Archives de catégorie : Microsoft

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Social engineering

Patch Tuesday : 79 vulnérabilités dont 22 critiques

Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.

Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.

Exécution de code RCE sur les services Remote Desktop (RDS)

Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.

Critiques : Exécution de code RCE sur le serveur DHCP

Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.

Conseils pour les attaques MDS (Microarchitectural Data Sampling)

Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.

Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.

Adobe Patch Tuesday

Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique, Social engineering

Faille pour Windows : possible de copier vos fichiers à distance

Un chercheur en cybersécurité découvre comment des pirates pourraient vous voler des fichiers via Internet Explorer… même si le navigateur est fermé.

Un chercheur en sécurité informatique, John Page (Hyp3rlinx), a découvert comment il était possible de prendre la main sur vos fichiers via un ordinateur sous Windows 7, 10 et Server 2012. Une attaque qui exploite Internet Explorer.

Le plus inquiétant est que le navigateur n’a pas besoin d’être ouvert pour que l’infiltration fonctionne. Un pirate doit motiver son interlocuteur à ouvrir un fichier, envoyé par mail ou via un lien. Mission, ouvrir un fichier MHT particulièrement formulé.

Via ce MHT, le pirate peut copier les fichiers de votre ordinateur. Comme le précise ZDNET, Microsoft alertée. La réaction peu rapide du géant américain a motivé John Page a révélé la faille.

python -m SimpleHTTPServer

Lors de l’ouverture locale du fichier « .MHT » malveillant, il convient de lancer Internet Explorer. Ensuite, les interactions utilisateur telles que l’onglet en double « Ctrl + K » et d’autres interactions, telles que les commandes « Aperçu avant impression » ou « Imprimer » effectuées par un clic droit sur la page Web peuvent également déclencher la vulnérabilité.

Testé avec succès dans le dernier navigateur Internet Explorer (11), avec les derniers correctifs de sécurité.

Microsoft indique « qu’une solution à ce problème serait prise en compte dans une future version de ce produit ou service. Pour le moment, nous ne fournirons pas de mises à jour régulières sur l’état du correctif relatif à ce problème, et nous avons classé cette affaire ».

Android, Apple, Chiffrement, Communiqué de presse, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Sécurité, Securite informatique, Smartphone, VPN

Reborn 3 : le premier navigateur de bureau prêt pour le Web 3, l’Internet du futur

Reborn 3, le plus récent navigateur Opera pour Mac, Windows et Linux comprend dorénavant un portefeuille Crypto, un explorateur Web 3 et un VPN gratuit. Reborn 3 est conçu pour donner aux gens un sentiment de contrôle sur leur vie en ligne et un aperçu du Web de l’avenir.

Pari osé pour les Norvégiens de chez Opera. Le navigateur concurrent de Chrome, Firefox et autre Edge, pour ne citer qu’eux, devient le premier navigateur sur ordinateur à inclure un portefeuille Crypto natif et un navigateur Web 3. Des nouveautés pour les 24 ans d’existence du navigateur.

Blockchain

D’abord, cette nouvelle fonctionnalité permet aux gens d’effectuer des transactions et d’interagir avec l’Internet du futur basé sur une blockchain. Egalement connu sous le nom de Web 3. En fournissant également un VPN gratuit,  les utilisateurs restent en sécurité.

« Le Web a transformé nos vies. Nous sommes maintenant en ligne en permanence. Mais plus nous passons de temps en ligne, plus nous avons besoin d’outils qui nous aident à contrôler la sécurité et la confidentialité de notre vie numérique « , explique Krystian Kolondra, vice-président exécutif d’Opera,responsable des navigateurs à Data Security Breach. « Avec cette mise à niveau majeure, nous faisons le premier pas vers le Web 3, le nouveau Web, où les utilisateurs ont le contrôle. Nous pensons que chaque navigateur en 2019 devrait être prêt pour le Web 3. »

Naviguez sur le Web 3 sur votre PC, signez des transactions avec votre smartphone

Ensuite, le portefeuille Crypto du navigateur Opera se synchronise avec le portefeuille Crypto du navigateur Opera pour Android. Cela signifie que les clés de portefeuille ne quittent jamais les smartphones.

