sur le blog de l’Avert. Des imprimantes qui avaient fait l’objet d’un bulletin d’alerte CVE-2008-4419–I, précisant qu’il est possible d’accéder à la page Web d’administration de l’appareil sans posséder le moindre mot de passe. Bien que le correctif se trouve aisément dans les pages « support » de Hewlett Packard, un rapide Googlehacking prouve que bon nombre de ces imprimantes sont accessibles depuis le réseau public. Ce qui prouve non seulement que les rustines des équipements autres que les ordinateurs (et peut-être les routeurs) sont rarement déployées, et que les accès à ces dits appareils ne sont pas toujours filtrés par le firewall ou le proxy de défense périmétrique.

Cette alerte rappelle la très récente publication du Sans attirant l’attention des administrateurs sur le pullulement des équipements sans-fil déployés dans les hôpitaux, et pouvant constituer autant de portes dérobées fragilisant le réseau local. Et parmi les appareils « wifisés », le rapport dénonçait très clairement les imprimantes « Dell, HP, Lexmark, Canon, Samsung and Epson (to name but a few) » (sic). Ces deux alertes ne sont jamais qu’un « remake » à la sauce technologique moderne des vulnérabilités d’autrefois liées au « partage d’imprimante sur réseau Netbeui », qui fit le bonheur des apprentis-intrus des années durant.

3 - Feuilleton Conficker : détection et clefs de registre

Comme promis au fil du précédent billet du Cert Lexsi, Sylvain Sarméjeanne nous offre un nouvel épisode consacré aux mystères de Conficker B++, troisième édition, énième épisode. Billet d’autant plus intéressant qu’il nous enseigne l’art de détecter et désactiver cette mutation, alors qu’il n’existe encore aucun outil de nettoyage pouvant être téléchargé.

Le talon d’Achille de B++ se trouve dans la base de registre, quelque part sur une branche de HKLMSYSTEMCurrentControlSetServices, sous la clef wcsSrv. Une clef dont il faut s’approprier les droits en modifiant les ACL, car elle possède des attributs System. Le changement de nom du service ne change en rien la méthode : il suffit de découvrir quelle branche de CurrentControlSetServices retourne une erreur lors d’une tentative de lecture. L’auteur précise que la désactivation de la DLL n’est pas tout… Conficker possède tellement de moyens de propagation qu’une opération de désinfection générale risque de prendre du temps… ceci sans prendre en compte le travail nécessaire après éradication, pour rétablir tout ce que le ver a détruit, notamment les outils de mise à jour de Windows. Si l’on se fie aux promesses écrites par Fabien Perigaud au fil de son précédent billet, les prochains jours devraient nous en apprendre un peu plus sur les fonctions « cachées » de Downadup. Ce suspense est absolument insoutenable, pas vrai ?

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)