Archives de catégorie : Mise à jour

Cybersécurité, Mise à jour, Patch

Patch Tuesday d’octobre 2015

Le Patch Tuesday d’octobre 2015 s’avère une édition légère. En effet, il ne comprend que six bulletins, mais concernent tous les produits phares. Un bulletin critique pour Internet Explorer (mais pas pour Edge), un bulletin pour Office, victime de vulnérabilités à base d’exécution de code à distance (RCE), ainsi qu’un correctif pour remédier des vulnérabilités dans le noyau Windows qui autorisent une élévation des privilèges. En outre, ce Patch Tuesday résout un problème intéressant dans le shell Windows qui autorise aussi l’exécution de code à distance. Toutes les versions de Windows et Office, sont concernées sauf qu’aucun paquet logiciel supplémentaire avec des mises à jour (.NET, logiciel serveur, etc.) n’est disponible ce mois-ci.

    Commençons par Internet Explorer qui figure en tête de notre liste interne des priorités. Le bulletin MS15-106 fournit 15 correctifs pour des vulnérabilités dont neuf sont critiques car pouvant entraîner des exécutions de code à distance (RCE) si l’un de vos utilisateurs se rend sur un site Web malveillant. Déployez cette mise à jour de sécurité en priorité sur toutes les plates-formes affectées, depuis Vista et IE7 et jusqu’à Windows 10 et IE11.

    Les bulletins MS15-107 et MS15-108 sont associés au bulletin pour Internet Explorer. MS15-107 est une nouvelle version pour le nouveau navigateur Edge, mais ce bulletin de sécurité ne contient que 2 correctifs plutôt mineurs : une fuite d’information ainsi qu’une mise à jour pour le filtre XSS. MS15-108 reprend quatre des problèmes traités par le bulletin MS15-106 pour les machines qui exécutent une autre version de JavaScript, principalement Internet Explorer 7.

    Les bulletins MS15-109 et MS15-110 sont plus importants et méritent toute votre attention. Commençons par le MS15-110. Ce dernier résout six problèmes sévissant dans Office (essentiellement Excel), dont cinq entraînent une exécution de code à distance. L’utilisateur est invité à ouvrir une feuille de calcul Excel contenant un exploit pour l’une de ces vulnérabilités, ce qu’il fera sans trop hésiter si les feuilles de calcul présentent par exemple des informations produits pertinentes, des tarifs et encore des remises de fournisseurs concurrents (je reçois environ un e-mail par semaine avec ce type d’information). Le bulletin MS15-109 traite une vulnérabilité dans le shell Windows qui peut être déclenchée via un e-mail et une navigation Web et qui, en cas d’exploit réussi, fournira une exécution à distance RCE à l’attaquant.

    Quant à la mise à jour MS15-111, elle gère des vulnérabilités à base d’élévation locale de privilèges sous Windows, ce qui affecte une fois encore toutes les versions de Windows depuis Vista jusqu’à Windows 10. Les attaquants utiliseront ce type de vulnérabilité pour accéder au niveau système, une fois qu’ils auront pris le contrôle de la machine ciblée.

    En résumé : appliquez le patch MS15-106 pour Internet Explorer en priorité, puis MS15-110 pour Excel. Ensuite, le bulletin MS15-109 pour le shell Windows. Les autres bulletins sont moins critiques et peuvent être déployés dans le cadre de votre cycle de patch normal.

    Enfin, Adobe a également publié des mises à jour pour Adobe Reader et Flash : APSB15-24 pour le Reader et APSB15-25 pour Flash. Ces bulletins traitent plusieurs vulnérabilités critiques (plus de 50 pour le Reader) qui permettraient à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Nous recommandons la correction immédiate du Flash. D’autre part, la sandbox d’Adobe renforce le durcissement de sa visionneuse PDF car depuis plus d’un an des fichiers PDF sont utilisés pour lancer des exploits à l’aveugle. Corrigez dans le cadre de votre cycle de patch normal. Quant à Oracle, il publiera sa mise à jour de patchs critiques (CPU) le 20 octobre.

