Archives de catégorie : Patch

Cybersécurité, Mise à jour, Patch

AlerteCyber : Faille Microsoft Outlook

Aprés les Etats-Unis le 13 février 2024, Cybermalveillance.gouv.fr déclenche une AlerteCyber concernant une faille de sécurité critique dans Microsoft Outlook. Il est primordial de la corriger le plus rapidement possible en mettant à jour les systèmes concernés pour réduire les risques d’une cyberattaque.

Mis en place en juillet 2021, AlerteCyber est un dispositif lancé dès lors qu’une menace ou une faille critique est identifiée et qualifiée en tant que telle, conjointement par l’ANSSI et Cybermalveillance.gouv.fr. Son objectif est d’informer les entreprises, collectivités et associations de toute taille face à la menace afin de les inciter à prendre les mesures qui s’imposent pour se protéger.

Dans le cadre du dispositif, Cybermalveillance.gouv.fr a publié une alerte de cybersécurité concernant une faille de sécurité critique dans Microsoft Outlook.
De quoi s’agit-il ? Quels sont les risques encourus ? Quels systèmes sont concernés et surtout, quelles mesures doivent être prises ?

Description de la vulnérabilité

Une faille de sécurité critique immatriculée CVE-2024-21413 a été corrigée dans le produit Microsoft Outlook pour Windows. L’alerte avait été lancée le 13 février 2024. Des cybercriminels pourraient très prochainement exploiter cette vulnérabilité pour conduire des attaques massives contre les systèmes vulnérables. Il est vivement conseillé d’appliquer au plus vite sur les systèmes concernés la mise à jour publiée par Microsoft qui corrige cette vulnérabilité et protège de son exploitation.

Quels sont les risques encourus ?

Espionnage, vol, voire destruction de données suite à la prise de contrôle à distance des ordinateurs concernés. Microsoft, le 13 février indiquait la faille comme critique.

Cybersécurité, Mise à jour, Patch

L’EXPLOIT PERMETTANT DE CONTOURNER WINDOWS DEFENDER SMARTSCREEN DIVULGUÉ

Le code d’exploitation de démonstration (preuve de concept, PoC) d’une vulnérabilité critique dans Windows Defender a été rendu public.

Cette vulnérabilité, identifiée sous le nom de CVE-2023-36025, permet aux pirates informatiques de contourner efficacement la fonction de sécurité SmartScreen de Windows. Autant dire que cela risque de devenir un sérieux problème si vous n’avez pas encore mis en place le patch qui corrige cette faille.

Microsoft, conscient de l’urgence, a répondu rapidement en déployant un correctif dans sa mise à jour de novembre. Cependant, il est alarmant de constater que, avant même la publication de ce correctif, la vulnérabilité CVE-2023-36025 était déjà exploitée activement dans des cyberattaques, lui conférant ainsi le statut redouté de vulnérabilité « zero-day« .

L’exploit zero-day en question permet aux attaquants d’insérer du code malveillant en déjouant les contrôles de Windows Defender SmartScreen, sans déclencher d’alertes de sécurité. Le vecteur d’attaque implique l’utilisation de raccourcis Web (.url) spécialement conçus ou de liens vers de tels fichiers, nécessitant la participation active de la victime, souvent par le biais de clics imprudents. Un hameçonnage [du Social Engineering via un phishing] aux couleurs de votre entreprise par exemple !

Les systèmes affectés incluent Windows 10, Windows 11 et Windows Server 2008, avec une mention particulière dans l’ensemble de correctifs de novembre en raison de sa haute priorité. Le PoC récemment publié est en soi un simple fichier de raccourci Internet, mais représente un outil puissant pour exploiter la faille CVE-2023-36025. Le spécialiste à l’origine de cette publication met en garde : « Bien que ce fichier .URL conduise à un site malveillant, il peut être déguisé en raccourci inoffensif. Les attaquants peuvent distribuer un tel fichier via des e-mails de phishing ou des ressources Web compromises.« 

L’exploitation de cette vulnérabilité pourrait ouvrir la voie à une distribution massive de logiciels malveillants, des attaques de phishing réussies et diverses autres cybermenaces comme un rançongiciel [ransomware].

