Un modèle d’enceinte USB peut servir de moyen d’infection d’un PC via une connexion bluetooth non authentifiée. Le constructeur refuse de prendre en compte le risque de sécurité et de publier un correctifUn chercheur en cybersécurité a découvert que la Sound Blaster Katana V2X peut être piratée via une connexion bluetooth non authentifiée afin de la transformer en un proxy capable de prendre le contrôle d'un PC. En gros, l’attaque est possible à distance ou alors sans qu’il soit nécessaire que le tiers malveillant soit en contact avec le haut-parleur. Le constructeur refuse de prendre en compte le risque de sécurité et de publier un correctif.
La Creative Sound Blaster Katana V2X peut servir de proxy de prise de contrôle de PC, car son interface Bluetooth non authentifiée permet à des attaquants situés dans un rayon d'environ 15 mètres d'y installer un micrologiciel personnalisé. En modifiant les descripteurs USB de l'enceinte, un attaquant peut tromper le système d'exploitation hôte en lui faisant croire que le haut-parleur est une espèce de clavier, ce qui permet alors au pirate de saisir et d'exécuter des commandes arbitraires.
L’exploit publié s’appuie sur trois failles : des commandes CTP (Creative Transport Protocol) Bluetooth non authentifiées, l'absence de signature cryptographique pour les mises à jour du micrologiciel et le fait que l'enceinte soit déjà reconnue par les PC comme un périphérique d'interface humaine (HID) de confiance.
Le Katana V2X communique avec les applications Creative pour ordinateur et mobile via un protocole propriétaire appelé CTP (Creative Transport Protocol). Alors que l'interface USB nécessite une procédure d'authentification pour accepter les commandes, l'interface Bluetooth Low Energy (BLE) accepte exactement les mêmes commandes sans authentification ni appariement préalable.
Le micrologiciel de l'enceinte ne dispose pas de dispositif de vérification de signature cryptographique, ce qui signifie qu'il accepte et installe aveuglément toute image de micrologiciel personnalisée ou modifiée qui lui est transmise.
L'enceinte repose sur un système d'exploitation open source (FreeRTOS) et prend en charge les fonctions HID (Human Interface Device) pour la lecture de fichiers multimédias. Les pirates peuvent modifier les descripteurs USB de l'enceinte afin qu'elle soit reconnue comme un clavier.
En gros, un attaquant envoie un micrologiciel malveillant via bluetooth. L'enceinte redémarre et charge le micrologiciel malveillant. Le micrologiciel émule un clavier et envoie des frappes via la connexion USB physique vers le PC hôte.
« Dans un scénario d'attaque réel, j'exécuterais les commandes permettant d'ouvrir powershell.exe ou un programme similaire, puis j'y collerais une ligne de code réellement malveillante, mais dans le cadre d'une démonstration de faisabilité, cela m'a largement suffi. Un véritable pirate désactiverait probablement aussi la routine de mise à jour du micrologiciel, tant en mode normal qu'en mode de récupération, rendant ainsi impossible l'effacement du micrologiciel malveillant de l'appareil ou son correction ultérieure. Cette situation est aggravée par le fait que le Bluetooth est toujours activé sur l'enceinte, même en mode veille, sans qu'il semble y avoir de moyen de le désactiver », explique le chercheur qui a publié l’exploit.
Bien que le fait de permettre à des pirates situés à moins de 15 mètres de prendre le contrôle d'un ordinateur connecté constitue un risque grave, le fabricant Creative Technologies ne considère pas ce comportement comme une faille de sécurité.
« Prendre contact avec Creative s'est avéré être un processus frustrant. Ils ne disposent d'aucun interlocuteur dédié à la sécurité. En fait, je n'ai même pas réussi à trouver de coordonnées classiques autres qu'un simple formulaire d'assistance sur leur site web. J'ai essayé (à deux reprises) de les contacter via ce formulaire avant d'abandonner et de faire appel à l'équipe d'intervention d'urgence informatique de Singapour (SingCERT) pour qu'elle serve d'intermédiaire, dans l'espoir qu'elle parvienne mieux à joindre Creative.
Au départ, l'équipe d'intervention d'urgence cyber de Singapour ne semblait pas non plus parvenir à joindre Creative. Il a fallu près de deux mois à Creative pour répondre à l'équipe d'intervention d'urgence cyber de Singapour. Malheureusement, leur réponse a été qu'« ils ne considèrent pas cela comme une vulnérabilité, car cela ne présente pas de risque pour la cybersécurité ». Je ne sais pas comment ils sont parvenus à cette conclusion, mais il est devenu évident que Creative n'avait aucun intérêt à répondre ou à traiter ce problème. De ce fait, aucun correctif n'est actuellement disponible via Creative. Le dernier firmware est vulnérable », indique le chercheur en sécurité.
« Pour pallier en partie ce problème et permettre aux utilisateurs de continuer à utiliser ces appareils en toute sécurité, j'ai rédigé un correctif pour le micrologiciel qui bloque le CTP via Bluetooth. Cela risque de rendre l'application mobile Creative inutilisable, mais sans le code source, il est assez difficile de modifier le micrologiciel tout en garantissant une authentification adéquate », ajoute-t-il.
Dans une récente mise à jour le chercheur en sécurité souligne que « Creative a supprimé toutes les URL permettant de télécharger le micrologiciel pour les Katana V2/V2X/SE, et celles-ci ne sont désormais plus accessibles. Étant donné que l'outil dépendait de ces URL pour récupérer le micrologiciel vierge depuis les serveurs de Creative (afin de ne pas redistribuer de propriété intellectuelle), Creative a de fait rendu le correctif inutilisable. Étant donné que la société n'a pas non plus publié de nouveau firmware corrigé, les utilisateurs de Sound Blaster Katana sont désormais exposés à un risque permanent, sans aucune solution possible, à moins qu'ils ne parviennent à se procurer les fichiers de firmware vierges auprès d'un tiers. »
Conclusion
Les failles mises à contribution dans le cadre de la mise sur pied de l’exploit dénommé « Pwnd Blaster » s’apparentent à celles mises en avant par des chercheurs en sécurité sous le nom « Blueborne ». Pour lancer des attaques BlueBorne, les pirates n’ont pas besoin de coupler leur appareil avec celui de la victime. Les failles de sécurité Bluetooth BlueBorne ont été corrigées peu après leur découverte en 2017. Les principaux éditeurs de systèmes d'exploitation (Microsoft, Apple, Google et Linux) ont publié des mises à jour de sécurité pour corriger ces failles. Reste à savoir combien d’appareils sont affectés par la chaîne de vulnérabilités « Pwnd Blaster » et qui attendent toujours des correctifs de sécurité.
Source : Publication de recherche
Et vous ?
Que pensez-vous du positionnement de Creative Technologies en ce qui concerne les trouvailles de ce chercheur en sécurité ?Voir aussi :
Bluetooth 5.0 est officiellement disponible avec un lot d'améliorations, dont l'augmentation de la bande passante et le renforcement de la portée
Bluetooth 4.2 arrive avec un lot de nouveautés, plus rapide et plus sécurisé, il utilise IPv6 pour se connecter directement à Internet
Vous avez lu gratuitement 3 327 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.