Archives de catégorie : Microsoft

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Microsoft corrige 94 vulnérabilités via une mise à jour massive

Microsoft vient de publier les patches pour résoudre 94 vulnérabilités, dont 27 corrigent des problèmes d’exécution de code à distance (RCE) donnant à l’attaquant le contrôle à distance des machines ciblées. Il s’agit d’une mise à jour massive qui résout deux fois plus de vulnérabilités qu’au cours des deux derniers mois.

La priorité absolue va à la vulnérabilité CVE-2017-8543 qui, selon Microsoft, est actuellement exploitée en mode aveugle. Les attaquants peuvent contrôler totalement l’ordinateur ciblé en envoyant une requête SMB au service de recherche Windows. Sont concernés : Windows Server 2016, 2012, 2008 ainsi que des systèmes bureautiques comme Windows 10, 7 et 8.1. Cette vulnérabilité étant actuellement utilisée pour mener des attaques, nous recommandons aux entreprises d’appliquer les patches dès que possible. Autre vulnérabilité en cours d’exploitation, CVE-2017-8464 elle permet de prendre le plein contrôle d’une machine par le biais d’une exécution de code à distance via l’icône de raccourci LNK (Windows).

Microsoft a également publié l’avis de sécurité 4025685 qui concerne aussi des plateformes plus anciennes en raison d’un risque d’exploitation élevé.

Autre priorité élevée, CVE-2017-8527, la vulnérabilité qui affecte le moteur de rendu graphique de Windows et déclenchée lors de la consultation d’un site Web pirate conçu à l’aide de polices malveillantes. Similaires au problème de police évoqué ci-dessus, les vulnérabilités CVE-2017-8528 et CVE-2017-0283 peuvent être déclenchées lorsque des utilisateurs consultent du texte Unicode encodé dans un but malveillant. Les deux problèmes entraînent une prise de contrôle complète de la machine ciblée.

Il est conseillé aux entreprises qui utilisent Outlook de corriger CVE-2017-8507, l’une des vulnérabilités permettant d’envoyer des emails malveillants et de prendre le contrôle complet d’un système lorsque ces emails sont consultés depuis Outlook. Les vulnérabilités Office CVE-2017-0260 et CVE-2017-8506 peuvent être déclenchées suite à l’ouverture de documents Office malveillants. Elles doivent donc être corrigées dès que possible car Office est un vecteur assez simple à exploiter pour lancer des attaques de type ingénierie sociale.

Les patches pour Microsoft Edge et IE résolvent de nombreux problèmes d’exécution de code à distance (RCE) tandis que les vulnérabilités CVE-2017-8498, CVE-2017-8530 et CVE-2017-8523 revêtent une importance toute particulière car elles ont été divulguées publiquement mais aucune attaque n’a encore été observée à ce jour. Parmi les autres problèmes d’exécution de code à distance résolus par la mise à jour de juin citons les vulnérabilités CVE-2017-0291 et CVE-2017-0292 PDF pour Windows.

En résumé, nous avons affaire à une mise à jour de sécurité importante et qui résout un nombre deux fois plus élevé de vulnérabilités qu’au cours des deux derniers mois. La vulnérabilité SMB CVE-2017-8543 activement exploitée ainsi que d’autres problèmes affectant les polices, Outlook, Office, Edge et IE vont pleinement occuper les administrateurs système et les équipes de sécurité. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Cyber-attaque, Cybersécurité, escroquerie, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Les sous-titres de films dangereux sur le web ?

Un commentaire

Des chercheurs ont étudié un nouveau vecteur d’attaque, les sous-titres, menaçant des centaines de millions d’utilisateurs de lecteurs multimédias populaires, dont notamment VLC, Kodi (XBMC), Popcorn Time et Stremio.

En créant des sous-titres malveillants, qui sont ensuite téléchargés par les téléspectateurs, des agresseurs peuvent potentiellement prendre le contrôle total de tout appareil utilisant les plates-formes vulnérables.

