Découvert fin 2016, le Dirty COW est une vulnérabilité de sécurité informatique qui affecte tous les systèmes basés sur Linux. Ce qui est surprenant, c'est que cette faille au niveau du noyau existe dans le noyau Linux depuis 2007, mais n'a été découverte et exploitée qu'en 2016.
Aujourd'hui, nous verrons quelle est exactement cette vulnérabilité, les systèmes qu'elle affecte et comment pouvez-vous vous protéger.
La vulnérabilité Dirty COW est un type d'exploitation d'escalade de privilèges, ce qui signifie essentiellement qu'elle peut être utilisée pour obtenir un accès utilisateur root sur n'importe quel système basé sur Linux. Alors que les experts en sécurité affirment que de tels types d'exploits ne sont pas rares, sa nature facile à exploiter et le fait qu'il existe depuis plus de 11 ans sont assez inquiétants.
En fait, Linus Torvalds a reconnu l'avoir découvert en 2007, mais l'a ignoré en le considérant comme un "exploit théorique".
Dirty COW tire son nom du mécanisme de copie sur écriture (COW) du système de gestion de la mémoire du noyau. Les programmes malveillants peuvent potentiellement créer une condition de concurrence pour transformer un mappage en lecture seule d'un fichier en un mappage inscriptible. Ainsi, un utilisateur défavorisé pourrait utiliser cette faille pour élever ses privilèges sur le système.
En obtenant les privilèges root, les programmes malveillants obtiennent un accès illimité au système. À partir de là, il peut modifier les fichiers système, déployer des enregistreurs de frappe, accéder aux données personnelles stockées sur votre appareil, etc.
La vulnérabilité Dirty COW affecte toutes les versions du noyau Linux depuis la version 2.6.22, qui a été publiée en 2007. Selon Wikipedia, la vulnérabilité a été corrigée dans les versions 4.8.3, 4.7.9, 4.4.26 et plus récentes du noyau. Un correctif a été initialement publié en 2016, mais il ne résolvait pas complètement le problème. Un correctif ultérieur a donc été publié en novembre 2017.
Pour vérifier le numéro de version actuel de votre noyau, vous pouvez utiliser la commande suivante sur votre système Linux :
uname - r Les principales distributions Linux comme Ubuntu, Debian, ArchLinux ont toutes publié les correctifs appropriés. Donc, si vous ne l'avez pas déjà fait, assurez-vous de mettre à jour votre noyau Linux.
Étant donné que la plupart des systèmes sont désormais corrigés, le risque est atténué, n'est-ce pas ? Eh bien, pas exactement.
Alors que la plupart des systèmes grand public ont été corrigés, il existe plusieurs autres appareils embarqués basés sur Linux qui sont toujours vulnérables. La plupart de ces appareils embarqués, en particulier ceux bon marché, ne reçoivent jamais de mise à jour des fabricants. Malheureusement, vous ne pouvez pas y faire grand-chose.
Par conséquent, il est très important d'acheter des appareils Internet des objets (IoT) auprès de sources réputées qui fournissent un service après-vente fiable.
Étant donné qu'Android est basé sur le noyau Linux, la majorité des appareils Android sont également concernés.
ZNIU est le premier malware pour Android basé sur la vulnérabilité Dirty COW. Il peut être utilisé pour rooter tous les appareils Android jusqu'à Android 7.0 Nougat. Alors que la vulnérabilité elle-même affecte toutes les versions d'Android, ZNIU affecte spécifiquement les appareils Android avec l'architecture ARM/X86 64 bits.
Selon un rapport de Trend Micro, plus de 300 000 applications malveillantes contenant ZNIU ont été repérées dans la nature, en septembre 2017. Les utilisateurs de 50 pays, dont la Chine, l'Inde, le Japon, etc., en sont affectés. La plupart de ces applications se déguisent en applications et jeux pour adultes.
L'application affectée par ZNIU apparaît souvent comme une application soft-porn sur des sites Web malveillants, où les utilisateurs sont amenés à la télécharger. Étant donné qu'Android facilite le téléchargement d'applications, de nombreux utilisateurs novices tombent dans ce piège et les téléchargent.
Une fois l'application infectée lancée, elle communique avec son serveur de commande et de contrôle (C&C). Ensuite, il exploite la vulnérabilité Dirty COW pour s'accorder des autorisations de super-utilisateur. Bien que la vulnérabilité ne puisse pas être exploitée à distance, l'application malveillante peut toujours planter une porte dérobée et exécuter des attaques de contrôle à distance à l'avenir.
Une fois que l'application a obtenu l'accès root, elle collecte et renvoie les informations de l'opérateur à ses serveurs. Il effectue ensuite des transactions avec le transporteur via un service de paiement par SMS. Ensuite, il collecte l'argent via le service de paiement du transporteur. Les chercheurs de Trend Micro affirment que les paiements sont dirigés vers une entreprise fictive basée en Chine.
Si la cible est basée en dehors de la Chine, elle ne pourra pas effectuer ces micro-transactions avec l'opérateur, mais elle plantera toujours une porte dérobée pour installer d'autres applications malveillantes.
Une chose intéressante à propos du malware est qu'il effectue des micro-transactions, environ 3 $/mois pour passer inaperçu. Il est également assez intelligent pour supprimer tous les messages une fois la transaction terminée, ce qui la rend plus difficile à détecter.
Google a rapidement résolu le problème et a publié un correctif en décembre 2016 pour résoudre ce problème. Cependant, ce correctif fonctionnait sur les appareils exécutant Android 4.4 KitKat ou une version ultérieure.
En janvier 2018, environ 6 % des appareils utilisaient encore une version d'Android inférieure à 4.4 KitKat.
Bien que cela puisse sembler peu, cela met quand même un bon nombre de personnes en danger.
Si votre appareil exécute Android 4.4 KitKat et supérieur, assurez-vous que le dernier correctif de sécurité est installé. Pour vérifier cela, ouvrez Paramètres > À propos du téléphone . Faites défiler vers le bas et vérifiez le niveau du correctif de sécurité Android .
Si le correctif de sécurité installé est plus récent que décembre 2016, vous devriez être protégé contre cette vulnérabilité.
Google a également confirmé que Google Play Protect peut rechercher les applications concernées et vous aider à rester en sécurité. Mais n'oubliez pas que Google Play Protect nécessite que votre appareil soit certifié pour fonctionner correctement avec les applications Google. Les fabricants peuvent inclure des applications propriétaires telles que Google Play Protect uniquement après avoir réussi les tests de compatibilité. La bonne nouvelle est que la plupart des grands fabricants sont certifiés Google. Donc, à moins que vous ne vous procuriez un appareil Android vraiment bon marché, vous n'avez pas à vous inquiéter.
Bien que les applications antivirus Android puissent détecter de telles attaques à autorisation élevée, elles ne peuvent pas les empêcher. Les applications antivirus peuvent être utiles pour d'autres fonctionnalités telles que l'antivol, mais elles ne sont certainement pas très utiles dans ce cas.
Comme dernière précaution, vous devez faire attention lorsqu'il s'agit d'installer des applications à partir de sources inconnues. Android 8.0 Oreo rend l'installation d'applications provenant de sources inconnues un peu plus sûre, mais vous devez toujours procéder avec prudence.
Ce n'est un secret pour personne que la vulnérabilité Dirty COW affecte un grand nombre de systèmes. Heureusement, les entreprises sont rapidement intervenues pour limiter les dégâts. La plupart des systèmes basés sur Linux comme Ubuntu, Debian et Arch-Linux ont été corrigés. Google a déployé Play Protect pour rechercher les applications concernées sur Android.
Malheureusement, un bon nombre d'utilisateurs exécutant des systèmes embarqués avec le noyau Linux concerné ne recevront probablement jamais de mises à jour de sécurité, ce qui les expose à des risques. Les fabricants qui vendent des appareils Android contrefaits bon marché ne sont pas certifiés par Google, ce qui met leurs acheteurs en danger. Ces acheteurs ne reçoivent pas les mises à jour de sécurité, encore moins les mises à jour de la version d'Android.
Par conséquent, il est extrêmement important d'éviter d'acheter des appareils auprès de ces fabricants. S'il vous arrive d'en posséder un, il est temps de l'ignorer immédiatement. Voici quelques-uns des meilleurs téléphones Android qui ne brûlent pas un trou dans votre poche. Le reste d'entre nous devrait s'assurer d'installer les mises à jour rapidement et faire preuve de bon sens pour rester en sécurité sur Internet.
Votre système Linux a-t-il déjà été affecté par la vulnérabilité Dirty COW ou le logiciel malveillant ZNIU ? Installez-vous rapidement les mises à jour de sécurité ? Partagez vos impressions avec nous dans les commentaires ci-dessous.