En pratique, chaque fois qu’ils ont besoin de s’identifier sur un site Web 3 ou de signer une transaction sur la blockchain, vous recevrez une notification sur le téléphone. La fonction Porte-monnaie Crypto devrait également être ajoutée au navigateur iOS d’Opera, Opera Touch, prochainement.

Un service VPN plus rapide pour plus de sécurité et de confidentialité

Pour conclure avec ce Reborn 3, la demande de services VPN ne cesse de croître. Actuellement, un tiers des utilisateurs de VPN à travers le monde utilisent cette solution avec l’intention de rester anonyme sur le Web. Opera est le seul éditeur à fournir un VPN rapide et gratuit. Le VPN illimité du navigateur améliore la confidentialité en ligne des utilisateurs et améliore leur sécurité lorsqu’ils utilisent des réseaux publics auxquels ils ne font pas confiance.

Enfin, le VPN du navigateur établit un tunnel sécurisé et chiffré qui protège les données de tiers. Il permet de cacher leur position géographique aux sites Web. Le service VPN du navigateur est également un service sans journal, ce qui signifie que les serveurs VPN n’enregistrent et ne conservent aucune donnée d’activité, tout cela pour protéger la vie privée des utilisateurs.

Télécharger ici.

Antivirus, Argent, Arnaque, Chiffrement, Communiqué de presse, cryptolocker, Cyber-attaque, Cybersécurité, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Securite informatique

Déchiffrer les nouvelles versions de GandCrab

Europol, la police roumaine, plusieurs autres organisations policières et privées publient un nouvel outil de déchiffrement pour les dernières versions du ransomware GandCrab.

 Europol, l’agence Roumaine DIICOT (Direction des enquêtes sur le crime organisé et le terrorisme) et plusieurs organisations policières et privées, dont Bitdefender, proposent une nouvelle version de l’outil de déchiffrement mis à disposition des victimes de GandCrab, pour lutter contre les dernières versions du ransomware. GandCrab est à ce jour reconnu comme étant l’une des familles de ransomware les plus prolifiques et les plus dangereuses du monde.

Le nouvel outil de déchiffrement permet aux victimes de retrouver l’accès à leurs propres données sans payer de rançon aux cybercriminels. En plus des versions 1, 4 et des premières versions 5, le nouvel outil s’attaque maintenant aux infections par les versions 5.0.4 à 5.1 – les plus récentes utilisées par les cybercriminels diffusant GandCrab.

L’outil précédent a déjà été téléchargé plus de 400 000 fois, aidant près de 10 000 victimes à économiser plus de 5 millions de dollars en frais de déchiffrement. Depuis son émergence en janvier 2018, GandCrab a infligé des centaines de millions de dollars de pertes dans le monde.

GandCrab Familly

La famille de ransomware GandCrab a été extrêmement active au cours de la dernière année, surpassant les autres familles de ransomware en popularité et en viralité.

L’année dernière, certaines versions de GandCrab ont commencé à attaquer des organisations via des instances de Remote Desktop Protocol exposées ou en se connectant directement avec des identifiants de domaine volés. Après s’être authentifié sur un PC compromis, les attaquants lancent manuellement le ransomware et lui demandent de se répandre sur tout un réseau. Une fois le réseau infecté, les attaquants effacent leurs traces et contactent ensuite la victime avec une offre de déchiffrement. Depuis fin 2018 et début 2019, GandCrab a radicalement transformé son mécanisme de diffusion, ses opportunités d’affiliation et amélioré sa résistance à la plupart des solutions de cybersécurité.

Pour prévenir les infections des logiciels de rançon, les utilisateurs doivent mettre en œuvre une solution de sécurité avec des défenses anti-ransomware en couches, sauvegarder régulièrement leurs données et éviter d’ouvrir les pièces jointes fournies avec les messages non sollicités. Il ne faut pas céder aux exigences des opérateurs de ransomware, notamment GandCrab et penser à sauvegarder l’information chiffrée et aviser la police immédiatement.

