IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Microsoft tire la sonnette d'alarme sur un botnet Linux


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2019
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 832
    Points : 10 432
    Points
    10 432
    Par défaut Microsoft tire la sonnette d'alarme sur un botnet Linux
    Microsoft découvre une faille dans Linux qui donne l'accès à la racine des ordinateurs,
    les vulnérabilités d'élévation de privilèges peuvent être utilisées pour obtenir un accès permanent

    Des vulnérabilités récemment découvertes par Microsoft permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agit de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation open source. Pour certains informaticiens, cette histoire démontre qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fialble que Windows

    « Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », déclare un internaute.

    Nom : Windows vs Linux.png
Affichages : 168576
Taille : 61,3 Ko

    « Je peux garantir qu'une grande partie des ingénieurs logiciels, chez Microsoft, travaillent sous Linux. Microsoft a un sous-système Linux intégré dans Windows maintenant. Microsoft possède Github, et Azure, qui utilisent tous deux Linux comme standard pour la majorité de leurs offres. Il y a de nombreuses raisons pour lesquelles ils consacreraient du temps et de la main d'œuvre à la recherche de tout problème potentiel dans Linux »

    Les systèmes d'exploitation ayant été renforcés pour résister aux compromissions ces dernières années, les vulnérabilités d'élévation de privilèges (EoP) sont devenues un ingrédient essentiel de la plupart des hacks réussis. Elles peuvent être exploitées de concert avec d'autres vulnérabilités qui, à elles seules, sont souvent considérées comme moins graves, les secondes donnant ce que l'on appelle un accès local et les premières permettant d'accéder à la racine. À partir de là, les adversaires disposant d'un accès physique ou de droits limités sur le système peuvent déployer des portes dérobées ou exécuter le code de leur choix.

    Les failles, identifiées sous les noms de CVE-2022-29799 et CVE-2022-29800, combinent des menaces telles que la traversée de répertoires, la course de liens symboliques et la condition de course de temps de vérification du temps d'utilisation (TOCTOU). Après avoir examiné le code source de Networkd -dispatcher, le chercheur Jonathan Bar Or de Microsoft a remarqué qu'un composant connu sous le nom de _run_hooks_for_state met en œuvre la logique suivante :

    • Découvre la liste des scripts disponibles en invoquant la méthode get_script_list, qui appelle une méthode séparée scripts_in_path destinée à renvoyer tous les fichiers stockés dans le répertoire "/etc/networkd-dispatcher/.d" ;
    • Trie la liste des scripts ;
    • Exécute chaque script avec le processus subprocess.Popen et fournit des variables d'environnement personnalisées.

    Nom : lincde.png
Affichages : 9768
Taille : 271,5 Ko

    Run_hooks_for_state laisse les systèmes Linux ouverts à la vulnérabilité de traversée de répertoire, désignée sous le nom de CVE-2022-29799, parce qu'aucune des fonctions qu'il utilise ne nettoie correctement les états utilisés pour construire le chemin de script approprié à partir d'une entrée malveillante. Les pirates peuvent exploiter cette faiblesse pour s'échapper du répertoire de base /etc/networkd-dispatcher.

    Run-hooks_for_state contient une autre faille, CVE-2022-29800, qui rend les systèmes vulnérables à la condition de course TOCTOU puisqu'il y a un certain temps entre la découverte des scripts et leur exécution.

    Les adversaires peuvent exploiter cette dernière vulnérabilité pour remplacer les scripts que networkd-dispatcher croit appartenir à root par des scripts malveillants choisis par les adversaires. Pour s'assurer que Linux exécute le script malveillant fourni par le pirate plutôt que le script légitime, le pirate implante plusieurs scripts jusqu'à ce qu'un seul réussisse finalement.

