Un certain nombre de comptes Twitter de haut niveau, notamment ceux d’Elon Musk, d’Apple, d’Uber, de Bill Gates, de Joe Biden et d’autres, ont été compromis dans le cadre d’une attaque frauduleuse coordonnée de Bitcoin. L’attaque a duré quelques heures et a rapporté aux attaquants environ 100 000 $ de bitcoins. Nous parlons de la façon dont cette attaque aurait pu se produire et des leçons pour les entreprises avec des travailleurs distants accédant aux systèmes de l’entreprise.

Nous parlons également d’une vulnérabilité découverte par notre équipe Threat Intelligence dans le plugin All in One SEO Pack utilisé par plus de 2 millions de sites WordPress. Cette vulnérabilité pourrait être utilisée par un compte contributeur malveillant pour reprendre un site WordPress.

Nous discutons également de SigRed: une vulnérabilité «wormable» de 17 ans qui pourrait être utilisée pour détourner des serveurs Windows, une vulnérabilité qui pourrait avoir de graves ramifications pour les réseaux Windows d’entreprise. Cette vulnérabilité a été corrigée le 14 juillet.

Et nous examinons quelques problèmes de confidentialité avec l’application TikTok de plus en plus populaire et comment Apple a découvert TikTok espionner les utilisateurs d’iPhone.

Voici des horodatages et des liens au cas où vous souhaiteriez sauter, et une transcription est ci-dessous.
1:25 2 millions d’utilisateurs affectés par Vulnérabilité dans All in One SEO Pack
16 h 00 Haut profil Comptes Twitter compromis en attaque coordonnée; chronologie complète des événements
27:29 SigRed: A Vulnérabilité «wormable» de 17 ans pour détournement de serveurs Microsoft Windows
30:58 Apple prend soudainement TikTok espionne secrètement des millions de personnes Des utilisateurs d’iPhone

Transcription de l’épisode 79

Kathy Zant:
Salut à tous. Bienvenue dans un autre épisode de Think Like a Hacker, c’est le podcast sur la sécurité et l’innovation WordPress. Nous espérons que vous passez un bel été. Nous avons été assez occupés ici à Wordfence avec un certain nombre de choses, et j’ai hâte de les partager avec vous. Si vous écoutez, vous voudrez peut-être vous diriger vers le blog, car il a un composant vidéo aujourd’hui, car nous avons une histoire quelque peu brève que nous voulions couvrir aujourd’hui. Et Chloe Chamberland et Ram Gall se joignent à moi sur le podcast aujourd’hui pour parler de l’une des plus grandes histoires de sécurité qui a été publiée récemment. Et c’est le piratage, l’attaque généralisée et coordonnée, sur un certain nombre de comptes Twitter vérifiés qui a été annoncée hier et nous avons vu les ramifications de cela. Ram et Chloé, comment allez-vous les gars aujourd’hui?

Chloé Chamberland:
Je vais bien.

Ram Gall:
Je n’ai pas été piraté. Donc je vais plutôt bien. Je veux dire, au moins pour autant que je sache.

Kathy:
Pour autant que tu saches. Yeah Yeah. Mon compte semble sûr. Je ne demande à personne de bitcoin, donc tout va bien pour nous tous. Mais il semble qu’un certain nombre de comptes de haut niveau aient effectivement publié des tweets intéressants, mais nous y reviendrons dans un instant.

Kathy:
Nous avons une autre histoire qui est plus liée à WordPress et je voulais d’abord la couvrir rapidement, car c’est l’une de nos principales recherches que nous avons effectuées ici sur notre équipe de renseignement sur les menaces. Chloé Chamberland, vous avez trouvé cette vulnérabilité, n’est-ce pas, dans le plugin du pack SEO tout-en-un. Parlez-nous un peu de ce que vous avez trouvé et de ce qui s’est passé.

Chloe:
Oui, j’ai donc trouvé la vulnérabilité contributeur +. Il ne peut donc être exploité que pour les utilisateurs disposant d’un accès de niveau contributeur ou supérieur. Et cela leur permet essentiellement d’injecter un JavaScript malveillant dans les champs de titre et de description SEO. Et que JavaScript sera exécuté plus tard une fois qu’une victime naviguera sur la page de tous les messages, ou si elle accède directement au message, peut-être en prévisualisant le message ou en y accédant directement.

Kathy:
Génial. Ouais. Et vous avez fait une démonstration de concept comme comment un attaquant pourrait éventuellement exploiter cela pour prendre le contrôle d’un site entier, n’est-ce pas?

Chloe:
Oui je l’ai fait. Il y a donc toutes sortes de choses différentes que vous pouvez faire une fois que vous pouvez mettre JavaScript sur un site, mais l’une des choses les plus inquiétantes serait probablement que vous pouvez y mettre des comptes d’administrateur ou injecter des portes dérobées et cela donne essentiellement aux pirates de retour sur votre site, puis ils peuvent aggraver tous les dommages à partir de là.

Kathy:
Ouais. Intéressant. Alors, jetez un coup d’œil à ce billet de blog sur le blog Wordfence. Et il y a une vidéo qui montre exactement comment cela pourrait être utilisé pour reprendre un site entier. Je connais beaucoup d’éditeurs qui utilisent des contributeurs et donnent aux gens des comptes de niveau contributeur. Et donc s’ils utilisaient ceci et qu’un pirate connaissait cette vulnérabilité, ils pourraient certainement en profiter. Mais il est corrigé maintenant, non? Dans la dernière version qui est sortie?