Cybersécurité, Mise à jour, Patch

Les réseaux VMware Aria menacés par des cyber attaques à distance

VMware publie des mises à jour pour corriger deux vulnérabilités de sécurité dans Aria Operations for Networks qui pourraient être potentiellement exploitées par des pirates. L’une d’elle est CRITIQUE !

La plus grave des failles est la CVE-2023-34039, elle est notée 9,8 sur 10 (Sic!), qui concerne un cas de contournement d’authentification résultant d’un manque de génération de clé cryptographique unique. Cette vulnérabilité a été découverte par deux chercheurs de chez ProjectDiscovery, Harsh Jaiswal et Rahul Maini. « Un acteur malveillant disposant d’un accès réseau à Aria Operations for Networks pourrait contourner l’authentification SSH pour accéder à la CLI d’Aria Operations for Networks » informe l’alerte. La seconde « faiblesse« , la CVE-2023-20890 (7,2/10), est une vulnérabilité d’écriture de fichier qui pourrait être exploitée par un pirate disposant d’un accès administratif pour écrire des fichiers et lancer l’exécution de code à distance. A noter que des pirates ont activement exploité d’autres failles, corrigées aujourd’hui, en juin 2023 (CVE-2023-20887). Les patchs sont disponibles ici.

Cybersécurité, Mise à jour, Patch

Versioning : une méthode pirate qui a fait ses preuves

Les logiciels malveillants Android utilisent la technique de « versioning » pour contourner les scanners du Play Store.

Les cybercriminels utilisent la technique de « versioning » pour contourner les mécanismes de détection des applications malveillantes dans la boutique officielle Google Play Store. C’est ainsi que les malfaiteurs introduisent des chevaux de Troie bancaires et d’autres malwares sur les appareils Android. Même les experts de Google Cybersecurity Action Team (GCAT) ont reconnu ce problème dans leur rapport d’août (PDF). La technique de « versioning » n’est pas nouvelle, mais elle n’en demeure pas moins dangereuse.

Ces logiciels malveillants sont difficiles à détecter parce qu’une application tout à fait sûre est soumise à la vérification du Google Play Store. Puis, lors d’une mise à jour ultérieure, l’auteur ajoute simplement son code malveillant. Pour ce faire, ils utilisent une méthode appelée « dynamic code loading » (DCL), qui transforme essentiellement un logiciel inoffensif en porte dérobée, un outil d’espionnage installé, directement, dans notre poche.

À titre d’exemple de ce comportement, citons l’application iRecorder – Screen Recorder. Un autre exemple est le cheval de Troie bancaire SharkBot. Les auteurs peuvent publier plusieurs applications simultanément sous différents comptes de développeurs. Seule l’une de ces applications sera malveillante, les autres étant des réserves que les criminels activeront en cas d’échec du premier logiciel. « Cette tactique permet aux cybercriminels de mener des campagnes assez longues et de réduire au maximum le temps nécessaire pour publier un nouveau chargeur. » confirment les chercheurs.

Cybersécurité, Microsoft, Mise à jour, Patch

Une vulnérabilité bien connue de Microsoft Office a été exploitée six fois plus au cours deuxième trimestre de 2023

Des chercheurs ont constaté qu’une ancienne vulnérabilité de Microsoft Office gagne en popularité auprès des attaquants, qui l’exploitent pour cibler à la fois les particuliers et les entreprises.

Depuis le début de l’année 2023, la vulnérabilité CVE-2017-11882 a été exploitée près de 500 % plus souvent, affectant des milliers de personnes. Une autre vulnérabilité connue, CVE-2018-0802, semble être devenue « l’arme » la plus en vogue chez les cybercriminels, ayant été utilisée pour cibler plus de 130 000 utilisateurs. Étant donné que les anciennes versions des programmes Microsoft sont aujourd’hui encore utilisées et qu’elles constituent une cible très attrayante pour les attaquants, il est crucial d’installer une solution de sécurité fiable et d’effectuer les mises à jour régulièrement.

