Teknik - OMIGOD! - Parce que... c'est l'épisode 0x112!
Parce que… c’est l’épisode 0x112!
Shameless plug
COVID-19
4 au 6 avril 2022 - Québec Numérique - SéQCure 2022
4 au 8 avril 2022 - Québec Numérique - Semaine numériqc
Notes
Communications du CSNM :
CVE-2021-38647 - Guide des mises à jour de sécurité - Microsoft - Vulnérabilité d’exécution de code à distance dans Open Management Infrastructure
Conseils supplémentaires concernant les vulnérabilités OMI dans les extensions de gestion des machines virtuelles Azure – Centre de réponse de sécurité Microsoft
Conseils du Centre de sécurité Azure :
Utilisation d’ASC pour rechercher des machines affectées par des vulnérabilités OMI dans azure VM Management Extensions - Microsoft Tech Community
Détections sentinelles :
Azure-Sentinel/NetworkConnectiontoOMIPorts.yaml at master · Azure/Azure-Sentinel · GitHub (en)
Azure-Sentinel/OMIGODVulnerableMachines.yaml at master · Azure/Azure-Sentinel · GitHub (en)
Azure-Sentinel/SCXExecuteRunAsProviders.yml at master · Azure/Azure-Sentinel (github.com) [mis à jour le 24 septembre 2021]
Logiciels et outils :
GitHub - microsoft/SCXcore : fournisseur multiplateforme System Center pour Operations Manager
GitHub - microsoft/Build-omi : Générer des projets requis pour OMI (Open Management Infrastructure)
Environnements de laboratoire de recherche :
Azure-Sentinel2Go/grocery-list/Linux/demos/CVE-2021-38647-OMI at master · OTRF/Azure-Sentinel2Go (github.com)
Débat public sur les attaques dans la nature :
chris doman sur Twitter: « :loudspeaker: OMIGOD (CVE-2021-38647) est maintenant en exploitation active :loudspeaker: Nous avons jeté un coup d’œil à l’un des premiers échantillons - oui, c’est Mirai! Si vous exécutez Linux sur Azure, vérifiez si OMI est installé
Andrew Morris sur Twitter : « La vulnérabilité Azure « OHMIGOD » (CVE-2021-38647) augmente un peu. ~ 10 IP exploitant de manière opportuniste le vuln sur Internet ce matin, ~ 80 maintenant. Tags disponibles pour tous les utilisateurs et clients GN maintenant. GNQL: cve:CVE-2021-38647
Kevin Beaumont sur Twitter: « Oh Mirai a corrigé leur binaire, il prend maintenant en charge l’exploitation correcte d’OMIGOD. Étant donné que Mirai peut entrer dans les réseaux et se propager latéralement via plusieurs vulns, cela pourrait être problématique.
Collaborateurs
Nicolas-Loïc Fortin
Franck Desert
Crédits
Montage audio par Intrasecure inc
Locaux virtuels par Zoom
Shameless plug
COVID-19
4 au 6 avril 2022 - Québec Numérique - SéQCure 2022
4 au 8 avril 2022 - Québec Numérique - Semaine numériqc
Notes
Communications du CSNM :
CVE-2021-38647 - Guide des mises à jour de sécurité - Microsoft - Vulnérabilité d’exécution de code à distance dans Open Management Infrastructure
Conseils supplémentaires concernant les vulnérabilités OMI dans les extensions de gestion des machines virtuelles Azure – Centre de réponse de sécurité Microsoft
Conseils du Centre de sécurité Azure :
Utilisation d’ASC pour rechercher des machines affectées par des vulnérabilités OMI dans azure VM Management Extensions - Microsoft Tech Community
Détections sentinelles :
Azure-Sentinel/NetworkConnectiontoOMIPorts.yaml at master · Azure/Azure-Sentinel · GitHub (en)
Azure-Sentinel/OMIGODVulnerableMachines.yaml at master · Azure/Azure-Sentinel · GitHub (en)
Azure-Sentinel/SCXExecuteRunAsProviders.yml at master · Azure/Azure-Sentinel (github.com) [mis à jour le 24 septembre 2021]
Logiciels et outils :
GitHub - microsoft/SCXcore : fournisseur multiplateforme System Center pour Operations Manager
GitHub - microsoft/Build-omi : Générer des projets requis pour OMI (Open Management Infrastructure)
Environnements de laboratoire de recherche :
Azure-Sentinel2Go/grocery-list/Linux/demos/CVE-2021-38647-OMI at master · OTRF/Azure-Sentinel2Go (github.com)
Débat public sur les attaques dans la nature :
chris doman sur Twitter: « :loudspeaker: OMIGOD (CVE-2021-38647) est maintenant en exploitation active :loudspeaker: Nous avons jeté un coup d’œil à l’un des premiers échantillons - oui, c’est Mirai! Si vous exécutez Linux sur Azure, vérifiez si OMI est installé
Andrew Morris sur Twitter : « La vulnérabilité Azure « OHMIGOD » (CVE-2021-38647) augmente un peu. ~ 10 IP exploitant de manière opportuniste le vuln sur Internet ce matin, ~ 80 maintenant. Tags disponibles pour tous les utilisateurs et clients GN maintenant. GNQL: cve:CVE-2021-38647
Kevin Beaumont sur Twitter: « Oh Mirai a corrigé leur binaire, il prend maintenant en charge l’exploitation correcte d’OMIGOD. Étant donné que Mirai peut entrer dans les réseaux et se propager latéralement via plusieurs vulns, cela pourrait être problématique.
Collaborateurs
Nicolas-Loïc Fortin
Franck Desert
Crédits
Montage audio par Intrasecure inc
Locaux virtuels par Zoom