    Un pirate ayant un accès minimal à un ordinateur de bureau vulnérable peut enchaîner des exploits pour ces vulnérabilités qui donnent un accès complet à la racine. Le flux d'exploitation ressemble à ceci :

    1. Préparez un répertoire /tmp/nimbuspwn et implantez un lien symbolique /tmp/nimbuspwn/poc.d pour pointer vers /sbin. Le répertoire /sbin a été choisi spécifiquement parce qu'il contient de nombreux exécutables appartenant à root qui ne se bloquent pas s'ils sont exécutés sans arguments supplémentaires. Cela permettra d'abuser du problème de course de liens symboliques que nous avons mentionné précédemment.
    2. Pour chaque nom de fichier exécutable sous /sbin appartenant à root, plantez le même nom de fichier sous/tmp/nimbuspwn. Par exemple, si "/sbin/vgs" est exécutable et appartient à root, implantez un fichier exécutable "/tmp/nimbuspwn/vgs" avec la charge utile désirée. Cela aidera l'attaquant à gagner la condition de course imposée par la vulnérabilité TOCTOU ;
    3. Envoyer un signal avec l'OperationalState ../../../tmp/nimbuspwn/poc. Ceci abuse de la vulnérabilité de traversée de répertoire et échappe le répertoire du script ;
    4. Le gestionnaire de signaux de networkd-dispatcher entre en action et construit la liste des scripts à partir du répertoire /etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d, qui est en réalité le lien symbolique (/tmp/nimbuspwn/poc.d), qui pointe vers /sbin. Par conséquent, cela crée une liste composée de nombreux exécutables appartenant à root ;
    5. Changez rapidement le lien symbolique /tmp/nimbuspwn/poc.d pour qu'il pointe vers /tmp/nimbuspwn. Ceci abuse de la vulnérabilité de la condition de course TOCTOU - le chemin du script change sans que networkd-dispatcher en soit conscient ;
    6. Le répartiteur commence à exécuter des fichiers qui étaient initialement sous "/sbin" mais en réalité sous le répertoire /tmp/nimbuspwn. Puisque le répartiteur "croit" que ces fichiers appartiennent à root, il les exécute aveuglément avec subprocess.Popen en tant que root. Par conséquent, notre attaquant a réussi à exploiter la vulnérabilité.
    7. Pour obtenir un accès root permanent, le chercheur a utilisé le flux d'exploitation pour créer une porte dérobée. La procédure à suivre est la suivante :
    8. Copie /bin/sh dans /tmp/sh ;
    9. Transforme le nouveau /tmp/sh en un binaire Set-UID (SUID) ;
    10. Exécute /tmp/sh -p. Le drapeau "-p" est nécessaire car les shells modernes abandonnent les privilèges par conception.

    Nom : LinCVE.png
Affichages : 9774
Taille : 119,1 Ko

    L'exploit de preuve de concept ne fonctionne que lorsqu'il peut utiliser le nom de bus "org.freedesktop.network1". Le chercheur a trouvé plusieurs environnements où cela se produit, y compris Linux Mint, dans lequel le systemd-networkd par défaut ne possède pas le nom de bus org.freedodesktop.network1 au démarrage.

    Le chercheur a également trouvé plusieurs processus qui s'exécutent sous l'utilisateur systemd-network, qui est autorisé à utiliser le nom de bus nécessaire pour exécuter du code arbitraire à partir d'emplacements inscriptibles dans le monde. Les processus vulnérables comprennent plusieurs plugins gpgv, qui sont lancés lors de l'installation ou de la mise à jour d'apt-get, et le Erlang Port Mapper Daemon, qui permet d'exécuter du code arbitraire dans certains scénarios.

    La vulnérabilité a été corrigée dans le networkd-dispatcher, bien qu'il n'ait pas été immédiatement clair quand ou dans quelle version, et les tentatives pour joindre le développeur n'ont pas été immédiatement couronnées de succès. Les personnes utilisant des versions vulnérables de Linux doivent corriger leurs systèmes dès que possible.