« La chaîne d’approvisionnement des sous-titres est complexe. Il existe plus de 25 formats de sous-titres différents, tous dotés de fonctionnalités uniques. Un tel écosystème fragmenté, avec une sécurité limitée, signifie qu’il existe de multiples vulnérabilités qui pourraient être exploitées, ce qui en fait une cible extrêmement attrayante pour les agresseurs, » déclare Omri Herscovici, vulnerability research team leader chez Check Point. « Nous avons actuellement découvert que des sous-titres malveillants peuvent être créés et automatiquement diffusés à des millions d’appareils, en contournant les logiciels de sécurité et en donnant aux agresseurs un contrôle total sur les appareils infectés et les données qu’ils détiennent. »

L’équipe de recherche a découvert des vulnérabilités dans quatre des lecteurs multimédias les plus populaires, VLC, Kodi, Popcorn Time et Stremio, et a suivi les bonnes pratiques de communication responsable pour signaler les vulnérabilités. En exploitant les vulnérabilités de ces plates-formes, des pirates étaient en mesure d’utiliser des fichiers malveillants pour prendre le contrôle des appareils équipés de lecteurs de médias vulnérables.

Les sous-titres des films ou des émissions de télévision sont créés par une grande variété d’auteurs de sous-titres, et sont téléchargés sur des sites de partage tels que OpenSubtitles.org pour indexation et classement. Les chercheurs de Check Point ont également démontré qu’en manipulant l’algorithme de classement de ces sites, les sous-titres malveillants peuvent être automatiquement téléchargés par le lecteur multimédia, ce qui permet aux pirates d’exercer un contrôle total sur toute la chaîne d’approvisionnement des sous-titres sans nécessiter d’interaction de la part des utilisateurs.

Depuis que ces vulnérabilités ont été signalées, les quatre entreprises les ont corrigées. Stremio et VLC ont également publié de nouvelles versions de leurs logiciels intégrant cette correction. « Pour se protéger et minimiser le risque d’attaque, les utilisateurs doivent mettre à jour leurs lecteurs en streaming, » conclut M. Herscovici.

La dernière version de VLC publiée le 5 juin 2016 a été téléchargée plus de 170 millions de fois. Kodi (XBMC) compte plus de 10 millions d’utilisateurs uniques par jour et près de 40 millions d’utilisateurs uniques par mois. Aucune estimation actuelle n’existe quant aux utilisateurs de Popcorn Time, qui sont cependant estimés à des dizaines de millions. Check Point a des raisons de croire que des vulnérabilités similaires existent dans d’autres lecteurs multimédias.

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Vulnérabilités : Microsoft corrige son moteur de protection anti-Malware

Quelques heures avant la diffusion de son Patch Tuesday, Microsoft a publié une mise à jour urgente qui corrige une vulnérabilité au sein de son moteur de protection anti-Malware (Malware Protection Engine). Cette vulnérabilité critique permet à un attaquant de prendre le plein contrôle de la machine ciblée en envoyant tout simplement un courrier avec une pièce jointe malveillante. Lorsque le moteur de protection anti-malware analyse la pièce jointe, le code malveillant présent dans le fichier s’exécute et donne à l’attaquant un accès complet et total à l’ordinateur ciblé. L’attaque peut également être menée en envoyant le fichier par l’intermédiaire d’un message instantané ou en persuadant la victime de télécharger le fichier depuis un site Web. Il est absolument essentiel que les entreprises qui utilisent Microsoft Malware Protection Engine vérifient qu’elles disposent bien de la version 1.1.10701.0 ou supérieure. En outre, elles doivent vérifier si elles ont bien déployé le correctif pour la vulnérabilité CVE-2017-0290 qui vient d’être publié pour résoudre même problème.

