Nouvelles failles dans la crypto de Telegram
Une équipe de recherche internationale de cryptographes a effectué une analyse de sécurité détaillée de la populaire application de messagerie Telegram, identifiant plusieurs faiblesses dans son protocole.
La plus importante, dénommée « crime-pizza », permet à un attaquant sur le réseau de manipuler le séquençage des messages provenant d’un client vers l’un des serveurs cloud exploités par Telegram dans le monde, permettant par exemple de changer l’ordre du message « Je dis oui à pizza. Je dis non à crime » pour faire croire qu’un client à l’intention de commettre un crime. Les trois autres attaques ne présentent qu’un intérêt théorique du fait de leur mise en œuvre difficile en pratique :
- Il est possible de distinguer entre deux messages lequel a été chiffré par un client, lequel a été chiffré par un serveur.
- Un canal caché temporel permet de récupérer des messages en clairs à partir des chiffrés.
- Une attaque par l’homme du milieu est possible sur la négociation de clé initiale entre le client et le serveur, permettant d’usurper l’identité de ce dernier.
Bien que le risque immédiat pour les utilisateurs soit faible, ces vulnérabilités soulignent que Telegram ne répond pas aux garanties de sécurité dont bénéficient d’autres protocoles cryptographiques largement déployés tels que TLS. En effet, Telegram utilise son propre protocole cryptographique maison MTProto, ce qui a souvent été critiqué par une partie importante de la communauté cryptographique. Kenny Paterson, un des chercheurs de l’étude, nuance le non respect du fameux adage « Don’t roll your own crypto! » mis en avant par les détracteurs de Telegram. Il faut garder à l’esprit que les nouveaux mécanismes ne disposent pas nécessairement d’un processus de revue par des analystes ou de preuves de sécurité contrairement à leur homologues standards. C’est tout l’intérêt d’une collaboration entre le monde académique et l’industrie technologique.
Averti depuis avril, Telegram a déjà effectué les modifications nécessaires au renforcement de la sécurité de son protocole.
Print Spooler : la saga continue
Quelques jours seulement après la correction de la vulnérabilité PrintNightmare (CVE-2021-34527), des chercheurs en sécurité avaient alors trouvé des façons de contourner le patch sous certaines conditions. Microsoft affirme cependant que la mise à jour KB5004945 fonctionne parfaitement et est efficace contre les exploits connus.
Le surcroît d’attention accordé par les chercheurs à Print Spooler a exposé la semaine dernière une nouvelle vulnérabilité (CVE-2021-34481) permettant à un utilisateur local d’élever ses privilèges. Identifiée par Jacob Baines, celui-ci présentera le détail ses recherches début août à la DEFCON. Benjamin Delpy, créateur de Mimikatz, a identifié des problèmes similaires. Il a notamment trouver une façon de contourner la méthode normale avec laquelle Windows installe les pilotes d’impression. Il est possible d’accroître les droits via l’installation d’un code malveillant (LPE). En effet, Windows permet aux utilisateurs non administrateurs d’installer des pilotes d’imprimante via Point and Print. Les imprimantes installées via cette technique installent également des fichiers spécifiques à la file d’attente, qui peuvent être des bibliothèques arbitraires à charger par le processus privilégié du spouleur d’impression Windows.
Cette faille affecte les ordinateurs où la mise à jour KB5004945 est installée.
WiFiDemon : from DoS to RCE
Le mois dernier, Carl Schou découvrait que la connexion à un point d’accès avec le SSID « %p%s%s%s%s%n » désactivait le Wi-Fi d’un appareil iOS. Ce problème de format de chaîne conduisant à un déni de service a été corrigé par Apple sans qu’une CVE n’ait été émise.
