Cet article propose une analyse approfondie d’« EternalRomance », un élément clé des tristement célèbres outils de piratage utilisés par les Shadow Brokers et largement associés à la NSA (Agence de sécurité nationale). L’objectif principal est de permettre une compréhension globale de cette menace majeure dans le domaine de la cybersécurité.
Introduction
En avril 2017, le monde de la cybersécurité a été secoué par la fuite d'EternalBlue, le tristement célèbre outil de piratage de la NSA, par Shadow Brokers. Cette fuite a également révélé plusieurs failles de sécurité, dont EternalRomance. Contrairement à EternalBlue, EternalRomance est passé inaperçu des médias traditionnels. Pourtant, grâce à sa capacité unique à exécuter des codes malveillants à distance sur Windows Server, il a profondément bouleversé le paysage de la cybersécurité.
Déballage d'EternalRomance
Contrairement à EternalBlue, qui cible spécifiquement le protocole SMB (Server Message Block) et plus particulièrement l'implémentation SMBv1 de Microsoft, EternalRomance exploite une condition de concurrence présente dans les requêtes de transaction du protocole SMBv1, ce qui lui permet de compromettre la mémoire et d'obtenir un accès non autorisé. Le principal avantage d'EternalRomance par rapport à ses concurrents réside dans sa capacité à fonctionner avec de simples privilèges système sur la plupart des versions de Windows et ne nécessite aucun support de la part des exécutables du noyau.
Fonctionnalité
EternalRomance fonctionne en envoyant des paquets malformés à un serveur SMBv1 vulnérable. La première étape de l'exploitation consiste à informer le serveur d'une transaction présentant deux enregistrements. Le serveur interprète chaque enregistrement comme une transaction logique indépendante. Cependant, EternalRomance modifie les deux enregistrements pour qu'ils pointent vers la même zone mémoire. De plus, l'exploitation provoque une condition de concurrence entre les deux enregistrements. Pendant que l'enregistrement original est traité, l'autre modifie les données originales en mémoire, entraînant une confusion de types. Ce processus permet l'exécution de code arbitraire.
Exploitation technique
Normalement, une transaction effectuée via le protocole SMBv1 contient un seul compteur de configuration. Or, le paquet malformé d'EternalRomance en contient deux, ce qui provoque une double récupération. En raison de la présence de l'option SMB_COM_TRANSACTION_SECONDARY, le serveur n'examine que la dernière transaction ; le compteur de configuration de la transaction originale est donc écrasé par celui de la transaction malveillante. Ce scénario entraîne l'exécution du shellcode et la compromission du système.
Mesures préventives
Pour prévenir l'exécution et les conséquences de l'exploit EternalRomance, il est nécessaire d'appliquer rapidement les correctifs système et d'éviter les logiciels obsolètes. Microsoft a publié la mise à jour de sécurité MS17-010 qui doit être installée sans délai sur tous les systèmes Windows. Maintenir un système à jour et faire l'objet d'une surveillance constante offre une protection significative contre ce type de kits d'exploitation. De plus,
Exploits du monde réel
NotPetya et Bad Rabbit sont des exemples notoires d'attaques ayant exploité la faille EternalRomance pour son impact dévastateur. NotPetya a notamment utilisé cette vulnérabilité pour se propager latéralement au sein des réseaux après avoir obtenu un accès initial. Bad Rabbit, un ransomware tristement célèbre, a également intégré EternalRomance à son dispositif de propagation.
EternalRomance Impact
L'influence d'EternalRomance sur l'écosystème cybernétique est considérable. Bien qu'intrinsèquement lié à EternalBlue, un autre outil de la NSA, il s'est imposé grâce à sa capacité unique à exploiter les applications clientes et à exécuter du code à distance. L'apparition d'EternalRomance a mis en lumière l'importance cruciale de maintenir les systèmes à jour avec les correctifs de sécurité et de rester vigilant face aux cybermenaces potentielles.
En conclusion
En conclusion, EternalRomance est apparu comme un rappel brutal des menaces persistantes avancées qui sévissent dans le cyberespace. Ce cas marque un tournant décisif dans notre compréhension des menaces en matière de cybersécurité, démontrant le potentiel des exploits pour manipuler stratégiquement les systèmes ciblés. Le principal enseignement est l'impératif absolu de maintenir des systèmes sécurisés et à jour afin d'atténuer ces menaces. Si EternalRomance révèle les potentialités insoupçonnées des cybermenaces, il souligne également la nécessité d'adopter des stratégies robustes dans un paysage de cybermenaces en constante évolution.