Archives par mot-clé : adobe

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Patch Tuesday Avril 2016

Place au Patch Tuesday d’avril 2016 qui nous donne un aperçu de ce qui nous attend. La semaine dernière, Adobe a été contraint d’anticiper la publication de son patch mensuel pour Adobe Flash Player (APSB16-10) afin d’aider ses utilisateurs à se protéger contre une menace Zero Day exploitée en aveugle. Qui plus est, nous avons appris il y a deux semaines par l’équipe de développement de Samba l’existence de la vulnérabilité « Badlock » qui affecte à la fois Windows et Samba sur Linux/Unix.

Badlock semble cependant moins dangereuse qu’elle n’y paraît puisqu’elle est résolue par MS16-047, un bulletin Microsoft classé comme « important ». Il s’agit d’une vulnérabilité de type Man-in-the-Middle qui permet de se connecter à la place d’une autre personne utilisant des applications basées sur le protocole SAMR ou LSAD, le protocole SMB n’étant pas affecté. Toutes les versions de Windows sont touchées, de Vista à Server 2012 R2. Même s’il est difficile de la classer, cette vulnérabilité ne figure pas pour autant parmi les priorités absolues.

Hormis MS16-047, Microsoft a publié 12 autres bulletins lors de ce Patch Tuesday , soit 50 à ce jour pour l’année 2016. 30 vulnérabilités y sont traitées au total mais aucune menace Zero-Day. Le bulletin MS16-039 contient des correctifs pour un composant graphique de Windows et concerne toutes les versions, de Vista à Windows 10 en passant par Server 2008 et 2102 R2. Il est également destiné aux versions Office 2007 et 2010 plus anciennes ainsi qu’à .NET, Skype et Lync. Situées toutes les deux dans Windows, les deux menaces Zero-Day facilitent une élévation de privilèges, que ce soit pour un utilisateur normal ou un administrateur. Elles permettront d’exploiter une vulnérabilité qui introduit l’attaquant sur la machine, notamment via la faille dans Flash Player traitée par le patch APSB16-10 et résolue dans le bulletin Microsoft MS16-050. Dans ce cas de figure, l’utilisateur se rend sur un site Web anodin puis est victime d’un exploit Flash qui se développe ensuite via les vulnérabilités CVE-2016-0165/7 résolues dans le bulletin MS16-039. Pour se protéger contre de telles attaques, corrigez aussi vite que possible. Les bulletins MS16-050 pour Flash (APSB16-10 si vous utilisez Firefox) et MS16-039 figurent tout en haut de la liste des priorités de ce mois.

Le suivant sur la liste de ce Patch Tuesday est le bulletin de sécurité MS16-042 qui résout quatre failles dans Microsoft Office. Microsoft classe ce bulletin comme critique, ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l’utilisateur. En effet, CVE-2016-0127 est une vulnérabilité basée sur l’exécution de code à distance (RCE) dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d’aperçu d’Outlook et facilite une exécution RCE pour l’attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d’Office qui fonctionne aussi bien sur 2007/2010 que sur 2013.

Microsoft Internet Explorer et Edge sont respectivement corrigés au moyen des bulletins critiques MS16-037 et MS16-038. Ces deux navigateurs sont affectés par six vulnérabilités. C’est d’ailleurs la première fois qu’Edge contient autant de failles qu’IE et qu’Edge rencontre des problèmes plus sérieux qu’IE, ce qui constitue également une première. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. N’oubliez pas que Microsoft ne propose des correctifs que pour le navigateur le plus récent associé à chaque système d’exploitation, à savoir IE11 à partir de Windows 7, IE9 pour Vista et IE10 pour Windows Server 2012.

Quant à la dernière vulnérabilité critique, elle se trouve dans le sous-système de traitement XML. Aucun patch n’a été publié à ce niveau depuis plus d’un an. Le bulletin MS16-040 fournit une nouvelle version de msxml.dll pour résoudre la seule vulnérabilité présente, CVE-2016-0147. Le vecteur d’attaque se situe au niveau d’un site Web qui transmet le format XML malveillant à la machine ciblée.