Chloe:
Oui. Je pense que c’est 3.6.2.

Kathy:
Excellent. Génial. Alors, vérifiez-le et merci pour tout ce travail, pour assurer la sécurité des utilisateurs de WordPress, c’est une installation de 2 millions? Plus de 2 millions?

Chloe:
Oui c’était.

Kathy:
Donc beaucoup de gens. Je n’arrête pas de voir que le fait d’être retweeté à partir de nos articles de blog que les gens passent définitivement le mot. Donc, si vous savez si quelqu’un qui utilise All in One [SEO Pack] ou utilise des contributeurs, envoyez-leur ce message et informez-les de la mise à jour afin qu’ils puissent se protéger.

Kathy:
D’accord. Et maintenant, nous devrions probablement entrer dans cette énorme histoire où des comptes Twitter de haut niveau ont été compromis dans cette attaque coordonnée. C’est arrivé le 15 juillet. Nous avons vu des preuves que cela se produisait dans l’après-midi, et fondamentalement, ils publiaient sur ces comptes de haut niveau comme Elon Musk, Apple, Uber, le compte de Joe Biden. Qui d’autre avons-nous vu se compromettre avec ça? Il y avait quelques autres comptes très médiatisés.

RAM:
Nous avions Bill Gates.

Kathy:
Bill Gates aussi?

RAM:
Le compte Apple, comme le compte Apple officiel. Kim Kardashian a été le dernier compte à publier. Et je pense qu’après ce point, ils ont réussi à le fermer.

Kathy:
Ouais. Nous avons vu des choses intéressantes se produire avec Twitter dans le passé, ils ont supprimé le compte Twitter de Donald Trump. Un administrateur a déclaré qu’il avait violé les conditions d’utilisation en 2017 et que cela avait fait une grande nouvelle, mais c’était un administrateur de Twitter qui avait décidé de supprimer ce compte. Mais nous n’avons jamais rien vu de tel. Et il semble que ce soit une attaque coordonnée dans le but de propager cette arnaque Bitcoin.

Kathy:
L’action Twitter a en fait pris un peu de temps après cet événement. Et cela souligne à quel point Twitter est devenu important non seulement pour la conversation dans la société en Amérique, mais dans le monde entier. Donc, cela aurait vraiment pu être manipulé pour un effort beaucoup plus large. Ram, vous avez jeté un coup d’œil à un site Web qui a essentiellement élucidé toute la chronologie de ce qui s’était passé et quand ils ont vu ces attaques se produire. Qu’avez-vous découvert?

RAM:
Il s’agit donc en fait d’un site de cryptage, ce qui, je suppose, a suscité leur intérêt car il s’agissait d’une arnaque cryptographique. Et les attaques initiales visaient en fait des comptes cryptographiques. Comptes cryptographiques de profil relativement élevé, Angela BTC, finance, un certain nombre d’autres comptes qui sont effectivement importants dans la communauté des crypto-monnaies. Et au début, il semblait qu’ils poussaient un domaine malveillant. D’après ce que je peux comprendre, l’adresse Bitcoin d’origine à laquelle ils ont demandé d’envoyer de l’argent a été répertoriée sur ce domaine, bien qu’il soit tout à fait possible qu’il y ait également une sorte d’autre exploit en cours d’exécution sur ce site. Ils l’ont retiré depuis. Il n’y a donc pas vraiment de moyen de le savoir, et je ne l’ai pas vu mentionné, mais ce serait faisable. Et puis à un moment donné environ deux heures et demie ou un peu après deux heures après avoir commencé, ils ont commencé à frapper d’autres comptes de premier plan, à commencer par Elon Musk, Uber. Oui. Beaucoup de gens très célèbres.

Kathy:
Et Elon Musk est un peu utilisé par cette arnaque cryptographique depuis un certain temps. Je vois cela sur Twitter depuis un certain temps et sur d’autres médias sociaux où les gens publient des comptes, ce n’est pas le compte d’Elon Musk, mais ils disent: “Elon Musk, il fait ce cadeau, si vous envoyez du Bitcoin à cette adresse, il le doublera et vous le renverra. » Donc, il a été beaucoup utilisé et nous avons vu avec Bitcoin, vous pouvez rechercher ce qui est transféré. Vous pouvez donc voir une adresse Bitcoin et voir ce qui a été transféré à cette adresse. Ainsi, vous pouvez en quelque sorte dire à quel point ces escroqueries réussissent.

RAM:
Ouais. Si quelqu’un vous demande de lui envoyer de l’argent à une adresse Bitcoin, la première chose à faire est de faire une recherche Google ou votre moteur de recherche de choix sur cette adresse Bitcoin. Parce que s’il a été utilisé dans des escroqueries et oui, les mauvais acteurs utilisent plusieurs adresses, mais ils ne les changeront pas si souvent. Donc, si une adresse Bitcoin a été utilisée dans une escroquerie dans le passé, vous pouvez rechercher cette adresse Bitcoin et les organisations de sécurité suivent ces choses. Ils garderont une trace des adresses Bitcoin utilisées pour les escroqueries. Ils garderont une trace du montant qui leur a été envoyé. Le Bitcoin n’est pas aussi anonyme que beaucoup de gens semblent le penser, certainement moins traçable que d’acheter ou de vendre des actions, mais vous pouvez certainement trouver certaines choses sur les personnes derrière une attaque par les adresses Bitcoin. Dans ce cas, par exemple, même s’ils ont utilisé quelques adresses Bitcoin différentes, ils ont remarqué des transactions entre les adresses Bitcoin indiquant qu’ils travaillaient probablement ensemble.

