Passwordstate: le gestionnaire de mot de passe piraté dans une attaque de type supply-chain

0

Click Studios, la société derrière le gestionnaire de mot de passe d’entreprise Passwordstate, a informé les clients que des pirates ont compromis le mécanisme de mise à jour de l’application pour distribuer des logiciels malveillants dans une attaque de la chaîne d’approvisionnement (supply-chain) après avoir piraté ses réseaux.

Passwordstate est une solution de gestion de mot de passe sur place utilisée par plus de 370 000 professionnels de la sécurité et de l’informatique dans 29 000 entreprises à travers le monde, comme le prétend l’entreprise.

Sa liste de clients inclut des entreprises (dont beaucoup font partie du classement Fortune 500) provenant d’un large éventail de secteurs de l’industrie, mais aussi de gouvernement, de la défense, de la finance, de l’aérospatiale, de la vente au détail, de l’automobile, des soins de santé, de droit et de médias.

Selon un e-mail de notification concernant l’attaque de la chaîne d’approvisionnement envoyée aux clients, des mises à niveau malveillantes ont été potentiellement téléchargées par les clients entre le 20 avril et le 22 avril.

« L’analyse initiale indique qu’un individu malveillant utilisant des techniques sophistiquées avait compromis la fonctionnalité de mise à niveau en place, » a déclaré Click Studios aux clients dans un e-mail avec le titre « Confirmation of Malformed Files and Essential Course of Action ».

« Toute mise à niveau effectuée entre le 20 avril 20h33 UTC et 22 Avril 0:30 AM UTC était potentiellement le téléchargement de fichier Passwordstate_upgrade.zip [..] provenant d’un réseau de téléchargement non contrôlé par Click Studios », a ajouté la société.

click studios passwordstate

Un malware a récupéré les informations système et les données de Passwordstate

Une fois déployé, le malware (surnommé Moserpass) recueillerait des informations système et des données Passwordstate, qui plus tard sont envoyées à des serveurs contrôlés par l’attaquant.

« Les attaquants ont grossièrement ajouté une section de code ‘Loader’, juste 4Ko supplémentaire d’une ancienne version » au code original de Passwordstate, a déclaré J. A. Guerrero-Saade, chercheur principal de SentinelOne.

« En un coup d’œil, le chargeur a des fonctionnalités pour déployer une charge utile de prochaine étape depuis le serveur de commande et de contrôle ci-dessus. Il y a également du code pour analyser les paramètres mondiaux du coffre-fort ‘PasswordState’ (Proxy UserName/Password, etc.).

« Le processus extrait des informations sur le système informatique, et sélectionne les données Passwordstate, qui sont ensuite envoyé sur le réseau CDN des individus malveillants », a ajouté Click Studios dans un avis de sécurité.

Après avoir téléchargé les données collectées, le malware dormira pendant 1 jour et redémarrera le processus de récolte et de téléchargement.

L’analyse des données compromises indique que les informations suivantes sont récupérées:

  • Nom de l’ordinateur, nom d’utilisateur, nom de domaine, nom de processus actuel, identifiant de processus en cours d’exécution, nom et id de tous les processus en cours d’exécution, nom de service en cours d’exécution, nom d’affichage et statut, adresse du serveur proxy de l’instance Passwordstate, nom d’utilisateur et mot de passe

Les champs suivants dans la table de mot de passe de l’instance Passwordstate sont aussi récupérés:

  • Titre, Nom d’utilisateur, Description, GenericField1, GenericField2, GenericField3, Notes, URL, Mot de passe

Le nom de domaine et le nom d’hôte ne sont pas extraits. Bien que la clé de chiffrement et la chaîne de connexion de base de données soient utilisées pour traiter les données via le processus de service Passwordstate, il n’y a aucune preuve que des clés de chiffrement ou des chaînes de connexion de base de données soient envoyées au réseau CDN de l’individu malveillant.

Les serveurs CDN utilisés dans l’attaque ne sont plus accessibles car ils ont été mis hors ligne depuis le 22 avril à 7h00 UTC.

Il est conseillé aux clients de renouveler leurs mots de passe

La société a publié un deuxième avis, indiquant que « seuls les clients qui ont effectué des mises à niveau entre les heures indiquées ci-dessus sont soupçonnés d’être affectés et peuvent avoir eu leurs mots de passe Passwordstate récoltés.

« Pour être clair, le réseau de CDN de Click Studios n’a pas été compromis. Le compromis initial de la fonctionnalité de mise à niveau pointait vers un réseau CDN non contrôlé par Click Studios », a ajouté la société.

Cependant, il y’a aussi de bonnes nouvelles pour les clients qui avaient leurs informations de mot de passe cryptés puisque, dans ce cas, Moserpass ne les recueillaient pas et ne les envoyaient pas vers les serveurs des pirates informatique.

Click Studios conseille aux clients qui ont mis à niveau leur client pendant la période de violation de réinitialiser tous les mots de passe dans leur base de données de Passwordstate.

La société recommande également de prioriser la réinitialisation du mot de passe comme suit:

  • toutes les informations d’identification pour les systèmes exposés à Internet (pare-feu, VPN, sites Web externes, etc.)
  • toutes les informations d’identification pour l’infrastructure interne
  • toutes les informations d’identification restantes

La société a également envoyé un correctif à des clients potentiellement affectés pour les aider à supprimer le malware Moserpass.

Le nombre de clients affectés est inconnu

« Les meilleures informations que nous avons concernant le nombre de clients touchés est basée sur la fenêtre d’opportunité, environ 28 heures, la nature du compromis initial et l’exploitation ultérieure, et la fourniture par les clients de l’information demandée, » a ajouté Click Studios.

« À ce stade, le nombre de clients touchés semble très faible. Toutefois, cela peut changer à mesure qu’un plus grand nombre de clients fournissent les renseignements demandés.

Des indicateurs de compromis, y compris un hachage du chargeur malveillant et l’une des adresses du serveur de commande et de contrôle, ont été partagés plus tôt par la société de cybersécurité CSIS Security Group A/S après avoir analysé l’un des dlls voyous déployés dans cette attaque de la chaîne d’approvisionnement.

La société de cybersécurité CrowdStrike a également publié l’analyse du code malveillant de Moserpass.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire