Archives de catégorie : Mise à jour

Cybersécurité, Mise à jour

programme Cybersecurity Startups Growth Academy

Les résultats d’un concours organisé par Google pour les Européens dans le cadre du programme Cybersecurity Startups Growth Academy ont été annoncés.

120 candidats ont participé au concours organisé par Google. Dans le cadre du programme Cybersecurity Startups Growth Academy Google souhaite apporter son aide. 15 startups de huit pays ont été sélectionnées. Le programme de soutien aux entrepreneurs Startup IS de Google est un programme de trois mois qui comprend une formation, un mentorat et des incitations financières.

Pendant ce temps, les participants doivent acquérir les compétences de base pour accélérer la croissance, l’internationalisation et la mise à l’échelle de l’entreprise à l’aide des outils et des produits Google.

Le premier cours de formation débute en avril. Des réunions et des ateliers auront lieu dans différentes villes d’Europe.

Les experts de l’entreprise joueront le rôle de mentors, notamment des spécialistes de VirusTotal et de Mandiant, deux entreprises rachetées l’an dernier.

Les dirigeants des startups pourront être conseillés pour élaborer une stratégie, organiser les ventes et nouer des partenariats.

« Amener des startups sur les premières lignes de défense de l’Europe n’est pas seulement une bonne décision stratégique, mais aussi un besoin urgent« , a déclaré Royal Hansen, vice-président de Google chargé de la confidentialité, de la confiance et de la sécurité dans le développement. « L’importance de la cybersécurité est reconnue par 92 % des PME de la région, mais seulement 16 % se sentent prêtes à faire face à des attaques. » (CS)

APT, Cybersécurité, Mise à jour

L’activité Emotet a repris après une interruption de trois mois

Des experts ont remarqué que le code malveillant Emotet a repris son activité de spammeurs après une « accalmie » de trois mois.

Emotet, le retour. Après une pause de trois mois, l’outil malveillant refait surface via des vagues de spams dont il a le secret. Jusqu’à présent, les spécialistes de la sécurité de l’information n’ont trouvé aucune charge utile supplémentaire. Il semble que le logiciel malveillant collecte simplement des données pour de futures campagnes de spam.

La reprise de l’activité malveillante a été signalée par les analystes de la sociétés Cofense et du groupe Cryptolaemus. Cette team a été fondée en 2018 pour combattre Emotet.

Les chercheurs ont rappelé que la dernière campagne de spam Emotet avait été observée en novembre 2022. Un spamming de deux semaines.

Cette fois, au lieu d’utiliser des courriels de réponse à d’autres messages, comme lors de la campagne précédente, les pirates utilisent des e-mails qui imitent diverses factures. Des archives ZIP contenant intentionnellement des documents Word « gonflés » de plus de 500 Mo sont jointes à ces courriers électroniques. Les documents sont délibérément remplis de données inutilisées pour rendre les fichiers plus volumineux et plus difficiles à analyser pour les antivirus.

En fait, ces documents contiennent de nombreuses macros qui téléchargent le chargeur Emotet en tant que DLL à partir de sites compromis (principalement des blogs WordPress piratés). Après le téléchargement, le logiciel malveillant est enregistré dans un dossier avec un nom aléatoire. Un DLL gonflé pour perturber, une fois encore, les logiciels d’analyse.

Selon VirusTotal, jusqu’à présent, seul un fournisseur de solutions de sécurité sur 64 a détecté le piège !

Bitcoin, Cybersécurité, double authentification, Mise à jour, nft

Porsche stoppe son projet NFT

Porsche stoppe la production d’une nouvelle collection de NFT suite aux risques de piratage informatique et de détournement de ses créations.

La marque de voitures de prestiges, Porsche, souhaitait mettre en circulation des NFT, les Non-Fungible Tokens. Suite à de nombreuses inquiétudes, le projet est mis à l’arrêt. Les craintes de piratage informatique et escroquerie numérique font que la marque préfère travailler sur un système plus sécurisé avant de se lancer dans l’aventure des NFT.

Les NFT (Non-Fungible Tokens) sont des actifs numériques stockés sur une blockchain qui fournissent la preuve de l’authenticité et de la propriété d’un élément.

Le marché de revente NFT OpenSea, où il était moins cher d’acheter des objets de collection Porsche que d’obtenir un original, a provoqué la colère des investisseurs. Cela dévalué immédiatement les actifs originaux des créations du constructeur automobile.

