Faille Zero-Day affectant virtualbox, se protéger facilement

Un petit billet sur le zéro-day de virtualbox :
VirtualBox E1000 Guest-to-Host Escape

Si Sergey Zelenyuk, chercheur russe basé à Moscou (Alors hein, ils sont pas tous méchant les Russes, Spasieba à lui !! ) a publié une seconde faille c’est pas car il déteste virtualbox mais car Oracle qui gère le logiciel, a traîné en longueur pour patcher et  à la va vite en plus, il dénonce aussi par la même occasion la gestion de la sécurité informatique et des bugs bounty ( comment lui en vouloir ).

Source : https://www.zdnet.fr/actualites/une-zero-day-sur-virtualbox-et-pas-mal-de-grognements-39876125.htm

Du coup dans les prochains jours faites attentions aux VMs qui apparaissent, et autant passer à la virtualisation avec QEMU/KVM, c’en sera plus performant est moins faillible. Le POC est pas valable sur des hyperviseurs de type 1.  Mais vu que tout les détails sont publies il faut s’attendre a ce que des VMs deviennent des cibles pour attaquer les systèmes hôtes.

Par contre coté cloud il y a pas de raisons de s’inquiéter, vu que la majorité des fournisseurs de services fonctionnent avec des hyperviseurs de type 1.

Le lien vers mon billet précédant pour mettre en place de la virtualisation avec QEMU/KVM (type1)

Si vous continuez d’utiliser VirtualBox, le seul moyen pour se protéger de cet exploit est de désactiver sur la VM le NAT et dans la configuration de la carte réseau, choisir autre chose que « Intel PRO/1000 ».  Car cette vulnérabilité marche quel que soit le système d’exploitation virtualisé.

Pour savoir si on est sur une machine virtuelle, on peut utiliser l’utilitaire « dmidecode ».

Pour plus de détail notamment le code avec explications ( In English ), voir la vidéo ainsi que la page GitHub de l’exploit

 

Hésitez pas a réagir.

 

RkHunter 1.4.6, Bug lors de la mise à jour

Édit du 28/10/18 à 12h30 :

Comme expliqué dans le commentaire de PG (Merci encore), ce n’est pas un BUG, mais un changement intentionnel pour éviter de faire les MAJS en HTTP, et afin d’éviter un RCE.

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=869760
https://www.cvedetails.com/cve/CVE-2017-7480/

donc ne pas faire les manips ci-dessous.

Je laisse l’article initial en guise de leçon (Envers moi).

 

Hello,

Sur Rkhunter  dans sa dernière version, j’ai eu une petite surprise que voici en image

Invalid WEB_CMD configuration option: Relative pathname: « /bin/false »

En regardant le fichier de config : /etc/rkhunter.conf
On voit de suite que ça va pas. Les commentaires indiquent les valeurs par défaut, mais pourtant les valeurs ne sont pas bonnes.

donc en modifiant comme ceci on règle le problème :
MIRRORS_MODE=0
UPDATE_MIRROR=1
WEB_CMD=

Et Hop It’s Magic !

 

Et voilou !

Rkhunter (sourceforge.net)

Le mois de la cybersécurité…

Hello,
Petit billet et mon avis sur l’actu de fin de semaine.

  • SEC :
    Alors du 1er au 31 2018, c’est le mois européen de la cybersécurité, attention rien que ça.

Mois de la cybersécurité, lien vers l’ANSSI

Cette campagne incite tout ceux qui ont une hygiène numérique à partager les bonnes pratiques à tout et à chacun.

Une page sous forme de « toolbox » est conçue pour nous y aider, et à consulter si même vous, vous sentez faiblard sur le sujet :

ToolBox ANSSI (lien officiel)

Ce qui est dommage, c’est que dans le zip mis à disposition on trouve seulement des éléments de communications graphiques (bandeau, bannière), ça aurait était pas mal d’y trouver les PDFs et infographies présentes dans le lien. Un peu con si on veut partager les bonnes pratiques mais qu’on a pas un accès direct a l’instant « T » au web, la ou on sensibilise, par exemple lors d’un camping.

En prime un mini fail dans le nom des dossiers de l’archives…. (Mon wordpress arrivait pas à voir les dossiers quand j’ai voulu insérer les images, sinon j’avais pas fait gaffe)

Campagne perdu d’avance ? Quand on voit le reste de l’actu dans le même temps ( vraiment le même temps, les dates de parutions le prouvent ).

  • Facebook :
    Si vous n’avez pas encore supprimé votre compte Facebook, alors il est vivement conseillé de faire un petit tour dans ses paramètres de sécurité et de vérifier l’accès à vos compte, et par la même d’y faire du ménage dans les accès autorisés, regarder les paramétrages disponibles dans « sécurité » par curiosité si on l’a jamais fais et faire en sorte que ce soit un peu plus sécure.

Facebook a corrigé un bug qui permettait de prendre le contrôle d’un compte autre que le sien avec la fonctionnalité de miroir numérique schyzo « Voir en tant que ». SUPER

Facebook compromission (ZDnet.fr)

Et pour rien arranger, Facebook s’est visiblement servi des numéros de téléphones fournis pour la double authentification à des fins publicitaires…

De quoi bien non inciter à utiliser la double authentification.

Le plus simple est vraiment de delete son compte Facebook et d’éviter d’utiliser les outils appartenant aux GAFAMS (Whatsapp, snap, instagram, etc) , c’est triplement bénéfique !

Double authentification facebook (Developpez.com)

Ça me conforte dans la suppression du mien il y a un temps. On voit ce genre de nouvelle d’assez « haut ».

 

  • Et pendant ce temps :

Est ce que les choses iront mieux dans le futur quand on voit ça  :

Résultats de recherches « Siri » foireux (Developpez.com)

Continuons de créer un web uniforme, un web ou la novlangue est de mise.
Un web ou l’utilisateur n’a à s’inquiéter de rien

Le problème n’est pas dans les contenus que l’on peut trouver.
Le problème est dans le fait qu’on prend pour vérité ce que l’on nous sert. La plupart du temps du contenu servi par des algos qui veulent juste captiver un max votre temps et vos clicks.
C’est fini le web ou on perd une aprem entière à s’égarer sur un sujet et à lire tout et son contraire pour au final se faire un avis personnel ?

Le web d’aujourd’hui ne sert plus a assouvir sa curiosité ?
Car c’est bien la ou on en est, les réseaux sociaux malgré eux (ou pas si ça peut rapporter) forgent les avis et choix de demain.
Même nos politiques se laissent aller à ce jeu. La politique normalement est pas la pour éviter justement les dérives pour que la société tombe pas dans ce genre de « pièges » ?

Le problème c’est que maintenant le premier résultat affiché tiendra compte de vérité le plus souvent, et même ce qui est pré-affiché qui pour rappel montre des requêtes qui ont souvent étaient employés parmi d’autres utilisateurs du moteur de recherche.

En 2010, quand on tapait « trou du cul » sur google, les premiers résultats sortaient des pages webs sur Nico Sarko. C’était marrant mais aujourd’hui ?

Ça montre notre méconnaissance général sur ce qui nous entoure.

  • Finissions avec un peu d’humour, si vous connaissez pas commitstrip.com, faites y un tour !

 

Donc niveau cyber, il y a du chemin à faire !