[ad_1]

Combien un cybercriminel, un État-nation ou un groupe criminel organisé paierait-il pour des plans sur la façon d’exploiter une vulnérabilité grave, actuellement non documentée et non corrigée dans toutes les versions de Microsoft Windows? Ce prix dépend probablement de la puissance de l’exploit et de ce que le marché supportera à ce moment-là, mais voici un aperçu d’un récent fil de vente d’exploit convaincant de la pègre de la cybercriminalité où le prix demandé actuel pour un bogue à l’échelle de Windows qui aurait vaincu tous des défenses de sécurité actuelles de Microsoft est de 90 000 USD.

Les vulnérabilités dites « zero-day » sont des failles logicielles et matérielles que même les fabricants du produit en question ne connaissent pas. Les zero-days peuvent être utilisés par les attaquants pour compromettre à distance et complètement une cible, comme avec une vulnérabilité zero-day dans un composant de plug-in de navigateur comme Adobe Flash ou Java d’Oracle. Ces failles sont convoitées, prisées et, dans certains cas, stockées par les cybercriminels et les États-nations, car elles permettent des attaques très furtives et ciblées.

Le bogue Windows de 90 000 $ qui a été mis en vente sur le forum semi-exclusif sur la cybercriminalité en langue russe exploit[dot]dans plus tôt ce mois-ci se trouve dans une classe légèrement moins grave de vulnérabilité logicielle appelée « élévation locale des privilèges” (LPE) bogue. Ce type de faille sera toujours utilisé en tandem avec une autre vulnérabilité pour livrer et exécuter avec succès le code malveillant de l’attaquant.

Les bogues LPE peuvent aider à amplifier l’impact d’autres exploits. L’un des principes fondamentaux de la sécurité consiste à limiter les droits ou privilèges de certains programmes afin qu’ils s’exécutent avec les droits d’un utilisateur normal – et non sous le tout-puissant compte d’administrateur ou d’utilisateur « système » qui peut supprimer, modifier ou lire n’importe quel fichier sur l’ordinateur. De cette façon, si une faille de sécurité est trouvée dans l’un de ces programmes, cette faille ne peut pas être exploitée pour se faufiler dans des fichiers et des dossiers qui n’appartiennent qu’à l’administrateur du système.

C’est là qu’un bogue d’escalade de privilèges peut être utile. Un attaquant peut déjà avoir un exploit fiable qui fonctionne à distance – mais le problème est que son exploit ne réussit que si l’utilisateur actuel exécute Windows en tant qu’administrateur. Pas de problème : enchaînez cet exploit à distance avec un bogue d’escalade de privilèges local qui peut faire passer les privilèges du compte de la cible à celui d’un administrateur, et votre exploit à distance peut opérer sa magie sans entrave.

Le vendeur de ce supposé zero-day — quelqu’un utilisant le surnom « Buggi Corp » – affirme que son exploit fonctionne sur toutes les versions de Windows à partir de Windows 2000 jusqu’au fleuron de Microsoft Windows 10 système opérateur. Pour étayer ses affirmations, le vendeur inclut deux vidéos de l’exploit en action sur ce qui semble être un système qui a été corrigé tout au long du lot de correctifs de Microsoft de ce mois-ci (mai 2016) (ce n’est probablement pas un hasard si la vidéo a été créé le 10 mai, le même jour que Patch Tuesday ce mois-ci).

Une deuxième vidéo (ci-dessus) semble montrer que l’exploit fonctionne même si la machine de test dans la vidéo exécute le kit d’outils Enhanced Mitigation Experience (EMET) de Microsoft, un cadre logiciel gratuit conçu pour aider à bloquer ou à atténuer les exploits contre les vulnérabilités et les failles connues et inconnues de Windows. dans des applications tierces qui s’exécutent sur Windows.

Le fil de vente sur l'exploit[dot]dans.

Le fil de vente sur l’exploit[dot]dans.

Jeff Jones, un stratège en cybersécurité chez Microsoft, a déclaré que la société était au courant du fil de vente de l’exploit, mais a souligné que les affirmations n’étaient toujours pas vérifiées. Lorsqu’on lui a demandé si Microsoft envisagerait un jour de payer pour obtenir des informations sur la vulnérabilité du jour zéro, Jones a souligné le programme de primes de bogues de l’entreprise qui récompense les chercheurs en sécurité pour avoir signalé des vulnérabilités. Selon Microsoft, le programme a versé à ce jour plus de 500 000 $ en primes.

Microsoft restreint fortement les types de vulnérabilités éligibles aux récompenses de prime, mais un bogue comme celui en vente pour 90 000 $ donnerait en fait droit à une récompense de prime substantielle. L’été dernier, Microsoft a augmenté sa récompense pour des informations sur une vulnérabilité capable de contourner complètement EMET de 50 000 $ à 100 000 $. Soit dit en passant, Microsoft a déclaré que tout chercheur présentant une vulnérabilité ou qui a des questions peut contacter le Centre de réponse de sécurité Microsoft pour en savoir plus sur le programme et le processus.

