Archives quotidiennes :

backdoor, Cybersécurité

LetCall : un logiciel pirate qui dirige vers un centre d’appel malveillant !

Le code malveillant LetCall intercepte les appels téléphoniques des clients de banques afin de les diriger vers des centres d’appels pirates !

Les experts de ThreatFabric ont étudié la boîte à outils Letscall, qui est utilisée pour le phishing vocal en Corée du Sud. Une caractéristique intéressante de ces attaques est que si la victime essaie d’appeler la banque, le logiciel malveillant intercepte son appel et redirige la victime vers un centre d’appels pirate. En 2022, une attaque similaire avait été detectée. Elle avait été baptisée FakeCalls. Une fois installé, LetCal redirige les appels des victimes vers un centre d’appel contrôlé par des pirates. Là, des opérateurs spécialement formés, se faisant passer pour de vrais employés de banque, peuvent récupérer, sans mal, des informations confidentielles de victimes sans méfiance.

Le groupe derrière Letscall comprend des développeurs Android, des concepteurs, des développeurs d’interface et de backend, et des opérateurs de centres d’appels spécialisés dans les attaques vocales et l’ingénierie sociale. Les experts décrivent Letscall comme un logiciel espion multifonctionnel ou RAT (cheval de Troie d’accès à distance, « cheval de Troie d’accès à distance »). Les victimes téléchargent LetsCall via un site qui imitait la page officielle Google Play Store. L’une des applications a des messages vocaux pré-enregistrés permettant de « discuter » avec le client qui essaie d’appeler sa banque ! (TF)

Cybersécurité, Mise à jour, Patch

Zimbra demande de corriger manuellement une vulnérabilité

Les développeurs de Zimbra demandent aux administrateurs de corriger manuellement une vulnérabilité zero-day qui est déjà activement exploitée par des pirates pour compromettre les serveurs de messagerie Zimbra Collaboration Suite (ZCS).

Comme il n’y a pas encore de correctif, les administrateurs sont priés de se protéger temporairement manuellement. Actuellement, la vulnérabilité n’a pas encore reçu d’identifiant CVE, mais on sait qu’il s’agit d’un bogue XSS découvert par des spécialistes du Google Threat Analysis Group. Bien que Zimbra ne signale pas que le problème est déjà utilisé dans des attaques, Maddie Stone de Google TAG met en garde à ce sujet. Selon elle, la vulnérabilité XSS a été découverte par des spécialistes lors de l’étude d’une cyberattaque ciblée.

Cybersécurité, Microsoft, Mise à jour

Windows Update Restored : mettre à jour votre Windows 95

Un projet indépendant, Windows Update Restored vise à faciliter la mise à jour des anciennes versions de Windows, notamment Win95, 98 et NT 4.0. Attention, danger en cas de connexion web d’OS obsolètes !

Voilà qui est original. Le site Windows Update Restored, mis en place par des amateurs d’ordinateurs rétro, donne accès aux pages Windows Update perdues. Mission, permettre la mise à jour de vieux, trés vieux Windows. L’équipe du projet espère aider ceux qui installent et mettent à niveau les systèmes Windows 95, NT 4.0, 98, Me, 2000 et XP. Le fait est que les anciennes versions de Windows reposaient principalement sur le travail de l’application Web Windows Update, et non sur les outils de mise à jour intégrés, comme c’est le cas actuellement. Et vers la mi-2011, Microsoft a fermé la version du site qui pouvait analyser et mettre à jour Windows 95 et 98.

Le site Windows Update Restored est une version légèrement modifiée du site de Microsoft, un clone du site Windows Update v3.1 (datant de 1997) qui couvre Windows 95, NT 4.0 et Windows 98 (et SE). Le site n’utilise pas SSL ou TLS, donc les anciennes versions d’Internet Explorer peuvent toujours y accéder. Pour accéder aux mises à jour, vous aurez besoin d’au moins Internet Explorer 5.

Étant donné que ce navigateur ne peut plus être téléchargé directement depuis Microsoft, le site Windows Update Restored propose des liens de téléchargement pour IE5 et IE5.5 dans toutes les langues prises en charge.

Pour rappel, à utiliser à vos risques et périls. Les mises à jour pour Windows 95 ont été stoppées il y a 22 ans, et que Windows 98 et ME ont cessé de recevoir des mises à jour en 2006.

Cybersécurité, Mise à jour, Patch

Les vulnérabilités critiques de ColdFusion sont déjà exploitées par des pirates

Adobe vient de corriger des failles visant son outil ColdFusion. Des hackers malveillants exploitent déjà les vulnérabilités.

Adobe a corrigé des vulnérabilités critiques d’exécution de code dans ColdFusion. La semaine dernière, Adobe a signalé un problème de contournement d’authentification ColdFusion (CVE-2023-29298). Une faille découverte par la société Rapid7. Une seconde vulnérabilité d’exécution de code à distance de pré-authentification (CVE-2023-29300) avait été mise à jour par CrowdStrike.

La vulnérabilité critique CVE-2023-29300 est associée à la désérialisation (9,8 points sur l’échelle CVSS) et peut être utilisée par des visiteurs non autorisés pour exécuter à distance des commandes sur des serveurs vulnérables Coldfusion 2018, 2021 et 2023.

Le 14 juillet, Adobe a publié un correctif « urgent » pour une autre vulnérabilité, CVE-2023-38203, également découverte dans Project Discovery. Selon les chercheurs, cette vulnérabilité permet d’exploiter CVE-2023-29300 et d’exécuter du code à distance.

Selon Rapid7, des pirates utilisent déjà des chaînes d’exploit, combinant l’utilisation de CVE-2023-29298 avec un exploit du rapport Project Discovery. Les pirates utilisent ces exploits pour contourner la sécurité, installer des shells [portes dérobées] sur des serveurs ColdFusion vulnérables et obtenir un accès à distance aux appareils. Les shells se trouvent généralement dans le dossier : .\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm.

Pendant ce temps, les mises à jour de juillet de Microsoft corrigent 132 vulnérabilités dans les produits de la société, dont six 0day activement exploités, ainsi que 37 bogues qui permettent l’exécution de code arbitraire à distance. Alors qu’un total de 37 bogues RCE ont été corrigés ce mois-ci, Microsoft affirme que seuls neuf d’entre eux sont jugés critiques. Dans le même temps, l’un des problèmes RCE reste non corrigé et est activement utilisé dans des attaques déjà découvertes par de nombreux spécialistes de la sécurité de l’information.