Archives de catégorie : Mise à jour

Communiqué de presse, Cybersécurité, double authentification, Mise à jour, Securite informatique

6 professionnels sur 10 voleraient des données en cas de départ de leur entreprise  

Une étude en dit beaucoup sur la gestion des accès et des identités au sein des entreprises : les confessions de professionnels mais aussi les difficultés rencontrées pour mettre en place des solutions IAM (Identity and Access Management) et PAM (Privileged Access Management) adaptées.

One Identity, une société spécialisée dans la gestion des identités et des accès (IAM), publie les résultats d’une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – la RSA conférence – sur leurs plus grands défis et préoccupations en matière de sécurité, ainsi que sur leurs comportements professionnels liés à l’accès au réseau et au système.

Et il semblerait que beaucoup de professionnels ne s’embarrassent pas toujours des protocoles et mesures de sécurité :

  • L’étude mené par One Identity révèle ainsi que près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.
  • Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait.
  • De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail. Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.

Difficiles à mettre en œuvre, les solutions IAM/PAM ne sont toujours pas une priorité 

Les résultats de l’étude révèlent une hétérogénéité dans l’utilisation des solutions d’IAM et de PAM  au sein des entreprises : certaines estiment qu’il s’agit d’une priorité, d’autres les négligent, exposant potentiellement leur organisation à des atteintes à la protection des données et à d’autres cyber-risques.

Parmi les résultats les plus significatifs de l’enquête :

  • 1/3 des répondants affirment que la gestion des accès à privilèges (PAM) est la tâche opérationnelle la plus difficile en matière de sécurité.
  • Seulement 16 % des répondants citent la mise en œuvre de pratiques adéquates d’IAM comme l’une des trois principales préoccupations lorsqu’il s’agit de protéger le Cloud.
  • Par ailleurs, seulement 14 % des répondants affirment qu’un meilleur contrôle de l’accès des employés aurait un impact significatif sur la cybersécurité de leur entreprise.

Ces résultats démontrent que les entreprises ont du mal à mettre en œuvre des processus, des pratiques et des technologies adéquats en matière d’IAM et de PAM, et qu’elles négligent peut-être complètement l’impact de ces disciplines sur leurs dispositifs de sécurité.

 Pour les professionnels, 3 tâches particulièrement complexes remontent en matière de gestion des accès et identités : 1 répondant sur 4 explique ainsi  que le plus compliqué est de gérer les mots de passe des utilisateurs ; pour 1 sur 5 la tâche la plus complexe est la gestion du cycle de vie des utilisateurs (c.-à-d. le provisionnement et le dé provisionnement des utilisateurs), alors que ce sont deux des exigences fondamentales en matière de gestion des identités.

De plus, 1 répondant sur 4 affirme que l’Active Directory (AD) est le système le plus difficile à sécuriser pour l’entreprise. Cela est particulièrement préoccupant étant donné la prévalence de l’AD dans la plupart des organisations.

L’IAM dans le Cloud est complètement négligé

Lorsqu’il leur a été demandé de partager leurs trois principales préoccupations en matière de sécurisation du Cloud, près de 3 répondants sur 4 ont cité la perte de données. 44 % ont cité la menace externe, et 44% également ont cité la menace interne !  En revanche, seulement 16 % ont déclaré que la mise en œuvre de pratiques adéquates d’IAM était une préoccupation majeure. Ces résultats sont paradoxaux étant donné que les pratiques d’IAM – telles que le contrôle d’accès des utilisateurs basé sur des politiques et l’authentification multifactorielle – peuvent aider à atténuer à la fois les risques internes et externes liés à la cyber information.

David Earhart, Président et Directeur Général de One Identity déclare : « Rien de tel qu’un sondage anonyme pour découvrir quelques pratiques inavouées… et apprendre à mieux se protéger. Les résultats de notre étude montrent les pratiques en matière de gestion des accès – à privilèges notamment – et des identités sous un autre jour. Si l’on considère l’ensemble de la situation, les entreprises sont inutilement confrontées à des défis majeurs en ce qui concerne les tâches liées à l’IAM et au PAM, étant donné la technologie et les outils disponibles aujourd’hui. Notre espoir est que cette étude allume une étincelle pour que les organisations fassent un effort concerté pour relever ces défis et améliorer leurs stratégies et pratiques d’IAM et de PAM afin d’éviter les pièges cyber ».

