Bonjour/Bonsoir.

 

Comme vous avez pus le constater, jais repris une activité légère sur ce nouveau blog.

Les précédents poste concernais donc le BotNet Smominru et le Silent Miner WannaMine.

 

Alors que ces deux derniers utilisent l'exploit EternalBlue (exploit je le rappel de la NSA, divulgué par le groupe Shadow Brokers),

deux nouveaux exploits sont a l'essaie: Meltdown et Spectre.

 

Alors, je le dit de suite: aucun rapport avec ce que jais dit précédemment, ces deux exploits sont totalement diffèrent.

 

Le 7 janvier dernier, les chercheurs que nous ne citerons pas (essayent tous de se tiré le plus de couverture, par éthique je ne citerai aucun nom. Mais nous y reviendrons), on révéler des vulnérabilité touchant les processeur Intel, AMD etc.

 

Les failles Meltdown et Spectre commencent a être testé sur plusieurs prototype de virus.

 

"Meltdown" permet de lire la mémoire réservée au noyau, ce qui est théoriquement impossible. Les processeurs gèrent deux types de mémoire différents : d’un côté, celle du kernel qui est directement exploitée par le processeur ; de l’autre, celle du user qui est écrite et lue par le système d’exploitation. La mémoire kernel n’est jamais chiffrée et c’est pour cette raison qu’elle doit être inaccessible à tout le système, à l’exception du processeur lui-même.

"Spectre" quand a elle, consiste à forcer le processeur à exécuter une commande qu’il ne ferait pas en temps normal et à récupérer ensuite des informations qui ne devraient pas être disponibles.

Contrairement à la première faille de sécurité, Spectre ne permet pas d’accéder à l’intégralité de la mémoire kernel, celle-ci reste protégée. En revanche, un logiciel malveillant peut accéder aux données d’un autre logiciel sans autorisation. En guise de démonstration, les chercheurs ont développé un script JavaScript qui peut accéder à toutes les données du navigateur qui l’exécute.

 

 

AV-Test d'après indique que le 22 janvier 2018, pas moins de 139 nouveaux malwares utilisant ces deux exploits.

Résultat similaire chez Fortinet, qui en a analyser 119.

« Tous les fichiers que nous avons vérifiés jusqu'à présent ne sont pas des malwares, mais des formes préliminaires de malwares. Ce sont des logiciels de démonstration (proof of concept) qui exploitent ces failles, mais qui ne causent pas encore de dommages » - Andreas Marx, PDG de AV-Test.

« Il s’agit peut-être de cybercriminels qui développent des malwares et qui sont actuellement dans une phase de test. Ou bien de chercheurs en sécurité qui créent des exemplaires dans le cadre de leur travail » - Guillaume Lovet, directeur sécurité produit chez Fortinet.

 

 

Semble il que les correctif (majoritairement publié par Intel, qui essaie de se tiré de la), ne suffisent/suffirons pas.

Plusieurs correctifs publié par intel, sont pourvut de jolie bug et ralentissent le processeur, donc perte de performance sur les machines.

Des correctifs ridicules, au point qu'intel renonce a leur déploiement, mais indique avoir "trouvé d'ou viens le problème", et "prépare de nouveaux correctifs".

 

Et il vaudrais mieux pour intel! Car avec toutes les actions en justice qui sont prononcer (majoritairement au USA), nous allons certainement assisté au lynchage du géant.

 

Brian Krzanich a indiqué que les prochaines générations de processeurs Intel embarqueront des correctifs hardware les protégeant directement des deux vulnérabilités... Et nous en profitons pour faire un petit tour du coté de ce qui est déjà fait par les distributions d'Operating System, pour palier au prochaines attaques.

Sur Windows 10: Microsoft a déployé un patch, le patch KB4056892.

Sur Windows 7/8: Microsot à annoncé poussé le patch mardi prochain avec le tuesday patch , un patch devrait être disponible mardi prochain.

Sur Mac: Apple a déjà poussé le correctif sur la version 10.13.2 de macOS que vous pouvez installer. La version encore en bêta 10.13.3 appliquera de nouvelles corrections.

Sur Linux: un correctif du noyau est déjà disponible.

Sur XP: Aucun, donc encore une fois les vieux OS sont les plus menacé.

 

L’équipe de FortiGuard Labs publie les signatures suivantes, concernant les menaces utilisant Meltdown et Spectre répertorier j'usqu'a présent.

Riskware/POC_Spectre

W64/Spectre.B!exploit

Riskware/SpectrePOC

Riskware/MeltdownPOC

W32/Meltdown.7345!tr

W32/Meltdown.3C56!tr

W32/Spectre.2157!tr

W32/Spectre.4337!tr

W32/Spectre.3D5A!tr

W32/Spectre.82CE!tr

W32/MeltdownPOC

Nous avons donc la une probabilité d'attaque encore plus agressive que c'elle que nous nous prenons dans la gueule depuis début 2017.

 

A qui la faute?

Premièrement Intel. Des experts on prétendu avoir connaissance de ces vulnérabilités depuis au moins 1995.

Voici la liste des processeurs Intel impacté:

Intel® Core™ i3 (45nm et 32nm)

Intel® Core™ i5 (45nm et 32nm)

Intel® Core™ i7 (45nm et 32nm

Intel® Core™ M (45nm et 32nm)

2e génération Intel® Core™

3e génération Intel® Core™

4e génération Intel® Core™

5e génération Intel® Core™

6e génération Intel® Core™

7e génération Intel® Core™

8e génération Intel® Core™

Intel® Core™ X-series pour plateforme X99

Intel® Core™ X-series pour plateforme X299

Intel® Xeon® 3400

Intel® Xeon® 3600

Intel® Xeon® 5500

Intel® Xeon® 5600

Intel® Xeon® 6500

Intel® Xeon® 7500

Intel® Xeon® E3

Intel® Xeon® E3 v2

Intel® Xeon® E3 v3

Intel® Xeon® E3 v4

Intel® Xeon® E3 v5

Intel® Xeon® E3 v6

Intel® Xeon® E5

Intel® Xeon® E5 v2

Intel® Xeon® E5 v3

Intel® Xeon® E5 v2

Intel® Xeon® E5 v3

Intel® Xeon® E5 v4

Intel® Xeon® E7

Intel® Xeon® E7 v2

Intel® Xeon® E7 v3

Intel® Xeon® E7 v4

Intel® Xeon® Scalable

Intel® Xeon Phi™ 3200, 5200, 7200

Intel® Atom™ C

Intel® Atom™ E

Intel® Atom™ x3

Intel® Atom™ Z

Intel® Celeron® J

Intel® Celeron® N

Intel® Pentium® J

Intel® Pentium® N

 

Mais si intel ne pouvais pas ignoré l'existence de ces vulnérabilité (ceux eux qui développent ça quand même),

les experts qui soit disant "avais connaissance" de ces failles, n'on pas fait part d'une potentiel insistance auprès d'intel concernant le relever de ces failles. Et nous voila sur intel I7 (2017), dans la merde! Magnifique les gars.

Ils sont donc responsable, au même titre qu'intel.

 

Mais ceux qui me gonfle, c'est cette bande de bouffons (et la je commence a faire chauffé ma langue, la joute verbale est en Defcon 5), qui sourient sur les articles (je parle de la pseudo équipe qui a mis a jours ces vulnérabilités), alors qu'ils on mis a jours deux des plus importantes failles de sécurité les plus dangereuse a ce jours!

Ha, mais c'est ça qu'ils s'enjaille... D'accord.

En même temps, quand on voit leur duvet et leur bouton, on ce dit juste que ces mecs on pas conscience de ce qu'ils on fait.

Il aurais fallut de leur part, d'abord prévenir intel. Intel n'a pas a déconné avec la sécurité de ces clients, et ils pouvaient largement collaborer! Surtout quand leurs petits millions, leurs emplois et leurs honneur sont en jeux.

Donc, une divulgation qui relève plus du caprice d'une bande de gamin cherchant la gloire, que d'une concrète envie d'aidé a la sécurisation du consommateur.

Il y a 3 fautifs pour moi, et je m'arrêterai la avant que mes écrits dépassent ma pensé.

 

Pour ce qui est de la potentialité de l'apparition de virus, utilisant ces exploits... Elle est présente, et les chiffres d'AV-Test et Fortinet le démontre.

Les société antivirus/pare-feu, allons devoir développé des solutions de plus en plus radicale pour assuré la sécurité des utilisateurs.

 

J'annonce donc la sortie plus qu'éminente de Process Hunter 2.0, dans le prochain pack FloreSecurity, qui serra une sécurité en plus des antivirus classique.

 

Je vous laisse la, vous souhaite un bon début de semaine, et vous tiendrais au courant dans la/les semaines qui viennent.

 

Mes sources:

https://www.tech2tech.fr/meltdown-et-spectre-les-failles-qui-font-trembler-le-monde/

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-842472-malwares-exploitant-spectre-meltdown-vont-attaquer.html

http://www.01net.com/actualites/failles-cpu-de-mysterieux-prototypes-de-malware-circulent-sur-la-toile-1363055.html