Archives de catégorie : Microsoft

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Patch Tuesday Juin 2016

L’analyse du Patch Tuesday juin contient une menace 0-Day connue sur Flash, qui est actuellement en cours d’exploitation à l’aveugle. Le reste est plutôt classique avec 16 bulletins de Microsoft pour corriger plus de 40 vulnérabilités pour le mois de juin.

Le Patch Tuesday juin 2016 arrive avec un cortège de 16 bulletins publiés par Microsoft pour résoudre plus de 40 vulnérabilités (CVE) différentes. Cela porte à 81 le nombre de bulletins pour les 6 premiers mois, ce qui laisse augurer plus de 160 bulletins d’ici fin 2016, un nouveau record pour la dernière décennie en termes de correctifs.

Votre attention doit se porter en priorité sur Adobe Flash. En effet, Adobe a reconnu qu’une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d’exploitation en aveugle, si bien que l’éditeur a reporté le patch mensuel pour Adobe Flash. Dans son avis de sécurité APSA16-03. Adobe promet ce patch pour d’ici la fin de la semaine. Surveillez attentivement sa diffusion et déployez-le dès que possible. Si l’outil EMET est installé sur vos systèmes, vous êtes protégés. Pour information, c’est le troisième mois d’affilée qu’une faille 0-Day est découverte dans Flash, ce qui en fait le logiciel certainement le plus ciblé sur les points d’extrémité de votre entreprise.

Ce mois-ci, un ensemble de bulletins à la fois pour les serveurs et les systèmes clients va occuper cette semaine toute l’équipe IT qui devra sécuriser les systèmes de l’entreprise.

Vulnérabilité critique

La vulnérabilité la plus intéressante côté serveur est résolue dans le bulletin MS16-071. Ce dernier corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d’exploitation réussie, l’attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.

Côté client, la vulnérabilité la plus importante est résolue dans le bulletin MS16-070 Elle corrige plusieurs problèmes dans Microsoft Office. Principale vulnérabilité associée au format Microsoft Word RTF, CVE-2016-0025 déclenche une exécution RCE au profit de l’attaquant. Le format RTF pouvant être utilisé pour attaquer via le volet d’aperçu d’Outlook, la faille peut être déclenchée à l’aide d’un simple email et sans interaction avec l’utilisateur.

Côté navigateur Web, les bulletins MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour Javascript sur Windows Vista traitent plusieurs vulnérabilités RCE critiques qui sont exploitables lors d’une simple navigation sur le Web. Ces vulnérabilités constituent un vecteur d’attaque privilégié pour les cybercriminels et nous vous recommandons de les corriger dans les 7 prochains jours.

Les autres vulnérabilités concernées par ce Patch Tuesday juin sont toutes classées comme importantes. Elles sont généralement exploitées pour élever des privilèges une fois qu’un intrus est parvenu à exécuter du code sur la machine et sont donc associées avec une exécution de code à distance comme décrit ci-dessus. L’exception est MS16-076 qui résout une faille unique dans Windows Netlogon pouvant fournir une exécution RCE à l’attaquant. Sa gravité est moindre qu’une vulnérabilité RCE normale parce l’attaquant devra dans un premier temps prendre le contrôle du serveur Active Directory.

Deux autres vulnérabilités côté serveur dans le patch tuesday juin

Une élévation de privilèges sur le composant du serveur SMB résolue dans le bulletin MS16-075

Une faille dans Microsoft Exchange résolue dans le bulletin MS16-079 entraînant aussi une élévation de privilèges, certains étant liés au patch Oracle dans la bibliothèque Outside-in.

En résumé, il s’agit d’un Patch Tuesday relativement classique mais avec une menace 0-Day connue qui nécessite de surveiller impérativement la publication de la prochaine mise à jour de Flash. Corrigez les autres problèmes en fonction de vos priorités habituelles, mais faites particulièrement attention à la vulnérabilité qui affecte le serveur DNS et qui va forcément susciter des comportements indésirables. (Wolfgang Kandek, CTO de Qualys).