Une étude réalisée lors d’un important rendez-vous cybersécurité américain. 200 personnes interrogées.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday juin : 88 vulnérabilités, 21 critiques

Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.

Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.

Attaque Escape contre l’hyperviseur Hyper-V

Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.

Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech

L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.

Avis de sécurité

Microsoft a également publié plusieurs avis de sécurité  :

  • ADV190016 qui désactive la possibilité d’utiliser certaines clés de sécurité FIDO basse consommation Bluetooth en raison d’une vulnérabilité divulguée en mai 2019. Google et Feitian ont également publié des avis de sécurité pour les clients qui utilisent ces clés.

  • ADV190017 qui corrige plusieurs vulnérabilités dans HoloLens permettant à un attaquant non identifié de lancer des attaques DoS ou de compromettre des équipements HoloLens se trouvant à proximité.

  • ADV190018 qui fournit une mise à jour de la défense en profondeur de Microsoft Exchange Server même si, à l’heure actuelle, aucun détail n’a été communiqué sur cette mise à jour.

Patch Tuesday version Adobe

Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)

Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Patch, RGPD, Sécurité, Securite informatique

Microsoft obtient la certification FIDO2 pour Windows Hello

Un commentaire

FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs

L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.

FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.

FIDO2

« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe, confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10 ».

Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.

Windows 10 prend en compte FIDO

La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.

« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»

FIDO2 et les navigateurs

En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.

Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Social engineering

Patch Tuesday : 79 vulnérabilités dont 22 critiques

Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.

Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.

Exécution de code RCE sur les services Remote Desktop (RDS)

Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.

Critiques : Exécution de code RCE sur le serveur DHCP

Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.

Conseils pour les attaques MDS (Microarchitectural Data Sampling)

Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.

Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.

Adobe Patch Tuesday

Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, RGPD, Securite informatique, Vie privée

Problèmes dans un ancien logiciel G Suite

Google révèle, mardi 21 mai 2019, deux failles de sécurité dans un ancien outil de sa solution G Suite Pro. Le stockage des mots de passe des clients pas des plus sécurisé. Un problème depuis 14 ans.

Problème de stockage pour les mots de passe ! Voilà ce qu’indique le géant Google dans un communiqué de presse diffusé ce mardi 21 mai. Depuis 2005, un outil de la solution G Suite pour professionnel, situé dans la console d’administration, stockait les mots de passe « de manière simplifiée« . Seuls concernés, les clients d’entreprise G Suite. Pas les comptes Gmail classiques.

Deux bogues concernant les mots de passe

Cette faille de sécurité date d’un ancien outil des années 2000. « L’outil permettait aux administrateurs de charger ou de définir manuellement les mots de passe des utilisateurs de leur entreprise, indique la firme américaine. L’intention était d’aider à intégrer de nouveaux utilisateurs; par exemple, un nouvel employé pouvait recevoir les informations de son compte et le récupérer. » Google confirme avoir commis une erreur en mettant en œuvre la fonctionnalité de définition de mot de passe de cet outil en 2005. Les mots de passe créés via cet outil étaient stockés sur disque sans passer par l’algorithme de hachage de mot de passe standard de Google. « Les employés ou des intrus ne pouvaient ni voir ni lire les mots de passe en clair. » explique Google.

Problème minime ?

La société parle d’une découverte effectuée en 2019. Elle déconseille d’utiliser l’outil et corrige le problème. « Nous n’avons vu aucune preuve d’accès incorrect ou d’utilisation abusive des mots de passe concernés« , écrit Google.

L’entreprise a également révélé un deuxième incident au cours duquel la plate-forme G Suite avait stocké des mots de passe sans les transmettre via son algorithme habituel de hachage des mots de passe. Ce second incident a été mis au jour alors que le personnel « résolvait les nouveaux flux d’inscription des clients G Suite« .

Google affiche qu’à partir de janvier 2019, G Suite avait stocké les mots de passe définis lors de la procédure d’inscription sous une forme simplifiée. Comme lors du premier incident, les mots de passe ont finalement été chiffrés lors de leur enregistrement sur le disque. Ce deuxième lot de mots de passe non hachés stocké pendant 14 jours. La société a annoncé avoir déjà averti les administrateurs de G Suite et leur avait demandé de réinitialiser les mots de passe des utilisateurs définis à l’aide de l’ancien outil G Suite. « Par précaution, nous allons réinitialiser les comptes des administrateurs qui ne l’ont pas fait eux-mêmes« .

