Archives de catégorie : Mise à jour

Cybersécurité, Microsoft, Mise à jour, Patch

Une vulnérabilité bien connue de Microsoft Office a été exploitée six fois plus au cours deuxième trimestre de 2023

Des chercheurs ont constaté qu’une ancienne vulnérabilité de Microsoft Office gagne en popularité auprès des attaquants, qui l’exploitent pour cibler à la fois les particuliers et les entreprises.

Depuis le début de l’année 2023, la vulnérabilité CVE-2017-11882 a été exploitée près de 500 % plus souvent, affectant des milliers de personnes. Une autre vulnérabilité connue, CVE-2018-0802, semble être devenue « l’arme » la plus en vogue chez les cybercriminels, ayant été utilisée pour cibler plus de 130 000 utilisateurs. Étant donné que les anciennes versions des programmes Microsoft sont aujourd’hui encore utilisées et qu’elles constituent une cible très attrayante pour les attaquants, il est crucial d’installer une solution de sécurité fiable et d’effectuer les mises à jour régulièrement.

Tout au long du deuxième trimestre 2023, des chercheurs de Kaspersky ont détecté que plus de 11 000 utilisateurs ont été visés par des attaques exploitant une ancienne vulnérabilité du logiciel Microsoft Office, connue sous le nom de CVE-2017-11882. Cette vulnérabilité permet aux attaquants d’exploiter l’éditeur d’équation dans les documents Microsoft Office, pour exécuter un code malveillant sur l’appareil ciblé. Ce procédé leur permet d’installer des logiciels malveillants ou indésirables sur la machine affectée à l’insu de l’utilisateur. Pour exploiter la vulnérabilité, les attaquants peuvent procéder de plusieurs manières: soit en envoyant un fichier malveillant à une victime potentielle, soit en créant un site web avec le même type de fichier pour inciter les gens à l’ouvrir en utilisant des techniques d’ingénierie sociale.

Bien que la vulnérabilité ait été identifiée et corrigée depuis longtemps, les exploits ont augmenté de 483 % au cours du deuxième trimestre par rapport au premier trimestre de cette année. Cette tendance alarmante indique que même les anciennes vulnérabilités restent des points d’entrée efficaces pour attaquer à la fois les appareils des particuliers et les infrastructures informatiques des organisations.

Nombre d’utilisateurs attaqués via la vulnérabilité CVE-2017-11882 en 2023

« Les attaquants ont effectivement recommencé à utiliser cet exploit. Il est très probable qu’ils tentent de mettre en œuvre de nouvelles techniques d’obscurcissement afin d’échapper à la détection. Par exemple, ils pourraient essayer d’insérer de nouveaux types de données malveillantes dans les documents Microsoft Office. Toutefois, des solutions de sécurité éprouvées, conçues pour détecter les tentatives d’attaque de manière systématique, permettent de prévenir de telles attaques et de protéger les utilisateurs. Il est également essentiel d’installer les mises à jour et les correctifs des logiciels à temps« , commentent les experts.

Cette tendance a persisté au cours de cette période, les cybercriminels ayant continué à s’appuyer sur d’anciennes vulnérabilités des logiciels Microsoft comme vecteurs d’attaque. La vulnérabilité qu’ils ont le plus exploitée est CVE-2018-0802, avec laquelle ils ont ciblé plus de 130 000 personnes. L’exploitation de cette vulnérabilité suit généralement le même schéma que la CVE-2017-11882 susmentionnée, impliquant une corruption de la mémoire pouvant permettre à l’attaquant de contrôler le système à l’aide d’un fichier spécialement conçu à cet effet.

Les vulnérabilités CVE-2010-2568, CVE-2017-0199 et CVE-2011-0105 figurent également sur la liste des exploits les plus fréquemment détectés au cours du deuxième trimestre. La première implique l’exécution de code via un fichier LNK spécifiquement développé pour ces opérations, tandis que les deux dernières sont liées à la suite Microsoft Office.

IOT, Mise à jour, Patch

ChatGPT devient idiot avec le temps

Une étude menée par des analystes de Stanford et de l’Université de Californie a révélé que les dernières versions des chatbots ChatGPT ont montré une détérioration de leurs performances au fil du temps.

Les chercheurs de les universités de Stanford et de Californie n’ont pas pu expliquer la raison de cette dégradation des capacités du réseau de neurones, mais il s’avère que ChatGPT devient idiot, avec le temps. L’expérience impliquait de demander à ChatGPT-3.5 et ChatGPT-4 de résoudre des problèmes mathématiques, de répondre à des questions sensibles, de rédiger du code informatique et de démontrer des compétences de raisonnement spatial avec des conseils.

En mars, la version la plus récente de l’IA pouvait identifier les nombres premiers avec une précision de 97,6 %, mais en juin, ce chiffre est tombé à 2,4 %. Pendant la même période, pourtant, le modèle de réseau neuronal antérieur avait amélioré ses performances. De même, lors de la génération de lignes de code identiques, les capacités des deux versions de ChatGPT se sont détériorées après quelques mois. En mars, l’ancien modèle fournissait des explications détaillées sur les raisons pour lesquelles il ne pouvait pas répondre à certaines questions sensibles, comme l’appartenance ethnique des personnes. Cependant, en juin, les deux versions du réseau de neurones se sont simplement excusées sans fournir d’explications.

Les experts ont recommandé aux utilisateurs et aux entreprises qui dépendent des services de chatbots basés sur des réseaux de neurones d’effectuer des analyses régulières pour s’assurer que les chatbots sont toujours à jour et ne racontent pas de bêtises.

Par ailleurs, en juillet, les développeurs de ChatGPT ont publié un nouveau plugin pour la version payante, permettant au chatbot d’analyser des données, de créer du code Python, de construire des graphiques et de résoudre des problèmes mathématiques.

Le chatbot a également été capable de réfuter scientifiquement la théorie de la « terre plate. (Etude)

Cybersécurité, Mise à jour

Des pirates Chinois font faire des économies aux clients de Microsoft Cloud

Microsoft a annoncé qu’il étendrait l’accès à un ensemble élargi de journaux de sécurité à davantage de clients sans frais supplémentaires. Cette décision fait suite aux révélations selon lesquelles des pirates basés en Chine ont exploité les vulnérabilités de l’infrastructure cloud de Microsoft pour accéder aux données de messagerie de plusieurs agences gouvernementales et fonctionnaires américains.

Les membres du personnel de sécurité du département d’État américain ont découvert une opération d’espionnage chinoise à la mi-juin 2023 en utilisant des journaux de données anormales disponibles uniquement dans le niveau premium du service Cloud de Microsoft. Une option « payante » qui a suscité des critiques sévères à l’égard de Microsoft de la part de responsables américains et d’experts en cybersécurité. La société facturait des frais supplémentaires pour ces fonctions de sécurité essentielles.

Pour remédier à cette situation, Microsoft a décidé de modifier ses prix et de fournir « l’accès à des journaux de sécurité cloud plus étendus pour tous nos clients dans le monde sans frais supplémentaires » à partir de septembre 2023. De plus, la durée de conservation des journaux par défaut sera désormais de 180 jours, contre 90 jours auparavant.

Bien que la Cybersecurity and Infrastructure Security Agency ait qualifié cette initiative de « pas en avant significatif vers l’avancement des principes de sécurité par la conception« , certaines critiques persistent. Le sénateur Ron Wyden a déclaré que le changement de prix n’était pas suffisant pour remédier aux violations passées, soulignant que Microsoft semblait privilégier la monétisation des produits complémentaires de cybersécurité plutôt que de fournir des systèmes sécurisés de base.

Malgré cela, Microsoft a souligné qu’il était en étroite collaboration avec la CISA (2)pour répondre aux besoins de sécurité en constante évolution du monde moderne. L’enquête sur l’opération de piratage en Chine se poursuit, alors que les autorités cherchent à comprendre comment une telle attaque sophistiquée a pu se produire.