Même si elles sont classées comme non critiques, les autres vulnérabilités de ce Patch Tuesday peuvent avoir un impact non négligeable et être également intéressantes. Hyper-V fait ainsi l’objet d’un correctif dans le bulletin MS16-045 dans la mesure où un système invité peut abriter une élévation de privilèges susceptible d’être très critique dans un environnement hôte où l’attaquant accède aux systèmes à cause d’un problème de conception de Hyper-V. Les systèmes d’exploitation affectés sont Windows 8.1, Server 2012 et 2012 R2. Le bulletin MS16-041 résout une vulnérabilité unique dans .NET tandis que MS16-049 corrige une vulnérabilité DoS dans les systèmes Windows 10 au niveau du pilote HTTP.sys.

Adobe a corrigé Flash la semaine dernière en urgence à l’aide du patch APSB16-10, mais publie aujourd’hui des mises à jour pour Robohelp avec le patch APS16-12 et pour les applications Creative Cloud via le patch APSB16-11.

Ce sera tout pour avril et ce Patch Tuesday avec plusieurs menaces 0-Day et des vulnérabilités immédiatement exploitables qui rendent ce mois-ci plus critique que le mois dernier. Attendez-vous à ce que la vulnérabilité affectant Adobe Flash se répande et mettez en œuvre des solutions de contournement pour les procédures d’atténuation actuellement déployées. (Publié par wkandek dans The Laws of Vulnerabilities)

Cybersécurité, Mise à jour, Patch

Mises à jour urgentes de janvier 2016

Plusieurs mises à jour obligatoires et urgentes pour de nombreux produits Microsoft, Adobe et Oracle.

MS16-005 est a patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), de plus cette vulnérabilité a été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante.

MS16-004 est notre seconde priorité. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé « critique » par Microsoft, ce qui est inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.

Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge (MS16-002). L’un et l’autre sont classés critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page Web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel nous avions pris l’habitude de voir traiter plus de 20 vulnérabilités.

MS16-006, le dernier bulletin critique, concerne Silverlight et corrige une vulnérabilité.

MS16-010 est une vulnérabilité côté serveur dans Microsoft Exchange. Il résout quatre vulnérabilités au sein du module OWA d’Exchange qui peuvent provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail.

MS16-009 a été ignoré par Microsoft. Apparemment, la publication de ce bulletin a été reportée le temps de procéder à des tests supplémentaires.

Adobe et Oracle
Adobe publie également ses mises à jour à l’occasion de ce Patch Tuesday et diffuse APSB16-02 pour Adobe Reader. Cette mise à jour résout des vulnérabilités critiques mais les classe toutes en niveau « 2 » sur l’échelle de l’exploitabilité, c’est-à-dire qu’un patch sera disponible dans les 30 prochains jours. Aucune mise à jour n’est publiée aujourd’hui pour son composant logiciel le plus attaqué, le lecteur Flash. Ou disons plutôt que sa mise à jour de janvier 2016 a été publiée en avance, fin décembre 2015. Intéressez-vous en urgence à APSB16-01 si ce n’est pas encore fait. L’une des vulnérabilités étant attaquée en aveugle, Adobe a été contraint de publier cette mise à jour avant la date prévue.

Quant à Oracle, l’éditeur prévoit de publier ce mois-ci sa mise à jour trimestrielle, en l’occurrence mardi 19 janvier. Restez à l’affût de la nouvelle version de Java, MySQL et de sa base de données d’entreprise. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities).

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Piratage, Propriété Industrielle

Nouvelle vulnérabilité zero-day dans Adobe Flash

Un commentaire

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Oracle, Patch

Grosses mises à jour Microsoft et Adobe

Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.

Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.

Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.

Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.

Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.

Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.

Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)

Adobe, Android, Logiciels, Mise à jour, Sécurité, Smartphone

Faille pour le lecteur Adobe PDF dédié à Android

Un commentaire

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.

 

Arnaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Fausses clés de licence ADOBE

Un pirate exploite la base de données piratée à ADOBE pour inciter les clients à télécharger une fausse licence, mais virus. Il fallait un peu s’en douter. Diffuser la base de données volées à ADOBE, BDD comprenant des millions d’emails, ne pouvait qu’attirer les pirates et autres escrocs. Le dernier en date, son courriel a été detecté fin décembre, incite les clients ADOBE à télécharger une nouvelle clé d’activation pour leurs logiciels (Photoshop, Premiére, …) Bien entendu, la pseudo nouvelle clé n’est rien d’autre qu’un code malveillant, un logiciel espion.

Pour rappel, le 3 octobre dernier, Adobe a détecté sur son réseau des attaques informatiques (d’idiotes injections SQL) portant sur l’accès illégal à une base de données de sauvegarde contenant des identifiants Adobe et des mots de passe cryptés, ainsi que sur la suppression de cette base. « Nous vous informons que votre identifiant Adobe figurait dans cette base mais pas votre mot de passe actuel.  Par conséquent, nous n’avons pas réinitialisé votre mot de passe » explique dans son courriel de décembre, l’entreprise américaine.  La base de données piratée provenait d’un système de sauvegarde qui contenait de nombreuses entrées obsolètes et était destiné à être mis hors service. Le système Adobe d’authentification des enregistrements, qui pratique le hachage et le salage des mots de passe des clients, n’était pas la source de la base de données volée. Adobe conseille à ses clients de changer leurs mots de passe, sur les autres sites, dans le cas ou l’internaute aurait utilisé le même que chez ADOBE.

 

Cyber-attaque, Cybersécurité, Fuite de données, Leak, Paiement en ligne

Plus de 2 millions de données clients volées à ADOBE

Un commentaire

ADOBE, le géant du logiciel de création sur Internet ne voit que pas le Cloud. Au prix que coûtent ses outils numériques, nous aurions pu penser que la sécurisation des données que nous pouvons lui laisser étaient aussi carrée que le protocole mis en place pour s’assurer que les utilisateur de Photoshop, Premiere, … ne soient pas des vilains copieurs.

La société américaine vient de confirmer, par le biais de Brad Arkin (responsable sécurité) qu’un pirate informatique avait mis la main sur pas moins de 2.9 millions de comptes utilisateurs. Dans le fichier intercepté via une faille iSQL : les noms, les informations de facturation, les données des carte de crédit, CVV et compagnie. Les mots de passe des clients ont été réinitialisés.

« L’équipe Adobe en charge de la sécurité a récemment découvert sur notre réseau des attaques sophistiquées portant sur l’accès illégal aux informations de nos clients, ainsi qu’au code source d’Adobe ColdFusion, un serveur d’applications destiné aux développeurs et, potentiellement, d’autres produits Adobe. Nous pensons que ces attaques pourraient être liées. En collaboration avec nos partenaires et les services de police, nos équipes internes mettent tout en œuvre pour résoudre cet incident. »

Là ou cela devient du grand n’importe quoi. Le pirate aurait réussi à mettre la main sur des codes sources d’outils comme Adobe Acrobat, ColdFusion, et ColdFusion Builder. Les pirates ont eu accès aux identifiants et mots de passe Adobe des clients. Les pirates ont pu accéder aux informations bancaires cryptées de 2,9 millions de clients Adobe, et notamment aux noms des clients, à leurs numéros de carte bancaire cryptés et dates d’expiration, ainsi qu’à d’autres données relatives à leurs commandes. « Pour le moment, nous pensons qu’aucun numéro de carte bancaire extrait de nos systèmes n’a été décrypté« . a pu lire datasecuritybreach.fr. Adobe enquête également sur l’accès illégal au code source de ColdFusion et sur le risque d’un accès non autorisé au code source d’autres produits Adobe. « Nous n’avons pas connaissance de menaces accrues pesant sur les utilisateurs de ColdFusion suite à cet incident« .

Toute la procédure pour les clients est en ligne afin de réinitialiser en trois points son mot de passe.