Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

SambaCry : de la faille Samba au minage distribué de crypto-monnaie par malware

Simple comme une mise à jour
Internet 4 min
SambaCry : de la faille Samba au minage distribué de crypto-monnaie par malware

Il y a deux semaines environ, Samba corrigeait une vulnérabilité critique, vite surnommée SambaCry. Aujourd’hui, elle fait l’objet d’une exploitation, les pirates en profitant pour installer un logiciel mineur de crypto-monnaie.

Le 24 mai, Samba colmatait une brèche critique dans son code, estampillée CVE-2017-7494. Implémentation libre du protocole SMB de Windows, le logiciel est utilisé sur de nombreux systèmes, en particulier les distributions Linux et les NAS, permettant notamment le partage de fichiers. Dans la foulée, de nouvelles moutures étaient distribuées pour s'occuper du problème.

Presque trois semaines après, toutes les machines concernées n’ont pas été mises à jour, loin de là. Des pirates sont donc passés à l’action. Exploitée, la faille permet l’installation d’un malware qui, au lieu de voler des données, installe un client de minage pour la crypto-monnaie Monero. Explications.

L’éternel problème des mises à jour

Comme n’importe quel logiciel ou système d’exploitation, Samba découvre régulièrement des failles de sécurité. L’efficacité des mises à jour qui en découlent dépend directement de leur installation. À chaque fois, il existe une proportion plus ou moins importante d’appareils non mis à jour, pour diverses raisons. Ce sont ces machines qui posent des difficultés.

Dans le cas présent, le nombre de PC sous Linux ayant Samba activé (et exposant le port 445 à Internet) était estimé à environ un demi-million. Un résultat obtenu sur le moteur de recherche Shodan par les chercheurs de Rapid7. Ce chiffre était entre autres complété par plus de 100 000 autres appareils possédant une version vulnérable de Samba, à savoir toutes les moutures depuis la 3.5.

Aujourd’hui, d’autres chercheurs tirent la sonnette d’alarme : une campagne vise clairement l’exploitation de la faille sur tous les appareils encore vulnérables. Même si la majorité des utilisateurs de Linux reçoivent automatiquement les mises à jour, il reste toujours un certain nombre d’utilisateurs ne les faisant pas, pour diverses raisons. Idem pour des produits comme les NAS, malgré la publication de correctifs, notamment chez Thecus et Synology.

Un malware mineur de moneros et un reverse-shell

Contrairement à WannaCrypt (ou WannaCry), cette campagne n’est pas basée sur un ransomware. Pas question donc de chiffrer les données et de réclamer de l’argent, ou même d’un classique vol d’informations. Ici, le but est de faire de l’argent.

Le chercheur indépendant Omri Ben Bassat‏ nomme cette campagne « EternalMiner ». Les pirates, dont l’identité n’est pas encore connue, ont récupéré le logiciel CPUminer qui sert habituellement à miner cette crypto-monnaie. L’idée est d’implanter le logiciel et de faire miner discrètement les machines pour générer des moneros (ou XMR). Les pirates obtiennent alors un réseau distribué pour miner plus rapidement, puis de convertir ensuite la monnaie en espèces sonnantes et trébuchantes.

Kaspersky s’y colle également, avec peu ou prou les mêmes observations. On trouve ainsi deux fichiers : INAebsGB.so, qui procure un reverse-shell, ainsi que cblRWuoCc.so, une porte dérobée accompagnée de la version modifiée de CPUminer.

Un reverse-shell est, comme son nom l’indique, l’inverse d’un shell. Ce dernier permet, entre autres, de connecter la machine à un serveur pour lui faire exécuter des instructions. Dans le cas d’un reverse-shell, c’est le contraire : le serveur se connecte au client pour lui faire accomplir des tâches. Ici, il est utilisé pour configurer CPUminer à distance, mais les chercheurs précisent qu’il peut tout à fait permettre l’installation de malwares supplémentaires si besoin.

Un type de campagne déjà vu

L’idée de diffuser un mineur pour créer un parc distribué de machines n’est pas nouvelle. The Hacker News rappelle notamment l’existence d’Adylkuzz, un autre malware visant Windows celui-là et exploitant… la faille EternalBlue dans SMB, celle-là même qui a permis la propagation de WannaCrypt. Cette campagne était passée relativement inaperçue, la société Proofpoint précisant que WannaCrypt avait largement drainé l’attention.