Cybersécurité, Microsoft, Mise à jour, Patch

130 failles corrigées en juillet pour Microsoft

Le Patch Tuesday de ce mois de juillet comprend des correctifs pour 130 CVE, ce qui en fait le plus vaste Patch Tuesday de l’année 2023 jusqu’à présent. Sur les 130 CVE corrigées ce mois-ci, neuf sont jugées critiques et 121 importantes. Ce mois-ci, cinq vulnérabilités ont été exploitées par des hackers sous forme de zero days et Microsoft a publié une alerte concernant l’utilisation malveillante de Microsoft Signed Drivers. »

« Deux vulnérabilités zero-day de contournement des fonctionnalités de sécurité dans Microsoft Outlook (CVE-2023-35311) et Windows SmartScreen (CVE-2023-32049) ont été exploitées dans la nature par des attaquants. Les détails de l’exploitation n’étaient pas disponibles au moment de la publication des mises à jour du Patch Tuesday, mais il semble que les attaquants aient pu avoir recours à l’ingénierie sociale pour convaincre une cible de cliquer sur une URL malveillante. Dans les deux cas, les messages d’avertissement de sécurité conçus pour protéger les utilisateurs ont été contournés. » indique à DataSecurityBreach.fr Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des chercheurs du Threat Analysis Group (TAG) de Google ont révélé un zero day dans le Windows Error Reporting de Microsoft (CVE-2023-36874) qui pourrait permettre à un attaquant de bénéficier de privilèges administratifs. En outre, le Microsoft Threat Intelligence Center (MSTIC) a révélé un zero day dans Windows MSHTML Platform (CVE-2023-32046). Pour exploiter cette faille, il faut convaincre un utilisateur d’ouvrir un fichier spécialement conçu, soit par mail, soit par l’intermédiaire d’un vecteur d’attaque en ligne. Il est également intéressant de noter la présence de mises à jour cumulatives pour Internet Explorer. Malgré l’abandon d’Internet Explorer 11, certains de ses composants, dont MSHTML et EdgeHTML, sont toujours pris en charge par plusieurs versions de Windows Server, ce qui explique pourquoi des correctifs ont été publiés pour ces produits.

Microsoft a également corrigé la CVE-2023-36884, une faille d’exécution de code à distance dans Microsoft Windows et Office qui a été exploitée dans la nature en tant que zero day, et qui a été utilisée dans des attaques ciblées via des documents Microsoft Office corrompus. Ces attaques ont été attribuées à un acteur malveillant connu sous le nom de Storm-0978 ou DEV-0978, qui serait basé en Russie. Storm-0978 est connu pour mener des attaques de ransomware et d’extorsion uniquement, y compris des campagnes de vol d’informations d’identification, contre des cibles en Ukraine, en Amérique du Nord et en Europe.

Enfin, Microsoft a également publié des conseils concernant l’utilisation malveillante de pilotes signés dans le cadre de son programme Microsoft Windows Hardware Developer Program (MWHDP). Il est apparu que certains comptes de développeurs du Microsoft Partner Center soumettaient des pilotes malveillants afin d’obtenir une signature Microsoft. L’utilisation abusive de ces pilotes signés a été découverte dans le cadre d’une activité de post-exploitation, qui exigeait qu’un attaquant obtienne d’abord des privilèges administratifs sur le système ciblé avant d’exécuter les pilotes signés malveillants. Ces comptes de développeurs ont été suspendus et, grâce aux récentes mises à jour de sécurité de Windows, les pilotes malveillants sont désormais considérés comme non fiables.

Cybersécurité, Mise à jour, Patch

Zimbra demande de corriger manuellement une vulnérabilité

Les développeurs de Zimbra demandent aux administrateurs de corriger manuellement une vulnérabilité zero-day qui est déjà activement exploitée par des pirates pour compromettre les serveurs de messagerie Zimbra Collaboration Suite (ZCS).

Comme il n’y a pas encore de correctif, les administrateurs sont priés de se protéger temporairement manuellement. Actuellement, la vulnérabilité n’a pas encore reçu d’identifiant CVE, mais on sait qu’il s’agit d’un bogue XSS découvert par des spécialistes du Google Threat Analysis Group. Bien que Zimbra ne signale pas que le problème est déjà utilisé dans des attaques, Maddie Stone de Google TAG met en garde à ce sujet. Selon elle, la vulnérabilité XSS a été découverte par des spécialistes lors de l’étude d’une cyberattaque ciblée.