Kathy:
Je t’ai eu. D’accord. Maintenant, cela ressemble-t-il à une attaque qui… Que pensons-nous qu’il s’est passé? Que pouvez-vous spéculer sur la base des preuves que nous avons en ce moment? Est-ce que ça ressemble à un administrateur Twitter qui a fait ça? Ou que penses-tu? Que nous disent les preuves?

RAM:
Jusqu’à présent, il y a eu une quantité raisonnable de conjectures, et je crois que Twitter l’a confirmé, qu’un panneau administratif a été utilisé et qu’une ou plusieurs personnes ayant accès à ce panneau ont été conçues par des réseaux sociaux afin que les attaquants puissent en quelque sorte utiliser ce panneau pour faire ces changements. Maintenant, quel genre de panneau était-ce, quelles étaient ses capacités, c’est pour la conjecture. De nombreuses grandes entreprises auront juste des agents de service client de relativement bas niveau qui pourront envoyer des réinitialisations de mot de passe, ou même dans certains cas changer l’adresse e-mail à laquelle les réinitialisations de mot de passe vont ou désactiver l’authentification à deux facteurs. Cela ne signifie donc pas nécessairement que les employés de Twitter ont activement participé à l’arnaque.

RAM:
Comme Chloé le disait, vous pourriez inciter socialement les gens à faire toutes sortes de choses qu’ils n’auraient peut-être pas l’intention de faire. Et si vous pouvez y accéder, disons un compte de niveau relativement bas qui dispose toujours de certaines autorisations, tout comme avec le pack SEO All-in-One, vous pouvez toujours faire des dégâts importants. Je pense donc que cela s’appelle le principe du moindre privilège.

Kathy:
Ouais. Chloé, pouvez-vous expliquer, tout d’abord, reprenons un peu et parlons de ce qu’est l’ingénierie sociale? Parce que nous entendons parler de ce terme, et peut-être devrions-nous simplement nous assurer que tout le monde comprend ce que l’ingénierie sociale implique vraiment.

Chloe:
Ouais. Il s’agit donc essentiellement d’exploiter la relation de confiance avec un autre être humain et d’inciter un autre être humain à faire une sorte d’action. Ainsi, par exemple, je peux entrer dans un immeuble et je peux dire que je suis le bricoleur que je suis habillé comme un bricoleur et tout. Et donc vous avez en quelque sorte cette confiance avec moi que je suis un bricoleur.

Chloe:
Et je vous dis que j’ai été appelé parce que je dois vérifier le câblage ou quelque chose. Et puis vous me faites une sorte de confiance, parce que je porte cette tenue et je ressemble à ce que je dis que je suis, mais je ne suis pas vraiment qui je dis que je suis. Et donnez-moi cet accès et j’entre, et à partir de là, j’ai cet accès que je n’aurais pas dû avoir parce que j’ai exploité cette confiance avec vous en me présentant comme quelqu’un que je ne suis pas.

Kathy:
Exactement. Et ils font généralement quelque chose qui semble quelque peu inoffensif, qui semble naturel.

Chloe:
Oui exactement. Et cela peut se produire sur Internet, donc je pourrais vous envoyer un e-mail et je pourrais usurper mon e-mail et prétendre que je suis Bob votre voisin et j’ai besoin de votre code de porte pour entrer dans votre maison, mais je ne devrais pas vraiment en avoir besoin ou votre code de porte parce que j’ai laissé tomber quelque chose sur le côté de votre clôture.

Chloe:
Et puis j’entre dans votre porte et je vais sur votre porte arrière, parce que vous l’avez laissée déverrouillée par accident, mais je peux prétendre être quelqu’un que je ne suis pas, et en tant qu’attaquant, j’espère exploiter cette confiance avec vous.

Kathy:
Intéressant. Cela aurait donc pu être fait à un agent du service client Twitter? Et… “Je suis Elon Musk. J’ai besoin que mon compte soit réinitialisé et que mon authentification à deux facteurs soit désactivée. » Alors, ils pourraient faire semblant d’être lui et concevoir socialement un représentant du service client?

Chloe:
Ouais. J’ai donc fouillé, il semble qu’il y ait un formulaire sur Twitter où vous pouvez les contacter pour obtenir la réinitialisation de votre mot de passe. C’est donc une façon possible pour eux d’avoir pu entrer en contact avec quelqu’un et de s’en sortir. Peut-être qu’ils ont reçu l’e-mail de certains employés de niveau supérieur et plus autorisés sur Twitter. Et ils leur ont envoyé un e-mail exploitant une relation de confiance quelconque avec peut-être une pièce jointe.

Chloe:
Et peut-être qu’ils ont cliqué sur cette pièce jointe et qu’elle a installé des logiciels malveillants sur leurs ordinateurs et s’est intensifiée à partir de là. Mais tout commence avec cette tentative d’ingénierie sociale au début. Et une fois qu’ils ont exploité cette confiance, vous pouvez en quelque sorte escalader de différentes manières. Et il y a tellement de façons différentes de gagner cette confiance initiale. Surtout si ce n’est pas assez bon, une formation de sensibilisation à la sécurité.

Kathy:
Je t’ai eu. D’accord. Donc, la sensibilisation à la sécurité. Ram, avec la chronologie que vous avez vue, y a-t-il eu des pauses entre l’endroit où ces choses étaient publiées sur ces comptes?

