Archives mensuelles : novembre 2021

Cybersécurité, Mise à jour

Patch Tuesday : novembre 2021

À l’occasion de la publication de son Patch Tuesday de novembre 2021, Microsoft a corrigé 55 vulnérabilités dont 6 classées comme critiques et 6 déjà signalées comme des Zero-Day.

Vulnérabilités Microsoft critiques corrigées

CVE-2021-42298 – Vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Defender

Cette vulnérabilité qui affecte Microsoft Defender peut être exploitée en diffusant des fichiers malveillants. Cette vulnérabilité RCE sera déclenchée lorsque le fichier malveillant sera ouvert par un utilisateur ou analysé automatiquement depuis une version désuète de Microsoft Defender.

CVE-2021-42279 – Vulnérabilité de corruption de mémoire dans le moteur de script Chakra

La vulnérabilité de débordement de tampon est liée à un bug dans le moteur de script Chakra qui permet à des attaquants distants d’exécuter du code arbitraire en initialisant une corruption de mémoire.

CVE-2021-42316 – Vulnérabilité RCE dans Microsoft Dynamics 365 (on-premises)

Cette vulnérabilité est un bug avec exécution de code à distance dans les configurations Microsoft Dynamics déployées sur site (on-premises). Très peu d’informations publiques sont disponibles concernant cette vulnérabilité.

CVE-2021-26443 – Vulnérabilité RCE dans le composant Microsoft Virtual Machine Bus (VMBus)

Cette vulnérabilité se produit lorsqu’un invité VM ne parvient pas à traiter la communication sur un canal VMBus. Un utilisateur authentifié peut exploiter cette vulnérabilité en envoyant une communication malveillante sur le canal VMBus depuis l’invité à l’hôte, ce qui permet à l’attaquant d’exécuter du code arbitraire sur le serveur.

CVE-2021-3711 – OpenSSL : débordement de tampon de déchiffrement de la fonction SM2

Il s’agit d’une vulnérabilité de débordement de tampon dans le logiciel OpenSSL qui est intégré à Microsoft Visual Studio. Cette vulnérabilité est liée à un problème de calcul dans la taille du tampon dans la fonction SM2 d’OpenSSL. Un attaquant peut exploiter cette vulnérabilité pour planter l’application et exécuter potentiellement du code arbitraire avec la permission de l’utilisateur d’exécuter l’application.

CVE-2021-38666 – Vulnérabilité RCE sur le client Bureau à distance

Cette vulnérabilité sur les clients du service Bureau à distance peut être exploitée par un attaquant qui contrôle un serveur de ce service. L’attaquant peut manipuler un utilisateur pour qu’il se connecte au serveur du service Bureau à distance compromis/malveillant, ce qui entraîne une RCE.

Autres vulnérabilités activement exploitées et donc hautement prioritaires :

CVE-2021-42321 – Vulnérabilité RCE dans Microsoft Exchange Server

Cette vulnérabilité activement exploitée affecte Microsoft Exchange Server 2019 et Microsoft Exchange Server 2016. Il s’agit d’une vulnérabilité post-authentification qui permet d’exécuter du code. Microsoft fournit des détails supplémentaires dans un article de blog public.

CVE-2021-42292 – Vulnérabilité de contournement de la fonction de sécurité dans Microsoft Excel

Cette vulnérabilité peut être exploitée via un fichier malveillant qui permet à un attaquant d’exécuter du code. Elle affecte à la fois les versions Windows et MacOS, sachant qu’un correctif n’est pas encore disponible pour MacOS.

Détails sur 4 des 6 vulnérabilités Zero-Day :

CVE-2021-43208 – Vulnérabilité RCE dans 3D Viewer

CVE-2021-43209 – Vulnérabilité RCE dans 3D Viewer

CVE-2021-38631 – Vulnérabilité de divulgation d’informations dans le protocole Remote Desktop Protocol (RDP) de Windows

CVE-2021-41371 – Vulnérabilité de divulgation d’informations dans le protocole – Remote Desktop Protocol (RDP) de Windows

(Par Ankit Malhotra, Chercheur, Qualys Lab)

Securite informatique

Comment vérifier que votre box internet est piratée ?

