Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Hack RSA : les dessous de l’affaire

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Hackers

Il semblerait que le piratage dont a été victime RSA Security en début d’année ne soit pas si sophistiqué que l’on a pu l’écrire. C’est en tout cas ce qui ressort de l’analyse par F-Secure du document piégé utilisé par les pirates pour pénétrer le réseau de l’éditeur.

Selon F-Secure, le vecteur de l’attaque était un document Excel vide envoyé à quatre collaborateurs d’EMC, la maison-mère de RSA (quatre sur… trente-trois mille !)

Le courrier semblait provenir du site de recrutement Beyond.com et disait contenir le plan de recrutement 2011 pour l’entreprise.

Mais à ce stade l’affaire aurait très bien pu en rester là : les quatre courriers piégés envoyés à EMC ont été bloqués par l’antispam. Ce n’est que lorsque un utilisateur est allé consulter sa corbeille qu’il a vu l’email intercepté et l’a ouvert.

Dans ce courrier, une seule phrase : « I forward this file to you for review. Please open and view it« . Et voici donc comment un acteur majeur de l’industrie de la sécurité va trébucher : « Veuillez ouvrir et consulter« … Quatre mots.

La feuille de calcul jointe semblait vide mais elle embarquait en réalité un objet Flash malveillant exécuté à l’ouverture (comme le fait remarquer Mikko Hypponen, de F-Secure, « on se demande bien pourquoi Excel permet d’embarquer du Flash…« ). Le code malveillant tentait alors d’exploiter une vulnérabilité inconnue à l’époque (CVE-2011-0609) afin de prendre le contrôle du poste de travail.

Si la faille exploitée était inconnue, le code malveillant qu’elle permettait d’installer est en revanche très connu : il s’agit de l’incontournable Poison Ivy. Mieux : une fois déployé celui-ci se connectait à une URL déjà répertoriée comme étant malveillante.

A ce stade, hormis l’exploit zero-day lui-même, rien n’est donc particulièrement avancé dans cette attaque :

  • L’email envoyé n’est pas un chef d’oeuvre d’ingéniérie sociale (une phrase…)
  • Le document piégé ne fait rien pour donner le change en offrant au moins un contenu quelque peu crédible
  • Le kit de contrôle à distance utilisé par les pirates est très connu
  • L’URL auquel Poison Ivy se connecte est réputée malveillante depuis au moins le mois de septembre 2010, soit sept mois avant l’attaque

Et pourtant, l’opération a parfaitement fonctionnée. Quels enseignements peut-on en tirer, et quelles mesures auraient pu prévenir ce piratage ?

Reprenons pour cela chaque étape :

  • Email et document piégés : une bonne politique de sensibilisation des utilisateurs à la sécurité, et surtout un processus simple et rapide pour qu’ils puissent remonter les comportements ou erreurs suspects, aurait pu aider.
  • Poison Ivy : bien que sa détection soit globalement difficile, il n’est pas entièrement invisible. Un antivirus / antirootkit / antimalware à jour aura certaines chances de le détecter.
  • L’URL de contrôle : c’est ici la meilleure chance de neutraliser l’attaque. Puisque l’URL était réputée malveillante depuis sept mois, un bon outil de filtrage d’URL aurait du bloquer la connexion et donner l’alerte. Mais encore faut-il être capable de la remonter et la traiter.

Pour ce qui est du code malveillant initial, il a été soumis par un inconnu pour la première fois à VirusTotal le 4 mars 2011, soit quinze jours avant que l’attaque ne soit révélée, et avant qu’Adobe ne publie son alerte. Le résultat est sans appel : VirusTotal nous confirme qu’à cette époque aucun des 42 antivirus utilisés ne détectaient l’échantillon.  L’attaque initiale était donc indétectable pour RSA, tant son vecteur que son exploit.

Les choses évoluent cependant dès le lendemain de l’annonce par RSA, l’échantillon était alors reconnu par près de 44% des antivirus utilisés par VirusTotal. La plupart d’entre eux détectaient à cette date l’exploit CVE-2011-0609 (Adobe avait émis son bulletin d’alerte le 14 mars 2011, soit quatre jours avant que l’attaque ne soit rendue publique. Ces éditeurs d’antivirus se sont donc montrés les plus réactifs).

Enfin, soulignons le rôle de l’utilisateur : bien que l’antispam ait fait son travail, c’est l’utilisateur qui est allé chercher le courrier piégé et l’a ouvert. Et bien qu’à ce moment Outlook le prévienne du danger à ouvrir cette pièce jointe, il ne tient pas compte de l’avertissement.

De quoi certainement apporter de l’eau au moulin de la sensibilisation de vos collaborateurs !

(crédit photo : Nintendo et Generation-NT.com)

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Hack RSA : les dessous de l’affaire

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.