    Source : Microsoft

    Et vous ?

    Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?

    « Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?

    Voir aussi :

    Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut

    Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs

    Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

    Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    305
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 305
    Points : 637
    Points
    637
    Par défaut
    Citation Envoyé par Bruno Voir le message
    « Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?
    Ben voyons

    Allez petit tour d'horizon des quelques mois passés:

    Linux: 2 failles majeures, CVSS 7.8 tout de même une concernant sudo (buffer overflow très difficilement exploitable), une concernant polkit. On reste sur de l'escalade de privilège, corrigées en quelques jours.

    Windows: une véritable dinguerie il ne se passe pas 3 mois sans qu'une faille de CVSS > 9 ne fasse son apparition.
    Zerologon CVSS 10 (compromission complète d'un AD à partir d'un flux réseau non authentifié).
    Exchange
    Printnightmare CVSS 8.8 ils ont été infoutus de corriger la faille pendant plusieurs mois, ils préconisaient de désactiver le spooler d'impression (ha ouais... lol)
    Janvier http.sys CVSS 9.8...
    Et maintenant la faille du moment: Les RPC (donc SMB) CVSS 9.8

    C'est simple il n'y a pas un service dans Windows qui ne soit pas bugué à la mort à tel point qu'avec quelques hacks sous Python tu puisses faire des RCE avec des droits systèmes.

    Franchement...Linux est intrinsèquement plus sécurisé que Windows n'importe quel ingénieur sécurité le sait.

  3. #3
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    août 2011
    Messages
    15 540
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 15 540
    Points : 37 493
    Points
    37 493
    Par défaut
    Plutôt que de rechercher des failles sous Linux, Microsoft ferait mieux de chercher des failles sous son propre système Windows.

    Bien-sûr Linux n'est pas infaillible, mais c'est encore moins le cas de Windows
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  4. #4
    Expert éminent sénior

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    2 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 2 615
    Points : 17 565
    Points
    17 565
    Par défaut
    Certes, cependant il faut savoir que désormais Microsoft utilise Linux sur ses serveurs, par exemple pour proposer des services Cloud Azure.
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  5. #5
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    août 2011
    Messages
    15 540
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 15 540
    Points : 37 493
    Points
    37 493
    Par défaut
    Oui je sais, l'actu l'évoque également.

    C'est bien qu'ils trouvent des failles, mais :

    Vu le nombre de machines sous Windows dans le monde, et le nombre d'instances Azure, je pense pas que la priorité pour eux soit de travailler sur Linux, mais plutôt sous les OS qu'ils vendent.
    Par ailleurs, il est fort probable que les hôtes qu'ils utilisent n'ont pas d-bus.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  6. #6
    Rédacteur/Modérateur

    Avatar de yahiko
    Homme Profil pro
    Développeur
    Inscrit en
    juillet 2013
    Messages
    1 350
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 350
    Points : 8 517
    Points
    8 517
    Billets dans le blog
    43
    Par défaut
    La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.
    Tutoriels et FAQ TypeScript

  7. #7
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 395
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 395
    Points : 13 768
    Points
    13 768
    Par défaut
    Citation Envoyé par tabouret Voir le message
    Franchement...Linux est intrinsèquement plus sécurisé que Windows n'importe quel ingénieur sécurité le sait.
    Tu confonds "intrinsèquement" et "dans la pratique".
    Linux c'est une noyau monolithique relativement complexe, codé en C, qui supporte notamment le parallélisme et la concurrence, tout comme celui de Windows. Sur ce qui constitue la valeur intrinsèque, il n'y a pas de raison particulière que Linux ait plus de faille que Windows. Il y a peut-être d'autre raisons qui font que Windows aurait plus de problème, mais pas sur ce qui constitue une valeur intrinsèque.

    Après pour ta comparaison, il faudrait quand même que tu fixe précisément le périmètre car un Windows de base c'est plus large qu'un noyau Linux donc forcément plus susceptible d'avoir des failles.

