Le brief du 18 décembre 2020

Publié dans Internet

5

SUNBURST (faille SolarWinds) : FireEye, Godaddy et Microsoft proposent un « kill switch »

SUNBURST (faille SolarWinds) : FireEye, Godaddy et Microsoft proposent un « kill switch »

Le pot aux roses a été découvert en début de semaine. SolarWinds se serait méchamment fait pirater pour diffuser des mises à jour vérolées à ses clients : organisations gouvernementales, armée et services de renseignement…

Comme le rapporte BleepingComputer en se basant sur une déclaration de FireEye, un kill switch a été trouvé – en collaboration avec Godaddy et Microsoft – pour stopper l’attaque et empêcher SUNBURST de fonctionner.

La faiblesse du cheval de Troie est la suivante : « En fonction de l'adresse IP renvoyée lorsque le cheval de Troie résout avsvmcloud[.]com et sous certaines conditions, il s'arrêterait et empêcherait toute exécution ultérieure ». Cela fonctionne pour les anciennes comme les nouvelles contaminations. De plus amples détails sont disponibles ici.

5

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 40
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 40
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 23

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS
Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC
KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement
Poing Dev

Le poing Dev – Round 7

Next 105
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

5

Commentaires (5)


Wosgien Abonné
Le 18/12/2020 à 09h32

Mais pourquoi en 2020 un centre de commande dont le nom est figé??? Un centre de commande maintenant ça a un nom dynamique selon la date voyons!



Et pourquoi ne pas utiliser un DNS-over-HTTPS pour masquer leurs requêtes de domaines à l’antivirus local?



Et ce kill switch: si la boite utilise un proxy tunnel HTTP/HTTPS en local vers l’internet et il croira que tous les sites sont locaux.



Bref, soit cette menace est importante mais encore imparfaite - soit ce n’est que le sommet de l’iceberg: une menace parmi celles qui sont “triviales” à déjouer…


Zone démilitarisée Abonné
Le 18/12/2020 à 09h52

Ce bouton d’arrêt d’urgence doit certainement permettre au développeur du cheval de Troie de désactiver sa charge utile lorsqu’il est situé dans son environnement propre, c’est-à-dire qu’il n’est pas sur une cible d’attaque.


jpaul Abonné
Le 18/12/2020 à 14h43

Et pourquoi ne pas utiliser un DNS-over-HTTPS pour masquer leurs requêtes de domaines à l’antivirus local?




Tu reportes le problème : DoH ou pas le trojan devra de toutes façons soit s’appuyer sur le résolveur système, soit décider de lui même quel résolveur il utilise en précisant son adresse, et c’est le serveur à cet adresse qui deviendra le kill-switch.


ToMMyBoaY Abonné
Le 18/12/2020 à 14h14

(quote:1844438:brice.wernet)
Mais pourquoi en 2020 un centre de commande dont le nom est figé??? Un centre de commande maintenant ça a un nom dynamique selon la date voyons!




C’est à double tranchant : Plus ta liste de domaines est longue, moins il sera possible d’en garantir une fausse categorisation pour passer les filtrages d’URLs. La plupart ont un taux de succès plutôt faible si à minima le groupe “non catégorisé” est bloqué ou exige une action manuelle.




(quote:1844438:brice.wernet)
Et pourquoi ne pas utiliser un DNS-over-HTTPS pour masquer leurs requêtes de domaines à l’antivirus local?




Globalement, je n’ai vu quasiment aucun AV capable de grand chose sur la détection des C2. Et tu gardes alors une capacité à infiltrer des réseaux dont le DNS est strictement interne (souvent la seule porte de sortie est un proxy explicite dans ce cas). A l’inverse, les services de sécurité lié au DNS sont plutôt doués pour la détection/blocage des DoH. Donc peut être un choix pragmatique (ou une option activable dans le futur) ?


Wosgien Abonné
Le 18/12/2020 à 17h00

ToMMyBoaY a dit:


C’est à double tranchant : Plus ta liste de domaines est longue, moins il sera possible d’en garantir une fausse categorisation pour passer les filtrages d’URLs.



Et tu gardes alors une capacité à infiltrer des réseaux dont le DNS est strictement interne (souvent la seule porte de sortie est un proxy explicite dans ce cas).




Effectivement j’ai un peu perdu l’habitude: actuellement je suis derrière une passerelle avec dpi - donc les DNS et le DNS over HTTPS renvoient les adresses “normales”. Et pas de filtrage sur nom de domaine (enfin pas beaucoup)