Apple, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Effacer Quicktime de votre PC

Apple arrête de mettre à jour son logiciel QuickTime pour Windows. De multiples failles sortent de l’ombre. Effacer Quicktime de votre PC.

QuickTime et Windows, une longue et périlleuse histoire d’amour. Apple stoppe les frais, et vient de décider que son outil ne sera plus mis à jour pour les ordinateurs tournant sous Windows. Bilan, quelques minutes après cette annonce, des failles sortaient de l’ombre. Parmi les alertes, celles de Trend Micro, du Cert USA et du blackmarket.

Certes, tous les logiciels ont un cycle de vie, mais cet arrêt soudain et brutal pourrait entraîner de sérieux problèmes aux internautes et entreprises non avertis. Rien que le Zero Day initiative (2), deux vulnérabilités.

Comme le rappel le CERT, les systèmes informatiques exécutant ce logiciel sont exposés à un danger numérique. L’exploitation de QuickTime Windows pourrait permettre à des malveillants de prendre le contrôle des systèmes concernés. Apple explique comment effacer Quicktime de son ordinateur.

Android, Apple, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, iOS, IOT, Microsoft, Particuliers, Sécurité, Smartphone, Vie privée, VPN, Windows phone

Applications et VPN pour téléphone portable et tablette

Surfer anonyme et sécurisé sur votre téléphone portable et autre tablette est devenu un acte obligation. Pour cela, l’utilisation d’un VPN est devenue indispensable. Pas toujours simple à employer, il existe des applications qui automatisent et facilitent l’exploitation d’un VPN. Voici quelques solutions d’outils et de VPN pour votre téléphone portable et votre tablette, simples à mettre en place et efficace.

S’il fallait faire simple, un VPN est une machine qui va vous permettre de cacher votre adresse Internet lors de vos surfs, téléchargements, … La machine, entre vous et l’espace numérique que vous souhaitez visiter va servir de leurre. C’est l’adresse du VPN qui apparaitra dans les traces du forum, des sites… que vous visitez. A noter que de plus en plus de service VPN vous proposent aussi de chiffrer les informations qui transitent entre lui, votre FAI et votre ordinateur. En gros, les informations que vous envoyez/recevez, sont chiffrés entre le fournisseur de VPN, votre FAI [ou celui qui vous propose la connexion : hôtel, restaurant, conférence…] et vous. Bilan, un « espion » ayant la main sur votre connexion (un wi-fi public par exemple, NDR) ne pourra pas intercepter/lire/modifier les données qui arrivent/sortent de votre ordinateur. Bref, indispensable sur un ordinateur (PC, MAC). Encore plus indispensable sur un smartphone, tablette et tout autre objet nomade.

Voici quelques solutions de VPN et d’applications proposées par ZATAZ.COM dédié au surf anonyme et sécurisé pour votre smartphone et tablette. Ils vous permettant de surfer, converser… en mode sécurisé et chiffré. Je vais commencer par les applications que j’utilise. A noter que je n’exploite  jamais deux fois la même application/VPN dans la même journée.

A partir de 3€ par mois, sans abonnement.

HideMyAss! est un service permettant de surfer en mode chiffré, et quasi anonymement. Pour cela, HMA vous permet d’utiliser un VPN, un tunnel qui chiffre les informations qui transitent entre vous et les réseaux que vous pouvez utiliser (Oueb, FTP, IRC…). Hide My Ass, que l’on peut traduire par… « protéger son petit fessier sur Internet » propose une application simple et efficace. Sélection aléatoire des serveurs, recommandations géographiques (pour plus de rapidité, par exemple), planification des changements d’ip (toutes les 5 minutes, une nouvelle adresse, un nouveau serveur, un nouveau pays, par exemples).

Très pratique, vous pouvez choisir les applications qui ne peuvent se connecter qu’avec un VPN (mails…). L’application pour iPhone et Android est très intuitive. Bref, avec 929 serveurs basés dans plus de 190 pays, HMA met à disposition 125688 adresses IP. Cette société propose une option TV et console de jeux. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette, téléchargez et testez HideMyAss!

