Parce que… c’est l’épisode 0x112!

Préambule

Shameless plug

• COVID-19
• 4 au 6 avril 2022 - Québec Numérique - SéQCure 2022
• 4 au 8 avril 2022 - Québec Numérique - Semaine numériqc

Notes

• Communications du CSNM :
  • CVE-2021-38647 - Guide des mises à jour de sécurité - Microsoft - Vulnérabilité d’exécution de code à distance dans Open Management Infrastructure
  • Conseils supplémentaires concernant les vulnérabilités OMI dans les extensions de gestion des machines virtuelles Azure – Centre de réponse de sécurité Microsoft
• Conseils du Centre de sécurité Azure :
  • Utilisation d’ASC pour rechercher des machines affectées par des vulnérabilités OMI dans azure VM Management Extensions - Microsoft Tech Community
• Détections sentinelles :
  • Azure-Sentinel/NetworkConnectiontoOMIPorts.yaml at master · Azure/Azure-Sentinel · GitHub (en)
  • Azure-Sentinel/OMIGODVulnerableMachines.yaml at master · Azure/Azure-Sentinel · GitHub (en)
  • Azure-Sentinel/SCXExecuteRunAsProviders.yml at master · Azure/Azure-Sentinel (github.com) [mis à jour le 24 septembre 2021]
• Logiciels et outils :
  • GitHub - microsoft/SCXcore : fournisseur multiplateforme System Center pour Operations Manager
  • GitHub - microsoft/Build-omi : Générer des projets requis pour OMI (Open Management Infrastructure)
• Environnements de laboratoire de recherche :
  • Azure-Sentinel2Go/grocery-list/Linux/demos/CVE-2021-38647-OMI at master · OTRF/Azure-Sentinel2Go (github.com)
• Débat public sur les attaques dans la nature :
  • chris doman sur Twitter: « :loudspeaker: OMIGOD (CVE-2021-38647) est maintenant en exploitation active :loudspeaker: Nous avons jeté un coup d’œil à l’un des premiers échantillons - oui, c’est Mirai! Si vous exécutez Linux sur Azure, vérifiez si OMI est installé
  • Andrew Morris sur Twitter : « La vulnérabilité Azure « OHMIGOD » (CVE-2021-38647) augmente un peu. ~ 10 IP exploitant de manière opportuniste le vuln sur Internet ce matin, ~ 80 maintenant. Tags disponibles pour tous les utilisateurs et clients GN maintenant. GNQL: cve:CVE-2021-38647
  • Kevin Beaumont sur Twitter: « Oh Mirai a corrigé leur binaire, il prend maintenant en charge l’exploitation correcte d’OMIGOD. Étant donné que Mirai peut entrer dans les réseaux et se propager latéralement via plusieurs vulns, cela pourrait être problématique.

Collaborateurs

• Nicolas-Loïc Fortin
• Franck Desert

Crédits

• Montage audio par Intrasecure inc
• Locaux virtuels par Zoom

Tags: agent, aws, azure, baremetal, blackbox, chiffrement, gcp, iaas, jupiter, linux, log4j, microsoft, notebook, omi, omigod, paas, responsabilite, rootkit, saas, sentinel, siem, telemetrie, trifecta, vulnerabilite, whitebox