Disposer d’une connexion internet est indispensable de nos jours. En effet, grâce à internet, il est possible de réaliser une multitude de taches du quotidien facilement. Et pour en avoir, la meilleure option est de disposer d’une box internet. Avec le développement de l’internet et la prolifération des hackers, il n’est pas rare de subir un piratage de votre box. Et lorsque cela arrive, dans le meilleur des cas, le pirate se contente d’utiliser votre connexion internet. Mais dans le pire des cas, il pourrait commettre des actes illégaux. Pour éviter cela, découvrez dans cet article comment vérifier que votre box internet est piraté.

Vérifier votre connexion internet

Vérifier votre connexion internet est la première étape si vous voulez découvrir si votre box a été piratée. Il est possible que pendant les jours de forts vents ou de pluie, la connexion puisse être affectée. Ce qui entraîne par moment une certaine lenteur de votre navigation par rapport aux autres jours. Cependant, vous devriez savoir que de manière générale, le Wifi fonctionne toujours correctement. Alors, si vous commencez par constater que votre connexion est plus lente que d’habitude, il pourrait s’agir d’une utilisation de votre réseau par quelqu’un d’autre. À cet effet, effectuez ce test de débit ici par exemple.

En dehors de la vitesse de votre connexion, vous pouvez également vérifier au niveau de la lumière de votre routeur destinée au Wifi (ou WLAN). Observez si elle clignote après que vous ayez éteint tous les appareils, y compris les smartphones. Si c’est le cas, cela indique clairement que quelqu’un utilise votre réseau.

Utiliser des outils en ligne

Il existe des outils en ligne et disponibles pour Windows, ainsi que Mac, qui peuvent vous permettre de détecter une présence inconnue sur votre réseau internet. Pour Microsoft Windows et Apple, vous avez le réseau wireless watcher et gestionnaire de réseau Microsoft. Pour mobiles Android, vous avez les dispositifs Fingdécouverte du réseau et scan du réseau. Pour mobiles iOS, il s’agit également de Fing. À celui-ci s’ajoutent scanner du réseau IP et iNet.

Toutefois, il faut noter un défaut avec ces outils. Ils ne sont pas en mesure de détecter les ordinateurs qui sont connectés au réseau. Aussi, il n’y a aucune possibilité d’accéder à une liste d’autres adresses IP qui ont pu se connecter à votre réseau sans fil.

Consulter votre retour

Le retour est un dispositif qui dispose d’un dossier qui vous permettra de savoir si une autre personne que vous est connectée à votre réseau en ce moment. Pour ce faire, vous devez entrer dans l’interface de gestion de votre routeur. Ensuite, cliquez sur votre adresse IP dans la barre de navigation (sur le même routeur). Vous verrez une boîte s’ouvrir et vous y entrez le code : ipconfig/all. Après, cliquez sur « intro », et vous verrez une adresse apparaître dans la barre du navigateur. Copiez-la et l’interface de votre routeur s’ouvrira. Il vous demandera le nom d’utilisateur et un mot de passe. Ils sont disponibles dans le manuel de votre routeur ou sur l’autocollant.

Recherchez l’historique de votre dispositif relié au Wifi. Elle apparaît souvent dans la section DHCP. Ainsi, vous verrez toutes les adresses IP connectées à votre routeur.

cyberattaque, VPN

45 millions de données de clients d’un VPN diffusées sur le web

Tout aurait pu se passer tranquillement entre un lanceur d’alerte et la société ActMobile. Une menace plus tard, et 45 millions de données sont diffusées sur Internet.

L’américain ActMobile est une société spécialisée dans les services VPN. Elle permet à ses clients de surfer de manière sécurisée, anonymat entre le client et les sites visités.