VyprVPN, comme son cousin HideMyAss, offre un système de chiffrement. OpenVPN, et par une invention maison, le Chameleon (256 bits). Il utilise le protocole OpenVPN 256 bits, et permet de brouiller les métadonnées pour éviter le Deep Packet Inspection (DPI), les blocages… Ici aussi, vous pouvez définir les applications qui se lanceront uniquement avec un VPN. L’appli VyprVPN peut aussi être configurée de manière à s’allumer dès qu’une connexion wi-fi non sécurisée est détectée.

Nouveau, l’outil pour smartphone et tablette permet de bloquer les contenus et espaces numériques que votre mobile souhaiterait visiter sans votre accord (pub, redirection, lancement de programme malveillant…). Plus de 200.000 adresses IP, quelques 800 serveurs. Compter 10€ par mois, sans obliger de souscrire à un abonnement. VyprVPN propose une option TV, console de jeux et routeur. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette – Téléchargez et testez VyprVPN.

Retrouvez plusieurs autres solutions gratuites et payantes d’application et VPN pour un surf anonyme et sécurisé pour votre smartphone et tablette sur zataz.com.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, OS X

Patch Tuesday Mars 2016

Patch Tuesday Mars 2016 – Microsoft publie 13 bulletins, dont 5 sont considérés comme critiques. Même ambition de correction pour Adobe.

Ce mois-ci, la première place de notre classement du Patch Tuesday revient au bulletin MS16-023 consacré à Internet Explorer. Ce dernier résout 13 vulnérabilités, toutes classées comme critiques. L’exploitation de ces vulnérabilités critiques créé la situation la plus dangereuse, en l’occurrence l’exécution de code à distance (RCE) qui donne à l’attaquant le contrôle complet de la machine ciblée. Ces attaques contre Internet Explorer proviendraient de sites Web malveillants créés à dessein ou de sites inoffensifs servant de vecteurs et contenant les exploits destinés à infecter les visiteurs habituels.

Si vous êtes sous Windows 10 et que vous avez opté pour le navigateur Edge, le bulletin MS16-024 fait partie de vos priorités. 11 vulnérabilités au total dont 10 critiques indiquent que les chercheurs en sécurité ont concentré leur attention sur Edge, qui a lentement perdu du terrain sur Internet Explorer en termes de vulnérabilités. En décembre 2015, nous en étions encore à 30 contre 15 et maintenant, en mars, à 13 contre 11.

Le prochain bulletin sur la liste de ce Patch Tuesdsay est le MS16-029 qui contient une nouvelle version de Microsoft Word. Word est souvent utilisé pour véhiculer des exploits, à la fois dans des documents en ligne et dans des pièces jointes. Les vulnérabilités permettant à l’attaquant d’exécuter du code RCE pour contrôler les machines ciblées doivent être résolues dans les meilleurs délais.

Le groupe de vulnérabilités suivant concerne Windows Media Player (bulletin MS16-027), les polices OpenType (bulletin MS16-026) et la nouvelle visionneuse PDF Reader à partir de Windows 8 (bulletin MS16-028). Toutes ces failles sont critiques et facilitent l’exécution de code RCE. Elles s’attaquent toutes à des problèmes de formatage complexes, que ce soit dans le lecteur Windows Media Player avec le format vidéo MPEG, dans les polices OpenType avec une référence circulaire qui provoque une récursion ou dans la visionneuse PDF avec une vérification des limites qui fait défaut dans l’interpréteur PostScript. Le flot continu de vulnérabilités dans ces domaines indique le niveau de complexité des formats de médias que nous utilisons tous les jours.

Les bulletins restants résolvent des vulnérabilités classées comme « importantes ». Ces dernières entrent essentiellement en jeu lorsqu’une élévation de privilèges est sollicitée, une fois qu’une des vulnérabilités critiques a permis de s’introduire sur la machine ciblée. Vous devriez traiter ces vulnérabilités dans les 45 jours pour éviter ce type d’utilisation secondaire.