Dans ce Patch Tuesday de mai, Microsoft publie des correctifs pour un total de 57 vulnérabilités. La priorité absolue va à la correction des vulnérabilités 0-Day activement exploitées. Au top de notre liste, le patch pour Office destiné à corriger la vulnérabilité CVE-2017-0261 qui est déclenchée lorsqu’un utilisateur ciblé ouvre un fichier Office contenant une image graphique déformée. Le fichier peut être envoyé par email ou tout autre moyen. Comme cette vulnérabilité est activement exploitée en aveugle et que les attaquants peuvent prendre le plein contrôle du système visé, elle doit être traitée de manière prioritaire.

La vulnérabilité CVE-2017-0222 se trouve également en haut de notre liste car elle affecte Internet Explorer dont les utilisateurs peuvent être compromis s’ils se rendent sur un site Web malveillant hébergé par des attaquants. Ce correctif est prioritaire car la vulnérabilité est actuellement exploitée en aveugle et les attaquants peuvent prendre le plein contrôle du système ciblé.

La priorité suivante revient à CVE-2017-0229, la vulnérabilité qui touche le navigateur Edge et qui a été divulguée publiquement avant la publication de ce Patch Tuesday. Grâce à cette faille, un attaquant peut prendre le contrôle total de la machine ciblée lorsqu’un utilisateur navigue sur des sites malveillants à l’aide d’Edge.

Ensuite, la priorité va à trois vulnérabilités critiques au sein du protocole SMB avec exécution de code à distance (CVE-2017-0277, CVE-2017-0278 et CVE-2017-0279) qui affectent les serveurs Windows ainsi que les postes de travail clients. Ce problème est lié à la manière dont le serveur Microsoft Server Message Block 1.0 (SMBv1) traite certaines requêtes. En effet, un attaquant parvenant à exploiter cette vulnérabilité pourrait exécuter du code sur la machine ciblée. Dans la plupart des cas, pour exploiter cette vulnérabilité, un attaquant non authentifié enverra un paquet malveillant au serveur SMBv1.

Microsoft a profité de ce Patch Tuesday pour publier des mises à jour pour Microsoft Edge et Internet Explorer 11 pour empêcher le chargement de sites protégés par l’algorithme SHA-1 et afficher un avertissement de certificat non valide. Ce changement impactera uniquement les certificats SHA-1 chaînés à un certificat racine faisant partie du programme de certificats racines de confiance Microsoft où le certificat de l’entité finale ou de l’autorité de certification intermédiaire s’appuie sur l’algorithme SHA-1. Les certificats SHA-1 installés manuellement dans les entreprises ou auto-signés ne seront pas concernés par cette mesure.

En résumé, la publication d’aujourd’hui permet de corriger 3 vulnérabilités activement exploitées ainsi que 4 vulnérabilités divulguées publiquement dont celles affectant le moteur de protection anti-logiciels malveillants Microsoft, Office, IE, Edge et le protocole SMB. Gardez également en mémoire que Microsoft a déprécié les certificats SHA-1 pour IE et Edge. (Publié par amolsarwate dans The Laws of Vulnerabilities)

backdoor, Cybersécurité, Hacking, Microsoft, Mise à jour

La faille de Microsoft Office CVE-2017-0199 utilisée pour diffuser l’espion LatentBot

Une faille dans Microsoft Office utilisée depuis des semaines par des pirates pour diffuser le logiciel espion LatentBot.

L’espion LatentBot aimait Office ! Microsoft vient de corriger une vulnérabilité dans Office. Une faille qui permet de cacher des instructions malveillantes dans un document sauvegardé au format .RTF. Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé que via des pirates aux motivations financières. LATENTBOT est un type de malware modulaire et extrêmement bien caché qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI). Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Cette faille a permis à d’autres pirates de diffuser un autre outil d’espionnage, FINSPY. Un logiciel légalement commercialisé par la société Gamma group. Des artefacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit 0day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent. Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyber espionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.

Base de données, Entreprise, Fuite de données, Logiciels, Microsoft

Data Recovery Wizard : outil de récupération de données

Vous avez effacé par erreur un fichier, une vidéo ? L’outil de récupération de données Data Recovery Wizard d’EaseUs va vous permettre de récupérer vos données perdues.