Tout au long du deuxième trimestre 2023, des chercheurs de Kaspersky ont détecté que plus de 11 000 utilisateurs ont été visés par des attaques exploitant une ancienne vulnérabilité du logiciel Microsoft Office, connue sous le nom de CVE-2017-11882. Cette vulnérabilité permet aux attaquants d’exploiter l’éditeur d’équation dans les documents Microsoft Office, pour exécuter un code malveillant sur l’appareil ciblé. Ce procédé leur permet d’installer des logiciels malveillants ou indésirables sur la machine affectée à l’insu de l’utilisateur. Pour exploiter la vulnérabilité, les attaquants peuvent procéder de plusieurs manières: soit en envoyant un fichier malveillant à une victime potentielle, soit en créant un site web avec le même type de fichier pour inciter les gens à l’ouvrir en utilisant des techniques d’ingénierie sociale.

Bien que la vulnérabilité ait été identifiée et corrigée depuis longtemps, les exploits ont augmenté de 483 % au cours du deuxième trimestre par rapport au premier trimestre de cette année. Cette tendance alarmante indique que même les anciennes vulnérabilités restent des points d’entrée efficaces pour attaquer à la fois les appareils des particuliers et les infrastructures informatiques des organisations.

Nombre d’utilisateurs attaqués via la vulnérabilité CVE-2017-11882 en 2023

« Les attaquants ont effectivement recommencé à utiliser cet exploit. Il est très probable qu’ils tentent de mettre en œuvre de nouvelles techniques d’obscurcissement afin d’échapper à la détection. Par exemple, ils pourraient essayer d’insérer de nouveaux types de données malveillantes dans les documents Microsoft Office. Toutefois, des solutions de sécurité éprouvées, conçues pour détecter les tentatives d’attaque de manière systématique, permettent de prévenir de telles attaques et de protéger les utilisateurs. Il est également essentiel d’installer les mises à jour et les correctifs des logiciels à temps« , commentent les experts.

Cette tendance a persisté au cours de cette période, les cybercriminels ayant continué à s’appuyer sur d’anciennes vulnérabilités des logiciels Microsoft comme vecteurs d’attaque. La vulnérabilité qu’ils ont le plus exploitée est CVE-2018-0802, avec laquelle ils ont ciblé plus de 130 000 personnes. L’exploitation de cette vulnérabilité suit généralement le même schéma que la CVE-2017-11882 susmentionnée, impliquant une corruption de la mémoire pouvant permettre à l’attaquant de contrôler le système à l’aide d’un fichier spécialement conçu à cet effet.

Les vulnérabilités CVE-2010-2568, CVE-2017-0199 et CVE-2011-0105 figurent également sur la liste des exploits les plus fréquemment détectés au cours du deuxième trimestre. La première implique l’exécution de code via un fichier LNK spécifiquement développé pour ces opérations, tandis que les deux dernières sont liées à la suite Microsoft Office.

IOT, Mise à jour, Patch

ChatGPT devient idiot avec le temps

Une étude menée par des analystes de Stanford et de l’Université de Californie a révélé que les dernières versions des chatbots ChatGPT ont montré une détérioration de leurs performances au fil du temps.

Les chercheurs de les universités de Stanford et de Californie n’ont pas pu expliquer la raison de cette dégradation des capacités du réseau de neurones, mais il s’avère que ChatGPT devient idiot, avec le temps. L’expérience impliquait de demander à ChatGPT-3.5 et ChatGPT-4 de résoudre des problèmes mathématiques, de répondre à des questions sensibles, de rédiger du code informatique et de démontrer des compétences de raisonnement spatial avec des conseils.