Microsoft n’est pas le seul éditeur à résoudre les problèmes de sécurité liés au format PDF. Adobe publie en effet une nouvelle version d’Adobe Reader dans sa mise à jour de sécurité APSB16-09 qui résout trois failles de sécurité critiques. Si vous utilisez Adobe Reader ou la suite Acrobat, il s’agit d’une priorité pour vous. Si vous suivez ces mises à jour, vous aurez remarqué l’absence de la mise à jour APSB16-08 (APS16-07 concernait Adobe Connect le mois dernier). Probablement une mise à jour de Flash reportée pour faire des tests supplémentaires ou y inclure un correctif de dernière minute pour une vulnérabilité en cours.

Et une première pour Apple ce mois-ci. Le célèbre client bit torrent « Transmission » a été infecté par un ransomware. Heureusement, ce client n’a été disponible en téléchargement que pour une durée de moins de 12 heures et Apple a rapidement révoqué son certificat de signature et mis à jour les signatures dans XProtect. Vérifiez néanmoins si Transmission 2.90 est sur votre réseau et isolez-le une fois découvert.

Aucune menace 0-Day ni vulnérabilité immédiatement exploitable ce mois-ci. Mais appliquez tous ces patches dès que possible et dans tous les cas. En effet, certains attaquants sont capables de convertir rapidement des vulnérabilités en exploits, souvent en moins de 10 jours. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities)

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Analyse Patch Tuesday Fevrier 2016

Retour à des valeurs normales pour ce Patch Tuesday. Après un démarrage en douceur avec 9 bulletins en janvier, 12 (dont 5 critiques) sont publiés en février, cela correspond à la moyenne de 12,25 bulletins par mois observée l’an dernier.

En fait, il y en aurait même 13, mais le dernier, MS16-022, s’apparente davantage à un changement de packaging. Il concerne un package logiciel pour Adobe Flash dont la mise à niveau est assurée par Microsoft depuis 3 ans et demi sous les versions 10 et 11 d’Internet Explorer. Cette mise à jour était auparavant prise en charge par le seul avis de sécurité KB2755801. Maintenant, elle bénéficie d’un véritable bulletin. Ce nouveau format garantit pour le moins un traitement et un suivi supérieurs. Aucune des vulnérabilités décrites n’est utilisée en aveugle, mais beaucoup sont classées comme facilement exploitables par Microsoft et Adobe si bien que vous devriez les résoudre sans délai. C’est donc le bulletin MS16-022 qui est en tête des priorités de Qualys ce mois-ci.

La mise à jour d’Adobe Flash (APSB16-04) contient des correctifs pour 22 vulnérabilités, toutes classées comme étant « critiques », c’est-à-dire pouvant fournir un contrôle complet de la machine cible à l’attaquant. Les scénarios d’attaque peuvent aussi bien mettre en scène des sites Web compromis mais innocents (certains problèmes récents avec WordPress par exemple) qui redirigent vers des domaines contrôlés par un attaquant malveillant, que du Flash embarqué dans d’autres fichiers (des documents Office notamment) qui cherche un accès via la messagerie électronique. En outre, les attaquants ayant démontré l’an dernier leur intérêt pour les attaques basées sur Flash, ce bulletin fait donc partie des priorités absolues.

Le bulletin MS16-015 arrive en deuxième position sur notre liste. Il résout 7 vulnérabilités Microsoft Office dans Word, Excel et Sharepoint. Les vulnérabilités CVE-2016-0022, CVE-2016-0052 et CVE-2016-0053 dans Word sont toutes au format RTF et peuvent être déclenchées sans interaction de l’utilisateur via le volet de visualisation dans Outlook. Elles sont classées « critiques ». Je suis pour ma part étonné que Microsoft ne propose pas de facteurs de mitigation pour ces dernières et j’en conclus que les changements de configuration spécifiés dans le bulletin MS14-017 continuent de s’appliquer : Lire les courriers électroniques en texte brut dans Outlook et désactiver les fichiers RTF dans Microsoft Word via la politique de blocage de fichiers.

