Faille Zero-Day affectant virtualbox, se protéger facilement

Un petit billet sur le zéro-day de virtualbox :
VirtualBox E1000 Guest-to-Host Escape

Si Sergey Zelenyuk, chercheur russe basé à Moscou (Alors hein, ils sont pas tous méchant les Russes, Spasieba à lui !! ) a publié une seconde faille c’est pas car il déteste virtualbox mais car Oracle qui gère le logiciel, a traîné en longueur pour patcher et  à la va vite en plus, il dénonce aussi par la même occasion la gestion de la sécurité informatique et des bugs bounty ( comment lui en vouloir ).

Source : https://www.zdnet.fr/actualites/une-zero-day-sur-virtualbox-et-pas-mal-de-grognements-39876125.htm

Du coup dans les prochains jours faites attentions aux VMs qui apparaissent, et autant passer à la virtualisation avec QEMU/KVM, c’en sera plus performant est moins faillible. Le POC est pas valable sur des hyperviseurs de type 1.  Mais vu que tout les détails sont publies il faut s’attendre a ce que des VMs deviennent des cibles pour attaquer les systèmes hôtes.

Par contre coté cloud il y a pas de raisons de s’inquiéter, vu que la majorité des fournisseurs de services fonctionnent avec des hyperviseurs de type 1.

Le lien vers mon billet précédant pour mettre en place de la virtualisation avec QEMU/KVM (type1)

Si vous continuez d’utiliser VirtualBox, le seul moyen pour se protéger de cet exploit est de désactiver sur la VM le NAT et dans la configuration de la carte réseau, choisir autre chose que « Intel PRO/1000 ».  Car cette vulnérabilité marche quel que soit le système d’exploitation virtualisé.

Pour savoir si on est sur une machine virtuelle, on peut utiliser l’utilitaire « dmidecode ».

Pour plus de détail notamment le code avec explications ( In English ), voir la vidéo ainsi que la page GitHub de l’exploit

 

Hésitez pas a réagir.

 

Le mois de la cybersécurité…

Hello,
Petit billet et mon avis sur l’actu de fin de semaine.

  • SEC :
    Alors du 1er au 31 2018, c’est le mois européen de la cybersécurité, attention rien que ça.

Mois de la cybersécurité, lien vers l’ANSSI

Cette campagne incite tout ceux qui ont une hygiène numérique à partager les bonnes pratiques à tout et à chacun.

Une page sous forme de « toolbox » est conçue pour nous y aider, et à consulter si même vous, vous sentez faiblard sur le sujet :

ToolBox ANSSI (lien officiel)

Ce qui est dommage, c’est que dans le zip mis à disposition on trouve seulement des éléments de communications graphiques (bandeau, bannière), ça aurait était pas mal d’y trouver les PDFs et infographies présentes dans le lien. Un peu con si on veut partager les bonnes pratiques mais qu’on a pas un accès direct a l’instant « T » au web, la ou on sensibilise, par exemple lors d’un camping.

En prime un mini fail dans le nom des dossiers de l’archives…. (Mon wordpress arrivait pas à voir les dossiers quand j’ai voulu insérer les images, sinon j’avais pas fait gaffe)

Campagne perdu d’avance ? Quand on voit le reste de l’actu dans le même temps ( vraiment le même temps, les dates de parutions le prouvent ).

  • Facebook :
    Si vous n’avez pas encore supprimé votre compte Facebook, alors il est vivement conseillé de faire un petit tour dans ses paramètres de sécurité et de vérifier l’accès à vos compte, et par la même d’y faire du ménage dans les accès autorisés, regarder les paramétrages disponibles dans « sécurité » par curiosité si on l’a jamais fais et faire en sorte que ce soit un peu plus sécure.

Facebook a corrigé un bug qui permettait de prendre le contrôle d’un compte autre que le sien avec la fonctionnalité de miroir numérique schyzo « Voir en tant que ». SUPER

Facebook compromission (ZDnet.fr)

Et pour rien arranger, Facebook s’est visiblement servi des numéros de téléphones fournis pour la double authentification à des fins publicitaires…

De quoi bien non inciter à utiliser la double authentification.

Le plus simple est vraiment de delete son compte Facebook et d’éviter d’utiliser les outils appartenant aux GAFAMS (Whatsapp, snap, instagram, etc) , c’est triplement bénéfique !

Double authentification facebook (Developpez.com)

Ça me conforte dans la suppression du mien il y a un temps. On voit ce genre de nouvelle d’assez « haut ».

 

  • Et pendant ce temps :

Est ce que les choses iront mieux dans le futur quand on voit ça  :

Résultats de recherches « Siri » foireux (Developpez.com)

Continuons de créer un web uniforme, un web ou la novlangue est de mise.
Un web ou l’utilisateur n’a à s’inquiéter de rien

Le problème n’est pas dans les contenus que l’on peut trouver.
Le problème est dans le fait qu’on prend pour vérité ce que l’on nous sert. La plupart du temps du contenu servi par des algos qui veulent juste captiver un max votre temps et vos clicks.
C’est fini le web ou on perd une aprem entière à s’égarer sur un sujet et à lire tout et son contraire pour au final se faire un avis personnel ?

Le web d’aujourd’hui ne sert plus a assouvir sa curiosité ?
Car c’est bien la ou on en est, les réseaux sociaux malgré eux (ou pas si ça peut rapporter) forgent les avis et choix de demain.
Même nos politiques se laissent aller à ce jeu. La politique normalement est pas la pour éviter justement les dérives pour que la société tombe pas dans ce genre de « pièges » ?

Le problème c’est que maintenant le premier résultat affiché tiendra compte de vérité le plus souvent, et même ce qui est pré-affiché qui pour rappel montre des requêtes qui ont souvent étaient employés parmi d’autres utilisateurs du moteur de recherche.

En 2010, quand on tapait « trou du cul » sur google, les premiers résultats sortaient des pages webs sur Nico Sarko. C’était marrant mais aujourd’hui ?

Ça montre notre méconnaissance général sur ce qui nous entoure.

  • Finissions avec un peu d’humour, si vous connaissez pas commitstrip.com, faites y un tour !

 

Donc niveau cyber, il y a du chemin à faire !

 

ReaperBugs, faire planter un navigateur web

Récemment, nous devons à Sabri Haddouche la découverte d’un POC (preuve de concept) affectant Safari sur IOS et les chromes devices.

Ce POC s’appuie sur du simple code HTML/CSS, qui fait dupliquer en gros à l’infini une image floue qui fera planter votre navigateur.

Mais il ne s’en arrête pas la, il a mis au point un second POC à destination des navigateurs Firefox. La il s’appuie sur un script en JS qui fera que toute les secondes on fera une requête sur une URL hyper longue. Ce qui amènera à un plantage du navigateur, voir du système en lui même (ce qui m’est arrivé).

En gros une belle attaque par déni de service.

Si vous voulez tester à vos risques et périls il faut se rendre sur le site : reaperbugs
Il s’y trouve aussi le code source des exploits. Ne vous trompez pas de liens une fois sur le site 😀

Vous pouvez aussi faire des blagues aux copains à l’ancienne. Mais attention à la légalité de votre action

Perso sur Firefox ça m’a bien fait planter mon navigateur ainsi que, le système entier, même ouvrir un second tty pour tuer le processus n’était pas possible.
Alors que mon navigateur est bien paramétré, et équipé des plus célèbres extensions que sont Noscript et uMatrix. J’ai aussi essayé en bloquant le chargement des scripts avec uMatrix sur Firefox, idem.

Pratique pour quelqu’un qui a besoin imaginons de votre MDP pour le disque chiffré, un keylogger et on vous force à rebooter.  C’est du multi-plateforme donc belle surface d’attaque sans s’emmerder.

 

Source :

ZDnet.com