Archives de catégorie : Mise à jour

Cybersécurité, Microsoft, Mise à jour

Microsoft propose d’isoler les applications pour une meilleure sécurité

Alors que l’on entend surtout parler de ChatGPT dans les outils Microsoft, une autre fonctionnalité plus intéressante apparait dans Windows 11 : l’isolation des applications Win32.

Actuellement en phase de test dans une version d’aperçu, cette nouvelle fonction permettra aux utilisateurs d’exécuter des applications Win32 dans un environnement isolé, offrant ainsi une protection accrue et une sécurité renforcée pour le système d’exploitation. En créant une sorte de bac à sable, les applications Win32 ne pourront pas affecter le reste du système en cas de compromission ou d’attaque. Cette initiative fait partie de la mise à jour majeure de Windows 11, baptisée « Moment 3 », qui apporte également un support natif pour des formats de compression populaires tels que 7-Zip, RAR et GZ. Les utilisateurs des versions de prévisualisation peuvent déjà profiter de cette nouvelle fonctionnalité, qui promet d’améliorer l’expérience de sécurité et de confidentialité sur Windows 11.

Cybersécurité, Mise à jour, Patch, Wordpress

Une vulnérabilité corrigée dans le plug-in Advanced Custom Fields pour WordPress

Une faille de sécurité a été identifiée dans le plug-in Advanced Custom Fields pour WordPress, permettant l’insertion de code malveillant sur approximativement deux millions de sites web. Cela pourrait causer des préjudices aux sites eux-mêmes et à leurs utilisateurs.

Cette faille concerne spécifiquement les plug-ins Advanced Custom Fields et Advanced Custom Fields Pro, développés par Delicious Brains. Ces outils offrent aux administrateurs de sites WordPress une plus grande maîtrise sur leur contenu et leurs données.

Patchstack a révélé le 5 février qu’une attaque XSS (cross-site scripting) pouvait être menée via ces plug-ins. En termes simples, une attaque XSS consiste pour un agresseur à insérer du code, généralement dans une zone de texte sur un site web. Ce code est ensuite exécuté par le site. Bien que ce type d’attaque soit moins fréquent qu’il y a une décennie, il existe toujours des exceptions.

En exploitant cette faille, il serait possible d’exécuter du JavaScript à l’insu des visiteurs du site. Cela pourrait conduire au vol de données des visiteurs ou à la prise de contrôle du site entier, si l’utilisateur affecté est un administrateur du site.

Un correctif a été publié début avril pour résoudre ce problème. Depuis le 5 mai, Patchstack et Rafie Muhammad, le chercheur de Patchstack qui a identifié la faille, ont été autorisés à partager publiquement leurs découvertes. Pour remédier à la situation, les utilisateurs d’Advanced Custom Fields doivent mettre à jour leur version vers la 6.1.6 ou une version ultérieure. Cette vulnérabilité a été enregistrée sous le code CVE-2023-30777.

Cybersécurité, Microsoft, Mise à jour, Patch

Vulnérabilités : trois 0day à corriger d’urgence

Microsoft élimine trois 0days dans Windows, deux sont utilisés dans des cyber attaques.

Microsoft a publié de nombreux correctifs en ce mois de mai pour Windows. Au total, les développeurs ont corrigé 38 problèmes, dont trois vulnérabilités zero-day (0day).

Six vulnérabilités ont reçu le statut de critiques, car elles permettent l’exécution de code à distance.

Huit vulnérabilités d’escalade de privilèges. Quatre façons de contourner les fonctions de sécurité. 12 trous menant à l’exécution de code à distance. Huit problèmes de divulgation. Cinq vulnérabilités DoS. Une possibilité de spoofing.

Quant aux trois 0days que Microsoft a fermé ce mois-ci : deux d’entre eux sont déjà activement utilisés dans de véritables cyberattaques, et le reste attend dans les coulisses, puisque les détails techniques sont sur le Web.