Risque minime donc pour la sécurité des clients impactés. Un malveillant aurait dû, pour intercepter les données, s’inviter dans l’infrastructure de Google et retrouver sa cible !

Une fuite bien loin de celle ayant impacté Facebook et Instagram, en mars 2019 et les millions de mots de passe stockés en clair. (Zdnet)

Base de données, Cybersécurité, Entreprise, Justice, loi, Mise à jour, RGPD, Securite informatique, Social engineering

Prudence au site SCPI-Gouv.fr

Vous souhaitez simuler un investissement ? Vous souhaitez passer par le site gouvernemental SCPI-Gouv.fr ? Prudence !

Le portail web SCPI-Gouv*fr vous propose de simuler le montant que vous pourriez gagner via des Sociétés civiles de placement immobilier (SCPI). Le site est rapide, réclame quelques informations afin de vous permettre d’en savoir plus et d’acquérir des parts de SCPI. Le site indique être « indépendant« , et la simulation proposée est « non contractuelle« . Le logo de l’AMF, l’Autorité des marchés financiers est affiché plusieurs fois. Le domaine affiche un Gouv.fr rassurant.

Stop, rangez vos quelques économies

Ce site n’est aucunement de confiance. D’abord, il sauvegarde les informations. Le site explique que cette sauvegarde est réalisée pour « des raisons de sécurité […] elles ne seront jamais divulguées à des tiers« . Ce n’est malheureusement pas ce que nous a affiché notre navigateur en fournissant des numéros de téléphones, au hasard. Le site nous affiche bien la présence de certains numéros !

Second problème, l’utilisation du « Gouv », dans le nom de domaine. Clairement une envie de perturber l’utilisateur du portail et du nom de domaine. Un site du gouvernement ? Non ! Pour rappel, les sites gouvernementaux français sont sous la nomenclature xxxx.gouv.fr.

Ensuite, l’utilisation du logo de l’AMF. L’Autorité des marchés financiers a d’ailleurs mis en garde le public à l’encontre du site scpi-gouv.fr « utilisant abusivement son nom et son logo » explique l’AMF. « Les sites internet www.lascpi*fr et www.scpi-gouv*fr indiquent proposer aux épargnants des simulateurs de placement ainsi que des guides relatifs à l’investissement dans des sociétés civiles de placement immobilier (SCPI). L’association du nom et du logo de l’AMF à ces sites peut faire croire aux internautes que l’AMF en cautionne le contenu. Or, l’Autorité des marchés financiers ne produit ni ne supervise aucun simulateur de placement dans des sociétés civiles de placement immobilier (SCPI). » indiquait le 10 avril 2019 l’AMF. Un mois plus tard, logos et manipulations d’url sont toujours effectifs.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday avril 2019 : 74 vulnérabilités, dont 16 critiques corrigées par Microsoft

Le Patch Tuesday du mois d’avril 2019 traite 74 vulnérabilités dont 16 classées critiques.

Dans ce Patch tuesday mensule, huit de ces vulnérabilités critiques concernent les moteurs de script et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office, tandis que 5 vulnérabilités critiques affectent MSXML. Deux vulnérabilités facilitant l’exécution de code à distance (RCE) sont corrigées dans GDI+ et IOleCvt. Deux vulnérabilités permettant une élévation de privilèges dans Win32k sont signalées comme activement attaquées tandis qu’une autre dans le service de déploiement AppX Windows fait l’objet d’un exploit PoC public.

Correctifs pour postes de travail

Le déploiement de patches pour le moteur de script et MSXML est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi utilisateurs utilisés comme postes de travail distants.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges dans Win32k

Deux vulnérabilités (CVE-2019-0803 et CVE-2019-0859) dans Win32k entraînent une élévation des privilèges si elles sont exploitées. Microsoft signale que ces deux vulnérabilités sont activement attaquées. Les correctifs doivent être déployés en priorité pour tous les postes de travail et les serveurs.

