Fred'ô farias06

Et ensuite on me demande pourquoi je suis sous Linux ( Ubuntu / Débian / Oracle Linux )  … CVE-2020-17087

Il faut lire : https://bugs.chromium.org/p/project-zero/issues/detail?id=2104

Quelle misère …

J’ai voulu lancer une installation sur une VM Windows à partir d’un fichier partagé …. mauvaise idée ! Misère. Un crash direct de la VM :

24:12:09.483364 VMMDev: Guest Log: VBOXNP: DLL loaded.
24:12:24.769005 GIM: HyperV: Guest indicates a fatal condition! P0=0x1e P1=0xffffffffc0000005 P2=0xfffff80174c50b20 P3=0x0 P4=0xffffffffffffffff
24:12:24.769028 GIMHv: BugCheck 1e {ffffffffc0000005, fffff80174c50b20, 0, ffffffffffffffff}
24:12:24.769029 KMODE_EXCEPTION_NOT_HANDLED
24:12:24.769029 P1: ffffffffc0000005 - exception code - STATUS_ACCESS_VIOLATION
24:12:24.769029 P2: fffff80174c50b20 - EIP/RIP
24:12:24.769029 P3: 0000000000000000 - Xcpt param #0
24:12:24.769030 P4: ffffffffffffffff - Xcpt param #1
24:12:28.610121 VMMDev: vmmDevHeartbeatFlatlinedTimer: Guest seems to be unresponsive. Last heartbeat received 4 seconds ago
24:12:30.376594 AHCI#0: Reset the HBA
24:12:30.376607 VD#0: Cancelling all active requests
24:12:30.376888 AHCI#0: Port 0 reset
24:12:30.377958 VD#0: Cancelling all active requests
24:12:42.755900 VMMDev: Guest Log: VBoxGuest: BugCheck! P0=0x1e P1=0xffffffffc0000005 P2=0xfffff80174c50b20 P3=0x0 P4=0xffffffffffffffff
24:12:42.756081 GIM: HyperV: Reset initiated through MSR
24:12:42.756090 Changing the VM state from 'RUNNING' to 'RESETTING'
24:12:42.757354 VMMDevNotifyGuest: fAddEvents=0x200 ignored because enmVMState=8
24:12:42.758367 GIM: HyperV: Resetting MMIO2 regions and MSRs
24:12:42.758416 PIT: mode=3 count=0x10000 (65536) - 18.20 Hz (ch=0)
24:12:42.758853 GUI: UISession::sltAdditionsChange: GA state really changed, notifying listeners
24:12:42.758941 GUI: UIMachineViewNormal::adjustGuestScreenSize: Adjust guest-screen size if necessary
24:12:42.758949 GUI: UISession::sltAdditionsChange: GA state change event came, notifying listeners
24:12:42.758952 GUI: UIMachineLogicNormal::sltCheckForRequestedVisualStateType: Requested-state=0, Machine-state=5
24:12:42.758975 GUI: UISession::sltAdditionsChange: GA state change event came, notifying listeners
24:12:42.758979 GUI: UIMachineLogicNormal::sltCheckForRequestedVisualStateType: Requested-state=0, Machine-state=5
24:12:42.759374 Display::i_handleDisplayResize: uScreenId=0 pvVRAM=0000000143cd4000 w=640 h=480 bpp=0 cbLine=0x140 flags=0x0 origin=0,0
24:12:42.768274 AHCI#0: Reset the HBA
24:12:42.768310 VD#0: Cancelling all active requests
24:12:42.768413 HDA: Codec reset
24:12:42.768421 HDA: Reset
24:12:42.769486 TM: Switching TSC mode from 'RealTscOffset' to 'Dynamic'
24:12:42.821163 Changing the VM state from 'RESETTING' to 'RUNNING'
24:12:42.822152 OHCI: root hub reset completed with VINF_SUCCESS
24:12:42.822890 VMMDev: Guest Log: BIOS: VirtualBox 6.0.10
24:12:42.822958 PCI: Setting up resources and interrupts
24:12:42.824793 PIT: mode=2 count=0x10000 (65536) - 18.20 Hz (ch=0)
24:12:42.831987 ERROR [COM]: aRC=VBOX_E_VM_ERROR (0x80bb0003) aIID={ab4164db-c13e-4dab-842d-61ee3f0c1e87} aComponent={DisplayWrap} aText={Could not take a screenshot (VERR_NOT_SUPPORTED)}, preserve=false aResultDetail=-37

J’ai donc fait un copier/coller sur le répertoire local.