Banque, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

Le pirate de JPMorgan Chase s’est attaqué à d’autres sociétés

Le pirate informatique qui s’est attaqué à la banque JPMorgan Chase a aussi visé, avec plus ou moins de succés, Citigroup, E*Trade Financial Corp, Automatic Data Processing et Regions Financial Corp.

Si certaines structures n’ont pas confirmé cette affirmation de plusieurs enquêteurs qui ont souhaité  rester anonyme, des entreprises comme E*Trade Financial Corp ont confirmé avoir été attaquées en 2013 par ce qui semble être le même pirate que la banque JPMorgan.

En 2014, ETCF avait indiqué ne pas savoir si des données clients avaient été impactées. Deux ans plus tard, voici la confirmation de cette infiltration. Au moins 31 000 clients de la structure bancaire ont été alertés d’une violation de leurs données. Les pirates ont pu avoir accès aux noms et e-mails des clients, ainsi que les adresses physiques de ces derniers. Il n’y a « aucune preuve que toutes les informations des comptes clients, y compris les mots de passe, numéros de sécurité sociale, ou des informations financières eurent été compromises » indique le communiqué de presse de la banque.

Un détail dés plus déroutant. Il est pourtant assez simple de savoir ce que les pirates ont pu lire, copier… Toutes les données contenues dans la base de données compromise ont été accessibles.

Banque, Cybersécurité, Entreprise, Mise à jour, Paiement en ligne, Propriété Industrielle

Le FBI lance une alerte sur les cartes à puce… puis la retire

Les banques, plus fortes que le FBI ? L’agence fédérale américaine a lancé une alerte au sujet des cartes bancaires à puce. Un message retiré à la demande des institutions financières.

Le FBI de San Diego a fait fort, vendredi 9 octobre. Une alerte publique, comme l’agence en produit très souvent, indiquait que les cartes bancaires avec puces pouvaient encore être la cible des pirates. Dans son document intitulé « Les nouvelles cartes de crédit avec micropuces peuvent encore être vulnérables face aux fraudeurs » [New microchip-enabled credit cards may still be vulnerable to exploitation by fraudsters] Mulder et Scully expliquaient simplement que le fait d’avoir une puce et un mot de passe ne devait pas empêcher les utilisateurs des nouvelles cartes bancaires (avec une puce et un mot de passe) de faire attention à leur bout de plastique. Les banques n’ont pas aimé l’alerte. Bilan, le FBI a retiré son avertissement et a été invité à revoir sa copie.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Les installations nucléaires civiles ne demandent qu’à être piratées

Les infrastructures nucléaires civiles dans le monde entier seraient insuffisamment préparées à l’éventualité d’une cyberattaque.

Tout le petit monde du nucléaire c’est donné le mot, la semaine dernière, pour annoncer que les centrales nucléaires ne tiendraient pas face à une attaque informatique. C’est selon un nouveau rapport des chercheurs de la Chatham House, un think-tank basé à Londres, que l’on apprend que les pirates informatiques ne feraient qu’une bouchée des centrales nucléaires.

Les installations deviennent de plus et plus dépendantes des systèmes numériques et autres logiciels, et que la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne, un événement grave semble s’écrire. « Les récentes attaques de grande envergure, y compris le déploiement du worm Stuxnet, ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires, commente le rapport. Les cyber-criminels, les États et les groupes terroristes augmentent leurs activités en ligne, la crainte d’une cyber-attaque sérieuse est toujours présente.« 

D’ici là à penser que le survol de centrales françaises par des drones avaient pour mission de sniffer les connexions wifi des installations !

Cybersécurité, Hacking, loi, Mise à jour, Patch, Rendez-Vous

Un drone film une base de la NSA en Allemagne

Des hacktivistes manifestent contre la cyber surveillance de la NSA en survolant une base de la Nationale Security Agency basée dans le sud de Francfort, en Allemagne.