RAM:
Oui, en fait, il y a eu une pause relativement longue entre le premier message absolu et le suivant après cela. Et puis ils ont tous semblé se produire en succession rapide, ce qui me fait penser qu’ils devaient peut-être établir une sorte de preuve de concept. Et une fois qu’ils ont établi la preuve de concept, ils ont en quelque sorte dû décider de la stratégie. Il semblait qu’ils étaient en quelque sorte pressés. Il a été mentionné qu’une vulnérabilité de cette ampleur, [what] cela aurait valu… si efficacement, les attaquants ont apparemment gagné environ cent mille dollars avec cette arnaque. La valeur réelle d’un exploit de cette ampleur vaut des millions sur le marché noir. Il semble donc qu’ils auraient pu être pressés de monétiser le plus rapidement possible avant d’être capturés.

Kathy:
Je t’ai eu. Ce qu’ils faisaient allait être compris assez rapidement.

RAM:
Ouais.

Kathy:
D’accord. D’accord. Intéressant. J’allais poser une question sur le moindre privilège, et comment cela protégerait-il contre quelque chose comme ça, mais allez-y et faites valoir votre point de vue.

RAM:
Oh non, j’allais juste dire que oui, le moindre privilège aurait pu empêcher cela dans certains cas, mais cela n’aurait peut-être pas été suffisant. Parce que si les personnes ciblées étaient des personnes dont le travail réel consistait à aider les gens à réinitialiser leurs mots de passe et qu’un attaquant compromettait réellement leur ordinateur, ils pourraient probablement prendre des mesures de contrôle à distance sur cet ordinateur et utiliser cet accès pour effectuer des changements de compte, comme Chloé le disait.

Kathy:
D’accord. Ouais. Et Chloé, quel est le moindre privilège? Parce que vous venez d’écrire à ce sujet ce matin avec le plugin SEO All in One.

Chloe:
Ouais. Ainsi, le principe du moindre privilège donne essentiellement aux utilisateurs le moins de privilèges dont ils ont besoin pour faire leur travail. Ainsi, si un administrateur Twitter avait besoin de réinitialiser les mots de passe, par exemple, il devrait pouvoir réinitialiser les mots de passe, mais peut-être ne pas désactiver également l’authentification à deux facteurs. Donc, si nous parlons de cet exemple et disons que l’utilisateur compromis a eu accès à, disons la base de données et les mots de passe de Twitter. Ils ne devraient pas avoir cet accès, mais disons dans un scénario qu’ils ont fait. Peut-être qu’ils ont la possibilité de réinitialiser les mots de passe, ils ont la possibilité d’accéder aux mots de passe. Mais en réalité, tout cela devrait vraiment être possible de réinitialiser ces mots de passe. Donc, ce principe des moindres privilèges garantit qu’ils n’ont que le privilège de réinitialiser le mot de passe, mais pas le privilège d’accéder directement à ces mots de passe dans une base de données. Est-ce que cela a du sens?

Kathy:
Ouais. Ça a du sens. Absolument.

RAM:
Un peu comme lorsque vous obtenez un remboursement au magasin, ils doivent avoir un type de gestionnaire dans le code pour l’approuver.

Chloe:
Oui exactement.

Kathy:
Intéressant. D’accord. Ouais. Il semble donc que quelque chose soit arrivé. Et tout le monde travaille à la maison maintenant, non? Donc, tout le monde avec cette histoire COVID en cours, nous sommes tous obligés d’apprendre vraiment à travailler en équipe à distance. Donc, vous pouvez avoir quelqu’un qui est un représentant du service client pour Twitter, qui a accès à un système et qui travaille à domicile sur un ordinateur qui leur appartient, et leur e-mail personnel peut y avoir accès et ils peuvent se faire hameçonner par leur personnel, il il se peut même que ce ne soit pas un compte de messagerie Twitter qui soit hameçonné, il peut s’agir de son propre compte personnel. Mais parce que vous mélangez ces ordinateurs personnels avec votre fonctionnalité de travail, vous courez en quelque sorte un risque, n’est-ce pas?

Chloe:
Oh oui, bien sûr.

Kathy:
Alors, que conseilleriez-vous … alors disons que quelqu’un qui regarde cela dirige une entreprise et qui a distribué une équipe il y a six mois, ce n’était pas une équipe distribuée, mais ils sont obligés de devenir une équipe distribuée et, “Oh , utilisez simplement votre ordinateur personnel et connectez-vous. Voici comment vous connecter. “

Kathy:
Quels conseils donneriez-vous à un PDG ou à un directeur technique ou même à un responsable des opérations, qui a une équipe maintenant qu’ils gèrent cela à l’aide d’appareils personnels, comme leurs téléphones ou ordinateurs personnels? Quels conseils donneriez-vous?

Chloe:
Oui, donc une chose à laquelle je peux penser dès le départ est de m’assurer qu’un logiciel antivirus est installé. Si vous êtes ciblé par une tentative de phishing et que vous cliquez sur quelque chose, parce que vous l’avez fait accidentellement, vous avez accidentellement fait confiance ou pour quelque raison que ce soit, s’il n’y a pas de malware dans le lien ou quoi que ce soit, cet antivirus peut vous protéger contre cela, et peut-être bloquer le téléchargement de passe. Vous devez vous assurer que si vous avez des personnes sur leurs appareils personnels et sur le travail, je recommanderais peut-être d’installer une machine virtuelle directement sur votre ordinateur afin que vous puissiez peut-être faire votre travail sur votre machine virtuelle. Alors que vous vous déconnectez de cette machine virtuelle et quoi que ce soit, lorsque vous avez terminé la journée de travail, puis continuez à faire des choses sur votre ordinateur personnel. Il existe des moyens d’échapper à une machine virtuelle, mais elle est plus saine et sécurisée qu’elle ne le serait pour mêler votre travail et votre vie personnelle sur un appareil.

