1.3 CVE-2015-5464

Local Execution Code

Le HSM Gemalto SafeNet Luna permet à des utilisateurs authentifiés distants de contourner les restrictions d'exportation de clés prévues en exploitant (1) l'accès d'un crypto-utilisateur ou (2) d'un crypto-officier à une partition HSM.
https://nvd.nist.gov/vuln/detail/CVE-2015-5464

Catégories

CWE-284 : Contrôle d'accès inapproprié
Le produit ne limite pas ou limite incorrectement l'accès à une ressource par un acteur non autorisé. Les termes "contrôle d'accès" et "autorisation" sont souvent utilisés de manière interchangeable, bien que de nombreuses personnes aient des définitions distinctes. L'utilisation du terme "contrôle d'accès" par le CWE est conçue comme un terme général pour les différents mécanismes qui restreignent l'accès des utilisateurs à certaines ressources, tandis que le terme "autorisation" est défini de manière plus précise. Il est peu probable que la communauté parvienne à un consensus sur l'utilisation de ces termes. Gérez très soigneusement la définition, la gestion et le traitement des privilèges. Gérer explicitement les zones de confiance dans le logiciel. Le paramètre de contrôle d'accès de l'outil de collaboration documentaire basé sur le Web n'est pas correctement implémenté par le code, ce qui empêche de lister les répertoires cachés mais n'empêche pas les requêtes directes vers les fichiers de ces répertoires. La bibliothèque HTTP basée sur Python ne limite pas les cookies à un domaine particulier, de sorte que le mot "supercookies" peut être envoyé à n'importe quel domaine sur la chaîne de redirection : La plate-forme de virtualisation du cloud computing ne requiert pas d'authentification pour le téléchargement d'un fichier au format tar (CWE-306), puis utilise ... des séquences de traversée de chemin (CWE-23) dans le fichier pour accéder à des fichiers inattendus, comme exploité dans la nature par CISA KEV. Le produit de gestion informatique n'effectue pas d'authentification pour certaines demandes d'API REST, comme exploité dans la nature par CISA KEV. Le paramètre par défaut du produit de gestion des flux de travail autorise toutes les requêtes API sans authentification, ce qui a été exploité dans la nature par CISA KEV. Le panneau d'affichage applique des restrictions sur le nombre d'images lors de la création d'un message, mais ne les applique pas lors de la modification.

Références

CONFIRM

http://www.safenet-inc.com/technical-support/security-updates/ Vendor Advisory

CPE

cpe	start	end
Configuration 1
cpe:2.3:h:gemalto:safenet_luna_g5::::::::
cpe:2.3:h:gemalto:safenet_luna_pci-e::::::::
cpe:2.3:h:gemalto:safenet_luna_sa::::::::

REMEDIATION

EXPLOITS

Exploit-db.com

id	description	date
Pas d'exploit connu

Autres (github, ...)