Le groupe d’hacktivistes Intelexit vient de lancer une manifestation à l’encontre de la surveillance de masse mise en place par les Américains. Leur idée, si la NSA nous surveillance, surveillons la NSA. Avec un drone, ils ont survollé la base militaire américaine Dagger, basée au sud de Francfort (Allemagne).

En plus de filmer, le drone a lâché des brochures exhortant les employés de la NSA à quitter leur emploi et à soutenir la lutte contre la surveillance de masse. Le complexe abriterait l’outil XKeyStore, un système utilisé par la NSA qui permettrait de suivre et de stocker tout ce qu’un utilisateur fait à travers l’Internet. L’outil est connu comme un des piliers de la NSA dans la collecte des informations diffusées en Europe.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch, SAAS

Menaces sur les applications SAAS

Palo alto networks dévoile son nouveau rapport sur les menaces et souligne la nécessité de sécuriser les applications SAAS.

Palo Alto Networks, spécialisé dans les solutions de sécurité de nouvelle génération, annonce la nouvelle et 12ème édition de son rapport AUTR (Application Usage and Threat Report), réalisé par son équipe de recherche sur les menaces, la Palo Alto Networks Unit 42 Threat Intelligence. Ce rapport, s’appuyant sur les données de plus de 7 000 entreprises dans le monde, présente les tendances réelles en matière d’utilisation des applications d’entreprise, ainsi que les nouveaux événements cruciaux dans les offensives contre les entreprises. Il contient en outre des recommandations pratiques pour éviter les cyberattaques.

Le rapport met en exergue l’avancée phénoménale des applications SaaS (logiciels sous forme de services) qui créent une brèche d’infiltration pour les nouveaux risques de sécurité ou les accès non autorisés aux données sensibles. Le rapport démontre aux organismes de sécurité que les vecteurs d’attaque courants ou existants depuis toujours, tels que les emails et les fichiers exécutables, continuent de poser des difficultés. Il décrit également les tendances d’utilisation des applications à haut risque dans le monde, par exemple les applications à accès distant.

PRINCIPALES CONCLUSIONS DU RAPPORT

La popularité des applications SaaS a explosé – Le nombre des applications SaaS dans les réseaux d’entreprise a augmenté de 46 % entre 2012 et 2015, et comprend désormais plus de 316 applications. Les pièces jointes par email continuent d’être un vecteur de danger – Plus de 40 % des pièces jointes par email se sont révélées malveillantes. L’utilisation des applications à accès distant est largement répandue – Il existe actuellement 79 applications à accès distant différentes dans le monde qui sont fréquemment utilisées par les cyberattaquants dans le cadre de leurs opérations. Les catastrophes de l’actualité ou les gros titres sont détournés en vecteurs d’attaque – En moyenne, un délai de six heures s’écoule entre la parution d’une actualité exceptionnelle et son exploitation par une campagne de phishing ciblé ou de spam, ou une attaque Web. Les identités des principaux ennemis ont été dévoilées – Trois acteurs majeurs ont été identifiés : Carbanak (Russie/Ukraine), Sandworm (Russie) et Shell Crew (Chine). Ces trois groupes, spécialisés dans le cyber-espionnage et la cybercriminalité, ciblent les gouvernements et les entreprises en Europe et en Amérique du Nord.

« Chez Palo Alto Networks, nous sommes convaincus que le partage des informations sur les cyber-menaces est bénéfique pour la société dans sa globalité. C’est cette conviction qui motive la publication de notre rapport annuel Application Usage and Threat Report. Des professionnels de la cybersécurité bien informés, ce sont des professionnels mieux armés : s’ils connaissent les méthodes utilisées par les attaquants pour exploiter les applications et compromettre les réseaux, ils pourront identifier les offensives et riposter avant qu’elles ne puissent endommager leurs réseaux », commente à DataSecurityBreach.fr Ryan Olson, directeur du renseignement, Unit 42 de Palo Alto Networks

ACTIONS RECOMMANDÉES

· Face à la popularité grandissante des applications SaaS, les équipes de sécurité ont tout intérêt à se familiariser avec le phénomène dit du « shadow IT », ou informatique fantôme. Désormais courant dans les entreprises où les employés utilisent les solutions SaaS et d’autres applications à l’insu du service informatique ou sans son approbation, cette tendance a le pouvoir d’affaiblir les politiques de sécurité.

· L’omniprésence des pièces jointes malveillantes accentue la nécessité de mettre en place des mesures de sécurité automatiques capables d’intercepter automatiquement un fichier exécutable déguisé, activé par erreur par un utilisateur.

· Les nouvelles menaces évoluent désormais de plus en plus vite. Les outils d’attaque automatisés permettent aux cybercriminels d’exploiter les nouvelles vulnérabilités en quelques heures à peine. Pour arrêter ces attaques, il est indispensable de mettre en œuvre des dispositifs de prévention sophistiqués et automatiques, fournissant une visibilité élargie des menaces connues et inconnues et une protection solide contre ces dernières.

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Propriété Industrielle, Social engineering

Et si cette panne de courant cachait un piratage informatique ?

Panne de courant, porte d’entrée récalcitrante, prise téléphonique dévissée ? Et si ces problèmes physiques cachaient les prémices d’une attaque informatique ?

En Avril 2013, une intrusion dans une station électrique de PG&E basée dans la Silicon Valley, par des voyous locaux, avait mis en panne les bureaux accueillant les appels de secours au 911 et un opérateur régional des services dédiés aux téléphones portables. Derrière cette panne, des coups de feu tirés par les malfaiteurs lors d’une course poursuite avec la police. Bref, un fait divers qui ne  concerne pas, à première vue, le piratage informatique. Du moins, directement. Les tirs avaient occasionné la destruction de 17 transformateurs électriques. Depuis cette affaire, les renseignements américains ont alertés les entreprises d’être plus « suspicieuses » face à des problèmes physiques. Ils cachent peut-être une attaque informatique en cours. Un programme de surveillance, baptisé « suspicious activity reporting » [SAR] a été mis en place. Il a pour mission de lutter contre le terrorisme et enregistre l’ensemble des rapports liés aux comportements suspects découverts dans des espaces particuliers (transformateurs électrique…) et qui pourraient se conclure par une attaque/un problème informatique.

backdoor, Cybersécurité, Mise à jour, Patch, Virus

Wifatch, le virus qui vous veut du bien

Un code viral baptisé Wifatch s’attaque aux routeurs pour mieux les protéger des autres virus.

Voilà une action qui est à saluer. Un hacker aurait mis en action depuis quelques jours un code informatique baptisé Wifatch. L’idée de ce « virus » s’infiltrer dans les routeurs pour empêcher que les autres virus, beaucoup plus malveillants, ne puissent exploiter les boîtiers. Les routeurs sont mal sécurisés, rarement mis à jour et exploités par des attaques informatiques ayant pour mission, par exemple, de participer à des Dénis Distribués de Services (DDoS) contrôlés par des bots qui contrôlent les routeurs infiltrés.

Symantec explique que ce code se tient informé via le P2P et bloque les canaux par lesquels les logiciels malveillants peuvent attaquer les routeurs que Wifatch a pris en main. Un virus qui protège les victimes potentielles en quelque sorte. Les auteurs expliquent que la création de Wifatch est due, tout d’abord, pour l’apprentissage. Deuxièmement, pour la compréhension. Troisièmement, pour le plaisir, et la quatrième et derniére raison, pour votre (et notre) sécurité. Il n’infecte que les routeurs dont le mot de passe n’a pas été changé, comme « password » !

Une belle bête qui a pointé le bout de ses bits en novembre 2014.

backdoor, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Virus

Le malware Dridex refait surface et s’attaque au Royaume-Uni

Après l’annonce par Brian Krebs des arrestations en septembre des principaux responsables supposés du groupe de cybercriminels qui avait créé et exploité le malware Dridex, Unit 42, l’équipe de recherche contre les cybermenaces de Palo Alto Networks, a constaté un net déclin de l’activité de ce cheval de Troie visant le secteur bancaire, du moins jusqu’à aujourd’hui.

Dridex est en effet réapparu sur la scène des cybermenaces avec une vaste campagne de phishing par email détectée via la plateforme Palo Alto Networks AutoFocus qui a identifié des échantillons de cette résurgence de Dridex. Fidèle à son mode opératoire d’origine, l’équipe de Dridex continue à utiliser des fichiers Microsoft Word Doc contenant des macros intégrées, tout comme elle l’avait fait début 2015. Le kit Bartalex, très apprécié de nombreux cybercriminels, construit ces macros pour envoyer son contenu malveillant. Lorsque l’utilisateur ouvre le document infecté, le code macro contacte une adresse URL et télécharge l’exécutable de Dridex. Dans la campagne d’attaque d’aujourd’hui, l’Unit42 a identifié les différentes associations de fichiers Microsoft Word Doc et d’adresses URL (à découvrir ici).

A la date d’aujourd’hui, seuls 17 des 56 antivirus du site Web de VirusTotal reconnaissent les fichiers Doc associés à cette nouvelle mouture de Dridex comme malveillante, et deux d’entre eux seulement détectent l’implantation virale associée. La plateforme Palo Alto Networks AutoFocus a pu identifier correctement tous les composants de cette menace sous la balise Unit 42 Dridex.

Cible et mode de distribution
L’analyse de l’Unit42 a révélé que ce retour de Dridex cible essentiellement le Royaume-Uni. Le blog de Dynamoo (tenu par Conrad Longmore) a publié un exemple de cette nouvelle série de messages de phishing de Dridex. Les fichiers Doc malveillants identifiés utilisent tous une convention d’appellation d’ordre similaire (par exemple “Order-SO00653333-1.doc”), et demandent au destinataire d’imprimer la pièce jointe. Cette tentative de piégeage n’est pas des plus subtiles, mais elle reste néanmoins étonnamment efficace et permet à Dridex d’arriver à ses fins.

Les cybercriminels – notamment ceux qui ont déjà atteint un certain niveau de prospérité et de longévité – vont continuer à menacer les entreprises et les particuliers, et ce malgré les revers essuyés suite à des arrestations ou d’autres ripostes contre leurs opérations. Alors même que les principaux acteurs de l’équipe de Dridex ont été éliminés de l’équation pour le moment, ils laissent derrière eux une organisation qui a de fortes chances de subsister.

Par ailleurs, d’autres groupes criminels attendent toujours en coulisses, prêts à prendre la relève de l’une ou l’autre initiative si une vacance ou une opportunité se présente. La résurgence de Dridex ce mois d’octobre 2015 montre clairement que ces menaces continuent de s’adapter et d’évoluer.

Android, Cybersécurité, Logiciels, Mise à jour, Patch, Smartphone, Social engineering

Mp3 et Mp4 dangereux pour Android

Deux nouvelles failles découvertes dans Android pourraient malmener téléphones et tablettes via la lecture de Mp3 et Mp4 modifiés.

La société Zimperium mobile Threat Protection avait découvert, en avril 2015, un problème de sécurité dans la bibliothèque Stagefright sous Android. Joshua J. Drake, responsable des recherches a poursuivi son étude sur le traitement des médias par Android. Son enquête sur les attaques à distance l’a conduit à une nouvelle découverte.

Stagefright 2.0 est un ensemble de deux vulnérabilités qui se manifestent lors du traitement de fichiers MP3, ou de fichier vidéo MP4. La première vulnérabilité impacte presque chaque appareil Android depuis la version 1.0 sortie en 2008. Des méthodes pour déclencher la 1ére vulnérabilité avaient été découvertes pour Android version 5.0 en exploitant la seconde faille.

Google a notifié la faille CVE-2015-6602 et a indiqué qu’elle serait corrigée la semaine prochaine. « Nous prévoyons de partager des informations pour cette deuxième vulnérabilité dès que possible » souligne Zimperium.

La faille touche le traitement des fichiers MP3 et/ou MP4 spécialement conçus par un pirate, pouvant entraîner l’exécution d’un code arbitraire, comme le téléchargement d’un logiciel espion…