Kathy:
Y a-t-il une formation en sécurité que vous pouvez faire pour les employés?

Chloe:
Oui, bien sûr, vous devriez certainement faire de la sensibilisation à la sécurité. Particulièrement la transition de cet être dans un bureau à un environnement de travail à domicile. Vous devriez recommencer cette formation si vous l’avez déjà fait ou tout simplement commencer à le faire au moins maintenant. Là où nous travaillons, nous dispensons une formation de sensibilisation à la sécurité et notre directeur de la sécurité de l’information nous teste et récemment, nous avons tous réussi. Ainsi, après des tentatives répétées, de temps en temps, quelqu’un peut cliquer sur le lien ou autre chose. Mais au fur et à mesure que nous continuons à apprendre sur ces campagnes de phishing et comment elles se produisent, nous sommes finalement arrivés à un point où personne ne clique dessus. La sensibilisation et la formation sont donc très importantes pour aider à éduquer les utilisateurs et vos employés et tout pour vous aider, vous et les actifs de votre entreprise, à rester en sécurité.

Kathy:
Ouais. Exercices d’incendie de phishing, non?

RAM:
Une autre chose que je voulais aborder, deux autres choses en fait, et c’est de s’assurer que vous ou vos employés gardez leurs machines corrigées et à jour à tout moment. Nous allons en fait nous attaquer à un problème qui devait être résolu assez rapidement un peu plus tard, mais de nombreux exploits reposent essentiellement sur des vulnérabilités non corrigées.

RAM:
Les chances qu’ils soient exploités sont donc beaucoup plus faibles si vous maintenez votre machine corrigée. Et comment Chloé disait d’utiliser une machine virtuelle, c’est idéal. Mais même si tous vos employés ne sont pas assez avertis pour le faire, l’utilisation d’un navigateur séparé pour le travail et l’utilisation personnelle, même cela vous aidera. Parce que de cette façon, s’ils cliquent sur un lien dans le navigateur qu’ils utilisent pour un usage personnel, cela n’ouvrira pas ce lien dans le navigateur qui a une session ouverte, peut-être où vous êtes connecté à une zone sensible du panneau de configuration. Parce que beaucoup de ces dangers surviennent parce que vous serez connecté à quelque chose de sensible dans un certain navigateur. Donc, si vous faites quelque chose de risqué dans un navigateur séparé, vous êtes moins susceptible d’avoir une contamination croisée, en gros.

Kathy:
Bon point. Le phishing est-il considéré comme une ingénierie sociale? Cela tombe-t-il sous ce parapluie?

RAM:
Le phishing sous harpon le fait.

Kathy:
Le hameçonnage, oui.

Kathy:
Définissez le phishing sous-marin.

RAM:
Chloé, vous pouvez prendre celui-ci ou je peux, mais c’est en fait une campagne de phishing ciblée, où vous faites des recherches sur la personne que vous visez, découvrez qui est son patron, afin que vous puissiez peut-être faire semblant d’être leur patron et envoyez-leur un e-mail. Découvrez le type de documents que leur patron pourrait demander et envoyez un e-mail demandant: «Hé, j’ai besoin de ce type de document que votre patron demande toujours.»

Kathy:
Donc, comme le phishing en général ne serait que la faute d’orthographe de Bank of America, et vous recevez un e-mail qui ressemble un peu à Bank of America, mais il y a des choses assez évidentes qui ne vont pas. Alors qu’une attaque de phishing par lance est très, très ciblée. Ils savent des choses sur vous ou votre entreprise ou votre patron ou vos collègues qui vous tendent à vous endormir en ce sens que ce n’est qu’une routine normale, une chose de tous les jours, et en cliquant sur un lien qui fait une très mauvaise chose.

RAM:
Exactement.

Kathy:
D’accord. J’ai commencé sur Twitter en 2006, et je pense que certains amis m’ont traîné là-bas, hé, regardez cette nouvelle façon de discuter. Ce n’était pas ce qu’il est aujourd’hui, mais il a vraiment évolué vers quelque chose qui est l’endroit incontournable pour que les gens découvrent ce qui se passe dans le monde. Un endroit où aller pour savoir de quoi pourrait parler une personne politique en particulier, dans quelle direction votre pays pourrait aller. C’est l’endroit où les gens vont pour savoir ce que font leurs amis. Mais ce sont vraiment les clés de la compréhension de notre monde qui sont vraiment entre les mains de quelques sociétés de médias sociaux. Et quand quelque chose comme ça … Je veux dire, c’est un peu ridicule presque que c’était une arnaque Bitcoin.

RAM:
Ouais.