Les autres vulnérabilités de notre liste sont résolues dans le bulletin MS16-009 pour Internet Explorer et dans MS16-011 en ce qui concerne Microsoft Edge. Ces deux publications résolvent respectivement 13 et 6 vulnérabilités dont 7 et 4 de niveau critique. L’exploitation de ces vulnérabilités s’appuierait sur la navigation Web avec redirection vers des sites Web malveillants soit directement, soit par empoisonnement du moteur de recherche qui attire vos utilisateurs vers un site Web piégé, soit via la compromission d’un site a priori légitime, ou encore par inclusion dans un réseau publicitaire. Ce vecteur d’attaque est l’un des plus sensibles pour l’entreprise et nous recommandons de corriger ces vulnérabilités dès que possible.

En janvier Microsoft a mis un terme au support des navigateurs Internet Explorer propriétaires sur chacun de ses systèmes d’exploitation en réservant désormais les mises à jour aux toutes dernières versions des navigateurs sur chaque plate-forme. Les règles exactes sont exposées dans le document sur le cycle de vie de Microsoft, mais pour la plupart des points d’extrémité (Windows 7, 8.1 et 10) cela revient à Internet Explorer 11. Rien d’autre n’est plus supporté et les utilisateurs sont exposés à un vecteur d’attaque qu’il sera difficile d’endiguer à moyen terme.

Le prochain bulletin critique de notre liste, MS16-013, s’intéresse au Journal Windows. Un fichier malveillant avec l’extension .JNL doit être ouvert par l’utilisateur pour déclencher la vulnérabilité. Sous Windows 7, l’extension du fichier peut être dissociée de l’application pour neutraliser l’attaque. Cela se défend en raison du flux constant de patches dans les bulletins MS15-114, MS15-098, MS15-045, etc. qui pourraient être déclassés en empêchant les utilisateurs d’ouvrir ces fichiers.

Le dernier bulletin critique concerne la visionneuse de fichiers Microsoft PDF Reader. Ce lecteur est uniquement disponible sous Windows 8.1, 10 et Server 2012 et le bulletin MS16-012 ne s’applique donc qu’aux versions les plus récentes. Il s’agit d’un premier patch pour ce logiciel et il sera intéressant de voir combien d’autres vulnérabilités les chercheurs en sécurité pourront découvrir. Vous vous souvenez lorsqu’en 2012 Google utilisait sa technologie aléatoire pour s’intéresser à Adobe Reader ? Utilisez-vous la visionneuse de fichiers PDF fournie par Windows ou avez-vous adopté Adobe Reader y compris sur ces plates-formes ?

Ce Patch Tuesday comprend d’autres patches importants. Le système d’exploitation Windows lui-même est corrigé à l’aide des bulletins MS16-014 et MS16-018 tandis que MS16-016 résout la faille liée à l’élévation de privilèges via le service WebDAV, si vous exposez le protocole RDP sur Internet. MS16-017 nécessite cependant d’authentifier l’attaquant au préalable, MS16- 020 comble une faille DoS dans Active Directory et MS16-021 comble une faille du même acabit dans Radius, parmi les autres bulletins intéressants.

Comme toujours, un annuaire précis des logiciels installés permettra de décider où il est utile d’intervenir en priorité. Des mises à jour automatiques, dans la mesure du possible et par exemple sur les machines génériques des utilisateurs qui peuvent également soulager la tâche de l’équipe chargée du déploiement des correctifs. (Qualys)

Chiffrement, cryptage, Cybersécurité, Logiciels, Microsoft, Mise à jour, Smartphone, Windows phone

Les prochains ordinateurs fonctionneront uniquement sous Windows 10

Microsoft vient d’indiquer que les nouveaux ordinateurs ne fonctionneront que sous Windows 10. Les « vieux » Windows n’y auront plus y évoluer.

Microsoft vient d’annoncer que les prochaines machines ne tourneront plus que sous Windows 10. Adieu Windows 7, 8, 8.1. « En plus de nos partenaires OEM, tout au long de la conception de Windows 10, nous avons travaillé en étroite collaboration avec nos partenaires de silicium, y compris Intel, AMD, Nvidia et Qualcomm » indique la firme américaine.

L’Américain se félicite de son partenariat avec Intel et sa génération de processeurs Intel Core (Version 6, Skylake). Bilan, les machines qui sortiront dans le futur ne pourront faire tourner que la version 10 (et plus) de l’OS de Microsoft. Skylare sera le dernier a accepté autre chose. Une transition douce car ensuite, il ne sera plus possible de ne pas suivre le chemin tracé par la firme de Redmond.

