Et si les meilleurs malwares étaient… les antivirus ? Lors de la dernière Black Hat Europe, nous nous étions fait l’écho d’une session touchant à ce sujet. Plus précisément à une vulnérabilité permettant de détourner ces logiciels – EDR inclus – pour en faire des wipers.
Dans le registre « exploitation malveillante d’armes défensives », il y a aussi les pots de miel, ces systèmes volontairement exposés afin de collecter des informations sur les menaces.
Leurs faiblesses ont fait l’objet de plusieurs présentations à l’occasion de la dernière convention DEF CON. Un spécialiste en cybersécurité membre de l’Internet Storm Center (forme de celulle de veille rattachée au SANS Institute) s’en est nourri pour établir sa propre démonstration.
Celle-ci suppose que l’analyse des logs est faite dans un terminal (ici, celui de Windows 10)… au sein duquel on va introduire des séquences d’échappement. Pour cela, on envoie un fichier vers le pot de miel… et on espère qu’un analyste le consulte avec la commande cat.
En fonction du système cible, on peut insérer des données dans le presse-papiers, ouvrir des liens, suivre les mouvements de la souris, etc. Voire exécuter des processus (cf. faille CVE-2022-44702).
Pour masquer ces actions, on peut déclencher, à leur suite, une forme de dépassement de tampon : afficher une très longue suite de caractères, de sorte qu’on perd le début du log.
On admettra qu’un tel scénario d’« empoisonnement » de pot de miel implique une configuration spécifique. Et qu’on peut l’éviter de bien des manières. Par exemple en utilisant la commande file (qui révèle la nature du fichier) ou l’argument -v (qui affiche des caractères non imprimables).
À lire en complément :
Sous pression, Microsoft ouvre ses journaux de sécurité
Cybersécurité : les outils open source que conseille l’ANSSI américaine
Intégration de logiciels non maîtrisés : les bonnes pratiques de sécurité
Spring4Shell : faut-il comparer cette faille Java critique à Log4Shell ?
Photo d’illustration © lolloj – Shutterstock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…