Cybersécurité

Patch Tuesday décembre 2022

Microsoft publie un total de 54 correctifs, concernant une très large gamme de produits, dont le système d’exploitation Windows. 19 correctifs sont disponibles pour corriger des vulnérabilités d’élévation de privilèges.

Microsoft a publié 54 nouveaux correctifs, dont 2 pour des failles 0Day. Les vulnérabilités et exploitations en cours concernent Microsoft Windows et des composants Windows, Azure et le système d’exploitation en temps réel Azure ainsi que pour Microsoft Dynamics, Exchange Server, Office et des composants Office, SysInternals, Visual Studio, SharePoint Server, Network Policy Server (NPS), Windows BitLocker, Microsoft Edge (basé sur Chromium), le noyau Linux et des logiciels Open Source. 

De son côté Adobe a publié trois correctifs pour corriger 37 CVE, toutes classées comme Importantes. Les produits Adobe suivants ont fait l’objet de mises à jour : Experience Manager (32 bugs), Adobe Illustrator et Adobe Campaign Classic. Les failles les plus sévères sont les scripts intersite (XSS) Adobe Experience Manager (AEM) et les fuites de mémoire Adobe Illustrator.

Le correctif pour Adobe Campaign Classic résout une faille facilitant l’élévation de privilèges. Actuellement aucune faille n’est connue publiquement ou ne fait l’objet d’attaques. À noter que Adobe attribue une priorité de niveau 3 au déploiement de ces mises à jour.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités permettant : déni de service (DoS), élévation de privilèges (EoP), divulgation d’informations, exécution de code à distance (RCE), contournement des fonctions de sécurité, et usurpation.

Les vulnérabilités corrigées par Microsoft en décembre 2022

Type de vulnérabilité

Quantité

Niveau de sévérité

Vulnérabilité d’élévation de privilèges 

19

Important

19

Vulnérabilité d’exécution de code à distance

24 

Important :
Critique :

7
7

Vulnérabilité de divulgation d’informations 

Important :

3

Vulnérabilité de contournement de fonctions 

Modérée :
Important :

1
1

Vulnérabilité de déni de service 

Modérée :
Important :

1
2

Vulnérabilité d’usurpation

2

Modérée :

2

Défense en profondeur  

Aucune 

Au total, Microsoft a résolu 54 vulnérabilités : 2 CVE le 5 décembre, 51 nouvelles CVE le 13 décembre et une mise à jour de défense en profondeur Microsoft (ADV220005). Une vulnérabilité 0Day est indiquée comme étant activement exploitée, tandis qu’une seconde a été divulguée publiquement au moment de la publication de ce papier. 

Principales vulnérabilités Microsoft corrigées CVE-2022-44698 | Vulnérabilité de contournement des fonctions de sécurité dans Windows SmartScreen. Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 5,4/10. 

Elle est classée comme modérée et semble être liée à la vulnérabilité de contournement des fonctions de sécurité de la fonctionnalité Windows Mark of the Web (CVE-2022-41091) du mois dernier. En résumé, il est possible de créer un fichier malveillant pour contourner le mécanisme de défense Mark of the Web (MOTW). Cette opération supprime la fonction MOTW du fichier afin que cette dernière ne soit pas reconnue, et autorise les utilisateurs à ouvrir des fichiers sans déclencher l’avertissement. In fine ceci entraîne une perte d’intégrité et de disponibilité des fonctionnalités de sécurité, telle que la Vue protégée (Protected View) dans Microsoft Office, fonction qui repose sur le marquage MOTW. Vu le nombre croissant d’attaques par Phishing, la correction de cette vulnérabilité est fortement recommandée. Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-44713 | Vulnérabilité d’usurpation dans Microsoft Outlook pour Mac

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. 

Classée importante, cette vulnérabilité d’usurpation retient notre attention car elle est en lien avec les clients de messagerie. Elle permet à un attaquant d’apparaître comme un utilisateur de confiance. L’utilisateur cible recevra donc un message électronique signé, comme s’il provenait d’un utilisateur légitime. Si cette faille est associée à la vulnérabilité de contournement de sécurité dans Windows SmartScreen (CVE-2022-44698) susmentionnée, le résultat peut être très destructeur.