Kathy:
Je veux dire, si quelqu’un avait ce type d’accès à Twitter, il pourrait faire quelque chose comme … Je pense que nous plaisantions plus tôt à propos de prétendre que la connexion à certaines personnes politiques compte aux États-Unis. Les sénateurs disent que nous déclarons la guerre à la Corée du Nord demain à midi. Et puis avoir ce genre de pirate nord-coréen entrant et postant cela. Piratage de l’un de ces comptes rendus de sénateurs, puis utilisation de ce prétexte pour une sorte d’action physique de guerre, ou interdiction du monde entier de Pyongyang. Droite? Alors-

RAM:
Je pense qu’ils le sont déjà, mais.

Kathy:
Nous le sommes déjà. Mais je veux dire, cela a beaucoup d’implications, non seulement pour la politique mondiale, mais pour la sécurité de notre monde physique dans son ensemble, en raison de la façon dont l’opinion ou les croyances populaires sur ce que les gens pensent être vrai peuvent être manipulées de cette manière.

RAM:
La désinformation est déjà assez mauvaise lorsqu’elle vient de John avec neuf chiffres après son nom. Et c’est probablement un bot. C’est bien pire quand cela vient de quelqu’un avec une marque de confiance, en particulier comme ce ciblé d’utilisateurs vérifiés. Il y avait donc déjà un certain degré de confiance que cette personne est ce qu’elle prétend être, ce sont ses véritables opinions. C’est pour de vrai. Et cela aurait pu être bien pire.

Kathy:
Ça aurait pu. Oui, nous avons vu que c’était 100 000 $ en Bitcoin qui avaient en fait changé de mains. Est-ce le chiffre que nous avons vu?

RAM:
Un peu plus que cela, peut-être comme 110, je ne sais pas quel était le décompte final, mais c’était relativement une maigre somme d’argent.

Kathy:
Considérant ce qui aurait pu arriver.

RAM:
C’était probablement moins que la plupart des personnes qui ont accès à ces panneaux d’administration sur Twitter.

Kathy:
Probablement, oui. Il y a donc eu des spéculations selon lesquelles quelqu’un avait effectivement payé un employé de Twitter pour cet accès. Que pensez-vous de cette spéculation?

RAM:
Je pense que ce serait trop facile pour eux de se faire prendre, pour une chose. Et aussi le montant du gain pour ce genre de chose. J’ai l’impression que tous ceux qui l’ont réellement planifié, il semblait qu’ils ne s’attendaient pas à ce que cela fonctionne. Et j’ai l’impression que s’ils avaient réellement une source interne qu’ils soudoyaient, ils auraient été plus sûrs que cela fonctionnerait et ils l’auraient utilisé pour quelque chose de plus grand.

Kathy:
Intéressant. Intéressant. Ouais. Je pense que c’est une observation intéressante car il ne semble pas qu’ils pensaient que cela fonctionnerait. C’est comme “Okay, comment on fait de l’argent avec ces gars?”

RAM:
Ouais. Quel est le moyen le plus rapide de s’en tirer avant de nous faire prendre ou avant de nous arrêter.

Kathy:
Intéressant. Eh bien, nous spéculons beaucoup. Y a-t-il d’autres données similaires qui pointent d’une certaine manière dont nous n’avons pas parlé? Parce que je veux dire, finalement nous allons comprendre. La nouvelle va sortir. Il y a généralement toujours un post mortem avec quelque chose de cette nature, comme Twitter ou non Twitter, mais le piratage de Target qui s’est produit en 2013, où ils ont découvert que le chauffage et la climatisation des ordinateurs portables avaient été compromis. Et après 19 jours d’accès, ils ont finalement pivoté dans le point de vente, des caisses enregistreuses à plus de 800 cibles à travers le pays.

Kathy:
Et c’était comme évidemment une énorme affaire monumentale. Mais nous n’avons pas découvert ce jour-là ce qui s’était passé. Cela a pris un certain temps. Donc, nous allons probablement avoir un post mortem et un hack de cette nature, des nouvelles sortiront de ce qui s’est finalement passé. Mais en ce moment, c’est un peu comme, nous voyons des signes de ce qui aurait pu arriver, mais je suppose que nous devrons attendre et voir, hein?

RAM:
Que nous allons.

Kathy:
Ouais. Mais maintenant tu m’as dit à Ram, qu’il y avait une histoire plus grande que Twitter.

RAM:
Ce n’est probablement pas plus grand que Twitter pour la plupart des gens et le reste du monde, mais je pense que pour ceux d’entre nous dans InfoSec, c’est en quelque sorte plus grand. C’est l’exploit SIGRed, il est efficace, il a obtenu un score de 10 CVSS et il y a des problèmes dans le serveur DNS Windows.

Kathy:
Intéressant. Cela ressemble à une vulnérabilité de 17 ans qui est utilisée, et ils pensent qu’elle pourrait en fait être utilisée dans la nature.

RAM:
Eh bien, ils ont dit qu’il était vermifuge et il y a des spéculations selon lesquelles il pourrait déjà avoir été utilisé au moins par Checkpoint. Au moins si je lis correctement leur divulgation, mais le plus long et le plus court, c’est que très bien, le système DNS, le système de nom de domaine, se résume essentiellement à vous demander à un serveur, “Hé, je veux savoir où ce domaine nom est. Pouvez-vous me donner son adresse IP? ” Et vous pouvez demander à n’importe quel ordinateur exécutant un serveur DNS, et il finira par le découvrir pour vous.