Vous avez égaré vidéos, photos ! Vous avez effacé par mégarde ce précieux tableau Excel si longuement travaillé ? Un formatage d’une clé USB, de votre carte SD un peu trop rapidement ? Pas d’inquiétude, voici venir un outil facile d’utilisation qui devrait vous permettre de retrouver votre bien. La société EaseUS propose « Data Recovery Wizard » un logiciel de récupération de données qui offre la possibilité de remettre la main sur le fameux documents envolés. Data Recovery Wizard est notre premier test d’une longue série. Cet outil sera capable de récupérer vos données supprimées, formatées et inaccessibles. Quatre versions de DRW sont proposés. La version gratuite offre la possibilité de retrouver jusqu’à 500Mo d’informations [1,5Go de plus en partageant sur Facebook, Twitter et Google+].

Les versions PRO, WINPe et Techniciens font la même chose, mais en quantité de données repêchées illimitée. La version « Data Recovery Wizard Pro + WinPE » est commercialisée 95€. Elle permet aussi de récupérer les données même lorsque le système ne démarre plus.

Pas à pas

L’utilisation de « Data Recovery Wizard » est facile. L’espace de travail est ergonomique. Après avoir téléchargé et installé l’outil [15Mo] vous sélectionner le type de fichier que vous souhaitez récupérer : photos [BMP, JPG, PNG, …] ; documents [Word, Excel, PDF, TXT, …] ; vidéo, mails, audio…

Vous sélectionnez l’emplacement à analyser et le tour est joué. Dans ma démonstration, l’outil a été capable de me ressortir, d’une clé USB, des images datant de 2008. Parallèlement, Data Recovery Wizard peut
s’attaquer aux fichiers perdus dans un téléphone Android, iPhone, …

Bref, vous cherchiez un couteau Suisse pour vous permettre de retrouver vos biens numériques perdus, Data Recovery Wizard d’EasUs devrait parfaitement vous satisfaire.

Effectuer des tests réguliers

L’élaboration d’une stratégie et le déploiement d’une technologie de récupération des données comme Data Recovery Wizard constitue un bon départ. Elle pourra vous sauver en cas de besoin de récupération de données en cas de ransomware, incident, effacement et autre formatage… Il faut cependant aller plus loin pour véritablement se protéger. Pour s’assurer que la stratégie de récupération en cas de désastre fonctionne avec les outils choisis, il faut aussi procéder régulièrement à des essais, des tests qui permettront de vérifier le plan de sauvegarde, et l’utilisation efficace d’un tel logiciel de récupération de données. Les tests permettent de s’assurer que le plan fonctionne toujours parfaitement, même en cas d’ajout de nouveaux éléments au sein du réseau, de votre ordinateur et autres supports de sauvegarde.

Planifier et se documenter

Se préparer à un sinistre éventuel consiste tout d’abord à accepter pleinement le fait qu’un désastre peut se produire. Il faut pour cela visualiser les désastres potentiels, qu’il s’agisse d’un incendie détruisant le centre de traitement des données ou d’une panne d’un serveur hébergeant des données critiques. La première étape est donc de préparer des plans de restauration des données spécifiques pour chaque scénario, et de documenter chaque étape nécessaire. Cela représente un investissement de temps, mais le temps passé à planifier maintenant peut sauver l’entreprise de la faillite plus tard.

Chiffrement, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch

Cybersécurité : la France, bonne élève face à la menace croissante des arnaques aux services clients ?

Dans le cadre du Mois de la Cybersécurité, Microsoft a conduit une étude couvrant 12 pays*, dont la France, sur le comportement des internautes face aux arnaques aux faux services clients qui proposent un support technique (en anglais Tech Support Scam), actuellement en pleine croissance. Si l’Inde, la Chine et les Etats-Unis dénombrent le nombre de victimes le plus important (respectivement 54%, 35% et 33%), la France tire son épingle du jeu en n’affichant que 5% de victimes. Méfiant, plus d’un Français sur deux (51%) ne donne pas suite à ce type de sollicitation malveillante.

Parmi les menaces et escroqueries actuellement en pleine croissance sur Internet figurent les arnaques aux services clients. Il s’agit pour les usurpateurs de se faire passer pour un représentant du support technique d’un éditeur comme Microsoft afin de bloquer un ordinateur à distance jusqu’à ce que son utilisateur verse une rançon. Ce type d’escroqueries constitue la déclinaison de ce qui se faisait auparavant par téléphone et peut être désormais initié par e-mails, via des fenêtres pop-up ou des sites Internet. Effrayé, l’internaute est alors bien souvent tenté de répondre à la sollicitation et d’entrer dans le jeu des escrocs.

Afin de sensibiliser les internautes à ce phénomène de plus en plus courant, Microsoft publie les résultats d’une étude portant sur les comportements constatés dans 12 pays* face à ces menaces. Si globalement un tiers de la population de ces pays n’a jamais été confronté à ce type de menaces, 20% en ont en revanche été victimes. Dans ce cadre, certains pays se démarquent, tels que l’Inde, la Chine ou les Etats-Unis qui affichent un nombre de victimes bien supérieur. De même, les populations les plus vulnérables sont les Millenials (18-34 ans), ce qui s’explique probablement par leur confiance intuitive dans Internet.

La France : une population mature face à ce genre d’escroqueries
Près de 43% des internautes français n’ont jamais rencontré ce type de menaces ; Un Français sur deux, confronté à un risque d’attaque, a ignoré l’interaction (51%) ; 5 % des Français ont déjà été victimes de l’arnaque au support technique, dont 4% qui reconnaissent avoir subi des dommages financiers.

Pour aider les internautes français à renforcer leur vigilance et éviter ces escroqueries, Microsoft a mis en ligne une page pédagogique expliquant les différents types de menaces existants sur Internet et le comportement à adopter pour les éviter. Cette page est régulièrement mise à jour afin de permettre à chacun de se défendre dans le cadre d’un Internet toujours plus sûr.

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Piratage

Backdoor : fichiers Publisher peuvent entrainer des vols de données

Une vague de spams ciblés infecte actuellement les ordinateurs Windows via une backdoor, permettant aux cybercriminels de dérober des informations sensibles d’entreprises.

Backdoor dans vos mails ? Les chercheurs antispam des Bitdefender Labs ont identifié quelques milliers d’e-mails contenant des pièces jointes ayant .pub, comme extension, et se faisant passer pour des commandes ou factures de produits. Les expéditeurs de ces courriers électroniques usurpent l’identité d’employés travaillant le plus souvent dans des petites et moyennes entreprises  au  Royaume-Uni ou en Chine, mais pas seulement, d’autres entreprises plus importantes sont également ciblées.

Les destinataires sont invités à ouvrir les fichiers joints avec Microsoft Publisher, un logiciel de Publication Assistée par Ordinateur (PAO), intégré à Microsoft Office 365. Publisher est communément utilisé pour éditer et mettre en page des textes, ou encore créer des flyers, newsletters, des e-mailings, etc.

« .pub n’est pas une extension de fichier souvent utilisée pour diffuser des logiciels malveillants », déclare Adrian Miron, Chef de la division Antispam des Bitdefender Labs. « Les spammeurs ont choisi ce type de fichiers, car, en général, les gens ne se doutent pas qu’il puisse être un vecteur d’infection ».

Backdoor : porte cachée 2.0

L’extension .pub infectée contient un script (VBScript) qui intègre une URL agissant comme un hôte distant. De là, le malware télécharge un dossier auto-extractible contenant un script AutoIt, outil qui sert à exécuter le script et un fichier chiffré en AES-256. Les chercheurs ont remarqué que ce fichier chiffré peut être déchiffré en utilisant une clé dérivée de l’algorithme MD5 (Message Digest 5), d’un texte écrit à l’intérieur du fichier AutoIt.