CVE-2023-29336 est l’une des vulnérabilités exploitées. Provoque une élévation et affecte Win32k. Avec son aide, les pirates peuvent obtenir des privilèges de niveau SYSTEM dans le système d’exploitation.

CVE-2023-24932 est une autre vulnérabilité exploitable qui pourrait conduire à des contournements de sécurité. C’est ce 0day qui est utilisé pour installer le bootkit BlackLotus UEFI .

CVE-2023-29325 est le dernier 0day affectant Windows OLE qui pourrait conduire à l’exécution de code à distance. Il peut être utilisé avec un e-mail spécialement conçu.

Début 2023, les responsables ukrainiens du CERT-UA avaient signalé une vulnérabilité à l’équipe de réponse aux incidents de Microsoft après que des pirates basés en Russie avaient utilisé une vulnérabilité dans le service de messagerie Outlook de Microsoft (CVE-2023-23397). L’attaque aurait visé quelques organisations des secteurs gouvernemental, des transports, de l’énergie et militaire en Europe selon le CERT-UA.

Bien que le problème ait été corrigé en mars 2023, le chercheur d’Akamai, Ben Barnea, découvrait un moyen de contourner le correctif. Il permettrait à un pirate d’utiliser la vulnérabilité pour contraindre un client Outlook à se connecter à un serveur contrôlé par l’attaquant. Une vulnérabilité sans clic – ce qui signifie qu’elle peut être déclenchée sans interaction de l’utilisateur – et que toutes les versions de Windows étaient affectées. Faille corrigée ce mardi 9 mai via la CVE 29324.

Android, backdoor, Cybersécurité, Mise à jour

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

Cybersécurité, Mise à jour, Securite informatique

Données clients dans des routeurs vendus d’occasion

Une étude affiche une inquiétante mauvaise habitude dans la revente de matériel informatique. 22% des routeurs de seconde main affichent encore des données sur les clients !

Une étude présentée ce 24 avril 2023 affiche des chiffres qui laissent perplexe sur la compréhension de certains utilisateurs professionnels de matériels informatiques. Le laboratoire ESET Research découvre que les routeurs d’occasion détiennent de nombreux secrets d’entreprises. Plus de 56 % des routeurs réseaux achetés à des fournisseurs de matériel d’occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc. Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l’entreprise, ses partenaires et ses clients.

Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel. Après avoir examiné les données de configuration de 16 appareils distincts, 9 routeurs contenaient encore des données d’entreprise sensibles.

Des données clients toujours présentes

22 % contenaient des données sur les clients ; 33 % exposaient des données permettant à des tiers de se connecter au réseau ; 44 % disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance ; 89 % contenaient des détails de connexion pour des applications spécifiques ; 89 % contenaient des clés d’authentification de routeur à routeur ; 100 % contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root ; 100 % disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude.

Les données découvertes sur les équipements entrent dans ces catégories : informations de tiers de confiance ; Données sur les clients ; Données d’applications spécifiques ; Informations complètes sur le routage central ou encore données d’usurpation d’opérateurs de confiance.

Nous pourrions attendre à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service « mais nous avons constaté le contraire » confirme ESET. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service « Les appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients.« 

Cybersécurité, Mise à jour

programme Cybersecurity Startups Growth Academy

Les résultats d’un concours organisé par Google pour les Européens dans le cadre du programme Cybersecurity Startups Growth Academy ont été annoncés.

120 candidats ont participé au concours organisé par Google. Dans le cadre du programme Cybersecurity Startups Growth Academy Google souhaite apporter son aide. 15 startups de huit pays ont été sélectionnées. Le programme de soutien aux entrepreneurs Startup IS de Google est un programme de trois mois qui comprend une formation, un mentorat et des incitations financières.

Pendant ce temps, les participants doivent acquérir les compétences de base pour accélérer la croissance, l’internationalisation et la mise à l’échelle de l’entreprise à l’aide des outils et des produits Google.

Le premier cours de formation débute en avril. Des réunions et des ateliers auront lieu dans différentes villes d’Europe.

