CVE-2019-12757, on fait le point…

Salut à tous, aujourd’hui je vous redirige vers une lecture intéressante sur la dernière grosse CVE du client Symantec, poétiquement nommée CVE-2019-12757.

Je vous la fait courte c’est un bon gros « local to root » basé sur une mauvaise affectation des droits sur dans une clé de registre utilisé par SEP pour lancer un programme. Au final un utilisateur peut modifier cette clé et faire exécuter en SYSTEM un programme arbitraire par SEP.

Et du coup, c’est specterops qui à découvert et documenté la vuln et c’est par ici que ça se passe pour le détail :

https://posts.specterops.io/cve-2019-12757-local-privilege-escalation-in-symantec-endpoint-protection-1f7fd5c859c6

Et le code de l’exploit est lui ici :

https://gist.github.com/enigma0x3/5dbb9a72b592992b27dd703edb4c20b1

Pour ceux qui auront été voir, C’est pas bien compliqué a exploiter (mais beaucoup plus à trouver). Du coup, je vous incite vivement à mettre à jour les clients SEP (de vos parcs d’entreprises ?) si nécessaire. Et si vous n’avez pas peur des méchants pirates, craignez au moins vos utilisateurs qui vont y trouver enfin un moyen facile de passer admins local sur leur poste « sécurisé ».

Voilà, j’ai pas grand chose de plus à vous dire sur la CVE-2019-12757. Aller voir les deux liens c’est de la … Lire la suite

RC4 en PowerShell (Merci @Harmj0y)

Vous connaissez RC4 ? C’est un algorithme de chiffrement symétrique « assez simple » sortie en 1987. On sait aujourd’hui qu’il est troué de partout et relativement simple à casser. Néanmoins on le retrouve assez souvent car sa simplicité lui permet de ne pas consommer trop de ressources et il fonctionne avec la plupart des systèmes anciens. Comme mes TP sur Vigenère ou DES, on va voir une implémentation de RC4 en PowerShell. A ce point, un petit tour sur Wikipédia vous en apprendra plus que moi sur le sujet.

RC4 et Malware

Notez que RC4 est également un indicateur de malware au niveau réseau car il permet de chiffrer facilement un flux de données. Les programmes moderne n’utilisent presque plus RC4, du coup beaucoup de programmes qui utilisent RC4 sont en fait des malwares : ce n’est pas parce que vous avez un ami qui utilise RC4 que tous les gens qui utilise RC4 sont gentil… Si vous ne me croyez pas, jetez donc un œil à cette étude : Deciphering Malware’s use of TLS (without Decryption).

RC4 en PowerShell (Merci @Harmj0y)

Contrairement à mes TP sur DES ou Vigenère, je suis tombé sur un article qui a déjà ré-implémenté RC4 en Lire la suite