Qu'est-ce que la vulnérabilité BlueBorne et quel hack effectue-t-elle en Bluetooth

Table des matières

Comme nous l'avons mentionné à plusieurs reprises, et nous continuerons de le faire, la confidentialité et la sécurité de l'information sont deux des piliers qui doivent être pris en compte au quotidien dans tout système d'exploitation que nous gérons.

Ce n'est un secret pour personne que nous sommes dans un monde en ligne où des milliers d'actions sont effectuées chaque minute et où des données personnelles telles que comptes bancaires, numéros de carte, numéros d'identification, adresse et bien d'autres sont impliquées, et avec le boom croissant de attaques telles que les ransomwares ou les logiciels malveillants, ces données peuvent être compromises et utilisées à des fins malveillantes.

Il y a un peu plus d'un mois, nous avons vu comment WannaCry a affecté des milliers d'utilisateurs et d'entreprises dans le monde en « détournant » leurs données et en exigeant de ces personnes des sommes d'argent pour leur rançon. Cette semaine, la société Armis Labs a publié un livre blanc mettant en garde contre une nouvelle vulnérabilité grave qui peut potentiellement laisser des milliards d'appareils compatibles Bluetooth vulnérables à l'exécution de code à distance et aux attaques MiTM (Man-in-The-Middle). .

C'est délicat car cela permet aux attaquants de prendre le contrôle de l'ordinateur et ainsi de mettre en œuvre leurs plans malveillants. Solvetic souhaite alerter sur cette nouvelle attaque et va donc procéder à une analyse complète de ce nouveau type de menace, nous évitant ainsi d'être une victime de plus.

Présentation de BlueBorneComme nous l'avons mentionné précédemment, Armis Labs a révélé un nouveau vecteur d'attaque qui met en danger les principaux systèmes d'exploitation mobiles, de bureau et IoT, parmi lesquels Android, iOS, Windows et Linux, et les appareils qui les utilisent.

Ce nouveau vecteur s'appelle BlueBorne et prend ce nom car il se propage dans l'air (aéroporté) et attaque les appareils via le service Bluetooth. Il n'a toujours pas été activé. De même, Armis a également révélé huit vulnérabilités liées à l'attaque Zero Days, jour zéro, dont quatre sont classées comme critiques.

La menace BlueBorne permet aux attaquants de prendre le contrôle des appareils, d'accéder aux données et aux réseaux de l'entreprise, de pénétrer dans les réseaux sécurisés « d'accès Internet » et de propager les logiciels malveillants latéralement sur les appareils adjacents, affectant ainsi complètement la confidentialité et la sécurité de tout le contenu sur l'appareil. Armis a signalé ces vulnérabilités et travaille actuellement avec les développeurs pour les identifier et publier des correctifs pour contrer cette menace.

Qu'est-ce que BlueBorneComme indiqué, BlueBorne est un vecteur d'attaque dans lequel les pirates peuvent tirer parti des connexions Bluetooth des appareils pour pénétrer et prendre le contrôle total des appareils cibles, affectant les ordinateurs ordinaires, les téléphones mobiles et le domaine en expansion des appareils IoT (Internet des objets). .

Cette attaque ne nécessite pas que l'appareil cible soit associé à l'appareil de l'attaquant, ce qui est la manière classique de fonctionnement de Bluetooth, et elle ne nécessite pas qu'il soit défini en mode détectable, ce qui peut passer inaperçu pour nous en tant qu'utilisateurs.

Ce vecteur d'attaque BlueBorne peut être utilisé pour commettre un large éventail de crimes, y compris l'exécution de code à distance, ainsi que des attaques Man-in-The-Middle. La pire chose à propos de cette attaque est que jusqu'à huit vulnérabilités zero-day distinctes (dont quatre critiques) ont été trouvées et peuvent être utilisées pour pirater la plupart des appareils. Bluetooth actuellement disponible, quel que soit le système d'exploitation utilisé, cela signifie que plus de 5 milliards d'appareils Bluetooth dans le monde sont potentiellement vulnérables à cette énorme faille de sécurité découverte il y a moins d'une semaine.

Quel est le risque de BlueBorneBien que pour beaucoup, il s'agisse simplement d'une menace et que nous pensons que nous ne serons jamais des victimes, il est important de garder à l'esprit que le vecteur d'attaque BlueBorne possède plusieurs qualités qui peuvent avoir un effet dévastateur lorsqu'elles sont combinées les unes avec les autres, de sorte que lorsqu'elles se propagent à travers le air, BlueBorne il se concentre sur le point le plus faible de la défense du réseau, et le seul qui ne protège aucune mesure de sécurité.