Cybersécurité, Microsoft, Mise à jour

Windows Update Restored : mettre à jour votre Windows 95

Un projet indépendant, Windows Update Restored vise à faciliter la mise à jour des anciennes versions de Windows, notamment Win95, 98 et NT 4.0. Attention, danger en cas de connexion web d’OS obsolètes !

Voilà qui est original. Le site Windows Update Restored, mis en place par des amateurs d’ordinateurs rétro, donne accès aux pages Windows Update perdues. Mission, permettre la mise à jour de vieux, trés vieux Windows. L’équipe du projet espère aider ceux qui installent et mettent à niveau les systèmes Windows 95, NT 4.0, 98, Me, 2000 et XP. Le fait est que les anciennes versions de Windows reposaient principalement sur le travail de l’application Web Windows Update, et non sur les outils de mise à jour intégrés, comme c’est le cas actuellement. Et vers la mi-2011, Microsoft a fermé la version du site qui pouvait analyser et mettre à jour Windows 95 et 98.

Le site Windows Update Restored est une version légèrement modifiée du site de Microsoft, un clone du site Windows Update v3.1 (datant de 1997) qui couvre Windows 95, NT 4.0 et Windows 98 (et SE). Le site n’utilise pas SSL ou TLS, donc les anciennes versions d’Internet Explorer peuvent toujours y accéder. Pour accéder aux mises à jour, vous aurez besoin d’au moins Internet Explorer 5.

Étant donné que ce navigateur ne peut plus être téléchargé directement depuis Microsoft, le site Windows Update Restored propose des liens de téléchargement pour IE5 et IE5.5 dans toutes les langues prises en charge.

Pour rappel, à utiliser à vos risques et périls. Les mises à jour pour Windows 95 ont été stoppées il y a 22 ans, et que Windows 98 et ME ont cessé de recevoir des mises à jour en 2006.

Cybersécurité, Mise à jour, Patch

Les vulnérabilités critiques de ColdFusion sont déjà exploitées par des pirates

Adobe vient de corriger des failles visant son outil ColdFusion. Des hackers malveillants exploitent déjà les vulnérabilités.

Adobe a corrigé des vulnérabilités critiques d’exécution de code dans ColdFusion. La semaine dernière, Adobe a signalé un problème de contournement d’authentification ColdFusion (CVE-2023-29298). Une faille découverte par la société Rapid7. Une seconde vulnérabilité d’exécution de code à distance de pré-authentification (CVE-2023-29300) avait été mise à jour par CrowdStrike.

La vulnérabilité critique CVE-2023-29300 est associée à la désérialisation (9,8 points sur l’échelle CVSS) et peut être utilisée par des visiteurs non autorisés pour exécuter à distance des commandes sur des serveurs vulnérables Coldfusion 2018, 2021 et 2023.

Le 14 juillet, Adobe a publié un correctif « urgent » pour une autre vulnérabilité, CVE-2023-38203, également découverte dans Project Discovery. Selon les chercheurs, cette vulnérabilité permet d’exploiter CVE-2023-29300 et d’exécuter du code à distance.

Selon Rapid7, des pirates utilisent déjà des chaînes d’exploit, combinant l’utilisation de CVE-2023-29298 avec un exploit du rapport Project Discovery. Les pirates utilisent ces exploits pour contourner la sécurité, installer des shells [portes dérobées] sur des serveurs ColdFusion vulnérables et obtenir un accès à distance aux appareils. Les shells se trouvent généralement dans le dossier : .\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm.

Pendant ce temps, les mises à jour de juillet de Microsoft corrigent 132 vulnérabilités dans les produits de la société, dont six 0day activement exploités, ainsi que 37 bogues qui permettent l’exécution de code arbitraire à distance. Alors qu’un total de 37 bogues RCE ont été corrigés ce mois-ci, Microsoft affirme que seuls neuf d’entre eux sont jugés critiques. Dans le même temps, l’un des problèmes RCE reste non corrigé et est activement utilisé dans des attaques déjà découvertes par de nombreux spécialistes de la sécurité de l’information.

