Archives mensuelles : août 2022

Cybersécurité, Entreprise, Facebook

Russie : des députés réclament le retour d’Instagram

Des députés russes demandent la fin du blocage du réseau social Instagram afin d’aider les petites entreprises locales.

Des députés Russes ont demandé au bureau du procureur général de vérifier à nouveau le réseau social Instagram afin de stopper le blocage de ce dernier pour violations de la législation russe. Les politiques souhaitent le retour du réseau social, indispensable pour un grand nombre de petites entreprises russes.

Plus tôt, le vice-président de la Douma d’État, Vladislav Davankov, a déclaré que le blocage d’Instagram avait provoqué l’utilisation massive de « services VPN douteux » et entraîné une baisse des revenus des petites et moyennes entreprises. Selon Davankov, c’était le seul réseau social à servir aussi de plate-forme de vente.

Rappelons qu’en mars 2022, le tribunal Tverskoy de Moscou a reconnu la société Meta (Facebook) comme entreprise extrémiste et a interdit les réseaux sociaux Instagram et Facebook en Russie.

Cybersécurité, Mise à jour, Patch

Patch Tuesday – Août 2022

Un mois d’août 2022 très chargé pour Microsoft avec 121 vulnérabilités dont 17 critiques corrigées.

En résumé ce mois, Microsoft a corrigé 121 vulnérabilités, dont 17 vulnérabilités classées Critiques, car facilitant une élévation de privilèges (EoP) et une exécution de code à distance (RCE). Correctifs disponibles pour 2 vulnérabilités Zero-Day, l’une étant activement exploitée lors d’attaques (CVE-2022-34713, CVE-2022-30134). Microsoft a également publié 20 mises à jour de sécurité pour Microsoft Edge (basé sur Chromium) afin de résoudre des vulnérabilités d’élévation de privilèges (EoP), d’exécution de code à distance (RCE) et de contournement de fonctions de sécurité, affichant une sévérité respectivement faible, modérée et importante.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation, ainsi que dans Microsoft Edge (basé sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Remarque : Les vulnérabilités dans Microsoft Edge sont présentes dans chacune des catégories : Élévation de privilèges / Faible, Exécution de code à distance / Modérée et Contournement de fonctions de sécurité / Importante

Principales vulnérabilités Microsoft corrigées

CVE-2022-34713 | Vulnérabilité d’exécution de code à distance dans l’outil de diagnostic du Support Windows (MSDT)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

En mai dernier, Microsoft a publié un article avec des recommandations pour une vulnérabilité dans l’outil MSDT et des mises à jour pour résoudre cette vulnérabilité. Cette vulnérabilité CVE est une variante connue publiquement sous le nom de Dogwalk.

Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-30134 | Vulnérabilité de divulgation d’informations dans Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,6/10.

Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée d’Exchange Server et accède à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question, généralement en les y invitant au moyen d’un message électronique ou dans le cadre d’une discussion en ligne.

Pour plus d’informations, reportez-vous à Exchange Server Support for Windows Extended Protection et/ou au blog sur Exchange.

Évaluation d’exploitabilité : Exploitation improbable

Corrections des vulnérabilités de contournement de fonctions de sécurité

Il existe des mises à jour de sécurité autonomes. Ces packages doivent être installés au dessus des mises à jour de sécurité classiques pour protéger pleinement contre cette vulnérabilité.

Cette actualisation exige une mise à jour de la pile de maintenance (SSU) pour des numéros KB spécifiques. Les packages ont une logique pré-requise intégrée qui garantit un certain ordre.

Les clients Microsoft doivent s’assurer d’avoir installé la toute dernière version de la mise à jour de la pile de maintenance avant d’installer ces mises à jour de sécurité autonomes. Pour plus d’informations, se reporter à ADV990001 | Latest Servicing Stack Updates .

Un attaquant parvenant à exploiter l’une de ces trois vulnérabilités pourrait contourner un Démarrage sécurisé.

CVE-2022-34301 | CERT/CC: CVE-2022-34301 – Contournement du chargeur de démarrage Eurosoft

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34302 | CERT/CC: CVE-2022-34302 – Contournement du chargeur de démarrage New Horizon Data Systems Inc.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34303 | CERT/CC: CVE-20220-34303 – Contournement du chargeur de démarrage Crypto Pro

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-35794, CVE-2022-35794 | Vulnérabilité d’exécution de code à distance dans le protocole SSTP (Secure Socket Tunneling Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10.

Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-30133, CVE-2022-35744 | Vulnérabilité d’exécution de code à distance dans le protocole PPP (Point-to-Point Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. Une solution de contournement temporaire, avant d’installer les mises à jour corrigeant cette vulnérabilité, consiste à bloquer le trafic via ce port pour rendre la vulnérabilité inexploitable. Avertissement : Désactiver le Port 1723 peut affecter les communications sur votre réseau.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-34691 | Vulnérabilité d’élévation de privilèges sur les services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. En guise de solution de contournement temporaire, un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges au niveau Système.

Pour savoir comment protéger votre domaine, reportez-vous aux modifications de l’authentification à base de certificat sur les contrôleurs de domaine Windows.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-33646 | Vulnérabilité d’élévation de privilèges sur l’agent de nœud d’Azure Batch

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,0/10.

Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit préparer l’environnement ciblé pour améliorer la fiabilité de l’exploit.

Évaluation d’exploitabilité : Exploitation plus probable

(Par Debra M. Fezza Reed, Ingénieur de l’équipe Recherche sur les vulnérabilités et les menaces, Lab Qualys.)

backdoor, Cybersécurité

Piratage de l’administration fédérale de l’aviation US ?

Un pirate informatique propose à la vente une base de données contenant les employés de l’administration fédérale de l’aviation US.

Le pirate est connu de la scène « leak » mondiale. Baptisé PS, ce blacknaute commercialise des dizaines de bases de données toutes aussi étonnantes les unes que les autres. Je n’en ferai pas la liste ici, mais la dernière en date a de quoi attirer l’œil.

Pour 250 euros « somme négociable« , le hacker propose la base de données des employés de l’administration fédérale de l’aviation américaine. « Un accès en direct » souligne-t-il tout en proposant un échantillon.

On y croise les identités, les numéros de téléphone, les adresses électroniques (@faa.gov), les adresses physiques, etc.

Le pirate a diffusé une capture écran, ci-dessous, affichant 79.757 personnes le 13 août 2022.

« L’accès en direct signifie que nous fournissons des informations d’identification à la base de données pour se connecter et vérifier la source et la date des données » explique ce vendeur.

Une seule copie, pour une seule vente.

Cybersécurité, Entreprise

Ransomwares : hausse de 42 % en France

Un rapport sur les menaces pour le deuxième trimestre 2022 révèle une forte augmentation des attaques de ransomware dans le monde, soit 24 % de plus qu’au premier trimestre 2022. Parmi les cibles « faciles » des pirates, les cabinets d’architectures.

Forte augmentation des attaques par ransomware

Après des mois de déclin, les attaques mondiales de ransomware ont augmenté de manière significative au cours du 2ème trimestre 2022, soit une hausse de 24 % par rapport au trimestre précédent. Les plus fortes augmentations trimestrielles du ratio de risque de ransomware ont été enregistrées en Argentine (+56 %), au Royaume-Uni (+55 %), au Brésil (+50 %), en France (+42 %) et en Inde (+37 %).

« Les consommateurs, mais surtout les entreprises, doivent rester sur leurs gardes et se préparer à rencontrer des ransomwares, car cette menace n’est pas prête de disparaître« , explique Jakub Kroustek, directeur de la recherche sur les malwares chez Avast. « La baisse des attaques de ransomware que nous avons observée au quatrième trimestre de l’année 2021 et au premier trimestre de l’année 2022 était due à l’arrestation par les forces de l’ordre de membres de groupes de ransomware, ainsi qu’à la guerre en Ukraine, qui a également entraîné des désaccords au sein du groupe de ransomware Conti, interrompant leurs opérations. Les choses ont radicalement changé au deuxième trimestre 2022. Les membres de Conti ont maintenant bifurqué pour créer de nouveaux groupes de ransomware, comme Black Basta et Karakurt, ou peuvent rejoindre d’autres groupes existants, comme Hive, BlackCat ou Quantum, ce qui provoque un regain d’activité.« 

Sur cette même période, pas moins de 291 fuites de données visant des cabinets d’architecture ont été référencées par le site spécialisé ZATAZ.

Autant dire que face à l’appétit grandissant des pirates, une assurance cyber sécurité n’est plus une option pour pouvoir se retourner en cas de cyber attaque et ne pas se retrouver avec une rupture de service.

Face aux ransomwares, l’assurance rassure et protège

Dès que l’on pense assurance, on pense remboursement, temps perdu avec l’expertise, etc. Mais une assurance, c’est avant tout prévoir et palier au pire. Elle permet d’anticiper les risques. Elle couvrira le danger, avant qu’il n’intervienne.

Voici quelques exemples des options que votre assurance cyber doit prendre en compte :

– Frais liés aux enquêtes techniques, aux experts informatiques, mais aussi aux potentiels frais administratifs : justice, etc. Une cyber attaque ransomware demandera de nombreuses recherches dont celle qui confirmera la non présence, cachée, des pirates et de leurs outils malveillants.

– Couverture en cas de pertes d’exploitation. Un ransomware imposera le blocage et la fermeture, le temps de l’enquête technique et administrative, de vos machines et outils de communication numériques.

– Restauration de vos données. La plupart du temps, après le colmatage de la porte d’entrée des pirates, une restauration des données permet de relancer les machines. – Conseils juridiques et d’experts.

– Être conforme face au Règlement Général de la Protection des Données (RGPD).

APT, Cybersécurité, Securite informatique

Macros bloquées par défaut

Microsoft bloque désormais les macros VBA par défaut dans les applications Office.

Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.

Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes.

Microsoft était revenue sur ce blocage à la suite d’une série de gens pas contents. Début août, retour du blocage, définitivement.

backdoor, Cybersécurité

Exploits zero day

Des chercheurs ont découvert deux nouveaux exploits zero day utilisés par le vendeur de logiciels espions islandais Candiru pour cibler, entre autres, des journalistes au Liban.

Le premier est un bogue dans WebRTC, qui a été exploité pour attaquer les utilisateurs de Google Chrome dans des attaques très ciblées de type « watering hole », mais qui a également affecté de nombreux autres navigateurs.

Un autre exploit a permis aux attaquants de s’échapper d’une sandbox dans laquelle ils avaient atterri après avoir exploité le premier zero-day. Le deuxième zéro day découvert par Avast a été exploité pour pénétrer dans le noyau de Windows.

Un autre zero-day décrit dans le dernier rapport en date d’AVAST est Follina, un bug d’exécution de code à distance dans Microsoft Office, qui a été largement exploité par des attaquants allant des cybercriminels aux groupes APT liés à la Russie et opérant en Ukraine.

Ce zero-day a également été exploité par Gadolinium/APT40, un groupe APT chinois connu, dans une attaque contre des cibles à Palau.