La diffusion d'un appareil à un autre par voie aérienne rend également BlueBorne très contagieux entre les appareils, ce qui augmente ses niveaux d'attaque et, de plus, étant donné que le processus Bluetooth a des privilèges élevés dans tous les systèmes d'exploitation, son exploitation offre un contrôle presque total sur l'appareil affecté sans que nous le remarquions. immédiatement.

BlueBorne a la capacité de servir de cible malveillante, telle que :

  • Cyberespionnage
  • Le vol de données
  • Ransomware
  • Création de botnets en dehors des appareils IoT comme le Mirai Botnet ou des appareils mobiles comme le récent WireX Botnet.
Le vecteur d'attaque BlueBorne dépasse les capacités de la plupart des vecteurs d'attaque en pénétrant les réseaux sécurisés de « réseau aérien » qui sont déconnectés de tout autre réseau, y compris Internet, se propageant ainsi à des vitesses impensables.

Quelle est l'étendue de la menace de BlueBorne ?

À ce stade, certains utilisateurs penseront, eh bien, je suis à Lima, Madrid, Bogotá et j'ai un antivirus sur mes ordinateurs, de quoi est-ce que je m'inquiète ? Solvetic recommande de prendre les mesures appropriées et d'être conscient que cette menace peut être présente partout dans le monde.

Le vecteur d'attaque BlueBorne peut potentiellement affecter tous les appareils compatibles Bluetooth, estimés à plus de 8,2 milliards d'appareils aujourd'hui dans le monde. N'oubliez pas que Bluetooth est le protocole leader et le plus répandu pour les communications à courte portée et qu'il est utilisé par des appareils de toutes sortes, des ordinateurs et appareils mobiles ordinaires aux appareils IOT tels que les téléviseurs, les montres, les voitures et même les appareils médicaux. Bien que nous ayons aujourd'hui beaucoup plus de protocoles réseau, tous nos appareils mobiles ont Bluetooth, ce qui fait de nous une cible d'attaque :

Pour avoir une idée globale du nombre d'appareils pouvant être concernés, les derniers rapports publiés indiquent qu'il y a plus de 2 milliards d'appareils Android, 2 milliards de Windows et 1 million d'appareils Apple en service. Gartner rapporte qu'il existe aujourd'hui 8 milliards d'appareils connectés ou IoT dans le monde, dont beaucoup ont Bluetooth, nous pouvons donc voir les niveaux d'impacts que BlueBorne peut provoquer.

Quoi de neuf chez BlueBorne

Bien que BlueBorne était à peine connu il y a une semaine, nous savons très bien que les attaquants utilisent constamment de nouvelles techniques pour propager l'attaque et nous devons donc savoir quelles nouvelles fonctionnalités ont été découvertes avec ce sujet.
En voici quelques uns:

Un nouveau vecteur de frappe aérienneContrairement à la plupart des attaques qui se produisent aujourd'hui, qui reposent sur Internet, une attaque BlueBorne se propage dans les airs, ce qui en fait une menace beaucoup plus sérieuse. Cela fonctionne de manière similaire aux deux vulnérabilités moins étendues récemment découvertes sur une puce Wi-Fi Broadcom par Project Zero et Exodus en ce sens que les vulnérabilités trouvées sur les puces Wi-Fi n'affectaient que les périphériques de l'appareil et nécessitent une autre étape pour contrôler l'appareil.

Au lieu de cela, avec BlueBorne, les attaquants peuvent obtenir un contrôle total dès le début. En plus de cela, le Bluetooth offre une surface beaucoup plus large pour l'attaquant que le WiFi, presque totalement inexploré par les chercheurs et contient donc beaucoup plus de vulnérabilités.

Étant une attaque aérienne, l'attaquant a de bien meilleures chances de réaliser son plan pour des raisons telles que :

  • La propagation dans l'air rend l'attaque beaucoup plus contagieuse, lui permettant de se propager avec un minimum d'effort de la part de l'attaquant
  • Permet à l'attaque de contourner les mesures de sécurité actuelles et de rester non détectée, car les méthodes traditionnelles ne protègent pas contre les menaces aériennes, mais se concentrent plutôt sur les menaces d'un autre type
  • Ils permettent aux pirates de pénétrer des réseaux internes sécurisés qui sont "filtrés", ce qui signifie qu'ils sont déconnectés de tout autre réseau pour se protéger.
  • Contrairement aux logiciels malveillants ou aux attaques traditionnels, l'utilisateur n'a pas besoin de cliquer sur un lien ou de télécharger un fichier douteux. Aucune action de l'utilisateur n'est nécessaire pour permettre l'attaque qui peut être imperceptible pour l'un d'entre nous.