Même son de cloche pour AMD, son « Bristol Ridge » ne pourra faire tourner que Windows 10. De même pour le 8996 de Qualcomm. Bref, Microsoft continue sa marche en avant de l’utilisateur forcé. Pour la bonne cause affirme Microsoft « Une meilleure intégration du software et du hardware« .

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Découverte d’un 0Day dans Silverlight

Un commentaire

Kaspersky Lab a découvert une vulnérabilité « Zero Day » dans Silverlight, une technologie web servant à visualiser des contenus multimédias. Cette faille offrirait à un pirate un accès total à un ordinateur infecté, lui permettant ainsi d’exécuter du code malveillant afin de dérober des informations confidentielles et de se livrer à d’autres activités illicites. La vulnérabilité (CVE-2016-0034) a été corrigée dans la dernière mise à jour de sécurité publiée par Microsoft ce mardi 12 janvier 2016. Sa découverte est le fruit de cinq mois d’enquête ayant fait suite à un article paru dans Ars Technica.

A l’été 2015, une cyberattaque lancée contre la société Hacking Team (connue pour le développement de « spyware légal ») a fait les gros titres. L’un des articles à ce sujet, publié dans Ars Technica, mentionnait une fuite dans des échanges supposés entre des représentants de Hacking Team et Vitaliy Toropov, un développeur indépendant de programmes exploitant des vulnérabilités. Entre autres choses, l’article citait une correspondance dans laquelle Toropov tentait de vendre à Hacking Team une faille Zero Day particulièrement intéressante : il s’agissait d’exploiter une vulnérabilité présente depuis quatre ans et toujours non corrigée dans la technologie Microsoft Silverlight. C’est cette information qui a mis la puce à l’oreille des chercheurs de Kaspersky Lab.

L’article en question ne fournissant aucune autre information sur la faille exploitée, les chercheurs ont entamé leur enquête en partant du nom du vendeur. Ils ont rapidement découvert qu’un utilisateur qui se nommait Vitaliy Toropov était un contributeur très actif de la base de données open source des vulnérabilités (OSVDB), où tout un chacun peut publier des informations dans ce domaine. En analysant son profil public sur le site OSVBD.org, les chercheurs de Kaspersky Lab se sont aperçu qu’en 2013, Toropov avait publié une preuve de concept (POC) décrivant un bogue dans la technologie Silverlight. Ce POC portait sur une ancienne vulnérabilité connue et aujourd’hui corrigée. Cependant, il donnait également des détails supplémentaires qui ont indiqué aux chercheurs de Kaspersky Lab comment l’auteur écrivait du code destiné à exploiter cette faille.

Au cours de l’analyse effectuée par les experts de Kaspersky Lab, certaines chaînes de code spécifiques se démarquaient véritablement. Grâce à ces informations, ils ont créé plusieurs règles de détection pour les technologies de protection de Kaspersky Lab : dès lors qu’un utilisateur, ayant accepté de communiquer des données sur les menaces à Kaspersky Security Network (KSN), rencontrait un logiciel malveillant qui présentait le comportement correspondant à ces règles de détection, le système marquait le fichier comme extrêmement suspect et adressait une notification à la société pour qu’il soit analysé. Cette tactique partait d’une hypothèse simple : si Toropov avait tenté de vendre l’exploitation d’une faille Zero Day à Hacking Team, il y avait de fortes chances pour qu’il ait fait de même auprès d’autres éditeurs de spyware. A la suite de cette activité, d’autres campagnes de cyber espionnage pouvaient s’en servir afin de cibler et d’infecter des victimes sans méfiance.

Cette hypothèse était fondée. Plusieurs mois après la mise en œuvre des règles spéciales de détection, un client de Kaspersky Lab a été la cible d’une attaque employant un fichier suspect présentant les caractéristiques recherchées. Quelques heures plus tard, quelqu’un (peut-être une victime des attaques) se trouvant au Laos a envoyé à un service multiscanner un fichier ayant les mêmes caractéristiques. Les experts de Kaspersky Lab, en analysant l’attaque, ont découvert que celle-ci exploitait en fait un bogue inconnu de la technologie Silverlight. Les informations concernant cette faille ont été communiquées sans délai à Microsoft pour validation.