En mars, la version la plus récente de l’IA pouvait identifier les nombres premiers avec une précision de 97,6 %, mais en juin, ce chiffre est tombé à 2,4 %. Pendant la même période, pourtant, le modèle de réseau neuronal antérieur avait amélioré ses performances. De même, lors de la génération de lignes de code identiques, les capacités des deux versions de ChatGPT se sont détériorées après quelques mois. En mars, l’ancien modèle fournissait des explications détaillées sur les raisons pour lesquelles il ne pouvait pas répondre à certaines questions sensibles, comme l’appartenance ethnique des personnes. Cependant, en juin, les deux versions du réseau de neurones se sont simplement excusées sans fournir d’explications.

Les experts ont recommandé aux utilisateurs et aux entreprises qui dépendent des services de chatbots basés sur des réseaux de neurones d’effectuer des analyses régulières pour s’assurer que les chatbots sont toujours à jour et ne racontent pas de bêtises.

Par ailleurs, en juillet, les développeurs de ChatGPT ont publié un nouveau plugin pour la version payante, permettant au chatbot d’analyser des données, de créer du code Python, de construire des graphiques et de résoudre des problèmes mathématiques.

Le chatbot a également été capable de réfuter scientifiquement la théorie de la « terre plate. (Etude)

Cybersécurité, Microsoft, Mise à jour, Patch

130 failles corrigées en juillet pour Microsoft

Le Patch Tuesday de ce mois de juillet comprend des correctifs pour 130 CVE, ce qui en fait le plus vaste Patch Tuesday de l’année 2023 jusqu’à présent. Sur les 130 CVE corrigées ce mois-ci, neuf sont jugées critiques et 121 importantes. Ce mois-ci, cinq vulnérabilités ont été exploitées par des hackers sous forme de zero days et Microsoft a publié une alerte concernant l’utilisation malveillante de Microsoft Signed Drivers. »

« Deux vulnérabilités zero-day de contournement des fonctionnalités de sécurité dans Microsoft Outlook (CVE-2023-35311) et Windows SmartScreen (CVE-2023-32049) ont été exploitées dans la nature par des attaquants. Les détails de l’exploitation n’étaient pas disponibles au moment de la publication des mises à jour du Patch Tuesday, mais il semble que les attaquants aient pu avoir recours à l’ingénierie sociale pour convaincre une cible de cliquer sur une URL malveillante. Dans les deux cas, les messages d’avertissement de sécurité conçus pour protéger les utilisateurs ont été contournés. » indique à DataSecurityBreach.fr Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des chercheurs du Threat Analysis Group (TAG) de Google ont révélé un zero day dans le Windows Error Reporting de Microsoft (CVE-2023-36874) qui pourrait permettre à un attaquant de bénéficier de privilèges administratifs. En outre, le Microsoft Threat Intelligence Center (MSTIC) a révélé un zero day dans Windows MSHTML Platform (CVE-2023-32046). Pour exploiter cette faille, il faut convaincre un utilisateur d’ouvrir un fichier spécialement conçu, soit par mail, soit par l’intermédiaire d’un vecteur d’attaque en ligne. Il est également intéressant de noter la présence de mises à jour cumulatives pour Internet Explorer. Malgré l’abandon d’Internet Explorer 11, certains de ses composants, dont MSHTML et EdgeHTML, sont toujours pris en charge par plusieurs versions de Windows Server, ce qui explique pourquoi des correctifs ont été publiés pour ces produits.

Microsoft a également corrigé la CVE-2023-36884, une faille d’exécution de code à distance dans Microsoft Windows et Office qui a été exploitée dans la nature en tant que zero day, et qui a été utilisée dans des attaques ciblées via des documents Microsoft Office corrompus. Ces attaques ont été attribuées à un acteur malveillant connu sous le nom de Storm-0978 ou DEV-0978, qui serait basé en Russie. Storm-0978 est connu pour mener des attaques de ransomware et d’extorsion uniquement, y compris des campagnes de vol d’informations d’identification, contre des cibles en Ukraine, en Amérique du Nord et en Europe.