Une fois que le fichier est déchiffré et installé, les attaquants ont alors accès au système via une backdoor et peuvent contrôler les ressources sur l’ordinateur compromis. Le malware peut mémoriser des séquences de touches pour enregistrer les mots de passe et noms d’utilisateurs, dérober des informations de connexion à partir des navigateurs Web ou des e-mails, afficher les données du système et  réaliser d’autres actions intrusives.  « Nous avons des raisons de croire que ce type d’attaque provient de l’Arabie Saoudite et de la République tchèque », ajoute Adrian Miron.

Le code malveillant est détecté sous le nom de W97M.Downloader.EGF, ainsi que la charge utile de la backdoor comme Generic.Malware.SFLl.545292C0. [MD5 : 8bcaf480f97eb43d3bed8fcc7bc129a4]. Pour rester protégé contre ce type de menaces, il est conseillé aux entreprises d’installer un filtre antispam fiable. Les utilisateurs doivent éviter d’ouvrir et de télécharger des pièces jointes suspectes provenant de sources inconnues.

Chiffrement, cryptage, Cybersécurité, Espionnae, Logiciels, Microsoft, Mise à jour, Particuliers, Patch

Microsoft diffuse des infos chiffrées via votre port 80

Microsoft se fait envoyer, de votre ordinateur, des informations chiffrées. Toutes les 5 minutes des « trucs » passent par le port 80 de votre machine.

Âllo, le port 80 ? Voilà qui est « amusant ». Mike Patterson, patron de la société Plixer, spécialisée dans la sécurité informatique, découvre que les options de « confidentialité » proposées par Windows 10 ne servent à rien, mais qu’en plus, l’OS du géant américain communique toutes les 5 minutes des données chiffrées à un de ses serveurs.

Finesse de la chose, pour ne pas éveiller les soupçons, les données chiffrées communiquées à ssw.live.com le sont pas le port 80, via un bon gros HTTP. Il faut dire aussi que si les informations collectées, on ne sait pas lesquelles, passaient par un HTTPS (port 443), les soupçons auraient été plus rapide.

Lors de sa recherche, Mike Patterson a découverte que l’éditeur d’antivirus McAfee, ainsi que le fabriquant de casque Plantronics agissaient aussi de la sorte. [Techradar]

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Firefox, Leak, Logiciels, Microsoft, Mise à jour, Paiement en ligne, Patch, Piratage

Abuser le HTTPS des sites Internet

Un commentaire
Deux chercheurs en sécurité informatique découvrent une méthode pour abuser les sites Internet en mode sécurisé (https).

Deux informaticiens Belges viennent d’alerter Google, Microsoft et les participants de la Black Hat conférence d’un problème découvert permettant de piéger les sites Internet et leur mode sécurisé, le HTTPS. Pour Tom Van Goethem et Mathy Vanhoef, deux étudiants de l’université de Leuven, la technique exploitée est baptisée HTTP Encrypted Information can be Stolen Through TCP-Windows (HEIST).

L’idée malveillante est d’intercepter les données transmisses, passant par les protocoles de sécurité tels que SSL ou TLS. Bilan, le HTTPS (connexion sécurisé) ne sert plus à rien si l’interception du trafic est orchestré, dans la foulée, par un fichier JavaScript caché sur une page web dédiée, ou exploitée à cet effet. Une publicité diffusée par une régie extérieure, qui elle n’est pas sécurisée, peut permettre cette infiltration.

La présentation des deux doctorants en informatique est disponible ICI. Pour vous protéger de ce genre d’indiscrétion, désactivez les ‘third-party cookies’ dans les paramètres de votre navigateur. Je vais être clair, pas pratique, cela va perturber le bon fonctionnement des sites en HTTPS. Mais en attendant une correction des géants de l’Internet, pas d’autres solutions.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Patch Tuesday Juin 2016

L’analyse du Patch Tuesday juin contient une menace 0-Day connue sur Flash, qui est actuellement en cours d’exploitation à l’aveugle. Le reste est plutôt classique avec 16 bulletins de Microsoft pour corriger plus de 40 vulnérabilités pour le mois de juin.