A lire : https://www.usine-digitale.fr/article/build-2019-microsoft-integre-un-noyau-linux-a-windows-et-renove-son-terminal-pour-seduire-les-developpeurs.N839990 

2019 pourrait bien être l’année de Linux sur les ordinateurs de bureau… du moins via Windows 10. Microsoft va intégrer un noyau Linux à son OS afin d’en améliorer la compatibilité avec les applications natives à ce dernier. Il sort également un nouveau terminal bardé de fonctionnalités modernes. Une opération séduction qui pourrait rapatrier un certain nombre de développeurs vers Windows 10 après des années d’utilisation de MacBook Pro.

Et effectivement j’utilise un MacBook Pro, pour moi le shell et le terminal c’est vital.

PhishMe Reporter est un add-in pour Outlook (disponible pour Windows et Mac) qui vous permet de signaler rapidement les messages d’hameçonnage suspectés. Pour plus d’informations sur le logiciel, consultez PhishMe Reporter.

Il y a plusieurs messages, donc pour Google je mets tous les messages :

• “Outlook a détecté un problème au niveau d’un complément COM”
• “Ces compléments COM ont réduit les performances ou ont provoqué l’arrêt d’Outlook”.
• “Outlook Phish Reporter Addin” (Pour plus d’information : https://phishme.com/product-services/reporter/ )
• “Ce complément a ralenti le démarrage d’OUtlook”.

J’ai pu trouver un lien utile chez Microsoft : https://msdn.microsoft.com/fr-fr/library/bb386106.aspx#LoadBehavior : ( où la Racine est HKEY_CURRENT_USER ou HKEY_LOCAL_MACHINE. )

Les premiers articles sortent :

• http://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/direct-une-cyberattaque-mondiale-frappe-entreprises-et-administrations_2257807.html 

• http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012.pdf

• https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-3/

• • Référence  : CERTFR-2017-ALE-012 : 

• Faire la mise à jour :Microsoft MS17-010 :

  https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

   

Une fois encore c’est Windows qui est impacté … les informations que j’ai :

• Quand le PC affiche ceci il faut le rebooter car contrairement a ce qu’il marque il est en cours d’encryption (ensuite il faudra mettre le disque sur une autre machine):
• 
• Le message qui apparait à la fin de l’encryption :
• 
• Il faut supprimer cette signature (information à confirmer)

Il semblerait aussi qu’il y ait un fichier perfc.dat ou dllhost.dat ou perfc sous C:/Windows/ à supprimer (et non perfc.dll) . Cette information est aussi à confirmer. 

Les dernières informations suite à mon précédent post : https://www.cyber-neurones.org/2017/05/wannacry-nouvelle-grosse-faille-de-securite-sous-windows/ .

• Le mot de passe du fichier ZIP serait WNcry@2ol7 (à vérifier).
• Kaspersky le détecte comme un rootkit :MEM:Trojan.Win64.EquationDrug.gen
• Il y a eu plus de 100 paiements de raçons pour environ 26K $.
• Mieux comprendre le schéma d’infection :

• Un outil pour empêcher l’exécution de WannaCry : https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html .
• Documentation du CERT-FR : http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html 
• Désactivation SMB Manuelle :

• Les hashtags sur Twitters : #WannaCry #WannaCrypt #CyberAttaque #Ransomware #WannaCryp0r #WannaCryAttack

Maintenant il va falloir attendre lundi matin pour voir l’ampleur exacte des dégâts : https://intel.malwaretech.com/botnet/wcrypt/?t=1h&bid=all    En résumé en France, d’un coté on à le FSB qui nous fait des fake news “Macron Leaks”:

Il est très important de faire les mise à jours Windows ( https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ) et de désactiver SMB  ( Panneau de config -> Programmes -> Activer désactiver fonctionnalités -> Décocher support de partage de fichiers SMB ) :

L’autres solutions est de bloquer les ports : 135, 137, 138, 139, 445, 1900. Mais c’est pas le mieux.

Vous pouvez aussi vérifier ce répertoire :

Si vous lisez bien l’anglais, voici le lien Microsoft sur l’attaque :