Un chercheur en sécurité a découvert des vulnérabilités dans les récepteurs USB utilisés par les claviers, souris et sélecteurs de présentation Logitech. Ces vulnérabilités peuvent permettre à un cybercriminel non seulement de suivre les frappes au clavier, mais également d’injecter ses propres frappes au clavier, ce qui lui permet de s’emparer de l’ordinateur connecté au récepteur USB. En cas d’implémentation du chiffrement pour protéger la connexion entre le support et son périphérique couplé, ces vulnérabilités permettent également aux attaquants de récupérer la clé du chiffrement. De plus, si la clé USB utilise une « liste noire de clés » pour empêcher le périphérique couplé d’injecter des frappes au clavier, les vulnérabilités permettent le contournement de ce système de protection de sécurité.
Selon un rapport, tous les périphériques d’entrée sans fil Logitech utilisant la technologie de radio Unifying sont affectés par ces vulnérabilités identifiées par les CVE-2019-13052, CVE-2019-13053, CVE-2019-13054 et CVE-2019-13055. Marcus Mengs, le chercheur qui a découvert ces vulnérabilités, a déclaré avoir informé Logitech de ses conclusions et que le fournisseur envisageait de corriger certains des problèmes signalés, mais pas tous.
Pourquoi ne pas tous les corriger ?
En essayant de tous les corriger, cela aurait probablement une incidence sur la compatibilité entre toutes les clés USB Logitech utilisant la technologie de radio Unifying de la société, qui permet de communiquer avec des périphériques sans fil. Logitech utilise la technologie radio Unifying dans un certain nombre de ces produits, allant des périphériques d’entrée de gamme aux modèles haut de gamme. Cette technologie permet d’utiliser jusqu’à six périphériques d’entrée compatibles avec un seul récepteur Unified.
CVE-2019-13052
La vulnérabilité CVE-2019-13052 peut permettre à aux cybercriminels de déchiffrer la communication chiffrée avec l’ordinateur hôte, s’ils ont enregistré l’association entre le périphérique d’entrée et l’ordinateur hôte. « Avec la clé volée, l’attaquant est en mesure d’ajouter des frappes arbitraires, ainsi que de suivre et de décoder en temps réel les entrées au clavier à distance », a déclaré Mengs. De plus, dans les cas où les cybercriminels ont manqué l’opération d’association de la clé, un attaquant disposant d’un accès physique au récepteur « pourrait initier manuellement le ré-appariement d’un périphérique déjà associé au récepteur, afin d’obtenir la clé de chiffrement du lien en débranchant et rebranchant simplement la clé ».
CVE-2019-13053
Selon Mengs, à l’instar du précédent, cette vulnérabilité permet à un attaquant d’ajouter des frappes de touche dans le flux de communication chiffré entre une clé USB et un périphérique Logitech, même sans connaître la clé de chiffrement. Le chercheur a déclaré que l’acteur de la menace aurait besoin d’un accès physique à un périphérique pour mener à bien cette attaque. Le concept étant de presser entre 12 et 20 clés et enregistre le trafic chiffré, qu’il analyse ensuite et récupère la clé de chiffrement. L’accès physique n’étant nécessaire qu’une seule fois, l’attaquant peut collecter suffisamment de données cryptographiques dans le trafic radio. « Une fois que les données ont été collectées, des frappes au clavier arbitraires peuvent être injectées », a déclaré Mengs. Il ajoute que la cause de cette vulnérabilité est un correctif incomplet du CVE-2016-10761, l’une des fameuses vulnérabilités MouseJack.
Les CVE-2019-13054 et CVE-2019-13055 présentent techniquement la même vulnérabilité. Les failles nécessitent un accès physique à une clé Logitech Unifying pour pouvoir être exploitées avec succès. Selon Mengs, les clés sont livrées avec des commandes non documentées et des protections de données inappropriées qui permettent à un attaquant de vider les clés de chiffrement stockées sur les récepteurs. L’attaque complète prend une seconde pour s’exécuter et une fois que le pirate informatique dispose des clés de chiffrement, il peut renifler les frappes au clavier de l’utilisateur ou injecter les siennes pour effectuer des opérations malveillantes et prendre le contrôle des ordinateurs.
Logitech aurait déclaré à Mengs qu’un correctif pour ce problème est prévu pour août 2019. La CVE-2019-13054 est utilisé comme identifiant de l’impact de la vulnérabilité sur les sélecteurs de présentation Logitech R500 et Logitech SPOTLIGHT, tandis que la CVE-2019-13055 est utilisé pour tous les autres périphériques Logitech utilisant une clé Unifying. La raison pour laquelle les sélecteurs de présentation Logitech ont été classés dans des catégories distinctes est que l’attaquant peut également contourner les « listes noires de clés » et injecter des combinaisons de touches entre A et Z, qui, techniquement, ne devraient pas être prises en charge sur les périphériques de sélecteur de présentation.
En plus des quatre vulnérabilités qu’il a découvertes au cours des derniers mois, Mengs a également averti que de nombreux dongles Logitech Unifying sont toujours vulnérables aux anciennes vulnérabilités MouseJack révélées en 2016. Logitech prévoit de corriger les vulnérabilités CVE-2019-13055 et CVE-2019-13054 dans un correctif qui sera publié en août.
Contrairement à la réaction de Google qui, dans une situation similaire, lorsque l’entreprise avait découvert que des cybercriminels pouvaient associer un périphérique malveillant à l’ordinateur d’un utilisateur en raison d’un processus d’association dans la version Bluetooth de sa clé de sécurité Titan, Google avait publié un rappel mondial de toutes les clés Titan touchées. Logitech a pour sa part déclaré à Mengs qu’ils ne prévoient pas d’émettre de correctif de microprogramme pour certaines vulnérabilités.
Source : NIST