Preuve de concept (PoC) avec élévation de privilèges dans le service de déploiement AppX Windows

Le service de déploiement AppX (AppXSVC) de Windows héberge une autre vulnérabilité facilitant une élévation des privilèges. Ce service est chargé du déploiement des applications du Windows Store. La vulnérabilité concerne la gestion des liens en dur par le service. Un PoC a été diffusé dans le domaine public. Les correctifs doivent être déployés en priorité pour les postes de travail et les serveurs car ce service existe sous Windows 10 et sur Server 2019.

Vulnérabilités facilitant des RCE dans GDI+ et IOleCvt

Deux vulnérabilités critiques permettant l’exécution de code à distance (RCE) sont corrigées dans GDI+ et IOleCvt. Ces vulnérabilités nécessitent une interaction de l’utilisateur et un correctif doit être déployé en priorité pour les systèmes de type poste de travail.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0853
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0845

Élévation de privilèges sur le serveur SMB

Une vulnérabilité facilitant l’élévation de privilèges a été corrigée sur le serveur SMB. Pour exploiter cette vulnérabilité, l’attaquant doit être connecté au système ciblé et accéder à un fichier malveillant via SMB.

Correctifs Adobe

Adobe diffuse aussi un grand nombre de correctifs en ce mois d’avril 2019, notamment pour Flash Player, Acrobat et Reader, Shockwave Player, Dreamweaver, Adobe XD, InDesign, Experience Manager Forms et Bridge CC. Le patch pour Flash Player corrige une exécution de code à distance (RCE) critique et une vulnérabilité importante. Microsoft a également classé les correctifs pour Flash comme critiques. Les correctifs pour Acrobat/Reader traitent 21 vulnérabilités différentes, dont 12 concernent des RCE critiques. Les patches pour Adobe Flash et Acrobat/Reader doivent être déployés en priorité pour tous les systèmes de type poste de travail. (Par Jimmy Graham – The Laws of Vulnerabilities)

Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique, Social engineering

Faille pour Windows : possible de copier vos fichiers à distance

Un chercheur en cybersécurité découvre comment des pirates pourraient vous voler des fichiers via Internet Explorer… même si le navigateur est fermé.

Un chercheur en sécurité informatique, John Page (Hyp3rlinx), a découvert comment il était possible de prendre la main sur vos fichiers via un ordinateur sous Windows 7, 10 et Server 2012. Une attaque qui exploite Internet Explorer.

Le plus inquiétant est que le navigateur n’a pas besoin d’être ouvert pour que l’infiltration fonctionne. Un pirate doit motiver son interlocuteur à ouvrir un fichier, envoyé par mail ou via un lien. Mission, ouvrir un fichier MHT particulièrement formulé.

Via ce MHT, le pirate peut copier les fichiers de votre ordinateur. Comme le précise ZDNET, Microsoft alertée. La réaction peu rapide du géant américain a motivé John Page a révélé la faille.

python -m SimpleHTTPServer

Lors de l’ouverture locale du fichier « .MHT » malveillant, il convient de lancer Internet Explorer. Ensuite, les interactions utilisateur telles que l’onglet en double « Ctrl + K » et d’autres interactions, telles que les commandes « Aperçu avant impression » ou « Imprimer » effectuées par un clic droit sur la page Web peuvent également déclencher la vulnérabilité.

Testé avec succès dans le dernier navigateur Internet Explorer (11), avec les derniers correctifs de sécurité.

Microsoft indique « qu’une solution à ce problème serait prise en compte dans une future version de ce produit ou service. Pour le moment, nous ne fournirons pas de mises à jour régulières sur l’état du correctif relatif à ce problème, et nous avons classé cette affaire ».

backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

De nouvelles vulnérabilités des routeurs Verizon exposent des millions de consommateurs

Selon une étude Tenable, des pirates pourraient obtenir le contrôle complet des routeurs domestiques Verizon et l’accès au trafic du réseau sans avoir besoin d’un accès physique à l’appareil.

Une équipe de recherche a découvert de multiples vulnérabilités dans les routeurs Verizon Fios Quantum Gateway. Si elles étaient exploitées, les vulnérabilités donneraient à l’attaquant un contrôle total sur le routeur et une visibilité sur tout ce qui y est connecté. Des millions de ces appareils sont actuellement utilisés dans les foyers américains.