Porsche a annoncé qu’elle interromprait le processus de diffusion de ses NFT et réduirait les expéditions jusqu’à ce qu’elle sache comment lancer correctement les NFT.

Cybersécurité, Microsoft, Mise à jour

Microsoft : la prise en charge de Windows Server 2012 prend fin en octobre

Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.

Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.

Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.

Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.

Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.

Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.

A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.

Cybersécurité, Mise à jour

Failles UEFI de Qualcomm menacent les appareils Microsoft, Lenovo et Samsung

De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.

Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.

Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.

Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.

Ordinateurs portables impactés

En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.

Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.

Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.

Cybersécurité, Mise à jour

À partir du 10 janvier, Windows 7 ne recevra plus de correctifs pour les vulnérabilités critiques

Les versions de Windows 7 Professionnel et Entreprise à partir de demain ne recevront pas de correctifs pour les vulnérabilités critiques et dangereuses.

Le programme de support supplémentaire pour ces systèmes d’exploitation – Extended Security Update (ESU) – touche à sa fin. L’ESU était d’ailleurs la dernière opportunité pour les fans de l’ancien Windows 7. Rappelons que la sortie du système a eu lieu en octobre 2009. En janvier 2015, Microsoft a annoncé la fin du support de Windows 7, et début 2020, la période de support étendu (EOS) a pris fin.

Le 10 janvier 2023 sera également le dernier jour d’EOS pour Windows 8.1, sorti en novembre 2013. « La plupart des ordinateurs exécutant Windows 7 ne répondent pas aux spécifications matérielles requises pour passer à Windows 11. Alternativement, nous pouvons proposer aux propriétaires de tels appareils de passer à Windows 10, après avoir acheté au préalable une licence complète pour le système d’exploitation« , explique Microsoft.

Cependant, avant d’acheter Windows 10, veuillez noter que cette version du système d’exploitation ne sera plus prise en charge après le 14 octobre 2025.

Selon Statcounter GlobalStats , Windows 7 tourne actuellement sur 11% des PC dans le monde.

La part de Windows 8.1 est bien moindre – seulement 2,59%.

Les développeurs de navigateurs ont également annoncé la fin du support de Windows 7.

Par exemple, Microsoft Edge 109 sera la dernière version à être « amie » avec Windows 7 et Windows 8/8.1.

Et la version de Google Chrome 110 devrait sortir sans prise en charge de ces versions d’OS.

Cybersécurité, Mise à jour

Patch Day : 62 CVE, dont 9 sont jugées critiques et 53 importantes

Ce mois-ci, Microsoft a corrigé quatre vulnérabilités de type « zero-day », les quatre étant exploitées dans la nature, bien que l’une d’entre elles ait été divulguée avant que les correctifs ne soient disponibles. Pour rappel, un 0Day est une vulnérabilité qui n’est pas publique, mais exploitée par des pirates.

CVE-2022-41073 est une vulnérabilité d’élévation de privilège dans Windows Print Spooler. Les vulnérabilités de Print Spooler ont gagné en notoriété suite à la divulgation des failles PrintNightmare en juin (CVE-2021-1675) et juillet (CVE-2021-34527). Bien que plusieurs vulnérabilités liées à Print Spooler aient été divulguées par des chercheurs en sécurité depuis l’année dernière, il semble que CVE-2022-41073 soit la première vulnérabilité de Print Spooler depuis PrintNightmare à être exploitée dans la nature par des attaquants. Nous avons longtemps mis en garde contre le fait qu’une fois la boîte de Pandore ouverte avec PrintNightmare, les failles de Windows Print Spooler reviendraient hanter les entreprises, et si l’on se base sur le succès que les groupes de ransomware et d’autres acteurs de la menace ont eu avec PrintNightmare, une attention continue sur la nature omniprésente de Windows Print Spooler en fait l’une des cibles les plus attrayantes pour l’escalade des privilèges et l’exécution de code à distance. Sa découverte a été attribuée au Microsoft Threat Intelligence Center.

CVE-2022-41128 est une vulnérabilité d’exécution de code à distance dans les langages de script de Windows. Plus précisément, elle affecte le langage de script JScript9 de Microsoft. L’exploitation nécessite une interaction avec l’utilisateur, de sorte qu’un attaquant devrait convaincre une victime exécutant une version vulnérable de Windows de visiter un partage de serveur ou un site Web spécialement conçu, par le biais d’un type d’ingénierie sociale. Selon Microsoft, cette faille a été exploitée dans la nature et divulguée par Clément Lecigne du Threat Analysis Group de Google.

