Archives de catégorie : Patch

Chiffrement, cryptage, Cybersécurité, Facebook, Fuite de données, Patch

Facebook : voler nom, mail et jeton de connexion

Deux chercheurs en sécurité informatique, evil_xorb et Michał Bentkowski, ont découvert une faille qui permettait de mettre la main sur le nom, le mail et le jeton de connexion d’un utilsateur de Facebook. Le bug partait du plugin FriendFeed. Après avoir cliqué sur le bouton « Enregistrer », une requête POST à ​​redirect_uri était délivrée. Cette requête contenait les données de l’utilisateur. Rien n’était chiffré. Nom, mail et le jeton d’accès accessibles. Une vulnérabilité sensible au Clickjacking. Le bug a été signalé à Facebook et a été corrigé assez rapidement. (Bentkowski)

Cybersécurité, Mise à jour, Patch, Wordpress

Faille pour le plugin WPtouch

Des chercheurs de chez Securir, qui avaient déjà mis la main sur plusieurs autres failles visant des applications WordPress, viennent de tirer la sonnette d’alarme à l’intention des administrateurs de sites web sous WordPress, et plus précisément aux utilisateurs du plugin WPTouch.

Cette application permet aux sites web de proposer une version pour mobile. La faille permet à n’importe quel internaute inscrit et enregistré sur le WordPress faillible d’injecter une backdoor, un shell, qui permet ensuite de manipuler le site et le serveur (selon les autorisations, NDLR) au bon vouloir du pirate. Sur les 73 millions de sites web sous WordPress dans le monde, 5,7 millions utilisent WPtouch. Autant dire un sacré vivier pour les pirates. Securir indique qu’une mise à jour du Plugin est plus que conseillé.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Oracle, Patch

Grosses mises à jour Microsoft et Adobe

Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.

Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.

Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.

Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.

Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.

Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.

Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)

Android, Chiffrement, cryptage, Cybersécurité, Fuite de données, ios, Logiciels, Mise à jour, Patch, Sécurité, Téléphonie

Google ne protège toujours pas Gmail pour iOS

2 commentaires

Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.

L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.

Cybersécurité, Fuite de données, Mise à jour, Patch

OPEN SSL : 49% des serveurs vulnérables et 14% exploitables

OpenSSL a publié un avis consultatif détaillant un certain nombre de difficultés sérieuses.

La vulnérabilité CVE-2014-0224 sera la plus problématique pour la plupart des déploiements car elle peut être exploitée par l’intermédiaire d’une attaque réseau active de type « Man the Middle ». Cette vulnérabilité permet à un attaquant actif sur un réseau d’injecter des messages ChangeCipherSpec (CCS) des deux côtés d’une connexion et de forcer les deux parties à se mettre d’accord sur les clés à utiliser avant que tous les éléments relatifs à la clé ne soient disponibles. Ce qui entraîne la négociation de clés faibles. (Pour en savoir plus sur le sujet, voir l’analyse technique pertinente d’Adam Langley).

Bien que pratiquement toutes les versions d’OpenSSL soient vulnérables, ce problème est exploitable seulement si les deux parties utilisent OpenSSL et (2) si le serveur utilise une version vulnérable d’OpenSSL de la branche 1.0.1. La bonne nouvelle est que la plupart des navigateurs ne s’appuient pas sur OpenSSL, ce qui signifie que la plupart des internautes ne seront pas affectés. Cependant, les navigateurs Android utilisent OpenSSL et sont donc vulnérables à cette attaque. De plus, de nombreux outils en mode ligne de commande et assimilés utilisent OpenSSL. En outre, les produits pour réseaux VPN seront une cible particulièrement intéressante s’ils reposent sur OpenSSL comme c’est le cas pour OpenVPN.

Qualys teste une vérification à distance pour CVE-2014-0224 via SSL Labs. Suite au test qui a permis d’identifier correctement les serveurs vulnérables, Qualys a lancé une analyse sur l’ensemble des données du tableau de bord SSL Pulse. Les résultats indiquent que près de 49% des serveurs sont vulnérables. Environ 14% (de l’ensemble des serveurs) peuvent être victimes d’un exploit parce qu’ils exécutent une version plus récente d’OpenSSL. Les autres systèmes ne sont probablement pas exploitables, mais leur mise à niveau s’impose car il existe probablement d’autres moyens d’exploiter cette vulnérabilité.

Si vous souhaitez tester vos serveurs, la toute dernière version de SSL Labs propose un test de vérification pour la vulnérabilité CVE-2014-0224.