Url
Pas d'exploit connu

CAPEC

Common Attack Pattern Enumerations and Classifications

id	description	sévérité
19	Intégrer des scripts dans des scripts Un adversaire exploite la capacité d'exécuter son propre script en l'intégrant à d'autres scripts que le logiciel cible est susceptible d'exécuter en raison des vulnérabilités des programmes qui sont provoquées par l'autorisation donnée à des hôtes distants d'exécuter des scripts. [À l'aide d'un navigateur ou d'un outil automatisé, un adversaire enregistre tous les points d'entrée des données qui se reflètent dans un élément de script côté client. Ces éléments de script peuvent être situés dans le contenu HTML (en-tête, corps, commentaires), dans une balise HTML, XML, CSS, etc. [L'adversaire utilise les points d'entrée recueillis lors de la phase "Explore" comme une liste de cibles et injecte diverses charges utiles de script courantes pour déterminer si un point d'entrée représente réellement une vulnérabilité et pour caractériser l'étendue de l'exploitation de la vulnérabilité. [Si l'adversaire réussit à exploiter la vulnérabilité, il peut choisir de voler les informations d'identification de l'utilisateur afin de les réutiliser ou de les analyser ultérieurement. [Navigation forcée] Lorsque l'adversaire cible l'application en cours ou une autre (par le biais de vulnérabilités CSRF), l'utilisateur est alors celui qui effectue les attaques sans s'en rendre compte. Ces attaques visent principalement les failles de la logique applicative, mais elles peuvent également être utilisées pour créer une attaque généralisée contre un site web particulier sur le réseau actuel de l'utilisateur (Internet ou non). [L'usurpation de contenu] En manipulant le contenu, l'adversaire cible les informations que l'utilisateur souhaite obtenir du site web.	Haute
441	Insertion de logique malveillante Un adversaire installe ou ajoute une logique malveillante (également appelée malware) dans un composant apparemment bénin d'un système en service. Cette logique est souvent cachée à l'utilisateur du système et fonctionne en coulisses pour obtenir des effets négatifs. Avec la prolifération du stockage numérique de masse et des appareils multimédia peu coûteux, la prise en charge du Bluetooth et du 802.11, de nouveaux vecteurs d'attaque pour la diffusion de logiciels malveillants apparaissent pour des choses que nous pensions autrefois inoffensives comme des cartes de vœux, des cadres photo ou des projecteurs numériques. Ce type d'attaque se concentre sur les systèmes déjà en service et utilisés en opération, par opposition aux systèmes et à leurs composants qui sont encore en cours de développement et font partie de la chaîne d'approvisionnement.	Haute
478	Modification de la configuration du service Windows Un adversaire exploite une faiblesse dans le contrôle d'accès pour modifier les paramètres d'exécution d'un service Windows. L'objectif de cette attaque est d'exécuter un binaire malveillant à la place d'un service existant. [Déterminer le système cible] L'adversaire doit d'abord déterminer le système dont il souhaite modifier le registre. Il doit s'agir d'une machine Windows car cette attaque ne fonctionne que sur le registre Windows. [Accéder au système] L'adversaire doit accéder au système d'une manière ou d'une autre afin de pouvoir modifier le registre de Windows. [Modifier le registre de Windows] L'adversaire va modifier le registre de Windows en changeant les paramètres de configuration d'un service. Plus précisément, l'adversaire modifie les paramètres du chemin d'accès pour définir un chemin d'accès à un binaire malveillant à exécuter.	Haute
479	Certificat de racine malveillante Un adversaire exploite une faiblesse dans l'autorisation et installe un nouveau certificat racine sur un système compromis. Les certificats sont couramment utilisés pour établir des communications TLS/SSL sécurisées dans un navigateur web. Lorsqu'un utilisateur tente de naviguer sur un site web qui présente un certificat qui n'est pas de confiance, un message d'erreur s'affiche pour avertir l'utilisateur du risque de sécurité. Selon les paramètres de sécurité, le navigateur peut ne pas permettre à l'utilisateur d'établir une connexion au site web. Les adversaires ont utilisé cette technique pour éviter que des avertissements de sécurité n'incitent les utilisateurs, lorsque des systèmes compromis se connectent via HTTPS à des serveurs web contrôlés par des adversaires qui usurpent des sites web légitimes afin de collecter des identifiants de connexion.	Faible
502	Spoof d'intention Un adversaire, par le biais d'une application malveillante installée au préalable, émet une intention dirigée vers un composant spécifique d'une application de confiance dans le but d'atteindre une variété d'objectifs différents, notamment la modification de données, la divulgation d'informations et l'injection de données. Les composants qui ont été involontairement exportés et rendus publics sont sujets à ce type d'attaque. Si le composant fait confiance à l'action de l'intention sans vérification, alors l'application cible exécute la fonctionnalité à la demande de l'adversaire, l'aidant ainsi à obtenir l'impact technique négatif souhaité.
503	WebView Exposure Un adversaire, par l'intermédiaire d'une page web malveillante, accède à une fonctionnalité spécifique de l'application en exploitant les interfaces enregistrées par l'API addJavascriptInterface de WebView. Une fois qu'une interface est enregistrée dans WebView via addJavascriptInterface, elle devient globale et toutes les pages chargées dans WebView peuvent appeler cette interface.