Enfin, Microsoft a également publié des conseils concernant l’utilisation malveillante de pilotes signés dans le cadre de son programme Microsoft Windows Hardware Developer Program (MWHDP). Il est apparu que certains comptes de développeurs du Microsoft Partner Center soumettaient des pilotes malveillants afin d’obtenir une signature Microsoft. L’utilisation abusive de ces pilotes signés a été découverte dans le cadre d’une activité de post-exploitation, qui exigeait qu’un attaquant obtienne d’abord des privilèges administratifs sur le système ciblé avant d’exécuter les pilotes signés malveillants. Ces comptes de développeurs ont été suspendus et, grâce aux récentes mises à jour de sécurité de Windows, les pilotes malveillants sont désormais considérés comme non fiables.

Cybersécurité, Mise à jour, Patch

Zimbra demande de corriger manuellement une vulnérabilité

Les développeurs de Zimbra demandent aux administrateurs de corriger manuellement une vulnérabilité zero-day qui est déjà activement exploitée par des pirates pour compromettre les serveurs de messagerie Zimbra Collaboration Suite (ZCS).

Comme il n’y a pas encore de correctif, les administrateurs sont priés de se protéger temporairement manuellement. Actuellement, la vulnérabilité n’a pas encore reçu d’identifiant CVE, mais on sait qu’il s’agit d’un bogue XSS découvert par des spécialistes du Google Threat Analysis Group. Bien que Zimbra ne signale pas que le problème est déjà utilisé dans des attaques, Maddie Stone de Google TAG met en garde à ce sujet. Selon elle, la vulnérabilité XSS a été découverte par des spécialistes lors de l’étude d’une cyberattaque ciblée.

Cybersécurité, Mise à jour, Patch

Les vulnérabilités critiques de ColdFusion sont déjà exploitées par des pirates

Adobe vient de corriger des failles visant son outil ColdFusion. Des hackers malveillants exploitent déjà les vulnérabilités.

Adobe a corrigé des vulnérabilités critiques d’exécution de code dans ColdFusion. La semaine dernière, Adobe a signalé un problème de contournement d’authentification ColdFusion (CVE-2023-29298). Une faille découverte par la société Rapid7. Une seconde vulnérabilité d’exécution de code à distance de pré-authentification (CVE-2023-29300) avait été mise à jour par CrowdStrike.

La vulnérabilité critique CVE-2023-29300 est associée à la désérialisation (9,8 points sur l’échelle CVSS) et peut être utilisée par des visiteurs non autorisés pour exécuter à distance des commandes sur des serveurs vulnérables Coldfusion 2018, 2021 et 2023.

Le 14 juillet, Adobe a publié un correctif « urgent » pour une autre vulnérabilité, CVE-2023-38203, également découverte dans Project Discovery. Selon les chercheurs, cette vulnérabilité permet d’exploiter CVE-2023-29300 et d’exécuter du code à distance.

Selon Rapid7, des pirates utilisent déjà des chaînes d’exploit, combinant l’utilisation de CVE-2023-29298 avec un exploit du rapport Project Discovery. Les pirates utilisent ces exploits pour contourner la sécurité, installer des shells [portes dérobées] sur des serveurs ColdFusion vulnérables et obtenir un accès à distance aux appareils. Les shells se trouvent généralement dans le dossier : .\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm.

Pendant ce temps, les mises à jour de juillet de Microsoft corrigent 132 vulnérabilités dans les produits de la société, dont six 0day activement exploités, ainsi que 37 bogues qui permettent l’exécution de code arbitraire à distance. Alors qu’un total de 37 bogues RCE ont été corrigés ce mois-ci, Microsoft affirme que seuls neuf d’entre eux sont jugés critiques. Dans le même temps, l’un des problèmes RCE reste non corrigé et est activement utilisé dans des attaques déjà découvertes par de nombreux spécialistes de la sécurité de l’information.

Cybersécurité, Mise à jour, Patch

Les 25 vulnérabilités à la mode chez les pirates !

L’organisation MITRE a récemment publié une liste des 25 vulnérabilités et bogues logiciels les plus dangereux qui ont suscité des préoccupations chez les utilisateurs et les entreprises du monde entier au cours des deux dernières années.

