L’équipe de support de 3CX, le fournisseur de logiciels VoIP/PBX avec plus de 600 000 clients et 12 millions d’utilisateurs quotidiens, était au courant que son application de bureau était signalée comme un malware, mais a décidé de ne rien faire pendant une semaine lorsqu’elle a appris qu’elle était sur le réception de la fin d’une attaque massive de la chaîne d’approvisionnement, indique un fil de discussion sur le forum communautaire de l’entreprise.
“Est-ce que quelqu’un d’autre voit ce problème avec d’autres fournisseurs A/V ?” a demandé un client de l’entreprise le 22 mars, dans un article intitulé “Alertes de menace de SentinelOne pour la mise à jour du bureau initiée à partir du client de bureau”. Le client faisait référence à un produit de détection de logiciels malveillants sur les terminaux de la société de sécurité SentinelOne. Le message comprenait certains des soupçons de SentinelOne : la détection de shellcode, l’injection de code dans d’autres espaces mémoire de processus et d’autres marques d’exploitation de logiciels.
Est-ce que quelqu’un d’autre voit ce problème avec d’autres fournisseurs A/V ?
Post-exploitation
Une infrastructure de pénétration ou un shellcode a été détecté
Évasion
La commande indirecte a été exécutée
Injection de code dans l’espace mémoire d’un autre processus lors de l’initialisation du processus cible
DeviceHarddiskVolume4Users**USERNAME**AppDataLocalPrograms3CXDesktopApp3CXDesktopApp.exe
SHA1 e272715737b51c01dc2bed0f0aee2bf6feef25f1
J’obtiens également le même déclencheur lorsque j’essaie de retélécharger l’application à partir du client Web ( 3CXDesktopApp-18.12.416.msi ).
Faire confiance par défaut
D’autres utilisateurs sont rapidement intervenus pour signaler avoir reçu les mêmes avertissements de leur logiciel SentinelOne. Ils ont tous signalé avoir reçu l’avertissement lors de l’exécution de la mise à jour 18.0 7 (Build 312) du 3CXDesktopApp pour Windows. Les utilisateurs ont rapidement décidé que la détection était un faux positif déclenché par un problème dans le produit SentinelOne. Ils ont créé une exception pour permettre à l’application suspecte de s’exécuter sans interférence. Vendredi, un jour plus tard, et de nouveau les lundi et mardi suivants, davantage d’utilisateurs ont signalé avoir reçu l’avertissement SentinelOne.
Dans l’une des contributions les plus prémonitoires, un utilisateur a écrit mardi : “Nous avons implémenté les mêmes ‘correctifs’ que ceux décrits ici, mais une réponse de 3CX et/ou SentinelOne serait vraiment utile car je n’aime pas faire confiance par défaut au paysage de sécurité actuel des attaques de la chaîne d’approvisionnement.
Publicité
Quelques minutes plus tard, un membre de l’équipe de support de 3CX s’est joint à la discussion pour la première fois, recommandant aux clients de contacter SentinelOne car c’est le logiciel de cette société qui a déclenché l’avertissement. Un autre client a repoussé en réponse, écrivant :
Hmmm… plus les gens qui utilisent à la fois 3CX et SentinelOne ont le même problème. Ne serait-il pas agréable que vous de 3CX contactiez SentinelOne et découvriez s’il s’agit d’un faux positif ou non ? – De fournisseur à fournisseur – donc à la fin, vous et la communauté sauriez si c’est toujours sain et sauf ?
Le représentant du support 3CX a répondu :
Bien que cela semble idéal, il existe des centaines, voire des milliers de solutions audiovisuelles et nous ne pouvons pas toujours les contacter chaque fois qu’un événement se produit. Nous utilisons le framework Electron pour notre application, peut-être bloquent-ils certaines de ses fonctionnalités ?
Comme vous le comprenez probablement, nous n’avons aucun contrôle sur leur logiciel et les décisions qu’il prend, ce n’est donc pas exactement à nous de le commenter. Je pense que dans ce cas au moins, il est plus logique que les clients SentinelOne contactent leur fournisseur de logiciels de sécurité et voient pourquoi cela se produit. N’hésitez pas à poster vos découvertes ici si vous obtenez une réponse.
Il faudrait encore 24 heures avant que le monde apprenne que SentinelOne avait raison et que les personnes soupçonnant un faux positif avaient tort.
Comme indiqué précédemment, un groupe de menaces lié au gouvernement nord-coréen a compromis le système de construction du logiciel 3CX et a utilisé le contrôle pour pousser les versions trojanisées des programmes DesktopApp de la société pour Windows et macOS. Le logiciel malveillant provoque la balise des machines infectées vers des serveurs contrôlés par des acteurs et, selon des critères inconnus, le déploiement de charges utiles de deuxième étape vers des cibles spécifiques. Dans quelques cas, les attaquants ont effectué une “activité manuelle sur le clavier” sur les machines infectées, ce qui signifie que les attaquants ont exécuté manuellement des commandes sur celles-ci.
La panne impliquant la détection ignorée par 3CX et ses utilisateurs devrait servir d’avertissement aux équipes de support et aux utilisateurs finaux, car ils sont généralement les premiers à rencontrer une activité suspecte. Les représentants de 3CX n’ont pas répondu à un message sollicitant des commentaires sur cette histoire.