La firme de cybersécurité F-Secure a découvert plusieurs vulnérabilités exploitables dans un système de présentation sans fil populaire qui pourraient permettre à un attaquant de manipuler des informations lors des présentations, de voler des mots de passe et d'autres informations sensibles et même d'installer des portes dérobées et d'autres logiciels malveillants.
L'entreprise a découvert les vulnérabilités du système de présentation sans fil ClickShare de Barco, un outil de collaboration qui permet aux utilisateurs de présenter du contenu à partir d'une variété d'appareils.
Le consultant principal de F-Secure Consulting, Dmitry Janushkevich, a expliqué que la popularité des outils conviviaux en faisait des cibles parfaites pour les pirates, déclarant:
«Le système est tellement pratique et facile à utiliser que les gens ne voient aucune raison de s'en méfier. Mais sa simplicité trompeuse cache des fonctionnements internes extrêmement complexes, et cette complexité rend la sécurité difficile. Les objets de tous les jours auxquels les gens font confiance sans arrière-pensée constituent les meilleures cibles pour les attaquants, et parce que ces systèmes sont si populaires auprès des entreprises, nous avons décidé de le pousser et de voir ce que nous pourrions apprendre. »
Sommaire
Barco ClickShare
Janushkevich et ses collègues de F-Secure consulting ont ensuite commencé à rechercher le système ClickShare de manière ponctuelle pendant plusieurs mois après avoir remarqué sa popularité lors des évaluations de l'équipe rouge. L'équipe a découvert plusieurs failles exploitables, dont 10 ont des identificateurs CVE (Common Vulnerabilities and Exposures).
Ces différents problèmes ont facilité une grande variété d'attaques, notamment l'interception d'informations partagées via le système, l'utilisation du système pour installer portes dérobées ou autres logiciels malveillants sur les ordinateurs des utilisateurs et vol d'informations et de mots de passe. L'exploitation de certaines vulnérabilités nécessite un accès physique, mais F-Secure consulting a également constaté que d'autres peuvent être exécutées à distance si le système utilise ses paramètres par défaut.
Selon Janushkevich, l'exécution des exploits dans Barco ClickShare peut être effectuée rapidement par un attaquant qualifié disposant d'un accès physique (éventuellement en se faisant passer pour un nettoyeur ou un employé de bureau), ce qui leur permet de compromettre discrètement l'appareil.
F-Secure Consulting a partagé ses recherches avec Barco en novembre et les deux sociétés ont ensuite travaillé ensemble dans un effort de divulgation coordonné. Barco a maintenant publié une mise à jour du micrologiciel sur son site Web pour atténuer les vulnérabilités les plus critiques, bien que plusieurs des problèmes impliquent des composants matériels qui nécessitent une maintenance physique pour résoudre et sont peu susceptibles d'être corrigés.