  8. #8
    Expert confirmé Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 294
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 294
    Points : 5 480
    Points
    5 480
    Par défaut
    Citation Envoyé par yahiko Voir le message
    La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.
    Pour une fois je suis d'accord: je préfère que Microsoft passe du temps à sécuriser gratuitement Linux qu'à travailler sur un Windows qui ne me sert que sur mon poste de travail au bureau. Mais je pense que ce n'est pas tout à fait ce que tu voulais dire, n'est-ce pas?

    Au passage pour ceux que ça intéresse, les failles découvertes sont dans systemd, pas dans le kernel Linux.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  9. #9
    Membre habitué
    Homme Profil pro
    Inscrit en
    juillet 2003
    Messages
    33
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2003
    Messages : 33
    Points : 154
    Points
    154
    Par défaut
    Moins il y'a de code, moins on peut se faire attaquer et plus c'est facile de surveiller la base de code qui tourne. Avec les usines à gaz que sont Linux et Windows, il y aura toujours des trous de sécurité, et des risques que les auteurs d'un paquet "installé par tout le monde" injectent délibérément du code malveillant.

  10. #10
    Membre expert Avatar de AoCannaille
    Inscrit en
    juin 2009
    Messages
    1 216
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 216
    Points : 3 917
    Points
    3 917
    Par défaut
    Citation Envoyé par yahiko Voir le message
    La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.
    Je suis d'accord. Pour l'instant chaque effort que fait Microsoft envers Linux essuie petit à petit la rancœur de la vente liée et du pillage des solutions open source pendant 30 ans.

    Une fois que Microsoft aura frotté assez fort pour effacer les tâche, il passera au polissage et pourra enfin briller ^^

    En ce qui me concerne, n'utilisant plus Windows à la maison et n'utilisant Windows au boulot que pour Outlook et accéder en SSH à Linux, je suis ravi de cela

    Aprés, il ne faut pas se faire d'illusion, ils ne font pas ça à perte.

    D'aprés leurs résultats de ce premier trimestre , il semble que le cloud (et donc linux en tant qu'outils interne microsoft) a dépassé les outils de productivité (j'imagine Office, Outlook, teams etc.) et Windows (que j'imagine être casé dans "More personal computing").
    Nom : Annotation 2022-04-28 102909.png
Affichages : 5252
Taille : 25,8 Ko

  11. #11
    Membre confirmé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    305
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 305
    Points : 637
    Points
    637
    Par défaut
    Citation Envoyé par Uther Voir le message
    Tu confonds "intrinsèquement" et "dans la pratique".
    Linux c'est une noyau monolithique relativement complexe, codé en C, qui supporte notamment le parallélisme et la concurrence, tout comme celui de Windows. Sur ce qui constitue la valeur intrinsèque, il n'y a pas de raison particulière que Linux ait plus de faille que Windows. Il y a peut-être d'autre raisons qui font que Windows aurait plus de problème, mais pas sur ce qui constitue une valeur intrinsèque.

    Après pour ta comparaison, il faudrait quand même que tu fixe précisément le périmètre car un Windows de base c'est plus large qu'un noyau Linux donc forcément plus susceptible d'avoir des failles.
    Le périmètre est simple tout ce qui constitue un serveur basique non graphique (donc exit les composants web/bdd/middleware).
    On parle de RDP, NFS, SSH, NTP, authent/login, du kernel en lui même...
    Ou sinon si tu préfère un Windows server avec une Debian 11 ou une RHEL si tu veux.

    Windows est une surcouche d'une surcouche d'une surcouche....raison pour laquelle je parle de valeur intrinsèque.
    Il faut se poser la question suivante: pourquoi les RCE violentes ET récurrentes sont surtout le propre de Windows et non de Linux?

    Enfin c'est un débat à troll j'en ai conscience

    Néanmoins, si Microsoft trouve des failles à Linux, j'en suis ravi si ça permet de les corriger asap.

