MS14-012, « Operation SnowMan »

Magazine
Marque
MISC
Numéro
75
Mois de parution
septembre 2014
Domaines


Résumé
Le 13 février 2014, FireEye a publié un billet sur une nouvelle vulnérabilité affectant les versions 9 et 10 d'Internet Explorer et découverte deux jours avant. Cette vulnérabilité était exploitée dans la nature, et ciblait le personnel de l'armée américaine.

1. Introduction

L'exploit a été déployé sur le site des vétérans de l'armée américaine : http://www.vfw.org qui fut compromis pour l'occasion. Les attaquants ont ajouté une iframe sur la page principale du site qui chargeait l'exploit en tâche de fond. D'après l'analyse rapide de FireEye [FIREEYE], l'exploit ciblait Internet Explorer 10 sous Windows 7. Il ne contourne pas les contre-mesures du logiciel EMET et vérifie dans le code JavaScript si l'utilisateur l'a installé ou non. Si tel est le cas, l'exploit n'est pas déclenché.

Analysons maintenant la vulnérabilité [CVE] (CVE-2014-0322) tout en produisant une preuve de concept pour Windows 7 qui sera également détaillée ici.

2. Analyse

En examinant le code d'exploitation trouvé dans la nature, on constate assez rapidement que la fonction puIHa3() déclenche une vulnérabilité de type « use-after-free » pour ensuite prendre le contrôle du registre eax. Cependant, il n'est pas possible ici d'obtenir le contrôle...

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Sauvegardez vos données, centralisez vos logs et supervisez votre sécurité

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Nos serveurs présentent désormais une surface d’attaque réseau maîtrisée et une sécurisation système d’un niveau cohérent avec notre modèle de menaces. De même, le service SSH tournant sur ces serveurs est configuré de manière optimisée. Nous pouvons donc être relativement sereins si nos adversaires sont d’un niveau intermédiaire. Et si malgré toutes ces protections, une attaque comme un rançongiciel réussissait ? Et bien dans ce cas-là, pour l’instant, notre infrastructure serait particulièrement vulnérable. Aucune sauvegarde externalisée. Pas de centralisation des traces. Une supervision sécurité inexistante. Remédions à cette situation afin d’élever le niveau de maturité de la sécurité de notre infrastructure.

Investigation numérique de l’image disque d’un environnement Windows

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Une investigation numérique requiert de nombreuses étapes. Celles-ci varient en fonction des données disponibles. Une des plus importantes est l’analyse de la mémoire vive (voir MISC N°111 [1]). L’analyse de la mémoire de masse, constituée des événements propres au système d’exploitation apporte de nouveaux éléments. Une fois celles-ci terminées, la corrélation des deux nous permettra de confirmer d’éventuelles hypothèses.

Sécurisez votre réseau

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Maintenant que notre serveur principal est déployé et que nous y avons appliqué un premier niveau de sécurisation système, occupons-nous de sa sécurisation réseau. Nous allons détailler en quoi les attaques réseau sont primordiales dans notre modèle de menace. Comme nous le verrons, l’accès distant est le risque principal qui guette nos serveurs. Nous allons mettre en œuvre une sécurité en profondeur et les mesures de protection réseau en seront une de ses dimensions importantes.