Les experts de l’entreprise joueront le rôle de mentors, notamment des spécialistes de VirusTotal et de Mandiant, deux entreprises rachetées l’an dernier.

Les dirigeants des startups pourront être conseillés pour élaborer une stratégie, organiser les ventes et nouer des partenariats.

« Amener des startups sur les premières lignes de défense de l’Europe n’est pas seulement une bonne décision stratégique, mais aussi un besoin urgent« , a déclaré Royal Hansen, vice-président de Google chargé de la confidentialité, de la confiance et de la sécurité dans le développement. « L’importance de la cybersécurité est reconnue par 92 % des PME de la région, mais seulement 16 % se sentent prêtes à faire face à des attaques. » (CS)

APT, Cybersécurité, Mise à jour

L’activité Emotet a repris après une interruption de trois mois

Des experts ont remarqué que le code malveillant Emotet a repris son activité de spammeurs après une « accalmie » de trois mois.

Emotet, le retour. Après une pause de trois mois, l’outil malveillant refait surface via des vagues de spams dont il a le secret. Jusqu’à présent, les spécialistes de la sécurité de l’information n’ont trouvé aucune charge utile supplémentaire. Il semble que le logiciel malveillant collecte simplement des données pour de futures campagnes de spam.

La reprise de l’activité malveillante a été signalée par les analystes de la sociétés Cofense et du groupe Cryptolaemus. Cette team a été fondée en 2018 pour combattre Emotet.

Les chercheurs ont rappelé que la dernière campagne de spam Emotet avait été observée en novembre 2022. Un spamming de deux semaines.

Cette fois, au lieu d’utiliser des courriels de réponse à d’autres messages, comme lors de la campagne précédente, les pirates utilisent des e-mails qui imitent diverses factures. Des archives ZIP contenant intentionnellement des documents Word « gonflés » de plus de 500 Mo sont jointes à ces courriers électroniques. Les documents sont délibérément remplis de données inutilisées pour rendre les fichiers plus volumineux et plus difficiles à analyser pour les antivirus.

En fait, ces documents contiennent de nombreuses macros qui téléchargent le chargeur Emotet en tant que DLL à partir de sites compromis (principalement des blogs WordPress piratés). Après le téléchargement, le logiciel malveillant est enregistré dans un dossier avec un nom aléatoire. Un DLL gonflé pour perturber, une fois encore, les logiciels d’analyse.

Selon VirusTotal, jusqu’à présent, seul un fournisseur de solutions de sécurité sur 64 a détecté le piège !

Bitcoin, Cybersécurité, double authentification, Mise à jour, nft

Porsche stoppe son projet NFT

Porsche stoppe la production d’une nouvelle collection de NFT suite aux risques de piratage informatique et de détournement de ses créations.

La marque de voitures de prestiges, Porsche, souhaitait mettre en circulation des NFT, les Non-Fungible Tokens. Suite à de nombreuses inquiétudes, le projet est mis à l’arrêt. Les craintes de piratage informatique et escroquerie numérique font que la marque préfère travailler sur un système plus sécurisé avant de se lancer dans l’aventure des NFT.

Les NFT (Non-Fungible Tokens) sont des actifs numériques stockés sur une blockchain qui fournissent la preuve de l’authenticité et de la propriété d’un élément.

Le marché de revente NFT OpenSea, où il était moins cher d’acheter des objets de collection Porsche que d’obtenir un original, a provoqué la colère des investisseurs. Cela dévalué immédiatement les actifs originaux des créations du constructeur automobile.

Porsche a annoncé qu’elle interromprait le processus de diffusion de ses NFT et réduirait les expéditions jusqu’à ce qu’elle sache comment lancer correctement les NFT.

Cybersécurité, Microsoft, Mise à jour

Microsoft : la prise en charge de Windows Server 2012 prend fin en octobre

Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.

Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.

Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.

Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.

Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.

Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.

A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.

Cybersécurité, Mise à jour

Failles UEFI de Qualcomm menacent les appareils Microsoft, Lenovo et Samsung

De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.

Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.

Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.

Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.

Ordinateurs portables impactés

En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.

Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.

Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.