Hypervisor Introspection stoppe Eternal Blue

publié par Bitdefender Enterprise France, le 20 avril 2017

Vendredi dernier (14 avril 2017), juste avant Pâques, The Shadow Brokers, un groupe qui s’est fait connaitre au milieu de l’année 2016, a déposé un « œuf-surprise » particulièrement élaboré, sous le doux nom d'Eternal Blue.

 

Eternal Blue fait partie d'une diffusion d’un kit d’exploit appelée Lost in Translation, faisant (prétendument) partie d'une plus importante fuite de la NSA. La source exacte d'Eternal Blue est sujette à débat, et son histoire n'est pas le propos de cette publication. Les conséquences d'Eternal Blue sont par contre expliquées sans détours ci-dessous.

Visant à impliquer un public le plus large possible, Eternal Blue et le pack d'exploit qui l’accompagne incluent ce qui pourrait être le plus dangereux exploit Zero-day mis en circulation par le groupe à ce jour.

Voici les 2 principales informations à retenir :

  • Nom de code "Eternal Blue"

Un exploit Zero-day (alias : la nouvelle norme) permettant une exécution à distance dans le serveur Windows SMB (Server Message Block).

Un exploit dont la structure est similaire à Metasploit Rapid7

La vulnérabilité SMB (le service, à ne pas confondre avec le segment de marché) exploitée par Eternal Blue s'applique à une large gamme de systèmes d'exploitation Windows, y compris 2008, 2008 R2, 7, 7 SP1, sur les architectures 32 et 64 bits.

Autrement dit, la plupart des entreprises ont été vulnérables pour une période qui reste encore indéterminée.

 

En bref :

  • Microsoft a réagi rapidement en publiant le bulletin de sécurité MS17-010 et les correctifs nécessaires un mois (le 14 mars 2017) avant la fuite de l’information.
  • Peu de temps après que la fuite ait été rendue publique, Microsoft a aussi publié un article sur son blog pour rassurer ses utilisateurs. La publication conseille à tous d'appliquer les correctifs sur leurs serveurs.

 

Le problème est que personne ne sait exactement quand la vulnérabilité a été découverte, à quel moment l'exploit a été développé, ni combien d'entreprises ont potentiellement été touchées (surtout que maintenant il a été diffusé à grande échelle...). Bien entendu, les créateurs du malware connaissent ces informations, mais il n’est pas prévu qu’ils diffusent ce type de détails. Toutefois, il est possible d’évaluer la fenêtre d'opportunité de l’exploit en analysant les archives de modification du pilote svrnet.sys publiées par Microsoft. Cependant, cela n’est pas l’objet de cette publication.

Voici un exemple de correctifs disponibles liés à Windows 2008 R2.

 

Comme habituellement, nous avons testé ce pack d’exploit sur nos technologies.

Voici le détail des tests menés par nos chercheurs :

  • Nous avons installé l'exploit et ses outils sur une machine virtuelle de test et l’avons dirigé vers quelques-uns de nos serveurs sous Windows 2008 R2 servant aux tests au sein de notre laboratoire (sans les derniers correctifs, avec les paramètres d'installation par défaut).
  • En exécutant l'exploit contre le système non protégé, celui-ci a démontré à quel point l'exploit est dévastateur. En effet, Fuzzbunch a exécuté à distance Eternal Blue contre le serveur vulnérable et a installé une backdoor sur le système ; inutile de préciser que nous nous trouvons face à un exploit au niveau ring-0 et que l'attaquant à distance accédant à la backdoor acquiert instantanément les privilèges NT AUTHORITY\\\\\\\\\\\\\\\\SYSTEM.

 

À contrario, sur un autre système protégé par Bitdefender Hypervisor Introspection (HVI), le résultat suivant est observé :

  • Lorsque l'exploit a été exécuté sur le serveur protégé par HVI, la protection de l’espace mémoire du kernel l'a bloqué, a empêché la tentative d'exploitation la machine et donc l’infection de cette dernière.

Nous avons publié une capture vidéo de notre test en laboratoire ci-dessous :

 

Un aspect important de Bitdefender Hypervisor Introspection est que cette technologie résout le dilemme connu en cybersécurité : « isolation versus contexte ». Étant donné que la protection fonctionne à l'aide des API Direct Inspect de Citrix XenServer, elle est isolée des charges de travail protégées - dans le cas présent ce sont les machines virtuelles Windows - par la sous-couche hardware d’Intel.

 

Avec Bitdefender HVI, c'est simple et direct : l'introspection de la mémoire de la machine virtuelle depuis l'hyperviseur permet de détecter les attaques visant à manipuler la mémoire des VM, comme le fait Eternal Blue. Pour l’attaquant, il n’y a aucun moyen de parvenir à ses fins car l'hyperviseur est capable de tout détecter.

Bitdefender Enterprise France

Bitdefender est le spécialiste européen des solutions antimalware. Ses technologies proactives classées n°1 en détection et en prise de ressources par les organismes de tests indépendants protègent plus de 500 millions d’utilisateurs.