    Edit:
    Concernant ma comparaison, je ne parlais pas que du kernel. Je te parle d'un serveur basique (debian11, RHEL8, Win 2K22...) pour rappel, sudo et polkit que j'ai mentionnés ne sont pas des éléments du kernel, ils sont dans le user space.

  12. #12
    Membre habitué
    Inscrit en
    février 2005
    Messages
    192
    Détails du profil
    Informations forums :
    Inscription : février 2005
    Messages : 192
    Points : 198
    Points
    198
    Par défaut C'est quoi ce titre raccoleur ?
    Grmbl... je croyais ce site un brin sérieux.

    La faille en question est liée à nimbuspwn, un machin en Python. C'est pas "dans" Linux mais dans un logiciel tout pourri qu'on peut installer sous Linux et qui alors ouvre une faille.

    Lorsqu'une faille Java survient pour donner un accès non prévu sur un système Microsoft, est-ce que vous titrez que Microsoft est responsable ?

    Bref, je ne suis pas fier de Bruno mais alors pas du tout.

  13. #13
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    août 2011
    Messages
    15 540
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 15 540
    Points : 37 493
    Points
    37 493
    Par défaut
    La faille en question est liée à nimbuspwn, un machin en Python
    Absolument pas, nimbuspwn est le nom donnée à la faille, et ce n'est pas en Python. La démonstration de la faille est présentée avec un code Python.

    La faille se situe au niveau de systemd.


    Il faut bien lire et comprendre avant de critiquer.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  14. #14
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2019
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 832
    Points : 10 432
    Points
    10 432
    Par défaut Microsoft tire la sonnette d'alarme sur un botnet Linux
    Microsoft tire la sonnette d'alarme sur un botnet Linux,
    le fabriquant de #Windows dit avoir observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos

    Microsoft a tiré la sonnette d'alarme sur un logiciel malveillant DDoS appelé XorDdos qui cible les points d'extrémité et les serveurs Linux. « Au cours des six derniers mois, nous avons observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos », déclare Microsoft. Encore une faille qui vient démontrer qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows ?

    Le mois dernier, Microsoft a indiqué avoir découvert des vulnérabilités qui permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agissait alors de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation Linux par Microsoft.

    Nom : Windows vs Linux.png
Affichages : 139589
Taille : 61,3 Ko

    De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »

    XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux, qui sont couramment déployés sur les infrastructures en nuage et les appareils de l'Internet des objets (IoT), prévient Microsoft.

    Les attaques DDoS en elles-mêmes peuvent être très problématiques pour de nombreuses raisons, mais ces attaques peuvent également être utilisées comme couverture pour cacher d'autres activités malveillantes, comme le déploiement de logiciels malveillants et l'infiltration des systèmes cible. L'utilisation d'un botnet pour réaliser des attaques DDoS peut potentiellement créer des perturbations importantes, comme l'attaque DDoS de 2,4 Tbps que Microsoft a atténuée en août 2021.

    Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles. SSH est l'un des protocoles les plus courants dans les infrastructures informatiques et permet des communications chiffrées sur des réseaux non sécurisés à des fins d'administration de systèmes à distance, ce qui en fait un vecteur intéressant pour les attaquants. Une fois que XorDdos a identifié des informations d'identification SSH valides, il utilise les privilèges root pour exécuter un script qui télécharge et installe XorDdos sur le périphérique cible.

    Nom : XorDdos.png
Affichages : 20635
Taille : 81,3 Ko
    Un vecteur d'attaque typique du logiciel malveillant XorDdos


    XorDdos utilise des mécanismes d'évasion et de persistance qui permettent à ses opérations de rester robustes et furtives. Ses capacités d'évasion comprennent l'obscurcissement des activités du malware, l'évitement des mécanismes de détection basés sur des règles et la recherche de fichiers malveillants basée sur le hachage, ainsi que l'utilisation de techniques anti-forensic pour briser l'analyse basée sur l'arbre des processus.