Évaluation d’exploitabilité : Exploitation moins probable  

Zoom sur les vulnérabilités Microsoft critiques 

CVE-2022-41127 | Vulnérabilité d’exécution de code à distance dans Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site) 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site). Susceptible d’entraîner un changement de portée, cette faille de sécurité permet à un attaquant authentifié d’exécuter du code sur le serveur hôte (système d’exploitation sous-jacent) dans le cadre du compte de service Dynamics configuré pour être utilisé. Si Dynamics NAV a ouvert un port, cela permet de se connecter au protocole TCP de Windows Communication Foundation (WCF). En tant qu’utilisateur authentifié, l’attaquant peut alors tenter d’activer du code malveillant au niveau du compte du serveur via un appel réseau. À noter que toute fuite vers l’hôte doit être prise très au sérieux.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau. 

Évaluation d’exploitabilité : Exploitation moins probable  

CVE-2022-44690 et CVE-2022-44693 | Vulnérabilités d’exécution de code à distance dans Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Critique, elle affecte Microsoft SharePoint Server avec un attaquant authentifié qui a des permissions sur les listes et peut donc exécuter du code distant sur le serveur SharePoint.

Ces deux vulnérabilités affectent les versions suivantes de Microsoft SharePoint : 

Microsoft SharePoint Enterprise Server 2013 Service Pack 1 et 2016, et Microsoft SharePoint Foundation 2013 Service Pack 1, Microsoft SharePoint Server 2019, Microsoft SharePoint Server Subscription Edition

Remarque : les clients qui exécutent SharePoint Server 2013 Service Pack 1 peuvent installer la mise à jour cumulative ou de sécurité qui est la même mise à jour que pour Foundation Server 2013. 

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation moins probable 

CVE-2022-41076 | Vulnérabilité d’exécution de code à distance dans PowerShell 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte PowerShell avec un utilisateur authentifié qui, quel que soit son niveau de privilège, peut intervenir sur la configuration de session distante PowerShell et exécuter des commandes non approuvées sur le système cible. Il est important de préciser que, généralement, suite à la violation initiale, les attaquants utilisent les outils disponibles sur le système pour garder de la réserve ou de l’avance sur un réseau. PowerShell étant l’un des outils les plus adaptés qu’ils puissent trouver, nous recommandons vivement de tester et de corriger cette faille.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation plus probable. 

CVE-2022-44670 et CVE-2022-44676 | Vulnérabilités d’exécution de code à distance dans le protocole Secure Socket Tunneling Protocol (SSTP) de Windows

Ces deux vulnérabilités affichent un score de sévérité CVSSv3.1 de 8,1/10. 

Ces vulnérabilités critiques affectent le protocole Secure Socket Tunneling Protocol (SSTP) de Windows avec, selon Microsoft, un attaquant qui doit gagner une situation de course afin de pouvoir exploiter ces failles. Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS. Si vous ne disposez pas de ce service, nous recommandons de désactiver l’option. Sinon, testez et déployez ces correctifs immédiatement.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel et une mise à jour.

Évaluation d’exploitabilité : Exploitation improbable

CVE-2022-41089 | Vulnérabilité d’exécution de code à distance dans l’infrastructure de développement .NET 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Cette mise à jour corrige une faille de sécurité lorsque le mode restreint est déclenché pour l’analyse de fichiers XPS. Les documents XPS utilisent des éléments structurels ou sémantiques tels que des structures de table, des storyboards ou des liens hypertexte. Cette vulnérabilité peut entraîner un mauvais affichage sur les lecteurs WPF, qui pourraient autoriser l’exécution de code à distance sur un système affecté. 

Il existe aussi une solution de contournement pour ce problème.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.  

Évaluation d’exploitabilité: Exploitation moins probable

Trois vulnérabilités de déni de service (DoS) sont corrigées ce mois-ci. La vulnérabilité DoS qui concerne Windows Hyper-V (CVE-2022-44682) affecte la fonctionnalité de l’hôte Hyper-V. Microsoft n’a pas fourni beaucoup de détails, mais il n’est jamais bon qu’un système d’exploitation invité puisse influencer de manière négative l’OS hôte.