RAM:
Donc, fondamentalement, l’exploit était, si vous, en tant qu’attaquant, contrôlez un domaine malveillant qui renvoie un enregistrement spécialement conçu de manière malveillante, vous pouvez demander à l’un de ces serveurs DNS Windows. Hé, pouvez-vous rechercher mon domaine malveillant pour moi et me dire ce qu’il dit et où il est hébergé. Et si vous créez la demande correctement, vous pouvez prendre le contrôle de l’ordinateur qui publie ce serveur DNS, l’ordinateur Windows. Depuis, c’est effectivement un processus de haut niveau. Il permet à l’attaquant d’accéder à ce que l’on appelle le contrôleur de domaine ou l’administrateur de domaine. Et à ce stade, l’attaquant aurait alors accès à l’ensemble du réseau d’entreprise connecté à cette machine.

Kathy:
D’accord. Donc, c’est certainement sur une échelle de 1 à 10, c’est un 10, ou comme vous l’avez dit plus tôt, peut-être un 11.

RAM:
J’appellerais ça 11. Comme, je veux dire, c’est toujours, c’est à un certain niveau, c’est un exploit de dépassement de tampon d’après ce que je peux voir. Cela ne semble pas facile à faire. Et comme au départ, cela devait être fait de l’intérieur du réseau, mais il semble qu’ils aient peut-être trouvé un moyen de l’exploiter de l’extérieur du réseau, ce qui le ferait dans un 11, je pense. Depuis, cela leur a donné des capacités d’administrateur de domaine.

Kathy:
Ouais. C’est assez effrayant. Non, cela a été corrigé sur quoi, le 14 juillet. Donc, si vous mettez à jour tous vos serveurs Windows, ça devrait aller?

RAM:
Oui. Il a été corrigé sur ce dernier correctif mardi, veuillez le mettre à jour dès maintenant.

Kathy:
D’accord. Donc, si vous êtes forcé par une force de la nature d’utiliser des serveurs Windows, assurez-vous que vos serveurs Windows sont mis à jour afin de corriger ce problème très critique 11.

RAM:
Je veux dire, c’est une hyperbole. Il y a eu d’autres gros exploits Windows dans le passé. Et j’ai l’impression que c’est probablement au même niveau qu’eux.

Kathy:
Ouais.

RAM:
Comme la chose EternalBlue, et oui.

Kathy:
Certainement important de mettre à jour. D’accord. Nous voulions couvrir une dernière histoire aujourd’hui. Et c’est une vendetta personnelle pour moi parce que TikTok est chez moi parce que j’ai un enfant qui aime TikTok et Forbes a rapporté plus tôt cette semaine qu’Apple avait surpris TikTok en train d’espionner secrètement des millions d’utilisateurs d’iPhone. Ils ont été surpris en train de capturer des données du presse-papiers dans le passé et ils prétendent arrêter de le faire. Mais cet article sur Forbes a montré une vidéo où ils montraient en fait TikTok accédant aux informations pendant leur saisie. Ram, tu as vu cette vidéo aussi. Qu’avez-vous remarqué à ce sujet?

RAM:
Donc, d’après ce que je comprends à propos d’iOS, quand ils disent les données du presse-papiers, ce n’est pas seulement des choses que vous copiez et collez manuellement. En raison de la façon dont les textes prédictifs fonctionnent, je crois que c’est littéralement tout ce que vous tapez, point final.

Kathy:
Ouais.

RAM:
Alors.

Kathy:
Intéressant. Ouais. Ouais, donc cette vidéo montrait quelqu’un tapant dans un champ, puis un petit toast tombait.

RAM:
Oui, ils ont développé une application pour le tester.

Kathy:
Ouais. D’accord. Et donc, et la publication du nouvel avertissement du presse-papiers dans la version bêta d’iOS 14, auquel les développeurs ont désormais accès, cela montrait que TikTok y accédait réellement. Il s’agit donc manifestement d’un problème de confidentialité, mais ce n’est pas la première fois.

RAM:
Ce que j’allais dire, c’est que effectivement, ce n’est pas seulement tout ce que vous tapez pendant que vous êtes dans TikTok, c’est tout ce que vous tapez pendant que vous êtes dans n’importe quelle application, ce qui est plutôt mauvais. Et le pire, c’est qu’ils ont été surpris en train de faire quelque chose de similaire dans le passé et ils ont dit qu’ils arrêteraient et qu’ils ne s’arrêtaient pas. Ils ont juste changé la façon dont ils l’ont fait.

Kathy:
Sournois, mais ce n’est pas la première application à l’avoir fait, n’est-ce pas? Ils ont remarqué-

RAM:
Non, pas du tout.

Kathy:
LinkedIn a été poursuivi pour allégation selon laquelle il lisait secrètement le contenu du presse-papiers des utilisateurs d’Apple. Cela provenait d’un article paru dans Reuters le 10 juillet 2020. Ils ont donc été poursuivis pour avoir fait ça, ce qui semble être quelque chose qui … quand vous avez juste quelque chose dans un navigateur, non? Je veux dire que je comprends comment fonctionne la technologie Internet. Donc, vous avez un navigateur et, évidemment, vous avez des cookies et il y a un suivi intersite qui se produit dans de nombreux cas où les gens veulent savoir qui visite leurs sites, l’analyse. Google Analytics suit ce type d’informations. There may be other types of things that they are using to measure heat maps on a website, things like that. But it’s kind of like within the context of what you’re doing there, but with these apps because they are on these devices they have a little more leeway. Don’t they? In terms of what they can do.