Cybersécurité, Mise à jour, Wordpress

0Day Ultimate Member WordPress Plugin : 200 000 sites impactés

La vulnérabilité critique CVE-2023-3460 dans le plugin Ultimate Member pour WordPress vous permet d’ajouter un compte avec des privilèges d’administrateur sur le site, en contournant les mesures de sécurité. Des hackers malveillants l’ont adoptée.

Le plugin Ultimate Member est conçu pour faciliter l’enregistrement et la gestion des comptes sur le site ; il vous permet d’ajouter des profils d’utilisateurs, de leur attribuer des rôles, de créer des champs personnalisés dans des formulaires Web, des listes de membres de la communauté, etc.

Actuellement, cette extension WordPress compte plus de 200 000 installations actives. La vulnérabilité CVE-2023-3460 (9,8 points sur l’échelle CVSS) appartient à la classe d’élévation de privilèges et est causée par une protection imparfaite des clés de métadonnées contre la manipulation.

Le fait est qu’à cette fin, le membre ultime utilise des listes de blocage et les vérifie chaque fois qu’un utilisateur tente d’enregistrer une clé lors de la création d’un compte.

Il s’est avéré que ce mécanisme peut être contourné en forçant le plugin à modifier la valeur de wp_capabilities pour le nouvel utilisateur.

Au cours d’attaques actuelles, les pirates informatiques en possession de l’exploit créent des comptes et utilisent la faille pour modifier les métadonnées afin de s’inscrire dans le groupe d’administrateurs, d’obtenir un accès complet au site WordPress et d’installer une extension CMS malveillante via le panneau d’administration.

Il est fortement conseillé aux utilisateurs de toutes les versions du plugin, y compris la 2.6.6, qui a été publiée le 29 juin 2023, d’installer la version 2.6.7, de réinitialiser tous les mots de passe sur le site et de rechercher les comptes inconnus avec le rôle d’administrateur.

Cybersécurité, Mise à jour, Patch

Les 25 vulnérabilités à la mode chez les pirates !

L’organisation MITRE a récemment publié une liste des 25 vulnérabilités et bogues logiciels les plus dangereux qui ont suscité des préoccupations chez les utilisateurs et les entreprises du monde entier au cours des deux dernières années.

Cette initiative vise à attirer l’attention de la communauté de la sécurité de l’information sur ces failles critiques. En plus des vulnérabilités classiques, MITRE a également inclus des erreurs de configuration, des bogues et des implémentations incorrectes dans cette liste exhaustive.

La gravité de ces vulnérabilités peut entraîner des problèmes sérieux, allant de la prise de contrôle de systèmes cibles par des attaquants à la possibilité de voler des données et de provoquer des pannes d’applications. Dans le cadre de l’élaboration de cette liste, MITRE a étudié 43 996 vulnérabilités répertoriées par le National Institute of Standards and Technology (NIST) des États-Unis, en se basant sur leur niveau de gravité. Le catalogue CISA Known Exploited Vulnerabilities (KEV) a également été pris en compte. L’objectif de MITRE est de fournir à la communauté une compréhension claire de certains problèmes logiciels majeurs.

MITRE, l’organisation bien connue pour ses contributions à la sécurité informatique, vient de rendre publique une liste inquiétante des 25 vulnérabilités logicielles les plus dangereuses. Cette compilation, qui a suscité l’attention de la communauté mondiale de la sécurité de l’information, met en évidence les failles qui ont tourmenté les utilisateurs et les entreprises au cours des deux dernières années.

Top 5
– Out-of-bounds Write
– Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
– Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
– Use After Free
– Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)

La liste de MITRE ne se limite pas aux vulnérabilités classiques telles que les erreurs de programmation ou les faiblesses connues. Elle inclut également des erreurs de configuration, des bogues et des implémentations incorrectes. La diversité des failles répertoriées témoigne de l’ampleur des défis auxquels sont confrontés les développeurs et les utilisateurs de logiciels.

L’impact de ces vulnérabilités est considérable

Les attaquants peuvent exploiter ces failles pour prendre le contrôle de systèmes cibles, voler des données sensibles et causer des pannes d’applications. Face à ces risques, MITRE estime qu’il est essentiel de sensibiliser la communauté de la sécurité de l’information à ces problèmes majeurs.