ANALYSE

Il est intéressant de noter que le vendeur de cet exploit pourrait potentiellement gagner plus d’argent en colportant sa découverte à Microsoft qu’à la communauté cybercriminelle. Bien sûr, les vidéos et le tout pourraient être une imposture, mais c’est probablement peu probable dans ce cas. D’une part, un escroc cherchant à escroquer d’autres voleurs n’insisterait pas pour utiliser le service d’entiercement du forum sur la cybercriminalité pour réaliser la transaction, comme l’a fait ce fournisseur.

Comme je l’ai noté dans mon livre Pays du spam, les forums sur la cybercriminalité fonctionnent sur des systèmes basés sur la réputation similaires au mécanisme de « feedback » d’eBay — sous la forme de points de réputation accordés ou révoqués par des membres établis. Les membres débutants et établis sont tous encouragés à utiliser le système de « dépôt fiduciaire » du forum pour s’assurer que les transactions sont effectuées honorablement parmi les voleurs.

Le service d’entiercement peut agir comme une sorte de proxy pour la réputation. Les administrateurs du forum détiennent l’argent de l’acheteur sous séquestre jusqu’à ce que le vendeur puisse démontrer qu’il a tenu sa part du marché, qu’il s’agisse de livrer les biens, les services ou la crypto-monnaie promis. Les administrateurs du forum conservent un petit pourcentage du montant global de la transaction (généralement en Bitcoins) pour agir en tant que courtier et assureur de la transaction.

Ainsi, si un membre déclare d’emblée qu’il ne travaillera que par le biais du service d’entiercement d’un forum sur le crime, les arguments des cybercriminels de ce membre sont beaucoup plus susceptibles d’être pris au sérieux par les autres sur le forum.

Chercheurs en sécurité à Trustwave a d’abord attiré mon attention sur l’exploit[dot]dans le fil de vente zero-day la semaine dernière. Ziv Madorvice-président de la recherche sur la sécurité chez Trustwave, a déclaré qu’il pensait que l’exploit était légitime.

« Il semble que le vendeur ait fait l’effort de se présenter comme un vendeur digne de confiance avec une offre valable », a-t-il déclaré. Mador a noté que Trustwave ne peut pas être certain à 100% des détails sans la vulnérabilité en leur possession, mais que les vidéos et la traduction fournissent des preuves supplémentaires. L’entreprise a publié plus de détails sur le fil de vente et les capacités revendiquées de l’exploit.

Est-ce que 90 000 $ est le bon prix pour cette vulnérabilité ? Dépend de qui vous demandez. Pour commencer, tout le monde n’apprécie pas les mêmes types d’exploits de la même manière. Par exemple, le prix de vulnérabilité répertoriés par exploit broker Zérodium indiquent que l’entreprise accorde beaucoup moins d’importance aux exploits du système d’exploitation Windows et beaucoup plus aux vulnérabilités des systèmes mobiles et des composants du navigateur Web. Zerodium indique que le prix qu’il pourrait être prêt à payer pour un exploit Windows similaire est d’environ 30 000 $, alors qu’un bogue critique dans le système d’exploitation mobile iOS d’Apple pourrait rapporter jusqu’à 100 000 $.

Image : Zerodium.com

Image : Zerodium.com

Vlad Tsyrklevitchun chercheur qui pas mal publié sur le marché obscur des exploits zero-day, affirme que les comparaisons de prix pour différents exploits doivent être prises avec un grain de sel. Dans son analyse, Tsyrklevich pointe vers un catalogue de produits du fournisseur d’exploits Netragard, qui en 2014 a évalué une vulnérabilité Windows LPE non exclusive à 90 000 $.

« Les développeurs d’exploits sont incités à indiquer des prix élevés et les courtiers proposent de vendre à la fois des exploits de mauvaise qualité et de haute qualité », a écrit Tsyrklevich. « Si un acheteur négocie mal ou choisit un exploit de mauvaise qualité, le vendeur en profite toujours. De plus, il est difficile de comparer la fiabilité et la longévité projetée des vulnérabilités ou des exploits proposés par différents développeurs. De nombreux exploits proposés par les courtiers d’exploits ne sont pas vendus.

BuggiCorp, le vendeur de la faille zero-day Windows LPE, s’est vu demander par plusieurs membres du forum si son zero-day était lié à une vulnérabilité que Microsoft patché le 12 avril 2016. BuggiCorp répond que le sien est différent. Mais comme documenté par le fournisseur de sécurité FireEye, cette faille était une vulnérabilité LPE similaire qui, selon FireEye, figurait dans une série d’attaques de harponnage visant à accéder aux systèmes de point de vente dans les secteurs ciblés de la vente au détail, de la restauration et de l’hôtellerie. FireEye a appelé le téléchargeur utilisé dans ces attaques « Punchbuggy », mais il n’a pas précisé pourquoi il a choisi ce nom.

Au moins, ce fil zero-day est un spectacle inhabituel sur un forum de cybercriminalité aussi ouvert, a déclaré Mador de Trustwave.

« Trouver un jour zéro répertorié entre ces offres assez courantes est définitivement une anomalie », a-t-il déclaré. « Cela montre que les jours zéro sortent de l’ombre et deviennent rapidement une marchandise pour les masses, une tendance inquiétante en effet. »

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *