NSA/Shadow Brokers : des failles Windows tout juste corrigées et des structures bancaires attaquées

Les pirates de Shadow Brokers ont publié le 14 avril une nouvelle archive contenant les détails de nouvelles failles de sécurité, ainsi que des outils spécifiques. Certaines banques en ligne semblent avoir été particulièrement visées, de même que des produits de Microsoft. Ces derniers ont cependant déjà été mis à jour.

Les Shadow Brokers ont à nouveau fait parler d’eux, cette fois juste avant le week-end. Dans une archive d’environ 300 Mo, les pirates ont livré tout un ensemble d’informations sensibles, de failles semblant a priori de type 0-day (soit non corrigées) à des outils permettant de pirater des banques, ou des agences de services liées à ces dernières.

Dans la pratique toutefois, et sans nier la dangerosité du matériel fourni, la publication fera moins de dégâts que ce qui était initialement estimé.

Des failles Microsoft déjà corrigées

Le principal danger était censé venir des vulnérabilités publiées ici. Un ensemble de brèches dans des produits allant de Windows XP à 10 et montrant donc – pour une fois d’ailleurs – que les Shadow Brokers avaient en leur possession des informations beaucoup plus fraiches que toutes celles publiées jusqu’ici, notamment la semaine dernière.

Dans le lot, on trouvait ainsi des exploitations de faille provoquant une élévation de privilèges (Eternalromance), des exécutions de code à distance (Eternalchampion et Eternalsystem), des exécutions à distance via SMB et NBT (Eternalblue), d’autres via IIS 6.0 (Explodingcan) ainsi que des outils divers pour Lotus Domino 6.5.4 et 7.0.2 (Eworkfrenzy), Windows 8 et Server 2012 (Eternalsynergy) ou encore Fuzzbunch, un framework d’exploitation (reprenant notamment Metasploit).

Mais moins de 24 heures plus tard, Microsoft indiquait que la majorité des failles sous-jacentes avaient été corrigées. Selon l'éditeur, il en reste trois, que les techniciens n'arrivent pas à reproduire en laboratoire.

Un timing qui soulève bien des questions

L’éditeur de Windows a donc confirmé que la plupart des vulnérabilités avaient déjà été traitées. Les plus anciens correctifs remontent ainsi à 2008, et on pourrait croire ici que le matériel dévoilé par les Shadow Brokers était encore une fois assez âgé. Seulement voilà, les outils « Eternal » font référence à des brèches corrigées… le mois dernier.

Depuis, beaucoup se perdent en conjectures : est-ce un hasard ? La théorie la plus « en vogue » serait que la NSA elle-même aurait averti Microsoft. L’archive des Shadow Brokers a effet été dérobée à Equation Group, des pirates proches de l’agence américaine. Alertée d’une potentielle diffusion aux conséquences potentiellement redoutables, la NSA aurait alors contacté l’éditeur pour lui remettre les informations. On peut même y voir une raison à la soudaine annulation du Patch Tuesday en février, et à son report en mars.

De fait, les trois bulletins MS17-010, CVE-2017-0146 et CVE-2017-0147 apparus le mois dernier colmatent toutes les failles restantes. On peut bien entendu imaginer que les signalements aient pu venir d’ailleurs, ou même que les ingénieurs de Microsoft les aient trouvées d’eux-mêmes. L’entreprise signale cependant dans la grande majorité des cas l’origine de la découverte sous forme de crédits, absents dans ces bulletins.

Actuellement, tout système à jour n’a donc rien à craindre des quatre méthodes d'exploitation considérées comme les plus dangereuses, à savoir EternalBlue, EternalChampion, EternalSynergy et EternalRomance. La situation sera peut-être plus complexe dans le cas des serveurs, qui ne peuvent pas toujours être mis à jour immédiatement. Les administrateurs savent néanmoins quoi faire dans le cas présent.

Microsoft spokesperson declined to comment whether FBI or anyone else from US govt had alerted the company about the exploits 3/3

— Lorenzo Franceschi-B (@lorenzoFB) 17 avril 2017

Des outils spécifiques au domaine bancaire

Mais la dernière publication des Shadow Brokers contient également des outils spécifiques à l’infiltration dans des agences de services bancaires, liées à des entreprises telles que SWIFT (gestion des transactions interbancaires), ou directement dans des banques, en particulier au Moyen-Orient.