La méthodologie utilisée par MITRE pour établir cette liste est rigoureuse. L’organisation a analysé pas moins de 43 996 vulnérabilités répertoriées par le National Institute of Standards and Technology (NIST) des États-Unis, en se concentrant sur leur niveau de gravité. En outre, elle a pris en compte le catalogue CISA Known Exploited Vulnerabilities (KEV), qui recense les vulnérabilités exploitées.

Calculer la gravité des vulnérabilités

Selon MITRE, la création de cette liste s’est appuyée sur une formule qui permet de calculer la gravité des vulnérabilités. Les scores CVSS (Common Vulnerability Scoring System) ont également été pris en compte pour évaluer la gravité de chaque vulnérabilité. Ainsi, la liste résultante met en évidence les problèmes logiciels les plus critiques, touchant une large gamme de logiciels qui ont été publiés ces deux dernières années.

L’objectif de MITRE est de fournir à la communauté une compréhension claire et approfondie de ces problèmes logiciels majeurs. En rendant cette liste publique, l’organisation cherche à sensibiliser les développeurs, les entreprises et les utilisateurs aux risques auxquels ils sont confrontés.

La publication de cette liste ne vise pas seulement à attirer l’attention sur les vulnérabilités, mais aussi à encourager les acteurs de l’industrie à prendre des mesures proactives pour remédier à ces failles. En identifiant et en comprenant ces vulnérabilités, la communauté de la sécurité de l’information peut développer des stratégies pour renforcer la sécurité des systèmes, améliorer les pratiques de développement et mettre en place des mesures de protection efficaces.

Il est essentiel de noter que la liste de MITRE ne représente pas un classement statique et immuable. Les vulnérabilités évoluent avec le temps et de nouvelles failles peuvent être découvertes. Néanmoins, cette liste offre un point de départ précieux pour identifier les problèmes les plus urgents et les plus préoccupants.

Cybersécurité, Mise à jour, Patch

Les dernières mises à jour de sécurité de Microsoft : protégez-vous contre les vulnérabilités

Microsoft a récemment publié ses mises à jour mensuelles. Le lot de correctifs de juin 2023 résout un total de 78 failles, dont 38 pouvant potentiellement entraîner l’exécution de code à distance. Parmi ces failles, Microsoft en a identifié six comme étant critiques, pouvant causer des attaques de déni de service (DoS), des élévations de privilèges, et l’exécution arbitraire de code à distance.

La répartition des vulnérabilités corrigées se présente comme suit : 17 failles d’élévation de privilèges, 3 contournements de systèmes de protection, 32 vulnérabilités d’exécution de code à distance (RCE), 5 problèmes de divulgation d’informations, 10 attaques de déni de service (DoS), 10 tentatives de spoofing, et une faille spécifique à la version Chromium d’Edge.

Heureusement, cette fois-ci, aucune vulnérabilité zero-day n’a été signalée, ce qui permet aux administrateurs système de déployer les correctifs à leur propre rythme. Cependant, il est essentiel de souligner deux vulnérabilités particulièrement dangereuses qui nécessitent une attention immédiate :

CVE-2023-29357 : Cette faille concerne une élévation de privilèges dans Microsoft SharePoint Server. Selon Microsoft, cette vulnérabilité est exploitée dans des attaques, mais aucune information détaillée sur son exploitation n’a été divulguée.

CVE-2023-32031 : Cette vulnérabilité permet l’exécution de code à distance dans Microsoft Exchange Server. Un attaquant non authentifié peut exploiter cette faille pour exécuter un code malveillant dans le contexte du compte du serveur.

Les mises à jour de sécurité de Microsoft jouent un rôle crucial dans la protection des utilisateurs contre les vulnérabilités et les attaques potentielles. En installant rapidement ces correctifs, vous pouvez renforcer la sécurité de votre système et réduire les risques liés à l’exécution de code à distance, aux élévations de privilèges et aux autres formes d’attaques. Assurez-vous de rester à jour avec les dernières mises à jour de sécurité et de suivre les recommandations de Microsoft pour maintenir un environnement informatique sûr.