    Microsoft dit avoir observé lors des campagnes récentes que XorDdos dissimule les activités malveillantes à l'analyse en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux. XorDdos peut illustrer une autre tendance observée sur diverses plateformes, dans laquelle les logiciels malveillants sont utilisés pour transmettre d'autres menaces dangereuses.

    Microsoft dit également avoir constaté que les appareils d'abord infectés par XorDdos étaient ensuite infectés par d'autres logiciels malveillants tels que la porte dérobée qui déploie ensuite le mineur de monnaie XMRig. « Bien que nous n'ayons pas observé XorDdos installer et distribuer directement des charges utiles secondaires comme Tsunami, il est possible que le cheval de Troie soit utilisé comme vecteur pour des activités de suivi », indique Microsoft.

    Microsoft Defender for Endpoint protège contre XorDdos en détectant et en corrigeant les attaques modulaires en plusieurs étapes du cheval de Troie tout au long de sa chaîne d'attaque et toute activité de suivi potentielle sur les points d'extrémité. XorDdos se propage principalement par force brute SSH. Il utilise un script shell malveillant pour essayer diverses combinaisons d'identifiants root sur des milliers de serveurs jusqu'à ce qu'il trouve une correspondance sur un périphérique Linux cible. Par conséquent, on peut constater de nombreuses tentatives de connexion infructueuses sur les appareils infectés par le logiciel malveillant :

    Nom : XorDdos2.png
Affichages : 20420
Taille : 15,6 Ko
    Échec des tentatives de connexion sur un appareil affecté par XorDdos


    Microsoft a déterminé deux des méthodes d'accès initial de XorDdos. La première méthode consiste à copier un fichier ELF malveillant dans le stockage de fichiers temporaires /dev/shm, puis à l'exécuter. Les fichiers écrits sur /dev/shm sont supprimés lors du redémarrage du système, ce qui permet de dissimuler la source de l'infection lors d'une analyse judiciaire.

    La deuxième méthode consiste à exécuter un script bash qui effectue les activités suivantes via la ligne de commande :

    1. Itère les dossiers suivants pour trouver un répertoire accessible en écriture
      • /bin
      • /home
      • /root
      • /tmp
      • /usr
      • /etc
    2. Si un répertoire inscriptible est trouvé, change le répertoire de travail pour le répertoire inscriptible découvert ;
    3. Utilise la commande curl pour télécharger la charge utile du fichier ELF depuis l'emplacement distant hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt et enregistre le fichier sous le nom de ygljglkjgfg0 ;
    4. Change le mode du fichier en "exécutable" ;
    5. Exécute la charge utile du fichier ELF ;
    6. Déplace et renomme le binaire Wget pour échapper aux détections basées sur des règles déclenchées par une utilisation malveillante du binaire Wget. Dans ce cas, il renomme le binaire Wget en bon et déplace le fichier vers les emplacements suivants :
      • mv /usr/bin/wget /usr/bin/good
      • mv /bin/wget /bin/good
    7. Tente de télécharger une deuxième fois la charge utile du fichier ELF, en utilisant désormais uniquement le bon fichier et non le binaire Wget ;
    8. Après avoir exécuté le fichier ELF, utilise une technique anti-forensique qui dissimule son activité passée en écrasant le contenu de ceratins fichiers sensibles.

    Recommandations de Microsoft pour se défendre contre les menaces de la plateforme Linux

    La nature modulaire de XorDdos fournit aux attaquants un cheval de Troie polyvalent capable d'infecter une variété d'architectures de systèmes Linux. Ses attaques par force brute SSH sont une technique relativement simple mais efficace pour obtenir un accès root sur un certain nombre de cibles potentielles.