CVE-2022-41125 est une vulnérabilité d’élévation de privilège dans l’API de chiffrement de Windows : Next Generation (CNG) Key Isolation Service, un service d’isolation de clés privées hébergé dans le processus Local Security Authority (LSA). L’exploitation de cette vulnérabilité pourrait accorder à un attaquant des privilèges SYSTEM. Elle a été exploitée dans la nature par des attaquants et est attribuée à la fois au Microsoft Threat Intelligence Center et au Microsoft’s Security Response Center.

CVE-2022-41091 est l’une des deux vulnérabilités de contournement de la fonctionnalité de sécurité dans Windows Mark of the Web (MoTW). MoTW est une fonctionnalité conçue pour signaler les fichiers qui ont été téléchargés depuis Internet, en invitant les utilisateurs à afficher une bannière d’avertissement de sécurité, leur demandant de confirmer que le document est fiable en sélectionnant Enable content. Bien qu’elle n’ait pas été attribuée à un chercheur en particulier, cette vulnérabilité a récemment été découverte comme étant exploitée dans la nature par le groupe de ransomware Magniber sous forme de fausses mises à jour logicielles, selon des chercheurs de HP. L’autre contournement de la fonction de sécurité dans MoTW, CVE-2022-41049, a été révélé à Microsoft par le chercheur Will Dormann.

« Heureusement, souligne Satnam Narang, de chez Tenable, Microsoft a corrigé les deux CVE-2022-41040 et CVE-2022-41082, également connus sous le nom de ProxyNotShell, lors du Patch Tuesday de ce mois-ci. Cela fait plus d’un mois que ces failles ont été divulguées. Bien que l’impact de ProxyNotShell soit limité en raison de l’exigence d’authentification, le fait qu’elle ait été exploitée dans la nature et que les attaquants soient capables d’obtenir des informations d’identification valides en font des failles importantes à corriger.« 

Cybersécurité, Mise à jour, Patch, Securite informatique

Une faille dans Python

Une vulnérabilité vieille de 15 ans dans le langage Python refait surface et risque d’affecter plus de 350 000 projets open source.

Une vieille faille dans un langage très couru, voilà qui n’arrange pas les affaires des codeurs et concepteurs de projets sous Python.
Un récent rapport de Trellix détaillant la présence d’une vulnérabilité de traversée de répertoire non corrigée vieille de 15 ans (CVE-2007-4559) dans le module tarfile de Python, une bibliothèque utilisée pour lire et écrire des fichiers archivés sur bande (tar), expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets.

Cette situation rappelle les défis que pose l’intégration de code source ouvert dans les projets logiciels, en particulier ceux utilisés dans les environnements d’entreprise. « Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la chaîne d’approvisionnement, ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations. » indique Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des initiatives telles que les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et l’inventaire logiciels (SBOM), ainsi que des projets tels qu’Alpha-Omega sous l’égide de l’Open Source Security Foundation, sont conçus pour combler le fossé de la sécurité au sein de la communauté open source, car de nombreux développeurs sont souvent des contributeurs non rémunérés qui donnent de leur temps.

Il n’existe pas de solution unique pour résoudre le problème de la sécurité de la chaîne d’approvisionnement des logiciels, mais les propositions ci-dessus offrent la possibilité de contribuer à faire une différence significative.

Des rapports comme celui-ci ne seront certainement pas les derniers, c’est pourquoi la poursuite des initiatives est cruciale.

Cybersécurité, Mise à jour

40 000 informaticiens en moins, en Russie

Pour le premier semestre 2022, environ 40 000 informaticiens ont quitté la Russie.

Un second effet à la guerre lancée par Vladimir Poutine, en Ukraine, les emplois spécialisés disparaissent. Après les craintes visant les mises à jour de logiciels, le blocage des smartphones sous Android et iOS, voici venir la nouvelle crainte high-tech sur le territoire Russe.

La Russie a perdu (ou va perdre) 40 000 informaticiens. Des employés de centres de développement d’entreprises étrangères, dont les maisons « mères » ont décidé de fermer leurs bureaux en Russie. Une second trimestre qui va faire de gros dégâts, la Russie n’étant pas capable de remplacer ces personnels partis.

La seconde fuite de cerveau est celle des entreprises russes qui travaillaient sur les marchés étrangers. Les informaticiens Russes vivant à l’étranger sont censés rentrer dans leur pays avant la fin de l’année.