Une menace large et drastiqueLe vecteur d'attaque BlueBorne ne nécessite aucune interaction de l'utilisateur, est compatible avec toutes les versions logicielles actuelles et ne nécessite aucune condition préalable ou configuration autre que Bluetooth actif qui a tous les ingrédients pour devenir l'une des pires menaces connues.

Bien que cela puisse ne pas sembler vrai, les appareils compatibles Bluetooth sur nos ordinateurs recherchent constamment les connexions entrantes à partir de n'importe quel appareil, et pas seulement ceux avec lesquels ils ont été couplés, ce qui signifie qu'une connexion Bluetooth peut être établie sans aucun couplage des appareils. et il s'agit d'une faille de sécurité majeure car elle permet à BlueBorne d'être l'une des attaques potentielles de ces dernières années, et permet à un attaquant d'attaquer complètement sans être détecté par l'utilisateur ou les chercheurs.

Vulnérabilités Bluetooth de nouvelle générationIl y a quelque temps, la plupart des vulnérabilités et failles de sécurité Bluetooth provenaient de problèmes avec le protocole lui-même, qui ont été corrigés dans la version 2.1 en 2007.

Le Bluetooth est un protocole difficile à mettre en œuvre, ce qui lui permet d'être sujet à deux types de vulnérabilités :
Premièrement, les fournisseurs peuvent suivre les directives de mise en œuvre du protocole mot à mot, ce qui indique que lorsqu'une vulnérabilité est trouvée sur une plate-forme, elle peut en affecter d'autres. Ces vulnérabilités reflétées se sont produites avec CVE-2017-8628 et CVE-2017-0783 (Windows et Android MiTM) qui étaient des "jumeaux identiques".

Deuxièmement, dans certains domaines, les spécifications Bluetooth laissent beaucoup de place à l'interprétation, ce qui provoque une fragmentation des méthodes de mise en œuvre sur différentes plates-formes, rendant chacune d'entre elles plus susceptible de contenir sa propre vulnérabilité.

Pour cette raison, les vulnérabilités qui composent l'attaque BlueBorne sont basées sur les différentes implémentations du protocole Bluetooth et sont plus fréquentes et plus graves qu'on ne le pensait auparavant.

Sur la base de ce type de menace et de la manière dont elle peut se propager simplement et largement, Armis a contacté les développeurs afin de coordonner des mesures de sécurité drastiques et efficaces visant la protection de l'utilisateur final.

Armis a été contacté comme suit :

  • Google contacté le 19 avril 2021-2022
  • Microsoft a été contacté le 19 avril 2021-2022 et des mises à jour ont été effectuées le 11 juillet 2021-2022
  • Apple a été contacté le 9 août 2021-2022 car Apple n'avait aucune vulnérabilité dans ses versions actuelles de systèmes d'exploitation.
  • Samsung a été contacté au cours des mois d'avril, mai et juin de Samsung sans recevoir de réponse
  • Linux a été contacté les 15 et 17 août 2021-2022. Et le 5 septembre 2021-2022, les informations nécessaires ont été fournies à l'équipe de sécurité du noyau.

Appareils concernés

Nous avons atteint l'un des points qui est critique pour la plupart d'entre nous et c'est de savoir quel pourcentage de vulnérabilité nous sommes avec nos appareils.

N'oubliez pas que BlueBorne affecte tous les appareils fonctionnant sur les systèmes d'exploitation Android, Linux, Windows et iOS antérieurs à la version 10, quelle que soit la version de Bluetooth utilisée, ce qui représente un large éventail d'appareils concernés, y compris les équipements PC. , appareils mobiles, téléviseurs intelligents. et les appareils IoT.