Cette initiative vise à attirer l’attention de la communauté de la sécurité de l’information sur ces failles critiques. En plus des vulnérabilités classiques, MITRE a également inclus des erreurs de configuration, des bogues et des implémentations incorrectes dans cette liste exhaustive.

La gravité de ces vulnérabilités peut entraîner des problèmes sérieux, allant de la prise de contrôle de systèmes cibles par des attaquants à la possibilité de voler des données et de provoquer des pannes d’applications. Dans le cadre de l’élaboration de cette liste, MITRE a étudié 43 996 vulnérabilités répertoriées par le National Institute of Standards and Technology (NIST) des États-Unis, en se basant sur leur niveau de gravité. Le catalogue CISA Known Exploited Vulnerabilities (KEV) a également été pris en compte. L’objectif de MITRE est de fournir à la communauté une compréhension claire de certains problèmes logiciels majeurs.

MITRE, l’organisation bien connue pour ses contributions à la sécurité informatique, vient de rendre publique une liste inquiétante des 25 vulnérabilités logicielles les plus dangereuses. Cette compilation, qui a suscité l’attention de la communauté mondiale de la sécurité de l’information, met en évidence les failles qui ont tourmenté les utilisateurs et les entreprises au cours des deux dernières années.

Top 5
– Out-of-bounds Write
– Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
– Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
– Use After Free
– Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)

La liste de MITRE ne se limite pas aux vulnérabilités classiques telles que les erreurs de programmation ou les faiblesses connues. Elle inclut également des erreurs de configuration, des bogues et des implémentations incorrectes. La diversité des failles répertoriées témoigne de l’ampleur des défis auxquels sont confrontés les développeurs et les utilisateurs de logiciels.

L’impact de ces vulnérabilités est considérable

Les attaquants peuvent exploiter ces failles pour prendre le contrôle de systèmes cibles, voler des données sensibles et causer des pannes d’applications. Face à ces risques, MITRE estime qu’il est essentiel de sensibiliser la communauté de la sécurité de l’information à ces problèmes majeurs.

La méthodologie utilisée par MITRE pour établir cette liste est rigoureuse. L’organisation a analysé pas moins de 43 996 vulnérabilités répertoriées par le National Institute of Standards and Technology (NIST) des États-Unis, en se concentrant sur leur niveau de gravité. En outre, elle a pris en compte le catalogue CISA Known Exploited Vulnerabilities (KEV), qui recense les vulnérabilités exploitées.

Calculer la gravité des vulnérabilités

Selon MITRE, la création de cette liste s’est appuyée sur une formule qui permet de calculer la gravité des vulnérabilités. Les scores CVSS (Common Vulnerability Scoring System) ont également été pris en compte pour évaluer la gravité de chaque vulnérabilité. Ainsi, la liste résultante met en évidence les problèmes logiciels les plus critiques, touchant une large gamme de logiciels qui ont été publiés ces deux dernières années.

L’objectif de MITRE est de fournir à la communauté une compréhension claire et approfondie de ces problèmes logiciels majeurs. En rendant cette liste publique, l’organisation cherche à sensibiliser les développeurs, les entreprises et les utilisateurs aux risques auxquels ils sont confrontés.

La publication de cette liste ne vise pas seulement à attirer l’attention sur les vulnérabilités, mais aussi à encourager les acteurs de l’industrie à prendre des mesures proactives pour remédier à ces failles. En identifiant et en comprenant ces vulnérabilités, la communauté de la sécurité de l’information peut développer des stratégies pour renforcer la sécurité des systèmes, améliorer les pratiques de développement et mettre en place des mesures de protection efficaces.

Il est essentiel de noter que la liste de MITRE ne représente pas un classement statique et immuable. Les vulnérabilités évoluent avec le temps et de nouvelles failles peuvent être découvertes. Néanmoins, cette liste offre un point de départ précieux pour identifier les problèmes les plus urgents et les plus préoccupants.