19 correctifs ont été publiés pour corriger des vulnérabilités d’élévation de privilèges (EoP), dont des correctifs pour des failles du spooler d’impression, dans le prolongement de la vulnérabilité PrintNightmare. La vulnérabilité d’élévation de privilèges dans le noyau DirectX Graphics Kernel (CVE-2022-44710) est mentionnée comme étant divulguée publiquement.

La vulnérabilité de contournement des fonctions de sécurité dans l’agent Azure Network Watcher Agent (CVE-2022-44699) est une autre faille importante du mois. En effet, elle permet à un attaquant de mettre un terme à la capture de paquets depuis l’agent Network Watcher, ce qui peut entraîner l’absence de logs. Toute entreprise utilisant une extension VM pour la collecte de logs doit considérer cette faille comme étant critique.

La faille d’émulation de Microsoft Edge (basé sur Chromium) est corrigée pour empêcher un attaquant de modifier le contenu de la zone de remplissage automatique des données de formulaire.

Ce mois-ci voit aussi la publication d’un nouvel avis de sécurité (ADV220005) qui fournit des recommandations supplémentaires sur des pilotes tiers certifiés par le programme de développement matériel Microsoft Windows.

Synthèse de la publication Microsoft

Les notes de publication du mois concernent de nombreuses gammes de produits Microsoft et de nombreux produits/versions Microsoft, y compris mais sans s’y limiter, l’infrastructurev.NET, Azure, Client Server Run-time Subsystem (CSRSS), le pilote Microsoft Bluetooth Driver, Microsoft Dynamics, Microsoft Edge (basé sur Chromium), le composant graphique Microsoft (Microsoft Graphics Component), Microsoft Office, Microsoft Office OneNote, Microsoft Office SharePoint, Microsoft Office Visio, la bibliothèque de codecs Microsoft Windows, Windows Hyper-V, SysInternals, les certificats Windows, les contacts Windows, Windows DirectX, Windows Error Reporting, Windows Fax Compose Form, Windows HTTP Print Provider, Windows Kernel, Windows PowerShell, Windows Print Spooler Components, Windows Projected File System, Windows Secure Socket Tunneling Protocol (SSTP), Windows SmartScreen, Windows Subsystem pour Linux et Windows Terminal. 

Les téléchargements concernent Cumulative Update (mise à jour cumulative), Monthly Rollup (déploiement mensuel), Security Only (sécurité uniquement) et Security Update (mise à jour de sécurité). (Saeed Abassi, Manager, Vulnerability Signatures, Qualys Lab).

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.

Cybersécurité, Entreprise

Les Services en Data Center, essentiel pour sa cybersécurité

Les normes cybersécurité n’ont jamais été aussi nombreuses et poussées. FinTechs, RegTechs, deux normes dédiées à la cybersécurité des données de votre entreprises. Imposant les règles les plus élevées afin de rendre disponible et sécuritaire les applications critiques.

Certification de protection des données (ISO 27001), certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, certification Tier IV (capable de fournir une disponibilité des services à hauteur de 99,995%). Bref, n’en demandez pas plus. Les outils pour protéger vos sauvegardes, vos outils de production, vos clients existent et ils sont indispensables dans votre stratégie cyber sécurité. Être accompagné en toute confiance, comment l’explique par exemple la société EBRC. Leurs services affichent, par exemple, un chiffre fou. Depuis la création de cet opérateur, en 2000, les centres de données n’ont jamais subi la moindre interruption.

ISO 27001, rappel !

Cette norme internationale vise la sécurité des systèmes d’information. Créée en octobre 2005, mise à jour huit ans plus tard, en 2013, se traduit par le petit nom de « Technologies de l’information, techniques de sécurité, systèmes de gestion de sécurité de l’information et exigences ». Dans son cadre, le SMSI, le système de management de la sécurité de l’information. Un recensement des mesures de sécurité, dans un périmètre concret et défini. Mission, trouver le juste milieu, pas trop sévère, mais ne pas être laxiste non plus. Les entreprises peuvent se baser sur les quatre piliers : établir, implémenter, maintenir, améliorer. Un plan de bataille en quelque sorte.

Par établir, qu’a donc besoin l’entreprise ? Dans quel périmètre. Quel niveau de sécurité ? Il va falloir évaluer les risques.

Ensuite, identifier les menaces, les actifs, les failles, les responsabilités, définir la probabilité des risques, estimer.

Traiter les risques, sans oublier les problématiques résiduelles. C’est d’ailleurs dans cette partie que la réflexion sur le transfert des responsabilités techniques est à prévoir (cloud, assurance, etc.)

114 mesures de l’ISO 27001

Parmi les 114 mesures de l’ISO 27001, la réflexion sur une solution de contrôle des accès à privilèges et des autorisations pour les serveurs sur site et dans le cloud peuvent être largement réfléchis. Par exemple, un workflow granulaire permet aux utilisateurs de demander une élévation de leurs privilèges afin d’exécuter des commandes spécifiques qui exigent habituellement des droits complets d’administrateur.

L’édition 2022 de l’étude VMWare Global Incident Response Threat Report révèle que dans 25 % des attaques des mouvements latéraux sont détectés. Pour ce faire, les cybercriminels exploitent des outils tels que les scripts hôtes, le stockage de fichiers et la synchronisation.

Cloud Suite apporte aux entreprises de robustes capacités qui contribuent à limiter l’impact d’une attaque potentielle et à réduire grandement le risque de mouvements latéraux. Par exemple, les équipes informatiques peuvent consolider les identités entre les annuaires d’entreprise et les prestataires cloud (Active Directory, Azure AD, AWS, Google Cloud), simplifier l’authentification et appliquer des contrôles granulaires des autorisations afin de mettre en place des meilleures pratiques suivant le principe de moindre privilège, renforçant ainsi les postures de sécurité.

Bref, vous l’aurez compris, se pencher sur l’ISO 27001, certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, ne se fait pas seul et sans l’approche et la connaissance d’expert du sujet.

Cybersécurité, Fuite de données

Tendances 2023 en matière d’identité numérique

Evolution législative, vérification de l’âge, digitalisation des échanges. Tendances 2023 en matière d’identité numérique.

Des évolutions législatives à l’échelle européenne : Le règlement européen eIDAS qui encadre l’identité numérique va évoluer en 2023. Désormais, un portefeuille numérique unique et sécurisé permettra de simplifier et homogénéiser les processus d’authentification des identités dans l’espace numérique européen.

Une généralisation du KYC : Initialement utilisé dans le secteur de la finance, le KYC s’étend à d’autres activités telles que les réseaux sociaux qui introduisent la vérification de l’âge des utilisateurs, les institutions publiques qui dématérialisent de plus en plus les procédures dans lesquelles il leur est nécessaire de vérifier l’identité des administrés ou encore certains secteurs du e-commerce.

Identité numérique en perpétuelle évolution

Une digitalisation des échanges toujours plus présente : La crise du COVID 19 a donné un coup d’accélérateur à la digitalisation des échanges. Cette tendance devrait se poursuivre en 2023 et amènera nécessairement des problématiques liées à l’identité.

La question de la fraude à l’identité : Pour lutter contre les arnaques aux comptes CPF, le gouvernement français a lancé France Connect +, une version plus sécurisée de sa plateforme. Avec la multiplication des opérations frauduleuses de tous types, la vérification poussée et en temps réel de l’identité devrait prendre de plus en plus d’ampleur. Une veille sur votre identité, vos données, votre entreprises doit devenir un reflexe. De nombreuses possibilités existent comme le service veille ZATAZ. Il permet de veiller, alerter, rassurer sur toutes fuites d’informations possibles pouvant vous concerner.

backdoor, Cybersécurité

Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s’appuyant sur Google Drive

Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu’alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d’un large éventail de fonctionnalités d’espionnage, notamment la surveillance des lecteurs et des appareils portables, l’exfiltration de fichiers de valeur, l’enregistrement des frappes de clavier, les captures d’écran et le vol d’identifiants dans les navigateurs. Ses fonctions sont réservées à des cibles sélectionnées sur lesquelles la porte dérobée est déployée, après une compromission initiale à l’aide de malwares moins avancés. Dolphin détourne des services de stockage dans le Cloud, spécifiquement Google Drive, pour les communications de commande et de contrôle.