Actions de GandCrab

D’abord, après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu sa présence sur la machine, puis force l’arrêt des processus logiciels selon une liste définie par le malveillant utilisateur. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique.

Ensuite, le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque rendu illisible dans un thread différent. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.

Pour conclure, le nouvel outil de décryptage est disponible immédiatement et peut être téléchargé gratuitement sur No More Ransom Project.

Adobe, backdoor, Communiqué de presse, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

47 vulnérabilités dont 7 critiques corrigées en janvier 2019

De taille moyenne, le premier Patch Tuesday de l’année 2019 permet de résoudre 47 vulnérabilités dont seulement 7 sont considérées comme critiques.

26 de ces vulnérabilités concernent les serveurs Windows et des systèmes d’exploitation pour postes de travail. Deux des vulnérabilités critiques concernent Hyper-V et pourraient conduire à l’exécution de code à distance (RCE) sur le système hôte. En outre, Microsoft a publié un correctif en urgence en décembre pour les versions 9 à 11 d’Internet Explorer en raison d’attaques actives à l’aveugle. Quant à Adobe, l’éditeur a publié des correctifs en urgence la semaine dernière pour Acrobat et Reader afin de résoudre deux vulnérabilités critiques.

Patches pour postes de travail

Les patches pour les navigateurs et le moteur de script sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à sa messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multi-utilisateurs comme poste de travail distant. Quatre des sept vulnérabilités critiques concernent Chakra / Microsoft Edge. ils devraient être traitées rapidement pour ces types de systèmes.

Patch pour IE en urgence

Le 19 novembre, Microsoft a publié un patch en urgence (CVE-2018-8653) pour les versions 9 à 11 d’Internet Explorer à cause d’attaques actives en mode aveugle contre cette vulnérabilité. Ce patch est également une priorité pour tous les équipements de type poste de travail.

Hyper-V

Deux des vulnérabilités concernent Hyper-V et pourraient conduire à un exploit de type Évasion de machines virtuelles (VM). Microsoft les considère comme moins susceptibles d’être dangereuse, mais le déploiement de ces correctifs critiques sur les hôtes Hyper-V doit rester prioritaire.

Patches Adobe

Adobe a publié des patches pour Flash, mais ces derniers ne contiennent pas de mises à jour de sécurité. Des patches sécurité publiés pour Adobe Digital Editions et Adobe Connect afin de traiter deux vulnérabilités CVE importantes. En outre, Adobe a publié des patches urgents pour traiter deux vulnérabilités critiques dans Acrobat et Reader.

Ces patches doivent également être déployés en priorité sur tous les équipements de type poste de travail. (Par Jimmy GrahamThe Laws of Vulnerabilities)

Argent, Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Securite informatique

Menace : les documents Office peuvent être dangereux

Nous utilisons quasiment tous des documents Microsoft Office. Qu’il s’agisse de documents de travail, de reçus électroniques ou du bail d’un nouvel appartement, les documents Office sont utiles à chacun d’entre nous et c’est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d’un e-mail. Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d’une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système.

Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d’attaque et d’infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d’autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d’infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d’exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s’exécuter sur le système dès l’ouverture du document, sans aucune intervention de l’utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l’utilisateur n’a pas activé les macros, un message apparaît pour lui demander s’il souhaite le faire. Il s’agit de l’un des divers mécanismes de sécurité mis en place par Microsoft afin d’atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d’ouvrir ces fichiers et d’activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l’image de Sofacy.

Comme l’illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d’ingénierie sociale, persuadant l’utilisateur d’activer le contenu afin de pouvoir consulter l’intégralité du document. Dans l’exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l’utilisateur n’active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l’intérieur du document Office. Un exemple de ce vecteur d’attaque est la faille Zero Day CVE-2018-4878dans Adobe Flash Player, exploitée par l’incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d’exécuter du code shell intégré.