536	Données injectées pendant la configuration Un attaquant ayant accès aux fichiers de données et aux processus du système d'une victime injecte des données malveillantes dans les données opérationnelles critiques pendant la configuration ou le recalibrage, ce qui fait que le système de la victime fonctionne d'une manière sous-optimale qui profite à l'adversaire. [Détermination du processus de configuration] L'adversaire, par le biais d'un système préalablement compromis, à distance ou physiquement, détermine quel est le processus de configuration. Il examine les fichiers de configuration, les fichiers de données et les processus en cours d'exécution sur le système pour identifier les zones où il pourrait injecter des données malveillantes. [Déterminer le moment de la configuration] L'adversaire doit ensuite déterminer le moment de la configuration ou du recalibrage d'un système pour savoir quand injecter des données malveillantes. [Déterminer les données malveillantes à injecter] En examinant le processus de configuration, l'adversaire doit déterminer quelles données malveillantes il souhaite insérer et où les insérer. [Injection des données malveillantes] Juste avant ou pendant la configuration du système, l'adversaire injecte les données malveillantes. Le système se comporte alors d'une manière avantageuse pour l'adversaire et est souvent suivi d'autres attaques.	Haute
546	Suppression des données incomplètes dans un environnement multi-locataires Un adversaire obtient des informations non autorisées en raison de la suppression non sécurisée ou incomplète de données dans un environnement à plusieurs locataires. Si un fournisseur de cloud ne parvient pas à supprimer complètement le stockage et les données des systèmes/ressources des anciens locataires du cloud, une fois que ces ressources sont allouées à de nouveaux locataires potentiellement malveillants, ces derniers peuvent sonder les ressources fournies pour y trouver des informations sensibles encore présentes.	Moyenne
550	Installer un nouveau service Lorsqu'un système d'exploitation démarre, il lance également des programmes appelés services ou démons. Les adversaires peuvent installer un nouveau service qui sera exécuté au démarrage (sur un système Windows, en modifiant le registre). Le nom du service peut être déguisé en utilisant un nom provenant d'un système d'exploitation connexe ou d'un logiciel bénin. Les services sont généralement gérés avec des privilèges élevés.
551	Modifier un service existant Lorsqu'un système d'exploitation démarre, il lance également des programmes appelés services ou démons. La modification de services existants peut entraîner la rupture de services existants ou permettre des services qui sont handicapés/non utilisés couramment.
552	Installer Rootkit Un adversaire exploite une faiblesse de l'authentification pour installer un logiciel malveillant qui altère les fonctionnalités et les informations fournies par les appels ciblés de l'API du système d'exploitation. Souvent appelés "rootkits", ils sont souvent utilisés pour masquer la présence de programmes, de fichiers, de connexions réseau, de services, de pilotes et d'autres composants du système.	Haute
556	Remplacer les gestionnaires d'extensions de fichiers Lorsqu'un fichier est ouvert, son gestionnaire de fichiers est vérifié pour déterminer quel programme ouvre le fichier. Les gestionnaires de fichiers sont des propriétés de configuration de nombreux systèmes d'exploitation. Les applications peuvent modifier le gestionnaire de fichiers pour une extension de fichier donnée afin d'appeler un programme arbitraire lorsqu'un fichier avec l'extension donnée est ouvert.
558	Remplacer le Trusted Executable Un adversaire exploite les faiblesses de la gestion des privilèges ou du contrôle d'accès pour remplacer un exécutable de confiance par une version malveillante et permettre l'exécution de logiciels malveillants lorsque cet exécutable de confiance est appelé.	Haute
562	Modifier le fichier partagé Un adversaire manipule les fichiers dans un emplacement partagé en ajoutant des programmes malveillants, des scripts ou du code d'exploitation au contenu valide. Une fois qu'un utilisateur ouvre le contenu partagé, le contenu contaminé est exécuté.
563	Ajouter un fichier malveillant à la racine web partagée Un adversaire peut ajouter du contenu malveillant à un site web par le biais du partage de fichiers ouverts et ensuite naviguer vers ce contenu avec un navigateur web pour que le serveur exécute le contenu. Le contenu malveillant s'exécutera généralement dans le contexte et avec les autorisations du processus du serveur web, ce qui se traduit souvent par des privilèges système ou administratifs locaux selon la configuration du serveur web.
564	Exécuter un logiciel à l'ouverture de session Le système d'exploitation permet d'exécuter des scripts de connexion chaque fois qu'un ou plusieurs utilisateurs spécifiques se connectent à un système. Si les adversaires peuvent accéder à ces scripts, ils peuvent insérer un code supplémentaire dans le script de connexion. Ce code peut leur permettre de maintenir la persistance ou de se déplacer latéralement dans une enclave car il est exécuté chaque fois que le ou les utilisateurs concernés se connectent à un ordinateur. La modification des scripts de connexion permet de contourner efficacement les pare-feu des postes de travail et des enclaves. Selon la configuration d'accès des scripts de connexion, il peut être nécessaire de disposer d'une accréditation locale ou d'un compte administratif à distance.
578	Désactiver les logiciels de sécurité Un adversaire exploite une faiblesse dans le contrôle d'accès pour désactiver les outils de sécurité afin d'éviter la détection. Cela peut prendre la forme de processus de destruction, de suppression des clés de registre afin que les outils ne démarrent pas au moment de l'exécution, de suppression des fichiers journaux, ou d'autres méthodes.	Moyenne