Des chercheurs de ZecOps ont analysé plus en détail ce bug et ont découvert qu’il pouvait être utilisé pour mener une exécution de code à distance ne nécessitant que peu d’interaction avec la victime. En effet, la RCE peut être exploitée lorsque l’utilisateur se connecte à un point d’accès malveillant présentant un SSID contenant la chaîne « %@ ». Pour les versions antérieures de l’iPhone (iOS 14 jusqu’à 14.4), l’exploitation est encore plus facile puisqu’il n’est pas nécessaire d’attirer une victime : la fonction de connexion automatique est activée par défaut sur les téléphones, ce qui leur permet de se connecter automatiquement aux réseaux Wi-Fi disponibles en arrière-plan. Ainsi, un attaquant aurait seulement besoin de configurer un SSID malveillant ouvert, sans mot de passe, à portée de la cible, puis de s’asseoir et d’attendre ; d’où le terme d’attaque 0-click. Il est donc recommandé de désactiver ce paramétrage.
La vulnérabilité a été nommée WifiDemon car elle affecte wifid, un démon système qui gère les protocoles associés aux connexions Wi-Fi et fonctionne en tant que root. Elle devrait être corrigée avec la version 14.7 d’iOS.
HiveNightmare aka SeriousSAM : quand tout utilisateur peut lire le registre Windows
Un défaut de contrôle d’accès (ACL) a été identifié dans les systèmes Windows 10 et 11. Il permet un accès en lecture au répertoire C:\Windows\System32\Config\ à tout utilisateur du groupe BUILTIN\Users et donc des utilisateurs non privilégiés. Cela peut conduire à une élévation de privilèges car ce répertoire contient des fichiers de ruche du registre sensibles tels que SAM, SYSTEM et SECURITY.
En particulier, SAM est la base de données contenant les mots de passe des utilisateurs sous forme hachée. Outre l’extraction et l’exploitation des hashs de mots de passe de comptes, cette faille permet de :
- découvrir le mot de passe d’installation Windows d’origine,
- obtenir les clés d’ordinateur DPAPI, qui peuvent être utilisées pour déchiffrer toutes les clés privées de l’ordinateur,
- obtenir un compte machine pouvant être utilisé dans une attaque Silver Tickets.
En temps normal, il n’est pas possible d’accéder aux fichiers de ruche sensibles car ils sont en cours d’utilisation : l’accès est verrouillé malgré l’autorisation en lecture. Toutefois, ce verrouillage est contournable en abusant du mécanisme Volume Shadow Copy.
La vulnérabilité a été confirmée par Microsoft qui s’est vu attribuée la CVE-2021-36934. Les investigations sont toujours en cours afin de proposer un patch dans les prochains jours.
50 Shades of ElGamal : deux nouvelles vulnérabilités dans OpenPGP
Dans un papier intitulé “On the (in)security of ElGamal in OpenPGP” – qui sera présenté en fin d’année à la conférence ACM CCS’21 – des chercheurs d’IBM à Zurich détaillent deux nouvelles vulnérabilités qu’ils ont découvertes dans la norme OpenPGP, pris en charge dans de nombreuses applications de messagerie et permettant le chiffrement de bout-en-bout des données échangées.
Elles découlent du fait qu’il n’y a pas une façon standard d’implémenter ElGamal, un des algorithmes de chiffrement asymétriques possibles dans OpenPGP. Il est alors possible que deux implémentations avec des configurations différentes sur le choix des paramètres de l’algorithme (génération des nombres premiers, tirages des valeurs secrètes, etc) parviennent à interagir de manière non sécurisée. Des attaques dites cross-configuration permettent alors de retrouver les données en clair à partir d’un seul chiffré. La majorité des utilisateurs n’est pas affectée mais les chercheurs ont tout de même identifié plus de 2000 clés publiques vulnérables. La seconde vulnérabilité est une attaque par canal caché, facilitée par l’attaque par configuration croisée, qui permet de retrouver la clé secrète.
En attendant qu’un outil permettant à un utilisateur de vérifier si sa clé OpenPGP est affectée ne soit disponible, il est recommandé de révoquer les clés ElGamal et d’en générer de nouvelles en privilégiant un mécanisme alternatif tel que RSA ou ECC.
Y’a plus, je laisse ?
L’ANSSI traite actuellement une vaste campagne de compromission ciblant la France, conduite suivant le mode opératoire du groupe chinois APT31.