L’essor de la maison intelligente a fait du simple routeur une cible de choix pour les cybercriminels. Ces dernières vulnérabilités découvertes par Tenable Research (CVE-2019-3914, CVE-2019-3915 et CVE-2019-3916) ouvrent la voie à un certain nombre de scénarii d’attaque qui permettent d’accéder aux dispositifs intelligents, comme les systèmes de sécurité domestiques, qui sont connectés au routeur et peuvent être compromis à distance. Un attaquant pourrait altérer les paramètres de sécurité de l’appareil, modifier les règles du pare-feu ou supprimer les contrôles parentaux. Ils pourraient surveiller le trafic réseau pour compromettre davantage les comptes en ligne d’une victime, voler ses coordonnées bancaires et récupérer ses mots de passe.

« Les routeurs sont aujourd’hui la plaque tournante de toute la maison intelligente. Ils nous permettent de rester connectés à Internet, de sécuriser nos maisons et même de déverrouiller les portes à distance, explique Renaud Deraison, cofondateur et CTO chez Tenable. Mais ils servent aussi de point d’entrée virtuel au cœur même de la maison moderne, contrôlant non seulement ce qui sort, mais aussi qui entre. »

Verizon a indiqué que la version 02.02.00.13 du firmware traitera ces vulnérabilités et que les périphériques concernés seront mis à jour à distance.

Chiffrement, Cloud, Communiqué de presse, Cybersécurité, Entreprise, Mise à jour, Patch, RGPD, Securite informatique

Buckets open cloud : 52 secondes suffisent pour qu’un Serveur Cloud se fasse attaquer par des pirates

Buckets open cloud : Une étude indique qu’il suffirait de 52 secondes pour qu’un serveur cloud soit sous les tirs d’une cyberattaque. L’étude porte sur 10 serveurs cloud honeypots, répartis dans le monde. L’enquête révèle un réel besoin en visibilité et de sécurité pour protéger ce que les entreprises mettent sur des plateformes hybrides et tout-cloud.

Il a fallu moins de 40 minutes en moyenne pour que des cybercriminels attaquent des serveurs cloud honeypots déployés sur 10 sites différents répartis dans le monde entier, le site de São Paolo au Brésil faisant l’objet de l’attaque la plus rapide, au bout de 52 secondes seulement. Les serveurs basés à Paris ont subi une première tentative de connexion malveillante au bout de 17 minutes et 20 secondes seulement, ce qui fait de Paris la ville d’Europe touchée le plus rapidement par ces attaques (et la 4ème ville au niveau mondial).

Paris est la deuxième ville d’Europe la plus ciblée en terme de nombre d’attaques – les honeypots hébergés sur des serveurs à Paris ont subi 612 885 attaques en trente jours (juste derrière l’Irlande avec 616 232 attaques). Les serveurs cloud ont été, en moyenne, la cible de 13 tentatives d’attaque par minute et par honeypot.

5 millions d’attaques

Plus de 5 millions de tentatives d’attaques ont été détectées sur tous les honeypots, et ce sur une période de 30 jours.

Ces 10 centres de données parmi les plus populaires au niveau d’Amazon Web Services (AWS) dans le monde, ont été testés pendant 30 jours. On compte parmi eux des emplacements à Paris, à Francfort, à Londres, en Irlande, en Californie, en Ohio, à Mumbai, à São Paulo, Singapour ou encore à Sydney.

Les résultats montrent ainsi comment les cybercriminels recherchent automatiquement les buckets open cloud vulnérables. Si les attaquants réussissent à entrer, les entreprises peuvent alors voir des données vulnérables exposées. Les cybercriminels utilisent également des serveurs cloud compromis comme relais pour accéder à d’autres serveurs ou réseaux.   « Le rapport Sophos ‘Exposed: Cyberattacks on Cloud Honeypots’ identifie les menaces auxquelles font face les entreprises qui migrent vers des plateformes hybrides et tout-cloud. La rapidité et l’ampleur des attaques contre les honeypots prouvent le niveau de menace persistant des cybercriminels et montrent qu’ils utilisent des botnets pour cibler les plateformes cloud d’une entreprise. Il peut s’agir parfois d’attaquants humain, mais quoi qu’il en soit, les entreprises ont besoin d’une stratégie de sécurité pour protéger ce qu’elles mettent sur le cloud », déclare Matthew Boddy, spécialiste cybersécurité chez Sophos. « La question de la visibilité et de la sécurité au niveau des plateformes cloud est un défi majeur pour les entreprises. Et avec la migration croissante vers le cloud, cette tendance se confirme ».