Selon Trustwave SpiderLabs (SpiderLabs Blog), des vulnérabilités critiques affectent la machine de mise sous pli haut volume Quadient DS-700iQ, permettant une chaîne d’attaque complète depuis la sortie du mode kiosque jusqu’au compromis d’identifiants et un possible pivot vers les réseaux d’entreprise.
Le rapport décrit une progression d’attaque qui débute par des failles de type race condition dans le client lourd IMOS provoquant des crashs et l’exposition du Windows sous-jacent, se poursuit par l’exploitation d’un accès physique non sécurisé au PC contrôleur (ports USB accessibles), et aboutit à l’exécution de code arbitraire, la désactivation des mécanismes de sécurité et l’extraction d’identifiants en clair. Le fournisseur n’a pas répondu aux démarches de divulgation responsable et l’attribution de CVE est en attente.
Principales faiblesses mises en évidence:
- Kiosk breakout via des race conditions du client IMOS (clics rapides sur l’UI provoquant des crashs et l’accès au bureau Windows).
- Accès physique au PC contrôleur dans une armoire non verrouillée, avec ports USB exposés.
- Absence de contrôle des périphériques USB (pas d’allowlisting VID/PID) autorisant HID, stockage de masse et adaptateurs réseau arbitraires.
- Windows exécuté sous un compte administrateur local par défaut (« Neopost »), sans séparation de privilèges.
- Protections LSASS désactivées (Credential Guard, RunAsPPL) et WDigest activé, permettant l’extraction d’identifiants en clair.
- Possibilité de désactiver Windows Defender et d’exécuter Mimikatz pour dumper les identifiants en mémoire.
Impact et risques:
- Compromission d’un équipement traitant des documents contenant potentiellement des données personnelles (PII).
- Escalade de privilèges locale jusqu’à l’admin, contournement des contrôles de sécurité et compromission d’identifiants.
- Mouvement latéral possible vers des environnements Active Directory d’entreprise.
TTPs et IOCs:
- TTPs: Kiosk breakout (race condition UI), exploitation d’accès physique/USB non géré, injection HID, ajout d’adaptateur réseau USB, désactivation d’antivirus (Windows Defender), credential dumping (Mimikatz), exploitation de WDigest et accès mémoire LSASS, usage d’un compte admin local par défaut, lateral movement vers AD.
- IOCs: Aucun indicateur d’infection spécifique fourni.
Conclusion: Il s’agit d’une publication de recherche détaillant une chaîne d’exploitation et les risques opérationnels associés aux DS-700iQ, avec un objectif principal de sensibilisation et de documentation technique. ⚠️
🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/from-folding-to-folded-hacking-high-volume-mailer-machines/