Ram:
Yes and no. If they’re actually respecting the device controls or the access controls and if you’re actually careful when you install them, it’ll show you what they ask for permission to do. And if they don’t have any sneaky workarounds. One of the things that’s most troubling about the TikTok thing is that last time they got caught capturing clipboard data it was because if you copy say a picture while using TikTok, you can then gain location access to that user’s phone. So they basically had from that point on location access for all the users, even if the users didn’t allow it.

Kathy:
Interesting.

Ram:
Another … this is not confirmed yet, but at least one person who has been reverse engineering the TikTok app has claimed to have found code that allows, at least in the Android version of TikTok, that allows them to download, unzip, and execute arbitrary code. Effectively that would be a backdoor. Now they haven’t made any claims that it’s actively in use or that it’s even functional at the moment, but that would be very problematic if it were the case.

Kathy:
Gotcha. Interesting. So Chloe, what kind of advice would you give someone who has these types of applications on their phone? Obviously you want to get rid of the applications, but I mean should people be treating their phone as securely as they’re treating their personal computer? I mean a lot of times we’re accessing the same information from our devices as we are from our computers. But we are more concerned with the security on our computers than we are on our phones. Shouldn’t we be considering them equally?

Chloe:
Yeah, for sure. And what worries me the most about TikTok is there’s a lot of these kids out there using apps like that and sometimes parents don’t know. But if you do know your kid is using these, you should definitely take those security precautions to help make sure that their data is secure and their things aren’t getting exposed. And I think it’s very important to take the same level of security on your computers and all those devices and make sure you apply that same security to your phone and those same principles. And also make sure that you’re teaching that to your kids if you can and make sure that they stay secure online as well.

Kathy:
Huge point.

Chloe:
Oui. There’s a battle of wills in my household over the usage of TikTok at the moment, so. I won’t say those details.

Kathy:
I imagine.

Chloe:
I mean, that’s their social network. For a lot of us it’s Twitter or it’s Facebook. I mean, for my current … the WordPress community is all on Twitter and am I going to give up Twitter because of these hacks happening? Probably not, but.

Ram:
You use Twitter in a browser. Don’t you?

Kathy:
I do use Twitter in a browser. How’d you guess?

Ram:
I don’t know, but I do, too. On a separate device.

Kathy:
Yeah. Yeah. And then also on your phones a lot of time people have their personal apps. I mean I personally don’t like the Facebook app because when I did use it it was battery drain crazy. But my phone I use for work more than I do anything and so I have to be really sensitive because Slack is on there, all of our conversations. So I’m really judicious about the types of apps that I’m allowing on my phone and I go through them every once in a while and say, “Okay. Do I really need this? When was the last time I even [used this]?” I had the great idea that I was going to do intermittent fasting with this Zero app.

Ram:
I’ve used that one. I have totally used that one.

Kathy:
It’s pretty cool. Very simple, easy to use. But I’m not using it so do I need to keep it on my phone? Should I delete it?

Ram:
Yeah. And I mean they mentioned with LinkedIn got caught doing it, too. So it’s not just TikTok that’s doing it. They might be one of the worst offenders, but the amount of data they collect is not actually that unusual for a social media network. If there’s any concerns, a lot of it is about how careful they are in handling the data. They didn’t use an encrypted connection to their API until very recently. They don’t encrypt the messages you send on it. They don’t allow two factor authentication. A lot of it’s not just how much data they’re collecting, but the fact that they don’t seem to be very careful with your data.

Kathy:
That’s another thing. Everything you type into a social network, you’re typing into an interface whether it’s web or on a phone or whatever. But it’s going to be stored on somebody’s server somewhere and who knows how long they’re keeping it. I am so glad that when I went to college that there was no collection of what I was doing at the time. But I feel bad for people who are going through college now and crazy stuff that they’re doing and that’s all documented and it becomes a part of their permanent record. The Violent Femmes would be proud, which is how old I am.

Ram:
It’s alright. It’s alright. I would date myself by saying that the precursor to this Bitcoin scam was the old chain emails from Bill Gates talking about how he was planning on giving away his money back in the ’90s. Do you remember those?

Kathy:
Yes, I do. I remember those all too well and he never did give away any of that money on those chain letters.

Ram:
I know.

Kathy:
Geez. Thanks Bill Gates.

Ram:
Yeah.

Kathy:
Anyway. Okay. So thank you guys for joining on Think Like A Hacker. This was a lot of fun. Maybe I’ll rope you into doing this again sometime.

Ram:
Yeah, let’s do it again.

Chloe:
Yeah.

Kathy:
Yeah. Cool. I think it was a big story, obviously on top of mind for a lot of people of what this all means with the Twitter thing. TikTok, I know for a lot of parents is top of mind and I feel sorry for anybody running a Windows enterprise network with all these servers that have to patch to keep the 11 down to dial it back down to 0. Right? Spinal Tap dialing it down to 0 from 11. So thank you for joining Think Like A Hacker and we will be back again soon with more news in WordPress security and innovation. If you liked this and you’re on YouTube thumbs up, follow us, and subscribe to us. We will have office hours coming up again soon where we will be, I think, going over how to audit your site security. So that will be loads of fun. And we will have another Think Like A Hacker episode coming up very soon. Thanks for joining us.

Please give us a like or give us a review on Apple podcasts.

Follow @kathyzant, @ramuelgall, et @infosecchloe sur Twitter. Follow Wordfence on your favorite social media: Instagram, Facebook, Twitter. Also, subscribe to the official Wordfence YouTube channel where we host Wordfence Office Hours on Tuesdays as well as post important proof of concept videos.



Source link

%d blogueurs aiment cette page :