    Capable de voler des données sensibles, d'installer un dispositif rootkit, d'utiliser divers mécanismes d'évasion et de persistance et de réaliser des attaques DDoS, XorDdos permet aux cybercriminels de créer des perturbations potentiellement importantes sur les systèmes cibles. En outre, XorDdos peut être utilisé pour introduire d'autres menaces dangereuses ou fournir un vecteur pour des activités de suivi.

    « XorDdos et d'autres menaces visant les dispositifs Linux soulignent combien il est crucial de disposer de solutions de sécurité dotées de capacités complètes et d'une visibilité totale couvrant de nombreuses distributions de systèmes d'exploitation Linux », déclare Microsoft. « Microsoft Defender for Endpoint offre une telle visibilité et une telle protection pour contrer ces menaces émergentes grâce à ses fonctionnalités antimalware et de détection et réponse aux points d'accès de nouvelle génération (EDR) », poursuit Microsoft.

    Selon Microsoft, en s'appuyant sur les renseignements tirés des données intégrées sur les menaces, y compris l'heuristique client et cloud, les modèles d'apprentissage automatique, l'analyse de la mémoire et la surveillance du comportement, Microsoft Defender for Endpoint peut détecter et remédier à XorDdos et à ses attaques modulaires en plusieurs étapes.

    Source : Microsoft

    Et vous ?

    Quel est votre avis sur le sujet ?

    Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?

    « XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?

    « Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?

    Voir aussi :

    Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut

    Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs

    Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

    Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  15. #15
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2004
    Messages
    362
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : juin 2004
    Messages : 362
    Points : 1 277
    Points
    1 277
    Par défaut
    Encore une faille qui vient démontrer qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows ?
    Citation Envoyé par tabouret Voir le message
    Ben voyons

    Allez petit tour d'horizon des quelques mois passés:

    Linux: 2 failles majeures, CVSS 7.8 tout de même une concernant sudo (buffer overflow très difficilement exploitable), une concernant polkit. On reste sur de l'escalade de privilège, corrigées en quelques jours.

    Windows: une véritable dinguerie il ne se passe pas 3 mois sans qu'une faille de CVSS > 9 ne fasse son apparition.
    Zerologon CVSS 10 (compromission complète d'un AD à partir d'un flux réseau non authentifié).
    Exchange
    Printnightmare CVSS 8.8 ils ont été infoutus de corriger la faille pendant plusieurs mois, ils préconisaient de désactiver le spooler d'impression (ha ouais... lol)
    Janvier http.sys CVSS 9.8...
    Et maintenant la faille du moment: Les RPC (donc SMB) CVSS 9.8

    C'est simple il n'y a pas un service dans Windows qui ne soit pas bugué à la mort à tel point qu'avec quelques hacks sous Python tu puisses faire des RCE avec des droits systèmes.

    Franchement...Linux est intrinsèquement plus sécurisé que Windows n'importe quel ingénieur sécurité le sait.


    De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »
    Ce n'est pas sourcé :-(

    Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles.
    Les attaques par force brute ne fonctionnent pas avec un mot de passe correct ... Le botnet est installé sur des machines Linux exclusivement ? :-O

    Un DDoS fonctionne sur n'importe quel OS, d'ailleurs s'agit-il vraiment d'une faille ?

  16. #16
    Membre expérimenté
    Homme Profil pro
    Informaticien
    Inscrit en
    avril 2011
    Messages
    340
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Informaticien

    Informations forums :
    Inscription : avril 2011
    Messages : 340
    Points : 1 380
    Points
    1 380
    Par défaut
    C'est plus une succession d'erreur d'administration (accès root autorisé, accès ssh par mdp, mdp suffisamment faible pour être trouvé en brute force) qu'une réelle faille...

  17. #17
    Membre éprouvé
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2021
    Messages
    367
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2021
    Messages : 367
    Points : 926
    Points
    926
    Par défaut
    « XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?
    C'est possible que la progression constante de Linux dans les serveurs joue sur ce ciblage. Après, je ne sais pas si ce genre d'attaque touche uniquement les GNU/Linux, ou aussi Android. Parce que si c'est aussi Android, ça fait du monde à attaquer.

    « Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?
    Oui dans l'absolu, non dans la réalité. Un logiciel libre est open source est quasiment tout le temps plus sécurisé qu'un logiciel propriétaire. L'adoption massive de l'open source dans des milieux critiques le prouve.
    Par contre, je pense que dans l'absolu (contrairement à certains fan-boy Linux ), Windows n'est pas moins sécurisé. Windows est juste moins sécurisé parce que propriétaire.

    En dehors de ça, je suis surpris de ne pas avoir vu un commentaire de yahiko à ce sujet . Je pense que cela ne va pas tarder.

  18. #18
    Expert éminent
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    juillet 2012
    Messages
    1 262
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : juillet 2012
    Messages : 1 262
    Points : 9 465
    Points
    9 465
    Par défaut
    [Aparté]

    Citation Envoyé par yahiko Voir le message
    La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.
    Source de la confusion

    D'où vient la confusion entre pingouin et manchot ? Tout d'abord, il peut s'agir d'un problème de traduction. Ainsi, en anglais, manchot se traduit par penguin, alors que pingouin se traduit par auk. En allemand, en russe et en espagnol, les deux espèces se traduisent avec le même mot qui ressemble à "pingouin" (pinguin, pingvin et pingüino). D'autre part, il s'agit d'une ressemblance physique entre le grand pingouin, espèce éteinte au XIXe siècle, et le manchot.

    En ce qui concerne la mascotte de Linux, le fait que Linus Torvalds soit finlandais (donc près de l'océan arctique) peut faire penser à un pingouin. Or, Torvalds a choisi Tux notamment parce qu'il avait été mordu par un manchot lors de la visite d'un zoo en Australie.
    Source : Quelle est la difference entre un pingouin et un manchot — Lea Linux

    [/Aparté]
    « Developpez.com est un groupe international de bénévoles dont la motivation est l'entraide au sens large » (incl. forums developpez.net)
    Club des professionnels en informatique

  19. #19
    Membre à l'essai
    Homme Profil pro
    Chef de projet NTIC
    Inscrit en
    mars 2020
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Chef de projet NTIC
    Secteur : Finance

    Informations forums :
    Inscription : mars 2020
    Messages : 2
    Points : 13
    Points
    13
    Par défaut M$$$
    J'ai quand même l'impression qu'ils essaient de refourguer un peu leur Defender pour Linux.

  20. #20
    Membre chevronné
    Homme Profil pro
    Développeur
    Inscrit en
    août 2003
    Messages
    714
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : août 2003
    Messages : 714
    Points : 1 840
    Points
    1 840
    Par défaut
    Personnellement, je n'ai jamais eu de souci sur les machines Linux (bureau et serveur).

    Je respecte cependant quelques règles quand je les installe :
    - utilisateur dédié pour le rôle root sinon tout le monde est utilisateur normal
    - installation de tous les logiciels que l'utilisateur a besoin
    - changement du port SSH et depuis peu (depuis que j'ai commencé à utiliser Ansible en fait) je commence à faire de l'identification avec clé
    - fail2ban et j'ai commencé à regardé Crowdsec
    - exposition des uniques ports nécessaire à l'extérieur

Discussions similaires

  1. Réponses: 1
    Dernier message: 06/09/2018, 20h29
  2. Réponses: 1
    Dernier message: 31/10/2017, 11h53
  3. Microsoft confirme une faille Zero-Day dans IE8
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 10/05/2013, 09h17
  4. Microsoft découvre une faille dans MFC
    Par Gordon Fowler dans le forum Actualités
    Réponses: 18
    Dernier message: 14/07/2010, 13h42
  5. Réponses: 36
    Dernier message: 15/10/2009, 14h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo