Dino : la ferme s’agrandit

Via LeMonde, ESET :

Les chercheurs de chez ESET ont mis la main sur un malware baptisé Dino qui serait l’un des animaux de la ferme virale française avec Casper et Babar.

Et plus des fonctionnalités de RAT qu’on retrouve généralement dans ce type de malware, Dino dispose aussi d’un mécanisme crontab-like pour exécuter des tâches et gère un système de fichier ramFS où des fichiers sont gardées chiffrées en mémoire vive.

Le malware aurait visé des personnes ou entités en Iran durant l’année 2013.

Trouver les mauvais oignons

Pendant un mois le blogueur chloe.re a piégé les mauvaises nodes de sortie Tor.

Pour cela il a créé un site faisant miroiter un accès protégé à un portefeuille Bitcoin et s’est connecté avec des identifiants uniques pour chacune des nodes de sortie Tor.

Au final 15 de ces mots de passe ont été réutilisés sur le site, preuve que certaines nodes de sortie surveillent activement le trafic qui y passe.
Même deux nodes dites Guard, considérées sûres en raison de leur longue durée sur le réseau sans incident, ont été prises la main dans le sac.

Vulnérabilité dans l’antivirus ESET

Dans le cadre de Project Zero, Tavis Ormandy a découvert une vulnérabilité importante dans l’antivirus ESET puisqu’elle concerne le moteur d’émulation de l’AV.

Au lancement d’un exécutable inconnu sur un OS protégé par ESET, l’antivirus intercepte l’exécution de l’exécutable et émule les 80000 premières instructions assembleurs (à condition que le binaire réponde à certaines caractéristiques comme la présence d’une section exécutable et écrivable…)

L’AV est à l’affût de certaines instructions caractéristiques d’un mécanisme d’unpacking.
Pour réaliser cette émulation il tient à jour une stack à lui qui mimique la stack du malware potentiel en analysant les instructions assembleurs. Malheureusement il y a une faille dans la logique employée par ESET et il est alors possible pour un malware de provoquer une écriture dans la stack de l’antivirus en dehors de la zone qu’ESET pensait utiliser…

De part les privilèges dont dispose l’AV sur le système et la phase à laquelle l’exploitation se fait ça en fait une faille plus qu’intéressante pour un ver.
ESET a corrigé le problème et propose déjà une mise à jour à ses utilisateurs.

Quand Samsung désactive Windows Update

Sympathique…

L’utilisateur d’un portable Samsung a fait appel via un forum au blogueur bsodanalysis car il ne comprenait pas pourquoi Windows Update était sans cesse désactivé sur sa machine.

Vraisemblablement il s’agissait d’un problème de malware. Sauf qu’après analyse le coupable est un exécutable baptisé Disable_Windowsupdate.exe (ça ne s’invente pas) qui provient des OEM Samsung.

Un coup de fil à la hotline informatique de Samsung a permis de mettre au clair cette histoire : Samsung désactive Windows Update car ce dernier va mettre à jour le système d’exploitation en mettant des drivers qui ne sont pas ceux voulus par Samsung

Vous avez comme un coup de mou ? 😀

Attention aux PDFs piégés : nouvelles vulnérabilités liées à PostScript

Mateusz “j00ru” Jurczyk s’est penché sur les CharStrings, des suites d’instructions comprises par le langage PostScript.

Quand j00ru a reversé le code des librairies Windows et Adobe gérant les CharStrings il a eu comme l’impression d’être le premier reverser à mettre son débogueur dans un temple resté caché depuis au moins 20 ans (la lib Windows ATMFD.DLL est là depuis NT4 et PostScript a une trentaine d’années).

Au final il a présenté à la REcon 2015 ses slides (PDF) où il parle des failles importantes qu’il a trouvé et du contexte d’exploitation particulièrement agréable pour l’une des vulnérabilités puisqu’il pouvait utiliser directement des instructions CharStrings pour écrire sur la stack :p

Les vulnérabilités découvertes concernent ainsi Adobe Reader, Windows GDI, les navigateurs Internet Explorer, Google Chrome, Mozilla Firefox, etc (utilisant Microsoft DirectWrite) et Windows Presentation Foundation.