Cyber-attaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

Logiciels, Mise à jour, Oracle, Patch

104 vulnérabilités corrigées pour Oracle

Le géant américain de la base de données, Oracle, vient de corriger 104 vulnérabilités dans ses logiciels. La dernière mise à jour de sécurité visant les produits Oracle n’aura pas fait dans la demi-mesure. Pas moins de 104 failles, dont certaines critiques, ont été colmatées pour Java SE, Virtual Box, Oracle Fusion, Oracle iLearning, Oracle Siebel CRM, MySQL… 37 patchs, dont 4 critiques, s’attaquent à des problèmes dans Java SE. MySQL se voit gratifié de la correction de deux vulnérabilités critiques. La version Windows permet à un pirate de compromettre l’ensemble du système attaqué. Il faut cependant que le malveillant soit authentifié. Autant dire que les mises à jour sont obligatoires. Il est bon de rappeler l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille est découverte. « Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement. » indique la CNIL.

Cyber-attaque, Entreprise, Leak, Mise à jour, Patch

Windows XP sera-t-il la nouvelle aire de jeu des cybercriminels à compter du 8 avril 2014 ?

A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…

Qu’elles soient petites, moyennes ou grandes entreprises, issues du secteur bancaire, industriel ou tertiaire, le 8 avril 2014 préoccupe un certain nombre d’organisations car la fin du support de Windows XP n’est pas qu’une simple question de migration vers un nouveau système d’exploitation. D’autres contraintes comme le coût ou bien l’interruption de services liés à cette migration peuvent être des éléments critiques à prendre en compte pour certaines entreprises.

Prenons l’exemple du secteur bancaire. 95% des distributeurs automatiques de billets (DAB) dans le monde reposent actuellement sur des ordinateurs fonctionnant sous Windows XP. Outre la nécessité d’une interruption de services pour réaliser cette migration, ces ordinateurs ne tolèrent en général pas une version plus récente de Windows. Dans ce cas de figure, impossible de migrer sans changer l’ensemble du matériel informatique et engendrer un coût non négligeable pour les entreprises. Idem pour les environnements industriels dits SCADA comportant des applications métiers spécifiques créées depuis des dizaines d’années et difficiles à migrer.

Une des alternatives envisagées par ces entreprises est de ne rien faire. Seront-elles donc plus vulnérables ? N’en soyez pas si certain ! Il est fréquent qu’une organisation n’effectue pas les correctifs disponibles de l’OS pour éviter toute interruption de leurs services.  En effet, pour ces organisations, l’interruption de services n’est pas uniquement liée à la migration vers un nouvel OS mais est également nécessaire pour toute mise à jour de n’importe quel système d’exploitation. Ces entreprises seront donc autant vulnérables qu’aujourd’hui puisque sans ces correctifs, elles ne sont pas protégées des vulnérabilités actuelles. A l’inverse, d’autres entreprises ont l’habitude de mettre à jour automatiquement leur système d’exploitation, dans ce  cas, elles deviendront plus vulnérables qu’aujourd’hui puisqu’elles ne bénéficieront plus de protection actualisées.

Pour ce qui est des DAB, rassurez-vous, ces distributeurs ne sont pas directement connectés à Internet. Donc le seul moyen pour un cybercriminel de les cibler est d’intervenir sur la machine elle-même (comme par exemple : y introduire un cheval de Troie par le biais d’une clé USB qu’il connecterait au distributeur). Une opération très peu probable car risquée pour les cybercriminels.

Vous l’aurez donc compris la clé pour rester sous Windows XP est de ne pas être connecter à Internet. Sans quoi, il est recommandé de migrer vers un autre système d’exploitation car on peut s’attendre à une recrudescence d’attaques ciblant les prochaines vulnérabilités XP visant à extraire des informations sensibles (informations concurrentielles, numéros de cartes de crédit …). – Par Guillaume Lovet, expert en cybercriminalité au sein de l’équipe FortiGuard Labs de Fortinet.

Cybersécurité, Mise à jour, Patch

Piratage à distance possible des routeurs Cisco Small Business

Une faille de sécurité dans le routeur VPN sans fil Cisco et Cisco pare-feu VPN sans fil permet à un pirate informatique d’accéder à distance au panneau d’administration de l’interface de gestion Web de l’appareil.