« Bien que n’étant pas sûrs que la faille que nous avons découverte soit en fait celle évoquée dans l’article d’Ars Technica, nous avons de bonnes raisons de penser que c’est bien le cas. En comparant l’analyse de ce fichier aux travaux précédents de Vitaliy Toropov, nous sommes parvenus à la conclusion que l’auteur de l’exploitation de la vulnérabilité découverte récemment et l’auteur des POC publiés sur OSVDB sous le nom de Toropov était une seule et même personne. En même temps, il n’est pas impossible que nous ayons trouvé une autre faille Zero Day dans Silverlight. Globalement, ces recherches ont contribué à rendre le cyberespace un peu plus sûr en mettant au jour une nouvelle vulnérabilité Zero Day et en la révélant de manière responsable. Nous encourageons tous les utilisateurs des produits Microsoft à mettre à jour leurs systèmes dès que possible afin de corriger cette vulnérabilité », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Les produits Kaspersky Lab détectent la vulnérabilité CVE-2016-0034 sous le nom de  HEUR :Exploit.MSIL.Agent.gen.

Adobe, Apple, Cybersécurité, Firefox, IBM, iOS, Joomla, Linux, Linux, Logiciels, Microsoft, Mise à jour, Patch

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Social engineering

BadWinmail : Mail piégé via Outlook pour infiltrer un ordinateur

Un mail envoyé vers Outlook permettait de prendre la main sur le système informatique du récepteur de la missive.

Un chercheur en sécurité informatique, connu sous le nom de Li Haifei a découvert comment prendre la main sur la machine d’un utilisateur de Outlook. A la réception d’un courriel piégé, l’attaque pouvait être orchestrée. Baptisée BadWinmail, la vulnérabilité était très facile à exploiter et ne nécessitait pas beaucoup d’interaction avec le récepteur du courrier malveillant. Il suffisait, seulement, d’afficher le mail qui contenait le fichier Flash ouvrant la malveillance. Une fois de plus, le problème vient de Flash et de l’Object Linking and Embedding (OLE) qui permet l’intégration de quasiment n’importe quoi à l’intérieur de documents. L’infiltration par cette méthode permet ensuite au pirate d’injecter un logiciel espion, par exemple. Microsoft a déployé le patch correcteur début décembre.

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch

Patch Tuesday – Décembre 2015

Un total de 12 bulletins de mises à jour, dont 8 critiques, en ce mois de décembre. Il est donc urgent d’appliquer les correctifs pour ses outils Adobe et Microsoft.

Le dernier Patch Tuesday de l’année 2015 est dans la moyenne avec cependant des bulletins un peu plus sévères que d’habitude. En effet, sur un total de 12 bullentins, 8 sont définis comme critiques, dont un qui résout une vulnérabilité 0-Day actuellement utilisée par des attaquants pour escalader des privilèges dans Windows. Auparavant très rares, les menaces 0-Day sont devenues légion en 2015. L’année avait d’ailleurs commencé par une vague de menaces 0-Day pour Adobe Flash puis un correctif a été publié chaque mois ou presque pour des vulnérabilités déjà victimes d’exploits. Il s’agit d’un signal fort, car les ressources techniques des attaquants vont crescendo et c’est aussi un rappel aux DSI qui ne devraient pas seulement corriger leurs systèmes sans délai, mais également renforcer leur sécurité.

Parmi les résolutions de 2016, il faudrait s’intéresser aux installations minimales de logiciels avec le moins possible de fonctionnalités activées, ainsi qu’à des logiciels supplémentaires tels qu’EMET pour améliorer la robustesse.

