Les experts Jet CSIRT continuent de compiler pour vous les principales actualités en matière de cybersécurité cette semaine. Cette fois, le TOP-3 comprend des vulnérabilités de sous-système de noyau Linux sur 15 ans, une nouvelle étude du crypteur OnionCrypter et un nouveau code PoC pour exploiter la vulnérabilité Spectre. Les trois principales nouvelles ont été recueillies par Andrey Maslov, analyste de Jet CSIRT. En savoir plus sous la coupe.
Vulnérabilités de 15 ans identifiées dans le sous-système du noyau Linux
Des experts de l'organisation GRIMM ont identifié des vulnérabilités dans le sous-système iSCSI du noyau Linux ( CVE-2021-27365, CVE-2021-27363 , CVE-2021-27364 ) qui permettent à un utilisateur local avec des privilèges de base d'élever ses droits au super-utilisateur niveau. L'exploitation des vulnérabilités n'est possible que si l'attaquant a un accès local au système. Bien que les vulnérabilités du sous-système iSCSI soient apparues aux premiers stades de développement en 2006, elles n'ont été révélées que maintenant. Des correctifs de vulnérabilité sont déjà disponibles dans le noyau Linux principal à partir du 7 mars 2021.
OnionCrypter Crypter Research publié
Les experts de la société Avast ont publié une étude sur l'un des outils par lesquels les attaquants peuvent cacher le code malveillant de la protection en chiffrant la charge utile. En raison de sa structure à plusieurs niveaux, l'outil identifié a été nommé OnionCrypter. Cet utilitaire a deux caractéristiques distinctives. Premièrement, il dispose d'un cryptage de charge utile multicouche. Et deuxièmement, les principales fonctions de chacun des échantillons étudiés sont uniques.
Google dévoile le code PoC pour exploiter la vulnérabilité Spectre
Des chercheurs de Google ont publié un exploit JavaScript qui démontre la possibilité d'utiliser la vulnérabilité Spectre (CVE-2017-5753) pour accéder aux informations dans la zone de mémoire du navigateur. Selon les ingénieurs de Google, l'exploit fonctionne sur une variété d'architectures et prouve en pratique le manque de fiabilité de certains des mécanismes de protection actuellement utilisés par les développeurs (isolation de site, Cross-Origin, Cross-Origin Read Blocking). Pour démontrer pleinement l'attaque, les spécialistes ont créé le site Internet leaky.page , qui décrit en détail les étapes de l'attaque et les mécanismes impliqués.