On en sait un peu plus à ce sujet, grâce notamment à l’analyse de certains chercheurs, tels que Matthieu Suiche. L’un des outils (Jeepflea_Market) a selon lui été utilisé dans une attaque dirigée en 2013 contre EastNets, la plus grosse agence de services SWIFT au Moyen-Orient. Rien d’étonnant pour le chercheur : il est compréhensible que la NSA cherche à obtenir des informations dans une agence dont la spécialité est la détection et le blocage du blanchiment d’argent. Ces données peuvent permettre la traque des terroristes, notamment.

Les informations ont été rassemblées dans des documents Excel, a priori générés par la commande dsquery. Ils contiennent également des milliers d’identifiants provenant directement de l’entreprise, y compris des administrateurs. On y trouve encore des données extraites de bases Oracle gérées par le SWIFT Service Bureau, qui fait le lien entre le système et les agences de services liées.

L'infrastructure de SWIFT n’a pas été attaquée

Il faut bien noter que la structure elle-même de l'entreprise ne semble pas avoir été percée. Aucune information dans l’archive des Shadow Brokers ne laisse à penser que la NSA visait ces systèmes. L’agence de renseignement était davantage intéressée par les données périphériques pour suivre des mouvements, ou plutôt ce que certaines entreprises spécialisées avaient à en dire.

Hier, SWIFT a d’ailleurs publié un billet de blog pour confirmer qu’elle n’avait pas été attaquée : la société « n’a aucune indication suggérant que [ses] réseau ou messagerie centrale ont été compromis ». La société fait remarquer que les informations datent de 2013 et ne mentionnent que des agences tierces, avec qui d’ailleurs elle est en contact « étroit ». Curieusement, elle ne signale pas si une enquête est en cours et si elle communique avec les forces de l'ordre.

Mais n’en déplaise à SWIFT, les informations publiées ont une certaine valeur, car elles jettent une lumière crue sur l’infrastructure globale de son système, ou plus exactement la plateforme d’échange. Comme l’explique Matthieu Suiche, « il est très précieux dans le cadre d’une attaque de connaître les relations entre les interfaces Front-End/Middleware/Backend ».

Du travail pour les antivirus, des liens avec Stuxnet

En plus des éléments concernant Windows et les banques, on trouve dans l’archive des outils plus généraux, dans la veine de ceux exposés au cours des dernières semaines par Wikileaks sur la CIA.

Par exemple, Oddjob s’occupe de l’implantation et du maintien d’une porte dérobée, permettant ensuite d’être contrôlée par un serveur communiquant sur une banale connexion HTTP. Tous les autres outils, comme Mofconfig et Darkpulsar, poursuivent des objectifs similaires, et aucun n’était détecté par les antivirus au moment des révélations au début du week-end.

Plus étonnant, on trouve dans l'archive des outils ayant un lien direct avec Stuxnet, le malware utilisé contre des centrales iraniennes d'enrichissement de l'uranium, et dont Kaspersky jugeait qu'il avait été créé par une collaboration entre les États-Unis et Israël. Selon Liam O'Murchu, chercheur chez Symantec, on retrouve notamment plusieurs scripts présents dans cette cyberarme.

Il ne fait aucun doute que tous les éditeurs d'antivirus sont maintenant à pied d’œuvre pour les détecter.

Les Shadow Brokers ont-ils encore d’autres informations en réserve ?

Les dernières publications des pirates donnaient l’impression d’être leur chant du cygne. Ils avaient indiqué être sortis de leur réserve pour protester contre la présidence de Donald Trump, qui accumule selon eux les erreurs. Le cas plus spécifique de la Russie était abordé : selon eux, les deux pays cherchent la même chose et devraient donc « s’entendre ». Trump aurait donc commis une grave faute en bombardant la Syrie.

Aujourd’hui, la question qui reste en suspens est bien entendu : doit-on s’attendre à la publication d’autres archives du même type ? Rien n’est impossible. On pouvait penser que celle de la semaine dernière serait la dernière : diffusée tardivement, elle contenant en majeure partie des informations périmées qui n’avaient impressionné personne. La nouvelle archive change la donne, avec des données fraiches qui en font probablement la publication la plus dommageable à ce jour pour ces pirates.

Les Shadow Brokers pourraient donc avoir d’autres informations en réserve. De ce qu’ils avaient en poche, on ne connaissait que les données dérobées à Equation Group, mais leurs forfaits peuvent très bien avoir été multiples avant et depuis.