Editeur d’équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d’insérer dans des documents des équations mathématiques qui seront interprétées par l’Editeur d’équations Microsoft, un outil ayant pour vocation de faciliter leur écriture :

Comme dans notre exemple précédent, des vulnérabilités dans l’éditeur d’équations s’exploitent par l’intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d’autres, telles que CVE-2018-0802. Toutes deux touchent l’éditeur d’équations, ce qui permet d’amener l’utilisateur à ouvrir un document Office pour l’exécution de code à distance. Des vulnérabilités similaires dans l’Editeur d’équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, identifiées par les chercheurs de l’Unité 42.

Il est à noter que, l’Editeur d’équations Microsoft s’exécutant sous la forme d’un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes pour les documents Office. Ils font référence à d’autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

Un objet OLE2 (lien) s’incorpore dans un document Microsoft Word. Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Winword.exe recherche alors dans le handler le type « application/hta » via un objet COM, ce qui entraîne le chargement et l’exécution du script malveillant par l’application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l’exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu’Internet Explorer.

CVE-2018-8174

L’exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d’attaques d’exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon se place dans une « sandbox » (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d’autres opérations) à l’instar de tout autre code exécuté à partir d’Internet Explorer. Cette faille peut servir à en exploiter d’autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l’exécution de code arbitraire dans le cadre de l’application Word (winword.exe) et la prise de contrôle du système.

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d’une dizaine d’années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s’expliquer par la difficulté croissante d’exploiter les vulnérabilités des navigateurs, en raison du renforcement de leur protection par leurs développeurs. Quoi qu’il en soit, il est important pour les entreprises de savoir comment se défendre.

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Securite informatique

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Un commentaire

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

Argent, backdoor, Base de données, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Justice, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.

Cybersécurité, IOT, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Gros bugs pour Microsoft et son service de mails Outlook

Les services de courrier électronique de Microsoft (Outlook, …) ont été frappés par deux bugs aujourd’hui lundi 18 septembre. Outlook, Exchange Online ont eu des ratés comme le confirme Microsoft. Des bugs qui ont posé des « problèmes » avec « certains » utilisateurs du service Outlook.com en Europe.

Selon downdetector.com, plusieurs centaines d’utilisateurs ont signalé des problèmes tels que la difficulté à recevoir des messages et à se connecter à leurs comptes de messagerie Web (Outlook/Hotmail/Windows Live Hotmail). Pour le moment, Microsoft n’en n’a pas dit plus sur le pourquoi du comment de ces bugs à répétitions.

Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Securite informatique, Social engineering

Les auteurs de Fireball arrêtés

Un commentaire

Le logiciel malveillant Fireball a infiltré plus de 250 millions d’ordinateurs. Onze personnes soupçonnées d’être derrière cet outil pirate arrêtées.

La police Chinoise vient d’arrêter 11 présumés pirates informatiques auteurs de l’infiltration de plus de 250 millions d’ordinateurs. Les personnes sont soupçonnées d’avoir développé des logiciels malveillants nommés Fireball. Parmi les dispositifs infectés, 20% appartiennent à de grands réseaux d’entreprises dans divers pays. Le programme malveillant Fireball a été découvert il y a deux mois par des chercheurs de la société Proofpoint.

Fireball avait pour mission de se cacher dans les ordinateurs et d’afficher des publicités dans les navigateurs. Pour piéger les internautes, les pirates passaient par un éditeur de logiciels Chinois, Rafotech. Les publicités affichés, rapportaient de l’argent aux pirates à chaque diffusion. Les 11 personnes arrêtées travaillaient pour Rafotech. Les pirates informatiques auraient gagné 80 millions de yuans (Plus de 10 928 290 millions d’euros) avec leur campagne de logiciels malveillants, rapporte le Beijing Youth Daily. Au moment de la découverte de Fireball, les chercheurs ont trouvé 25,3 millions d’appareils infectés en Inde, 5,5 millions d’appareils aux États-Unis, 24,1 millions au Brésil, 16,1 millions au Mexique, 13,1 millions en Indonésie.