Création d'un CTF

(en cours d'écriture...)

Sujets intéressants

CVE-2024-7788 Vulnérabilité permettant le contournement de politique de sécurité sur LibreOffice

Le 17 septembre 2024, l’éditeur LibreOffice a publié une alerte de sécurité après la découverte d’une nouvelle vulnérabilité CVE-2024-7788 (CVSS v3.x : 7,8) sur ses outils. Cette faille affecterait la fonctionnalité de réparation des fichiers Zip signés et corrompus, un processus par lequel le programme tente de recomposer un document endommagé en reconstruisant sa structure. En exploitant celle-ci, un attaquant peut essayer de manipuler les signatures dudit fichier. Ce procédé permettrait en outre de contourner la vérification de signature, et pousser l’utilisateur légitime à activer des macros ou à faire confiance à du contenu malveillant en ignorant les avertissements de sécurité. Les versions du logiciel concernées par cette vulnérabilité sont comprises entre 24.2 et 24.2.5. Une version corrigée a été publiée par l’éditeur, qui appelle ses clients à procéder à la mise à jour de toute urgence.

Liens : LibreOffice, 17/09/2024 // NVD, 17/09/2024 // CERT-FR, 18/09/2024 // GB Hackers, 18/04/2024

---

Rapport de Sekoia sur le chargeur Emmenhtal

Depuis décembre 2023, des chercheurs de Sekoia surveillent une infrastructure spécifique impliquée dans la distribution du chargeur Emmenhtal. > Emmenhtal est un chargeur de logiciels malveillants furtif servant à distribuer des logiciels voleurs d'informations dans le monde entier. Ce chargeur a attiré l'attention des chercheurs en cybersécurité d'Orange Cyberdefense et l'équipe Threat Intelligence de Google Cloud qui ont rédigé des analyses détaillées à son sujet. Le chargeur Emmenhtal, également connu sous le nom de PeakLight, fonctionne uniquement en mémoire, ce qui le rend difficile à détecter et à analyser. Il est principalement utilisé pour distribuer d'autres charges utiles malveillantes, notamment des voleurs d'informations bien connus qui ciblent les informations sensibles. Le rapport de Sekoia commence par examiner l'utilisation de la technologie WebDAV dans l'hébergement de fichiers malveillants liés au chargeur Emmenhtal, puis analyse les différentes charges utiles finales distribuées par cette infrastructure et conclut en explorant la possibilité que l'infrastructure soit offerte en tant que service à de multiples acteurs de la menace. Des indicateurs de compromission (IoC) sont disponibles à la fin du rapport.

Liens : Sekoia,19/09/2024 // Orange Cyberdefense, 14/08/2024 // Google Cloud, 22/08/2024

---

Découverte d’un mode d’attaque baptisé RAMBO

Selon un article du média HackRead en date du 18 septembre 2024, des chercheurs de l'université Ben-Gurion du Néguev, en Israël, ont identifié une nouvelle méthode pour compromettre la sécurité des systèmes isolés physiquement de tout réseau (air gap). Pour information, ces systèmes sont physiquement déconnectés du réseau et de l'Internet, ce qui le protège contre les accès non autorisés. Même si un utilisateur introduit un logiciel malveillant par l'intermédiaire d'un périphérique USB compromis, le logiciel malveillant ne peut pas transmettre les données à l’extérieur. Toutefois, selon le chercheur universitaire Mordechai Guri, les logiciels malveillants peuvent altérer les composants de la mémoire vive et la méthode d'attaque récemment découverte, baptisée « RAMBO » (Radiation of Air-gapped Memory Bus for Offense), exploite les émissions électromagnétiques des bus de mémoire de l'ordinateur pour transmettre des informations sensibles. Le transfert de données de la mémoire vive génère des champs électromagnétiques, rayonnant de l'énergie à une fréquence influencée par la vitesse d'horloge (fréquence d’horloge des processeurs), la largeur des données et l'architecture, et un émetteur peut moduler les schémas d'accès à la mémoire pour créer un canal électromagnétique secret, a noté M. Guri dans un article récemment publié.

Liens : Department of Software and Information Systems Engineering, 03/09/2024 // HackRead, 18/09/2024