Android

Au niveau Android, nous avons les effets suivants :
Tous les téléphones, tablettes et ordinateurs portables Android (sauf ceux qui utilisent uniquement Bluetooth Low Energy) de toutes les versions sont affectés par quatre vulnérabilités trouvées dans le système d'exploitation Android qui sont :

  • (CVE-2017-0781 et CVE-2017-0782) qui permettent l'exécution de code à distance
  • (CVE-2017-0785) dans lequel une fuite d'informations se produit
  • (CVE-2017-0783) qui permet à un attaquant d'effectuer une attaque Man-in-The-Middle.
Certains des appareils concernés sur Android le sont.
  • Google Pixel
  • Samsung Galaxy
  • Samsung Galaxy Tab
  • LG Montre Sport
  • Système audio de voiture citrouille

Armis a développé une application gratuite appelée BlueBorne Vulnerability Scanner que nous pouvons télécharger sur le Play Store au lien suivant :

Lors de son exécution, nous pourrons voir l'analyse respective. Enfin nous verrons quel niveau de vulnérabilité nous avons :

Comment Android attaque :

les fenêtres

Au niveau de Windows, malheureusement tous les ordinateurs depuis Windows Vista sont affectés par la vulnérabilité "Bluetooth Pineapple" qui permet à un attaquant de mener une attaque Man-in-The-Middle (CVE-2017-8628). Microsoft a publié des correctifs de sécurité pour toutes les versions prises en charge de Windows le 11 juillet 2021-2022.
Dans ce cas, nous pouvons accéder au lien Microsoft officiel suivant pour télécharger les derniers correctifs de sécurité :

AGRANDIR

Comment il attaque sous Windows :

Linux

Dans le cas de Linux, tous les appareils Linux exécutant BlueZ sont affectés par la vulnérabilité de fuite d'informations (CVE-2017-1000250). Tous les appareils Linux à partir de la version 3.3-rc1 (publiée en octobre 2011) sont affectés par la vulnérabilité d'exécution de code à distance (CVE-2017-1000251).

Voici quelques exemples d'appareils concernés.

  • Samsung Gear S3 (montre intelligente)
  • Téléviseurs intelligents Samsung
  • Samsung Family Hub (réfrigérateur intelligent)
Dans le cas de Linux, nous devons désactiver complètement les services Bluetooth et pour cela nous exécutons ce qui suit :
Liste noire des modules Bluetooth de base :
 printf "install% s / bin / true \ n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.con
Désactiver et arrêter le service Bluetooth
 systemctl désactiver bluetooth.service systemctl masque bluetooth.service systemctl arrêter bluetooth.service
Supprimer les modules Bluetooth :
 rodo bnep rodo bluetooth rodo btusb

ios

Tous les appareils iPhone, iPad et iPod touch avec iOS 9.3.5 ou inférieur et les appareils AppleTV avec la version 7.2.2 ou inférieure seront affectés par la vulnérabilité d'exécution de code à distance. Cette vulnérabilité a déjà été atténuée par Apple dans iOS 10, donc un nouveau correctif n'est pas nécessaire pour l'atténuer et en cas de ne pas pouvoir appliquer le correctif, il sera nécessaire de désactiver Bluetooth et de minimiser son utilisation jusqu'à ce qu'il puisse confirmer qu'un nouveau patch a été publié et installé. patch sur votre appareil.

Dans la vidéo suivante, nous expliquons comment fonctionne BlueBorne :

Le vecteur d'attaque BlueBorne comporte plusieurs étapes qui sont :

  • Tout d'abord, l'attaquant localise les connexions Bluetooth actives autour de son environnement. Les appareils peuvent être identifiés même s'ils ne sont pas définis en mode « découvrable »
  • Deuxièmement, l'attaquant obtient l'adresse MAC de l'appareil, qui est un identifiant unique pour cet appareil spécifique. En testant l'appareil, l'attaquant peut déterminer le système d'exploitation utilisé par l'utilisateur et ajuster son exploit en conséquence.
  • Troisièmement, l'attaquant peut exploiter une vulnérabilité dans la mise en œuvre du protocole Bluetooth sur la plate-forme concernée et obtenir l'accès dont il a besoin pour agir sur sa cible malveillante.
  • Enfin, l'attaquant peut choisir le type d'attaque à appliquer, qu'il s'agisse de Man-in-The-Middle et contrôler la communication de l'appareil, ou prendre le contrôle total de l'appareil et l'utiliser pour un large éventail de fins cybercriminelles.

Nous pouvons voir comment de nouvelles menaces surgissent qui mettent notre vie privée en danger et donc l'importance de prendre les mesures nécessaires pour protéger et mettre à jour nos appareils.

wave wave wave wave wave