Un chercheur a expliqué, dernièrement, avoir trouvé un stockage ActMobile mal sécurisé, laissant ainsi la possibilité à qui sait chercher de mettre la main sur les données internes du service. ActMobile précise dans son mode d’emploi ne stocker aucune information sur ses clients.

Seulement, c’est mal connaître les pirates qui ont trouvé, eux aussi, le dit serveur fuiteur. Bilan, les informations copiées du cloud mal sécurisé ont été mis en ligne.

45 millions de lignes de logs avec, entre autres : IP du client ; IP du VPN utilisé ; nom de l’appareil ; version Android / iOS ; Etc. 1 577 970 courriels uniques dont 3 185 @yahoo.fr ; 8 797 @mail.ru ou encore 698 737 @gmail.com.

Le chiffre aurait pu être plus important, mais fort heureusement, le nom des utilisateurs et les adresses e-mails sont dorénavant hachés.

Base de données, cyberattaque

Piratage informatique : pendant ce temps, en Chine !

538 millions d’utilisateurs du site chinois Weibo à vendre dans le blackmarket.

Un pirate informatique que je baptiserai Торговец-изгой vient de proposer à la vente une base de données d’une taille non négligeable. Elle concerne les données des utilisateurs du site Weibo, un portail chinois.

Pour 150$ US, ce malveillant commercialise pas moins de 538 millions d’identifiants et les numéros de téléphones portables attenant. De quoi orchestrer quelques spams et autres phishing pour le blacknaute acquéreur.

Cybersécurité, Paiement en ligne

Les douanes vous réclament de l’argent ! Vraiment ?

Plusieurs dizaines de lecteurs ont alerté DataSecurityBreach.fr de la réception d’un courriel aux couleurs des Douanes françaises. Vous devez payer une taxe pour recevoir un colis.

Lors d’un achat en ligne, très peu d’internautes connaissent les règles liées aux potentielles taxes douanières. Si votre colis est expédié depuis un pays hors de l’Union européenne, il s’agit d’une importation sur le territoire national. Ce colis est soumis à des formalités douanières (droits de douane et taxes). De nombreux escrocs ont compris l’intérêts de cette méconnaissance des consommateurs et sautent sur l’occasion pour piéger les clients.

Depuis quelques jours, une nouvelle vague d’un courriel aux couleurs des Douanes françaises a fait son apparition dans des boites mails de clients SFR. Fait intéressant, les mêmes qui ont reçu un courriel se faisant passer pour la police/gendarmerie, voilà quelques jours.

Le faux courriel de la Douane explique qu’un « colis expédiée le [date, NDR] est en cours de traitement, Afin de nous permettre la livraison du votre colis des frais de TVA seront refacturés à l’importateur (…) Conformément à la règlementation douanière en vigueur, toute importation en provenance d’un pays hors communauté européenne d’une valeur commerciale supérieure à 400 EUR est taxable, quelle que soit la nature de la marchandise« .

L’escroc, pour parfaire le contenu de sa missive fournit un texte de loi qui doit renforcer la véracité de ses dires : « Article 154-I et II-1° du CGI : LOI n°2018-1511 du 03 mai 2018 – art. 98 (V) la validation du solde Paysafecard pour règlement des frais de dédouanement est valable. » texte qui évolue depuis une dizaine d’année comme le montre mes captures écrans.

Le pirate explique ensuite qu’afin de permettre la livraison du colis l’internaute doit « régulariser les frais douanière impayés en suivant les étapes vous permettant la finalisation de la livraison de votre colis« .

Le voleur 2.0 réclame entre 50 et 100€ (selon les courriels, Ndr) qu’il faut payer via le service Paysafecard. Bien entendu la Douane ne réclame pas d’argent via ce type de site et service web. A noter que derrière l’adresse électronique proposée par le pirate (confirmation-colis@service-public.fr) se cache ne fait servicenews@airmail.cc

Pour en savoir plus sur les questions que vous pourriez vous poser sur vos achats en ligne, visitez le site officiel douane.gouv.fr (pour la France) ; (Belgique) ;  (Canada).