Cybersécurité, Mise à jour, Patch

Patch Tuesday – Août 2022

Un mois d’août 2022 très chargé pour Microsoft avec 121 vulnérabilités dont 17 critiques corrigées.

En résumé ce mois, Microsoft a corrigé 121 vulnérabilités, dont 17 vulnérabilités classées Critiques, car facilitant une élévation de privilèges (EoP) et une exécution de code à distance (RCE). Correctifs disponibles pour 2 vulnérabilités Zero-Day, l’une étant activement exploitée lors d’attaques (CVE-2022-34713, CVE-2022-30134). Microsoft a également publié 20 mises à jour de sécurité pour Microsoft Edge (basé sur Chromium) afin de résoudre des vulnérabilités d’élévation de privilèges (EoP), d’exécution de code à distance (RCE) et de contournement de fonctions de sécurité, affichant une sévérité respectivement faible, modérée et importante.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation, ainsi que dans Microsoft Edge (basé sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Remarque : Les vulnérabilités dans Microsoft Edge sont présentes dans chacune des catégories : Élévation de privilèges / Faible, Exécution de code à distance / Modérée et Contournement de fonctions de sécurité / Importante

Principales vulnérabilités Microsoft corrigées

CVE-2022-34713 | Vulnérabilité d’exécution de code à distance dans l’outil de diagnostic du Support Windows (MSDT)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

En mai dernier, Microsoft a publié un article avec des recommandations pour une vulnérabilité dans l’outil MSDT et des mises à jour pour résoudre cette vulnérabilité. Cette vulnérabilité CVE est une variante connue publiquement sous le nom de Dogwalk.

Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-30134 | Vulnérabilité de divulgation d’informations dans Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,6/10.

Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée d’Exchange Server et accède à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question, généralement en les y invitant au moyen d’un message électronique ou dans le cadre d’une discussion en ligne.

Pour plus d’informations, reportez-vous à Exchange Server Support for Windows Extended Protection et/ou au blog sur Exchange.

Évaluation d’exploitabilité : Exploitation improbable

Corrections des vulnérabilités de contournement de fonctions de sécurité

Il existe des mises à jour de sécurité autonomes. Ces packages doivent être installés au dessus des mises à jour de sécurité classiques pour protéger pleinement contre cette vulnérabilité.

Cette actualisation exige une mise à jour de la pile de maintenance (SSU) pour des numéros KB spécifiques. Les packages ont une logique pré-requise intégrée qui garantit un certain ordre.

Les clients Microsoft doivent s’assurer d’avoir installé la toute dernière version de la mise à jour de la pile de maintenance avant d’installer ces mises à jour de sécurité autonomes. Pour plus d’informations, se reporter à ADV990001 | Latest Servicing Stack Updates .

Un attaquant parvenant à exploiter l’une de ces trois vulnérabilités pourrait contourner un Démarrage sécurisé.

CVE-2022-34301 | CERT/CC: CVE-2022-34301 – Contournement du chargeur de démarrage Eurosoft

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34302 | CERT/CC: CVE-2022-34302 – Contournement du chargeur de démarrage New Horizon Data Systems Inc.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34303 | CERT/CC: CVE-20220-34303 – Contournement du chargeur de démarrage Crypto Pro

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-35794, CVE-2022-35794 | Vulnérabilité d’exécution de code à distance dans le protocole SSTP (Secure Socket Tunneling Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10.

Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-30133, CVE-2022-35744 | Vulnérabilité d’exécution de code à distance dans le protocole PPP (Point-to-Point Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. Une solution de contournement temporaire, avant d’installer les mises à jour corrigeant cette vulnérabilité, consiste à bloquer le trafic via ce port pour rendre la vulnérabilité inexploitable. Avertissement : Désactiver le Port 1723 peut affecter les communications sur votre réseau.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-34691 | Vulnérabilité d’élévation de privilèges sur les services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. En guise de solution de contournement temporaire, un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges au niveau Système.

Pour savoir comment protéger votre domaine, reportez-vous aux modifications de l’authentification à base de certificat sur les contrôleurs de domaine Windows.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-33646 | Vulnérabilité d’élévation de privilèges sur l’agent de nœud d’Azure Batch

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,0/10.

Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit préparer l’environnement ciblé pour améliorer la fiabilité de l’exploit.

Évaluation d’exploitabilité : Exploitation plus probable

(Par Debra M. Fezza Reed, Ingénieur de l’équipe Recherche sur les vulnérabilités et les menaces, Lab Qualys.)