ScarCruft, également connu sous le nom d’APT37 ou Reaper, est un groupe d’espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais d’autres pays asiatiques ont également été visés. ScarCruft semble s’intéresser principalement aux organisations gouvernementales et militaires, ainsi qu’aux entreprises de différents secteurs liés aux intérêts de la Corée du Nord.

« Après avoir été déployé sur des cibles sélectionnées, le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive. La possibilité de modifier les paramètres des comptes Google et Gmail des victimes afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace, est une fonctionnalité inhabituelle présente dans les versions antérieures de la porte dérobée, » explique Filip Jurčacko, le chercheur chez ESET qui a analysé la porte dérobée Dolphin.

En 2021, ScarCruft a mené une attaque de type « watering-hole » contre un journal en ligne sud-coréen consacré à la Corée du Nord. L’attaque se composait de plusieurs éléments, dont l’exploitation d’une vulnérabilité Internet Explorer et un shellcode menant à une porte dérobée appelée BLUELIGHT.

Dans les études précédentes, la porte dérobée BLUELIGHT était décrite comme l’objectif final. Cependant, lors de l’analyse approfondie de l’attaque, une seconde porte dérobée plus sophistiquée déployée sur des victimes sélectionnées via cette première porte dérobée. « Nous avons nommé celle-ci Dolphin, d’après un chemin PDB trouvé dans l’exécutable » continue M. Jurčacko.

Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs ont observé de multiples versions de cette porte dérobée, comprenant des améliorations et des techniques pour échapper à sa détection.

Tandis que la porte dérobée BLUELIGHT effectue une reconnaissance de base et une évaluation de la machine compromise après infection, Dolphin est plus sophistiquée et se déploie manuellement uniquement sur des cibles sélectionnées. Les deux portes dérobées sont capables d’exfiltrer des fichiers à partir d’un chemin spécifié dans une commande, mais Dolphin parcourt également activement les lecteurs et exfiltre automatiquement les fichiers ayant des extensions intéressantes.

La porte dérobée collecte des informations de base sur la machine ciblée, notamment la version du système d’exploitation, la version du malware, la liste des produits de sécurité installés, le nom de l’utilisateur et le nom de l’ordinateur. Par défaut, Dolphin parcourt tous les lecteurs fixes (disques durs) et non fixes (USB), crée des listes de dossiers, et exfiltre les fichiers selon leur extension. Dolphin recherche également les appareils portables, tels que les smartphones, via l’API Windows Portable Device. La porte dérobée vole les identifiants dans les navigateurs. Elle est également capable d’enregistrer les frappes et de faire des captures d’écran. Enfin, elle place ces données dans des archives ZIP chiffrées avant de les téléverser sur Google Drive.

backdoor, Cybersécurité

Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l’année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d’accéder aux infrastructures informatiques des entreprises.

Des experts ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente.

Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise« , indique Kaspersky.

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur.

Les pirates ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut « MsiMake », très similaire au fonctionnement du malware PurpleFox.

backdoor, Cybersécurité

Des pirates se font passer pour la chambre des Notaires de Paris

Une campagne d’hameçonnage conduite par le groupe cybercriminel Emotet a exploité l’image de la chambre des Notaires de Paris.

Pour cette campagne d’attaques, le groupe s’est fait passer pour la Chambre des Notaires de Paris et a incité le destinataire de l’email à télécharger un document en pièce jointe. Un grand classique ! La pièce jointe ayant pour but final de permettre l’infiltration de l’ordinateur de la cible.

D’après les chercheurs de Proofpoint ce type de courriers piégés Emotet ont ciblé de nombreux pays, dont les Etats Unis, le Royaume Uni, le Japon, l’Allemagne, l’Italie, la France, le Mexique et le Brésil.

Le groupe Emotet (ou TA542), pourtant démantelé par la police en janvier 2021, a refait surface en novembre 2022. Après une pause, le groupe a testé de nouvelles techniques et procédures pour piéger leurs victimes. Il s’est récemment tristement illustré en volant les informations des cartes de crédit sur Google Chrome, via des campagnes de spam qui incitent les utilisateurs à cliquer sur des fichiers ou des liens infectés.

Emotet sert aussi à des campagnes d’infiltrations qui auront pour missions des demandes de rançons aprés l’exfiltrations de données sensibles. Des affiliés du groupe LockBit 3.0 auraient exploité, dernièrement, cet outil pirate pour lancer des ransomwares.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

Cybersécurité, Entreprise

Les faux avis positifs, de faux amis pour les distributeurs et commerçants

69 % des consommateurs français estiment que c’est aux professionnels du secteur de la distribution que revient le soin de mettre en place des règles pour lutter contre les faux avis. Ceci alors que la directive Omnibus est entrée en vigueur le 28 mai 2022, renforçant l’arsenal des mesures contre ces avis tronqués.

C’est dans ce contexte qu’Amazon vient d’attaquer pénalement un courtier italien en faux avis en octobre 2022 : une première en Europe. Selon l’accusation, le courtier mettait en relation des vendeurs et des clients d’Amazon, publiant des avis notés cinq étoiles en échange du remboursement intégral du produit en faveur du client.

Ce procédé est non seulement illégal mais aussi contreproductif. La présence de faux avis positifs engendre une perte de confiance en la marque selon 38 % des personnes sondées par Bazaarvoice. Les consommateurs peuvent se détourner complètement des produits d’une marque s’ils détectent ne serait-ce qu’un avis frauduleux, qu’il soit positif ou négatif (23 %).

Cybersécurité, Entreprise

Augmentation des fausses applications Cloud

Un rapport sur les menaces révèle les nouvelles sources principales de renvois vers de fausses pages de connexion, ainsi que l’augmentation des fausses applications cloud tierces exploitées pour tromper les utilisateurs.

Une nouvelle étude explique comment la prédominance des applications cloud a changé la façon dont les cybercriminels livrent les attaques de phishing pour voler des données.

Le rapport « Netskope Cloud and Threat Report: Phishing » détaille les tendances relatives aux méthodes de diffusion du phishing, telles que les fausses pages de connexion et applications cloud tierces conçues pour imiter les versions légitimes. Il analyse également les cibles de ce type attaques ainsi que l’hébergement des contenus frauduleux.

Bien que l’email reste le principal moyen d’acheminer des liens de phishing vers de fausses pages de connexion dans le but de voler des noms d’utilisateur, des mots de passe ou encore des codes d’authentification multifacteur, le rapport révèle que les utilisateurs cliquent plus fréquemment sur des liens de phishing provenant d’autres canaux, notamment des sites internet et des blogs, des médias sociaux et des résultats de moteurs de recherche. Le rapport décrit également l’augmentation du nombre de fausses applications cloud tierces conçues pour inciter les utilisateurs à autoriser l’accès à leurs données et à leurs ressources dans le cloud.

Les nombreuses origines du phishing

Traditionnellement considérée comme la principale menace de phishing, seules 11 % des tentatives d’attaques proviennent de services de messagerie web, tels que Gmail, Microsoft Live et Yahoo. Les sites internet et les blogs, en particulier ceux hébergés sur des services gratuits, sont les sources les plus courantes en matière de phishing, avec 26 %. Le rapport a identifié deux techniques principales : l’utilisation de liens malveillants par le biais de spams sur des sites web et des blogs légitimes, et l’exploitation de sites internet et de blogs créés spécifiquement pour promouvoir le contenu frauduleux.

Les renvois de moteurs de recherche vers des pages de phishing sont également devenus courants, car les cybercriminels exploitent les vides de données. Ainsi, ils créent des pages centrées sur des termes de recherche peu courants et sur lesquelles ils peuvent facilement s’imposer dans les premiers résultats pour ces termes. Parmi les exemples identifiés par le Threat Labs de Netskope dans l’exploitation de cette technique, figurent le mode d’emploi de fonctionnalités spécifiques de logiciels connus, les réponses à des questionnaires pour des cours en ligne ou encore les manuels d’utilisation de divers produits pour les entreprises et les particuliers.

