Ces dernières années, les DAB et les caisses enregistreuses (PDV/POS) ont été la cible de nombreux groupes de cybercriminels, et les sommes dérobées ont atteint des sommets. Si les attaquants ont mis au point plusieurs exploits pour s'introduire dans ces machines, les chercheurs alertent aujourd'hui sur la présence de vulnérabilités dans les pilotes de ces matériels qui, selon eux, pourraient permettre des attaques plus persistantes et encore plus dommageables.

Les chercheurs d'Eclypsium, une société spécialisée dans la sécurité des appareils, se sont intéressés à la sécurité des pilotes de ces périphériques, ces programmes qui permettent aux applications de communiquer avec les composants matériels d'un système et d'exploiter leurs capacités. Au cours de l'année écoulée, dans le cadre de leur projet de recherche baptisé Screwed Drivers, ces chercheurs ont trouvé des vulnérabilités et des failles de conception dans 40 pilotes Windows provenant d'au moins 20 fournisseurs de matériel différents, mettant en évidence l’ampleur du problème que pose cette surface d'attaque.

Un Windows perméable

Windows est souvent associé à des serveurs, des stations de travail et des ordinateurs portables. Mais beaucoup d’autres types de dispositifs exécutent le système d'exploitation de Microsoft. Windows est également très répandu dans le monde des distributeurs automatiques de billets, des terminaux de point de vente, des kiosques en libre-service, des systèmes médicaux et d’autres types d'équipements spécialisés. Ces dispositifs sont généralement plus difficiles à mettre à jour, car ils sont utilisés dans des industries et des environnements réglementés, de sorte que les mises à jour doivent passer des tests et des certifications stricts. De plus, leur mise hors ligne pendant de longues périodes peut entraîner des perturbations dans l'activité et des pertes financières.

Dans leur rapport, les chercheurs d'Eclypsium rappellent que les attaques contre les distributeurs automatiques de billets peuvent prendre des formes diverses : « Les attaquants peuvent délivrer des malwares en compromettant le réseau bancaire connecté à l'appareil, la connexion de l'appareil aux processeurs de cartes, ou en accédant à l'ordinateur interne du DAB. Comme dans le cas des attaques traditionnelles, les attaquants ou les malwares ont souvent pour objectif de gagner des privilèges élevés sur l'appareil ciblé pour avoir un accès plus profond au système. Or, les pilotes malveillants ou vulnérables sont très utiles pour cela. En tirant parti des fonctionnalités de pilotes non sécurisés, les attaques ou le malware peuvent permettre à l’attaquant de gagner de nouveaux privilèges, d’accéder à des informations et finalement de voler de l'argent ou des données clients ».

Vulnérabilité d'un pilote de DAB de Diebold Nixdorf

Dans le cadre de leur projet, les chercheurs d'Eclypsium ont découvert une vulnérabilité dans un pilote utilisé par un modèle de distributeur automatique de billets de Diebold Nixdorf, l'un des plus grands fabricants d'appareils pour les secteurs bancaires et le commerce de détail. Le pilote permet aux applications d'accéder aux différents ports d'entrée/sortie x86 de ce système. Les DAB ne sont rien d’autres que des ordinateurs, sauf qu’ils sont dotés de périphériques spécialisés - lecteur de carte, clavier PIN, interfaces réseau ou coffres - connectés par différents ports de communication. En accédant aux ports d'entrée/sortie via le pilote vulnérable, un attaquant peut potentiellement lire les données échangées entre l'ordinateur du DAB et les périphériques connectés en PCI. De plus, ce pilote peut être utilisé pour mettre à jour le BIOS, le micrologiciel de bas niveau d'un ordinateur qui démarre avant le système d'exploitation et initialise les composants matériels. En exploitant cette fonctionnalité, un attaquant pourrait déployer un rootkit de BIOS qui ne serait pas détruit par des réinstallations du système d'exploitation, et pourrait mettre ainsi en place une attaque très persistante.

À la connaissance des chercheurs, la vulnérabilité n'a été exploitée dans aucune attaque réelle, mais d'après leurs discussions avec Diebold, ils pensent que le même pilote est utilisé dans d'autres modèles de distributeurs automatiques de billets et dans des systèmes de points de vente. Diebold, qui a travaillé avec les chercheurs, a livré des correctifs pour ce pilote plus tôt cette année. « Ce n'est que la partie visible de l'iceberg de ce qu’il est possible de faire avec des pilotes malveillants », ont déclaré les chercheurs. « Nos recherches précédentes nous avaient permis d'identifier des pilotes qui, en plus de l’accès E/S arbitraire, permettaient aussi de lire/écrire en mémoire, de déboguer et de contrôler des registres spécifiques à un modèle, et de gagner un accès PCI arbitraire. L’ajout de ces capacités à un pilote vulnérable pourrait avoir un impact dévastateur sur les DAB ou les PDV/POS. Étant donné que de nombreux pilotes faisant tourner ces appareils n'ont pas subi d’analyses, il est probable qu'ils contiennent des vulnérabilités encore inconnues à ce jour ».

Des groupes organisés pour le piratage des DAB et des PoS

Les hackers ont vraiment pris pour cible les distributeurs automatiques de billets et les caisses enregistreuses. Des groupes de cybercriminalité comme Carbanak qui se sont spécialisés dans l'infiltration d’organismes financiers comme les banques, se fraient lentement un chemin dans leurs réseaux DAB. Ces groupes sont méthodiques et patients, et ils peuvent passer des mois à l'intérieur des réseaux jusqu'à ce qu'ils comprennent les méthodes de travail d'une victime et le fonctionnement de ses systèmes. Quand ils décident finalement de procéder au vol, ils envoient des mules pour collecter l'argent des distributeurs piratés. En général, ces vols ont lieu pendant la nuit. Un autre groupe lié à Carbanak, connu sous le nom de FIN7, est spécialisé dans le piratage des systèmes de points de vente et cible les entreprises des secteurs de l'hôtellerie et du commerce de détail pour voler les données des cartes de paiement. Récemment, le groupe a envoyé des clés USB malveillantes à ses cibles par voie postale en prétendant qu’il s’agissait d’un cadeau de Best Buy.

Même les gangs spécialisés dans les ransomwares se sont intéressés à ces systèmes, car leur verrouillage pourrait leur permettre de faire pression sur les entreprises concernées pour qu’elles payent la rançon. La semaine dernière, Symantec a rapporté que Sodinokibi, un groupe de pirates toujours actif, réputé pour ses attaques de ransomwares sophistiquées, a commencé à scanner les logiciels et les systèmes des points de vente dans les environnements auxquels ils ont accès.

Les vulnérabilités des pilotes comme celles découvertes par Eclypsium ne fournissent pas aux pirates un accès direct à un système, mais ils peuvent gagner plus de privilèges une fois qu'ils s’y sont introduits par une autre méthode. Comme l'ont démontré à maintes reprises Carbanak, FIN7 et d'autres groupes de cybercriminels, ce n’est pas si difficile de s’introduire dans des réseaux et des systèmes et il y a différentes méthodes pour cela. « A partir du moment où le pirate trouve une vulnérabilité pour s’introduire dans l’ordinateur d’un DAB, il peut l'utiliser pour obtenir des privilèges supplémentaires et l'accès à certaines sous-interfaces qui lui permettront de faire des choses plus intéressantes », a déclaré Jesse Michael, chercheur senior chez Eclypsium. « Il pourra communiquer avec d'autres appareils, par exemple un périphérique auquel il veut accéder pour effectuer des opérations qui entrent dans son processus d'attaque. Cela revient à créer une faille dans les couches de protection de l’appareil ». Cacher des malwares dans le BIOS pour survivre à la réinstallation du système d'exploitation pourrait s'avérer très utile pour certains de ces groupes de cybercriminels aguerris, car ils peuvent attaquer leurs cibles de manière répétée.

Adopter le security by design

Des attaques plus destructrices bloquant le démarrage des appareils sont également possibles. « Ce pilote de boot communique avec le contrôleur SPI (Serial Peripheral Interface) du chipset pour installer les mises à jour du BIOS, donc si un pirate veut simplement brider le système pour qu'il ne démarre pas du tout, il peut écrire des messages d'erreur dans le bloc de boot », a encore expliqué Jesse Michael. Des attaques de ransomware ont permis par le passé de crypter le Master Boot Record (MBR) des ordinateurs, les rendant ainsi inutilisables tant que les victimes n’avaient pas payé la rançon. Pour récupérer après une attaque de ce type, il faut une intervention manuelle et, dans le cas des distributeurs automatiques de billets, dispersés géographiquement, le temps d’interruption peut être important. Quant aux systèmes de points de vente PDV/POS, leur blocage peut également entraîner une perte financière si tous les terminaux d'un magasin ou de plusieurs magasins cessent soudainement de fonctionner. Certaines attaques, comme celle de Shamoon qui a frappé Saudi Aramco en 2012, ou celle de Sony Pictures en 2014 attribuée à la Corée du Nord, avaient pour seul objectif de perturber les opérations commerciales normales. De tels attaques permettaient de manipuler le cours de l'action d'une entreprise et d’en tirer profit.

Les recherches d'Eclypsium mettent en évidence un manque de sécurité dans le design des pilotes de périphériques, car la plupart des problèmes constatés sont liés à des défauts d'architecture plutôt qu’à des vulnérabilités dans le code. Selon Jesse Michael, ces problèmes sont généralement dus au fait que les développeurs se limitent à répondre au besoin commercial, par exemple permettre à une application de dialoguer avec un composant matériel, sans mettre en place les contrôles appropriés. « Dans la plupart de ces cas, les personnes ne réfléchissent pas vraiment aux conséquences que pourrait avoir le mauvais usage d’une fonctionnalité », a encore déclaré le chercheur senior d’Eclypsium. « La fonctionnalité est utile pour la tâche spécifique qu’elle doit accomplir, mais ils ne se sont pas demandés si quelqu'un d'autre pouvait l’exploiter à des fins malveillantes ou pour faire autre chose que ce pourquoi elle a été conçue ».