XMCO : Les dessous de l’attaque RSA
avril 2011 par XMCO PARTNERS
* The RSA Hack : How They Did It
– Date : 04 Avril 2011
– Gravité : Faible
– Description :
De nouvelles informations concernant l’attaque subie par RSA viennent d’être dévoilées. Pour rappel, le célèbre fournisseur de solutions de sécurité avait été victime d’une attaque le mois dernier (voir CXA-2011-0417). Lors de cette attaque, de nombreuses données concernant la solution d’authentification forte RSA SecurID avaient été volées.
Les attaquants auraient envoyé des emails à plusieurs employés contenant comme sujet "Plan de recrutement 2011". Un fichier Excel était joint à ces emails. Celui-ci contenait un code d’exploitation tirant parti d’une vulnérabilité 0day affectant Flash (voir CXA-2011-0397 et APSA11-01). Cette vulnérabilité, référencée CVE-2011-0609, a été dévoilée publiquement par Adobe le 14 mars et corrigé le 21. Une fois la vulnérabilité exploitée, une porte dérobée était installée et permettait aux attaquants de prendre le contrôle à distance de la machine affectée. Les attaquants ont profité de ce point d’entrée afin de rechercher des noms d’utilisateurs et des mots de passe leur permettant d’obtenir un accès privilégié au système initialement visé. Les fichiers volés ont alors été envoyés vers une machine compromise d’un hébergeur.
D’après RSA, l’attaque a pu être détectée à l’aide un outil de monitoring réseau avant que les pirates ne pénètrent en profondeur le réseau. Cependant, les pirates avaient déjà exfiltré es données confidentielles concernant RSA SecurID.
– Référence :
http://bits.blogs.nytimes.com/2011/04/02/the-rsa-hack-how-they-did-it/
http://blogs.rsa.com/rivner/anatomy-of-an-attack/
http://www.networkworld.com/news/2011/040311-rsa-hackers-exploited-flash-zero-day.html
http://krebsonsecurity.com/2011/03/domains-used-in-rsa-attack-taunted-u-s/
http://www.adobe.com/support/security/advisories/apsa11-01.html
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0417
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0397
– Lien extranet XMCO Partners :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0499