Un « bug » gênant pour un matériel que l’on trouve dans certaines PME et PMI. Selon un avis de sécurité, la vulnérabilité est due à la mauvaise manipulation des demandes d’authentification par le framework web. « Un attaquant pourrait exploiter cette vulnérabilité en interceptant, puis en modifiant une demande d’authentification. » Gustavo Javier Speranza, chercheur en sécurité informatique, a découvert le problème qui a été rapporté à Cisco.

Le constructeur américain a publié une mise à jour logicielle pour tous les appareils concernés par cette vulnérabilité. Cisco indique que cette vulnérabilité n’est pas exploitée par des pirates, du moins publiquement. Mais comment leur faire confiance, déjà qu’il n’avait pas repéré la faille. Alors de là à tracer des pirates exploiteurs !

En attendant, il est fortement conseillé de faire la mise à jour du matériel. Il ne le fera pas automatiquement pour vous.

BYOD, Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Patch

« Cybercrime-as-a-Service » : les méthodes de vol de données les plus courantes sur le Net

McAfee Labs révèle les principales menaces qui ont marqué le 4ème trimestre 2013. Les chercheurs McAfee mettent notamment en lumière le rôle joué par le « dark web » dans l’industrie des logiciels malveillants, réel catalyseur des attaques ciblant les points de vente en ligne, ainsi que les violations de données.
« Cet automne, les cybercriminels se sont appuyés sur les failles des sites marchands pour lancer leurs attaques. Ils ont su profiter de la période du shopping de Noël, où les gens se sentent le plus en confiance pour acheter pour accroître leur terrain de jeu », précise François Paget, chercheur de menaces au sein de McAfee Labs.

1/ Vente des données personnelles relatives aux cartes de crédits
Le rapport met en lumière la facilité d’achat en ligne de logiciels malveillants, de données personnelles ainsi que la vente de numéros de cartes de crédit volées. McAfee Labs relève également que le nombre de signatures électroniques malveillantes a triplé au cours de l’année 2013 et qu’une accélération de cette tendance pourrait engendrer une importante menace à l’authentification des logiciels sécurisés, par l’autorité de certification.
« Pour les professionnels de la lutte contre le cybercrime, les nouvelles pratiques employées par les hackers, simples à réaliser et à utiliser, annoncent l’ère du CaaS – ‘Cybercrime-as-a-Service’ » poursuit François Paget.

2/ Recrudescence des malwares relatifs aux certificats d’authenticité
Fin 2013, McAfee a référencé trois fois plus de malwares au sein de sa base de données (le ‘zoo’), aujourd’hui composée de plus de 8 millions de fichiers suspects. Au cours du quatrième trimestre, les chercheurs du Labs ont ainsi identifié plus de 2,3 millions de nouvelles applications malveillantes, soit une augmentation de 52 % par rapport au trimestre précédent.

Bien que le nombre total d’échantillons de logiciels malveillants intègrent des données volées, achetées ou des certificats erronés, le moteur majeur de leur croissance réside dans les réseaux de distribution aux contenus douteux. Ces organisations permettent aux développeurs de télécharger leurs programmes, ou une URL qui est en lien vers une application externe, et de la transformer en malware. McAfee entend alerter sur la confusion que peut créer ces malwares signés et remettre également en cause la viabilité du code source.

« Bien que les interventions des autorités de certification aient considérablement réduit les coûts de développement et de délivrance de logiciels pour les développeurs, les normes d’identification de l’éditeur ont également diminué spectaculairement », ajoute François Paget. « Désormais, nous devrons apprendre à faire plus confiance à la réputation du fournisseur qui a délivré/signé le fichier qu’à la simple présence d’un certificat. »

3/ Et toujours :
• Les logiciels malveillants sur mobiles.
McAfee Labs a recueilli 2,47 millions de nouveaux échantillons en 2013, dont 744 000 sur le quatrième trimestre. La base d’échantillonnage relative aux logiciels malveillants mobiles a augmenté de 197 % depuis la fin 2012.

• Les ransomwares.
Leur volume a augmenté d’un million cette année, 50 % de plus ont été référencés au 4ème trimestre 2013, en comparaison de la même période en 2012.

• Les URL suspectes.
McAfee a enregistré une augmentation de 70 % du nombre d’URL suspectes sur l’année 2013.

• La prolifération des malwares.
En 2013, McAfee Labs a trouvé, chaque minute, 200 nouveaux échantillons de malwares, soit plus de trois nouvelles menaces chaque seconde.

• L’enregistrement liés Master Boot.
2,2 millions de nouvelles -attaques ont été identifié sur 2013.