Le Patch Tuesday juin 2016 arrive avec un cortège de 16 bulletins publiés par Microsoft pour résoudre plus de 40 vulnérabilités (CVE) différentes. Cela porte à 81 le nombre de bulletins pour les 6 premiers mois, ce qui laisse augurer plus de 160 bulletins d’ici fin 2016, un nouveau record pour la dernière décennie en termes de correctifs.

Votre attention doit se porter en priorité sur Adobe Flash. En effet, Adobe a reconnu qu’une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d’exploitation en aveugle, si bien que l’éditeur a reporté le patch mensuel pour Adobe Flash. Dans son avis de sécurité APSA16-03. Adobe promet ce patch pour d’ici la fin de la semaine. Surveillez attentivement sa diffusion et déployez-le dès que possible. Si l’outil EMET est installé sur vos systèmes, vous êtes protégés. Pour information, c’est le troisième mois d’affilée qu’une faille 0-Day est découverte dans Flash, ce qui en fait le logiciel certainement le plus ciblé sur les points d’extrémité de votre entreprise.

Ce mois-ci, un ensemble de bulletins à la fois pour les serveurs et les systèmes clients va occuper cette semaine toute l’équipe IT qui devra sécuriser les systèmes de l’entreprise.

Vulnérabilité critique

La vulnérabilité la plus intéressante côté serveur est résolue dans le bulletin MS16-071. Ce dernier corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d’exploitation réussie, l’attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.

Côté client, la vulnérabilité la plus importante est résolue dans le bulletin MS16-070 Elle corrige plusieurs problèmes dans Microsoft Office. Principale vulnérabilité associée au format Microsoft Word RTF, CVE-2016-0025 déclenche une exécution RCE au profit de l’attaquant. Le format RTF pouvant être utilisé pour attaquer via le volet d’aperçu d’Outlook, la faille peut être déclenchée à l’aide d’un simple email et sans interaction avec l’utilisateur.

Côté navigateur Web, les bulletins MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour Javascript sur Windows Vista traitent plusieurs vulnérabilités RCE critiques qui sont exploitables lors d’une simple navigation sur le Web. Ces vulnérabilités constituent un vecteur d’attaque privilégié pour les cybercriminels et nous vous recommandons de les corriger dans les 7 prochains jours.

Les autres vulnérabilités concernées par ce Patch Tuesday juin sont toutes classées comme importantes. Elles sont généralement exploitées pour élever des privilèges une fois qu’un intrus est parvenu à exécuter du code sur la machine et sont donc associées avec une exécution de code à distance comme décrit ci-dessus. L’exception est MS16-076 qui résout une faille unique dans Windows Netlogon pouvant fournir une exécution RCE à l’attaquant. Sa gravité est moindre qu’une vulnérabilité RCE normale parce l’attaquant devra dans un premier temps prendre le contrôle du serveur Active Directory.

Deux autres vulnérabilités côté serveur dans le patch tuesday juin

Une élévation de privilèges sur le composant du serveur SMB résolue dans le bulletin MS16-075

Une faille dans Microsoft Exchange résolue dans le bulletin MS16-079 entraînant aussi une élévation de privilèges, certains étant liés au patch Oracle dans la bibliothèque Outside-in.

En résumé, il s’agit d’un Patch Tuesday relativement classique mais avec une menace 0-Day connue qui nécessite de surveiller impérativement la publication de la prochaine mise à jour de Flash. Corrigez les autres problèmes en fonction de vos priorités habituelles, mais faites particulièrement attention à la vulnérabilité qui affecte le serveur DNS et qui va forcément susciter des comportements indésirables. (Wolfgang Kandek, CTO de Qualys).