Au total, 135 bulletins ont été publiés par Microsoft en 2015, soit une augmentation sensible par rapport à la moyenne de ces dernières années. Les nouveaux produits Microsoft n’expliquent qu’en petite partie cette hausse, le nouveau navigateur Edge n’ayant fait l’objet que de cinq bulletins spécifiques cette année. Cette augmentation est liée pour l’essentiel aux nouveaux composants de l’écosystème Windows qui sont passés à la loupe pour la première fois, une tendance qui indique l’importance croissante de la sécurité informatique.

MS15-135 résout une vulnérabilité 0-Day au sein du noyau Windows. Pas plus de détails quant à l’ampleur de la diffusion de cette vulnérabilité et de son exploit, mais cela lui vaut une place de choix dans notre liste des priorités.

Les navigateurs étant souvent utilisés dans les scénarios d’attaque actuels, notamment les téléchargements involontaires ou les attaques par harponnage, ils doivent être mis à jour le plus rapidement possible. Les bulletins MS15-124 pour Internet Explorer (IE), MS15-125 pour Edge et MS15-126 pour les bibliothèques JavaScript sous Vista et Windows Server 2008 résolvent 30 vulnérabilités, nombre d’entre elles étant critiques car elles permettent l’exécution de code à distance (RCE). Edge ne présente « que » 15 problèmes, dont 11 proviennent d’IE et 4 sont propres à ce nouveau navigateur.

MS115-131 pour Microsoft Office est le bulletin suivant sur la liste. Il est classé comme critique par Microsoft, ce qui est rare pour un bulletin Office et indique qu’il existe un vecteur pour exploiter la vulnérabilité sans interaction de l’utilisateur. CVE-2015-6172 est une vulnérabilité critique sous Outlook déclenchée par un message électronique formaté dans un but malveillant. Il n’existe pas de solution de contournement raisonnable et Microsoft suggère de désactiver le volet d’aperçu, l’équivalent numérique de « Il suffit de ne pas le faire ». Corrigez cette vulnérabilité dès que possible. CVE-2015-6124 est actuellement exploitée à l’aveugle par des attaquants.

Place ensuite à une vulnérabilité sur le serveur Microsoft DNS, ce qui est plutôt rare. MS15-127 remplace MS12-017 depuis plus de 3 ans. Les attaquants qui exploitent la vulnérabilité identifiée dans MS15-127 sur le serveur DNS de Microsoft prendront là encore le contrôle du serveur et exécuteront du code dans le contexte du système. L’attaque est lancée à distance et n’exige aucune authentification et il n’existe aucune solution de contournement. Mettez vos serveurs DNS Microsoft à jour le plus vite possible, en respectant les phases de test et d’attente nécessaires pour un service aussi fondamental.

La vulnérabilité critique suivante se trouve dans le système graphique de Windows (bulletin MS15-128) qui pose un problème de gestion des polices. Ce bulletin remplace le bulletin MS15-097 depuis septembre, lequel remplaçait le MS15-077 depuis juillet. Il s’agit donc d’occurrences assez courantes. Les vecteurs d’attaques sont très larges dans la mesure où la navigation Web, la messagerie électronique, les documents et les médias riches jusqu’à Silverlight peuvent tous être utilisés pour lancer une attaque.

Les autres vulnérabilités critiques concernées par ce Patch Tuesday se trouvent dans Silverlight (MS15-129) et Uniscribe (MS15-130). Traitez-les en même temps que les vulnérabilités importantes résolues à l’aide des bulletins MS15-132, MS15-133 et MS15-134.

En plus des mises à jour Microsoft, Adobe a publié une nouvelle version de Flash. Le bulletin de sécurité APSB15-32 correspondant résout le nombre record de 78 vulnérabilités. Toutes les vulnérabilités, sauf trois, pouvaient être utilisées par un attaquant pour exécuter du code à distance depuis le navigateur à l’insu de son utilisateur. Il suffisait ensuite d’exploiter une deuxième vulnérabilité pour devenir système sur la machine (voir MS15-135 par exemple), ce qui aurait au final fourni un contrôle total à l’attaquant. Les attaques basées sur Flash ont été très prisées des pirates tout au long de l’année 2015 avec de nombreux kits fournissant des exploits tout à fait actualisés. Ajoutez cela à votre liste des points hautement prioritaires. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc.)