MITRE

Techniques

id	description
T1014
T1027.009	Fichiers ou informations obfusqués : Charges utiles intégrées
T1037	Scripts d'initialisation du démarrage ou de la connexion
T1080	Altérer le contenu partagé
T1505.005	Composant logiciel du serveur : Terminal Services DLL
T1542.003	Démarrage avant le système d'exploitation : Bootkit
T1543	Créer ou modifier le processus du système
T1543.001	Créer ou modifier un processus système : Lancer l'agent
T1543.003	Créer ou modifier un processus système : Service Windows
T1543.004	Créer ou modifier un processus système : Lancer un démon
T1546.001	Exécution déclenchée par un événement : changer l'association de fichiers par défaut
T1546.004	Exécution déclenchée par un événement : .bash_profile et .bashrc
T1546.008	Exécution déclenchée par un événement : Caractéristiques d'accessibilité
T1546.016	Exécution déclenchée par un événement : Paquets d'installation
T1547	Exécution du démarrage automatique au démarrage ou à la connexion
T1547.006	Exécution du démarrage automatique au démarrage ou à la connexion : modules et extensions du noyau
T1553.004	Subvertir les contrôles de confiance : installer un certificat racine
T1556.006	Modifier le processus d'authentification : Authentification multi-facteurs
T1562.001	Affaiblir les défenses : Désactiver ou modifier les outils
T1562.002	Affaiblir les défenses : Désactiver la journalisation des événements de Windows
T1562.004	Affaiblir les défenses : Désactiver ou modifier le pare-feu du système
T1562.007	Affaiblir les défenses : Désactiver ou modifier le pare-feu du nuage
T1562.008	Affaiblir les défenses : Désactiver les journaux des nuages
T1562.009	Altérer les défenses : Démarrage en mode sans échec
T1574.011	Flux d'exécution du détournement : faiblesse des permissions du registre des services
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Atténuations

id	description
T1027.009	Sur Windows 10, activez les règles de réduction de la surface d'attaque (ASR) pour empêcher l'exécution de scripts potentiellement obfusqués.
T1037	Veiller à ce que les autorisations appropriées soient définies pour les ruches du registre afin d'empêcher les utilisateurs de modifier les clés pour les scripts de connexion, ce qui pourrait entraîner une persistance.
T1080	Protégez les dossiers partagés en réduisant le nombre d'utilisateurs ayant un accès en écriture.
T1505.005	Envisagez d'utiliser la stratégie de groupe pour configurer et bloquer les modifications des paramètres de Terminal Services dans le registre.
T1542.003
T1543
T1543.001	Définissez des stratégies de groupe pour restreindre les autorisations de fichiers dans le dossier <code>~/launchagents</code>.
T1543.003
T1543.004
T1546.004	Le fait de rendre ces fichiers immuables et modifiables uniquement par certains administrateurs limitera la capacité des adversaires à créer facilement une persistance au niveau de l'utilisateur.
T1546.008	Pour utiliser cette technique à distance, un adversaire doit l'utiliser en conjonction avec RDP. Assurez-vous que l'authentification au niveau du réseau est activée pour forcer la session de bureau à distance à s'authentifier avant que la session ne soit créée et que l'écran de connexion ne s'affiche. Elle est activée par défaut sur Windows Vista et les versions ultérieures.
T1547.006
T1553.004	L'épinglage de la clé publique HTTP (HPKP) est une méthode permettant d'atténuer les situations potentielles de type "Adversary-in-the-Middle" dans lesquelles un adversaire utilise un certificat mal délivré ou frauduleux pour intercepter des communications chiffrées en imposant l'utilisation d'un certificat attendu.
T1556.006
T1562.001	Veiller à ce que les autorisations nécessaires soient en place pour empêcher les adversaires de désactiver ou d'interférer avec les services de sécurité.
T1562.002
T1562.004	Veillez à ce que les autorisations nécessaires soient en place pour empêcher les adversaires de désactiver ou de modifier les paramètres du pare-feu.
T1562.007
T1562.008	Configurer la stratégie de compte par défaut pour activer la journalisation. Gérer les stratégies pour s'assurer que seuls les utilisateurs nécessaires ont le droit d'apporter des modifications aux stratégies de journalisation.
T1562.009	Veillez à ce que les défenses des points finaux s'exécutent en mode sans échec.
T1574.011	S'assurer que les autorisations appropriées sont définies pour les ruches du registre afin d'empêcher les utilisateurs de modifier les clés des composants du système, ce qui pourrait conduire à une escalade des privilèges.
© 2022 The MITRE Corporation. Cet ouvrage est reproduit et distribué avec l'autorisation de The MITRE Corporation.

Sherlock® flash

Prenez une photo de votre réseau informatique en quelques clics !

La solution d'audit Sherlock® flash vous permet de réaliser un audit pour renforcer la sécurité de votre parc informatique. Analyse des vulnérabilités de vos équipements physiques et virtuels. Planification des correctifs par niveau de priorité et temps disponible. Rapports détaillés et intuitifs.

Découvrir cette offre

Sherlock® flash : 1ère solution d'audit de cybersécurité instantané