{"id":419358,"date":"2022-10-18T18:10:31","date_gmt":"2022-10-18T20:10:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/vulnerabilite-rce-critique-decouverte-dans-le-logiciel-de-piratage-populaire-cobalt-strike\/"},"modified":"2022-10-18T18:10:33","modified_gmt":"2022-10-18T20:10:33","slug":"vulnerabilite-rce-critique-decouverte-dans-le-logiciel-de-piratage-populaire-cobalt-strike","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/vulnerabilite-rce-critique-decouverte-dans-le-logiciel-de-piratage-populaire-cobalt-strike\/","title":{"rendered":"Vuln\u00e9rabilit\u00e9 RCE critique d\u00e9couverte dans le logiciel de piratage populaire Cobalt Strike"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>HelpSystems, la soci\u00e9t\u00e9 \u00e0 l&#8217;origine de la plate-forme logicielle Cobalt Strike, a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9 hors bande pour r\u00e9soudre une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance qui pourrait permettre \u00e0 un attaquant de prendre le contr\u00f4le des syst\u00e8mes cibl\u00e9s.<\/p>\n<p>Cobalt Strike est un framework commercial d&#8217;\u00e9quipe rouge qui est principalement utilis\u00e9 pour la simulation d&#8217;adversaires, mais des versions crack\u00e9es du logiciel ont \u00e9t\u00e9 activement <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/cobalt-strike-malleable-c2-profile\/\" target=\"_blank\">abus\u00e9<\/a> par les op\u00e9rateurs de ran\u00e7ongiciels et les groupes de menace persistante avanc\u00e9e (APT) ax\u00e9s sur l&#8217;espionnage.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/defining-cobalt-strike-components\" target=\"_blank\">outil de post-exploitation<\/a> se compose d&#8217;un serveur d&#8217;\u00e9quipe, qui fonctionne comme un composant de commande et de contr\u00f4le (C2), et d&#8217;une balise, le logiciel malveillant par d\u00e9faut utilis\u00e9 pour cr\u00e9er une connexion au serveur d&#8217;\u00e9quipe et supprimer les charges utiles de l&#8217;\u00e9tape suivante.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Le probl\u00e8me, suivi comme <strong>CVE-2022-42948<\/strong>affecte Cobalt Strike version 4.7.1, et d\u00e9coule d&#8217;un patch incomplet publi\u00e9 le 20 septembre 2022, pour rectifier un cross-site scripting (<a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/attacks\/xss\/\" target=\"_blank\">XSS<\/a>) vuln\u00e9rabilit\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/www.cobaltstrike.com\/blog\/out-of-band-update-cobalt-strike-4-7-1\/\" target=\"_blank\">CVE-2022-39197<\/a>) pouvant conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 distance.<\/p>\n<p>&#8220;La vuln\u00e9rabilit\u00e9 XSS pourrait \u00eatre d\u00e9clench\u00e9e en manipulant certains champs de saisie de l&#8217;interface utilisateur c\u00f4t\u00e9 client, en simulant un enregistrement d&#8217;implant Cobalt Strike ou en connectant un implant Cobalt Strike ex\u00e9cut\u00e9 sur un h\u00f4te&#8221;, ont d\u00e9clar\u00e9 Rio Sherri et Ruben Boonen, chercheurs d&#8217;IBM X-Force. <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/posts\/analysis-rce-vulnerability-cobalt-strike\/\" target=\"_blank\">a dit<\/a> dans un \u00e9crit.<\/p>\n<p><iframe loading=\"lazy\" title=\"Cobalt Strike 4.7.1 Remote Command Execution (CVE-2022-42948)\" width=\"640\" height=\"480\" src=\"https:\/\/www.youtube.com\/embed\/ocvb_LB9si0?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Cependant, il a \u00e9t\u00e9 constat\u00e9 que l&#8217;ex\u00e9cution de code \u00e0 distance pouvait \u00eatre d\u00e9clench\u00e9e dans des cas sp\u00e9cifiques en utilisant le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Swing_(Java)\" target=\"_blank\">Cadre Java Swing<\/a>la bo\u00eete \u00e0 outils d&#8217;interface utilisateur graphique utilis\u00e9e pour concevoir Cobalt Strike.<\/p>\n<p>&#8220;Certains composants de Java Swing interpr\u00e9teront automatiquement tout texte comme du contenu HTML s&#8217;il commence par &#8220;, Greg Darwin, responsable du d\u00e9veloppement logiciel chez HelpSystems, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cobaltstrike.com\/blog\/out-of-band-update-cobalt-strike-4-7-2\/\" target=\"_blank\">expliqu\u00e9<\/a> dans un poste.  &#8220;La d\u00e9sactivation de l&#8217;analyse automatique des balises html sur l&#8217;ensemble du client \u00e9tait suffisante pour att\u00e9nuer ce comportement.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Nouvelle-version-PHP-du-logiciel-malveillant-Ducktail-piratant-les-comptes.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Cela signifie qu&#8217;un acteur malveillant pourrait exploiter ce comportement au moyen d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTML\/Element\/object\" target=\"_blank\">Balise HTML <\/a>en l&#8217;utilisant pour charger une charge utile personnalis\u00e9e h\u00e9berg\u00e9e sur un serveur distant et l&#8217;injecter dans le <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Cobalt-Strike\/beacon_health_check\" target=\"_blank\">champ de note<\/a> ainsi que le menu graphique de l&#8217;explorateur de fichiers dans l&#8217;interface utilisateur de Cobalt Strike.<\/p>\n<p>&#8220;Il convient de noter ici qu&#8217;il s&#8217;agit d&#8217;une primitive d&#8217;exploitation tr\u00e8s puissante&#8221;, ont d\u00e9clar\u00e9 les chercheurs d&#8217;IBM, ajoutant qu&#8217;elle pourrait \u00eatre utilis\u00e9e pour &#8220;construire une charge utile multiplateforme compl\u00e8te qui serait capable d&#8217;ex\u00e9cuter du code sur la machine de l&#8217;utilisateur, quel que soit le syst\u00e8me d&#8217;exploitation. saveur ou architecture du syst\u00e8me.\u00a0\u00bb<\/p>\n<p>Les conclusions surviennent un peu plus d&#8217;une semaine apr\u00e8s que le d\u00e9partement am\u00e9ricain de la Sant\u00e9 et des Services sociaux (HHS) <a rel=\"nofollow noopener\" href=\"https:\/\/www.hhs.gov\/about\/agencies\/asa\/ocio\/hc3\/products\/index.html\" target=\"_blank\">mis en garde<\/a> de la militarisation continue d&#8217;outils l\u00e9gitimes tels que Cobalt Strike dans des attaques visant le secteur de la sant\u00e9.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/critical-rce-vulnerability-discovered.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>HelpSystems, la soci\u00e9t\u00e9 \u00e0 l&#8217;origine de la plate-forme logicielle Cobalt Strike, a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9 hors bande pour r\u00e9soudre une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance qui pourrait permettre \u00e0 un attaquant de prendre le contr\u00f4le des syst\u00e8mes cibl\u00e9s. Cobalt Strike est un framework commercial d&#8217;\u00e9quipe rouge qui est principalement utilis\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":419360,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5056,4168,22,4158,4165,4161,429,8816,4157,4159,4171,4170,6816,4167,4160,4163,4162,5666,440,22778,4172,4169,8544,4166,3667,4164],"class_list":["post-419358","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cobalt","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-decouverte","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-piratage","tag-populaire","tag-rce","tag-securite-informatique","tag-securite-internet","tag-strike","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/419358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=419358"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/419358\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/419360"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=419358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=419358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=419358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}