Daniel Prizmant, un chercheur en ingénierie inverse, a découvert ce qui pourrait être le premier malware connu ciblant les conteneurs Windows pour compromettre les environnements cloud.
Siloscape, un danger caché
S’appuyant sur les travaux publiés en décembre de l’année dernière sur l’ingénierie inverse des conteneurs Windows, le chercheur en sécurité Daniel Prizmant a découvert un malware qu’il cherche à vérifier dans les clusters Kubernetes. Il a apparemment réussi sur au moins 23 cibles connues. Siloscape est un malware fortement obscurci ciblant les clusters Kubernetes via des conteneurs Windows, découvert pour la première fois en mars. Son objectif principal est d’ouvrir une porte dérobée dans des clusters Kubernetes mal configurés afin d’exécuter des conteneurs malveillants.
Siloscape sait rester caché en utilisant le réseau du projet Tor et un domaine .onion anonyme pour se connecter à un serveur de commande et de contrôle. Au cours de son analyse, Prizmant a trouvé 313 systèmes individuels se connectant à ce serveur. Néanmoins, il n’a pu vérifier que 23 victimes actives de Siloscape, suggérant que le malware ne représente qu’une partie d’une attaque plus large.
Un malware potentiellement dangereux
Dans son rapport, Prizmant explique qu’il est bien plus grave de compromettre un cluster entier qu’un conteneur individuel. En effet, un cluster peut exécuter plusieurs applications cloud alors qu’un conteneur individuel exécute généralement une seule application cloud. Une telle attaque pourrait même être exploitée comme une attaque de ransomware en prenant les fichiers de l’organisation en otage. Pire encore, avec la migration des organisations vers le cloud, beaucoup utilisent les clusters Kubernetes comme environnements de développement et de test. Une violation d’un tel environnement peut conduire à des attaques dévastatrices de la chaîne d’approvisionnement logicielle.
Ce malware particulier est extrêmement impressionnant. Ce type d’attaque peut être exploité dans des attaques multicouches causant des perturbations à tous les niveaux de toute organisation ciblée. La façon dont les organisations gèrent leurs services a changé. De plus en plus d’organisations déploient leurs services et applications dans des conteneurs, notamment Kubernetes. Les criminels s’adaptent en conséquence. Ils ont d’ailleurs déjà démontré à maintes reprises leur incroyable ingéniosité et leur capacité à s’adapter lorsqu’ il s’agit d’essayer de garder une longueur d’avance.
Microsoft peu vigilant ?
En juillet 2020, Prizmant avait déjà signalé la possibilité pour des conteneurs Windows de sortir des limites. Mais à sa grande surprise, Microsoft était à ce moment-là resté indifférent. Microsoft ne considérait pas ce problème comme une vulnérabilité, dit-il, considérant que les conteneurs Windows Server ne sont pas une limite de sécurité. Donc, chaque application exécutée à l’intérieur d’un conteneur doit être traitée comme si elle était exécutée directement sur l’hôte.
Quelques semaines après, Prizmant a signalé le problème à Google car Kubernetes est vulnérable à ces problèmes. Google a par la suite contacté Microsoft qui a déterminé qu’une fuite d’un conteneur Windows vers l’hôte, exécuté sans autorisation d’administrateur à l’intérieur du conteneur, sera en fait considérée comme une vulnérabilité. Peu après cette reclassification, Prizmant a découvert Siloscape, qui, selon lui, exploite activement les vulnérabilités zero-day dans les applications conteneurisées. Le malware utilise des techniques d’échappement de conteneur spécifiques à Windows pour accéder au nœud sous-jacent, et à partir de là au cluster depuis plus d’un an.
- Partager l'article :