La même entreprise expliquait que le minage étant une activité particulièrement gourmande en énergie puisque s’appuyant sur les performances des CPU et GPU, l’utilisation des failles de sécurité permet de créer à faible coût des parcs de milliers de machines dévolues à cette activité. Si le malware fait « bien son travail », l’utilisateur ne se rend compte de rien, à moins que le bruit des ventilateurs ne l’alerte sur une activité intensive de son processeur (surtout sur un ordinateur portable).

Mais même si ces malwares particuliers ne dérobent pas d’informations, ils induisent une activité détournée des ordinateurs au détriment de leurs utilisateurs. En outre, puisqu’ils sont contrôlés à distance, rien n’empêche les pirates d’envoyer d’autres logiciels malveillants pour profiter un peu plus de la situation.

La seule parade réelle reste la correction en temps et en heure des vulnérabilités. La récupération et l’installation automatique des mises à jour signifie peut-être un redémarrage de la machine, mais il s’agit encore de la meilleure protection contre ce type de problème.

41 commentaires
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 13/06/17 à 09:32:41

ouaaaah ! je fais la MàJ DSM de nos Syno (qui corrige la CVE-2017-7494 en question) et 5 mn après je tombe sur cet article :D

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 13/06/17 à 09:38:28

"cette campagne n’est pas basée sur un ransomware. Pas question donc de
chiffrer les données et de réclamer de l’argent, ou même d’un classique
vol d’informations. Ici, le but est de faire de l’argent."
Le raisonnement m'échappe. Le but d'un ransomware n'est pas de faire de l'argent ?

Avatar de Vorphalax Abonné
Avatar de VorphalaxVorphalax- 13/06/17 à 09:38:59

Quand meme, 100 % d'utilisation du CPU  ca doit a un moment ou un autre se voir

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 13/06/17 à 09:40:14

si mais là on ne te vole pas directement de l'argent via une rançon :chinois:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 13/06/17 à 09:46:34

Ca pose aussi le problème de la discrétion de la correction dans un modèle open-source.

Quand le site de Samba publie le 24 mai un patch "CVE-2017-7494 (Remote code execution from a writable share)" avec le contenu de la modif, c'est pas très dur de faire le reverse-eng pour exploiter la faille:

--- samba-4.6.3/source3/rpc_server/srv_pipe.c 2017-01-11 08:55:15.000000000 +0100
+++ samba-4.6.4/source3/rpc_server/srv_pipe.c 2017-05-23 10:19:23.000000000 +0200
@@ -475,6 +475,11 @@ bool is_known_pipename(const char *pipen
{
NTSTATUS status;

  • if (strchr(pipename, '/')) {
  • DEBUG(1, ("Refusing open on pipe %s\n", pipename));
  • return false;
  • }
  • if (lp_disable_spoolss() && strequal(pipename, "spoolss")) { DEBUG(10, ("refusing spoolss access\n")); return false;
Avatar de GérardMansoif Abonné
Avatar de GérardMansoifGérardMansoif- 13/06/17 à 09:51:36

Sous entendu, le but est de miner, donc de créer de l'argent ("faire de l'argent" dans l'article). Alors qu'un ransomware c'est plutôt extorquer de l'argent.

Avatar de Mimoza Abonné
Avatar de MimozaMimoza- 13/06/17 à 10:00:45

Vorphalax a écrit :

Quand meme, 100 % d'utilisation du CPU  ca doit a un moment ou un autre se voir

Non pas forcément, ces petites machines servent en général pas beaucoup, ou juste pour héberger un blog qui a 4 visiteurs par mois, donc que 99% du temps elle mine ne se remarque absolument pas, surtout qu'elles sont passive, donc pas de ventilo qui s’excite.

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 13/06/17 à 10:01:29

Si la différence entre "faire de l'argent" et "réclamer de l'argent" n'existe plus , je commence à comprendre des trucs sur les élections
:mdr:

Avatar de Z-os INpactien
Avatar de Z-osZ-os- 13/06/17 à 10:05:56

Pour un particulier si le minage n'est effectué que pendant les heures de 'bureau' en semaine, il ne pourrait théoriquement le constater sur sa facture d'électricité. Ça peut durer longtemps.

Avatar de Z-os INpactien
Avatar de Z-osZ-os- 13/06/17 à 10:05:56

(Doublon)

Il n'est plus possible de commenter cette actualité.
Page 1 / 5