« Les employés des entreprises ont été formés à repérer les messages de phishing dans les emails et les SMS. Les cybercriminels ont donc adapté leurs méthodes et incitent les utilisateurs à cliquer sur des liens de phishing dans des endroits moins attendus,  explique Ray Canzanese, de chez Netskope. Même si nous ne pensons pas forcément à la possibilité d’une attaque de phishing en surfant sur internet ou sur notre moteur de recherche préféré, nous devons tous faire preuve du même niveau de vigilance et de scepticisme qu’avec les emails entrants. Cela suppose de ne jamais saisir d’informations d’identification ou de données sensibles dans une page après avoir cliqué sur un lien. Il faut toujours se rendre directement sur les pages de connexion.« 

La montée en puissance des fausses applications cloud tierces

Le rapport révèle une autre méthode de phishing importante, qui consiste à inciter les utilisateurs à autoriser l’accès à leurs données et leurs ressources dans le cloud par le biais de fausses applications cloud tierces. Cette tendance est particulièrement inquiétante car l’accès aux applications tierces est omniprésent et constitue une surface d’attaque considérable. En moyenne, les utilisateurs finaux des entreprises ont accordé à plus de 440 applications tierces l’accès à leurs données et applications Google, avec une entreprise ayant jusqu’à 12 300 plugins différents accédant aux données, soit une moyenne de 16 plugins par utilisateur. Tout aussi alarmant, plus de 44 % de toutes les applications tierces accédant à Google Drive ont accès soit à des données sensibles, soit à toutes les données de Google Drive d’un utilisateur, ce qui incite les cybercriminels à créer de fausses applications tierces pour le cloud.

La nouvelle génération d’attaques de phishing est à nos portes. Avec la prédominance des applications cloud et l’évolution de la nature de leur utilisation, des extensions Chrome ou d’applications, les utilisateurs sont invités à autoriser l’accès dans ce qui est devenu un vecteur d’attaque négligé.

Cette nouvelle tendance des fausses applications tierces est un phénomène que nous surveillons et suivons de près pour nos clients. Nous nous attendons à ce que ces types d’attaques augmentent au fil du temps. Les entreprises doivent donc s’assurer que les nouvelles voies exploitées, telles que les autorisations OAuth, sont limitées ou verrouillées. Les employés doivent également être conscients de ces attaques et examiner minutieusement les demandes d’autorisation de la même manière qu’ils examinent les emails et les SMS.

Les employés continuent à cliquer et à être victimes de liens malveillants

Il est largement admis qu’il suffit d’un seul clic pour compromettre gravement une organisation. Alors que la sensibilisation et la formation des entreprises au phishing ne cessent de gagner en importance, le rapport révèle qu’en moyenne 8 utilisateurs sur 1 000 dans l’entreprise ont cliqué sur un lien de phishing ou ont tenté d’accéder d’une autre manière à un contenu de phishing.

Les utilisateurs sont attirés par de faux sites internet conçus pour imiter les pages de connexion légitimes. Les cybercriminels hébergent principalement ces sites internet sur des serveurs de contenu (22 %), suivis par des domaines nouvellement enregistrés (17 %). Une fois que les utilisateurs ont entré des informations personnelles sur un faux site, ou lui ont accordé l’accès à leurs données, les cybercriminels sont en mesure de collecter les noms d’utilisateur, les mots de passe et les codes d’authentification multifacteur.

La situation géographique joue un rôle dans le taux d’accès au phishing. L’Afrique et le Moyen-Orient présentent le pourcentage le plus élevé d’utilisateurs accédant à des contenus de phishing; en Afrique ce taux est supérieur de plus de 33 % à la moyenne, et il est plus de deux fois supérieur à la moyenne au Moyen-Orient. Les cybercriminels utilisent fréquemment la peur, l’incertitude et le doute (FUD) pour mettre au point des appâts de phishing et tentent également de tirer parti des grands sujets d’actualité. Au Moyen-Orient en particulier, ils semblent réussir à concevoir des leurres qui tirent parti des problèmes politiques, sociaux et économiques de la région.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile