Archives par mot-clé : vulnérabilité

Une vulnérabilité bien connue de Microsoft Office a été exploitée six fois plus au cours deuxième trimestre de 2023

Des chercheurs ont constaté qu’une ancienne vulnérabilité de Microsoft Office gagne en popularité auprès des attaquants, qui l’exploitent pour cibler à la fois les particuliers et les entreprises.

Depuis le début de l’année 2023, la vulnérabilité CVE-2017-11882 a été exploitée près de 500 % plus souvent, affectant des milliers de personnes. Une autre vulnérabilité connue, CVE-2018-0802, semble être devenue « l’arme » la plus en vogue chez les cybercriminels, ayant été utilisée pour cibler plus de 130 000 utilisateurs. Étant donné que les anciennes versions des programmes Microsoft sont aujourd’hui encore utilisées et qu’elles constituent une cible très attrayante pour les attaquants, il est crucial d’installer une solution de sécurité fiable et d’effectuer les mises à jour régulièrement.

Tout au long du deuxième trimestre 2023, des chercheurs de Kaspersky ont détecté que plus de 11 000 utilisateurs ont été visés par des attaques exploitant une ancienne vulnérabilité du logiciel Microsoft Office, connue sous le nom de CVE-2017-11882. Cette vulnérabilité permet aux attaquants d’exploiter l’éditeur d’équation dans les documents Microsoft Office, pour exécuter un code malveillant sur l’appareil ciblé. Ce procédé leur permet d’installer des logiciels malveillants ou indésirables sur la machine affectée à l’insu de l’utilisateur. Pour exploiter la vulnérabilité, les attaquants peuvent procéder de plusieurs manières: soit en envoyant un fichier malveillant à une victime potentielle, soit en créant un site web avec le même type de fichier pour inciter les gens à l’ouvrir en utilisant des techniques d’ingénierie sociale.

Bien que la vulnérabilité ait été identifiée et corrigée depuis longtemps, les exploits ont augmenté de 483 % au cours du deuxième trimestre par rapport au premier trimestre de cette année. Cette tendance alarmante indique que même les anciennes vulnérabilités restent des points d’entrée efficaces pour attaquer à la fois les appareils des particuliers et les infrastructures informatiques des organisations.

Nombre d’utilisateurs attaqués via la vulnérabilité CVE-2017-11882 en 2023

« Les attaquants ont effectivement recommencé à utiliser cet exploit. Il est très probable qu’ils tentent de mettre en œuvre de nouvelles techniques d’obscurcissement afin d’échapper à la détection. Par exemple, ils pourraient essayer d’insérer de nouveaux types de données malveillantes dans les documents Microsoft Office. Toutefois, des solutions de sécurité éprouvées, conçues pour détecter les tentatives d’attaque de manière systématique, permettent de prévenir de telles attaques et de protéger les utilisateurs. Il est également essentiel d’installer les mises à jour et les correctifs des logiciels à temps« , commentent les experts.

Cette tendance a persisté au cours de cette période, les cybercriminels ayant continué à s’appuyer sur d’anciennes vulnérabilités des logiciels Microsoft comme vecteurs d’attaque. La vulnérabilité qu’ils ont le plus exploitée est CVE-2018-0802, avec laquelle ils ont ciblé plus de 130 000 personnes. L’exploitation de cette vulnérabilité suit généralement le même schéma que la CVE-2017-11882 susmentionnée, impliquant une corruption de la mémoire pouvant permettre à l’attaquant de contrôler le système à l’aide d’un fichier spécialement conçu à cet effet.

Les vulnérabilités CVE-2010-2568, CVE-2017-0199 et CVE-2011-0105 figurent également sur la liste des exploits les plus fréquemment détectés au cours du deuxième trimestre. La première implique l’exécution de code via un fichier LNK spécifiquement développé pour ces opérations, tandis que les deux dernières sont liées à la suite Microsoft Office.

Les vulnérabilités critiques de ColdFusion sont déjà exploitées par des pirates

Adobe vient de corriger des failles visant son outil ColdFusion. Des hackers malveillants exploitent déjà les vulnérabilités.

Adobe a corrigé des vulnérabilités critiques d’exécution de code dans ColdFusion. La semaine dernière, Adobe a signalé un problème de contournement d’authentification ColdFusion (CVE-2023-29298). Une faille découverte par la société Rapid7. Une seconde vulnérabilité d’exécution de code à distance de pré-authentification (CVE-2023-29300) avait été mise à jour par CrowdStrike.

La vulnérabilité critique CVE-2023-29300 est associée à la désérialisation (9,8 points sur l’échelle CVSS) et peut être utilisée par des visiteurs non autorisés pour exécuter à distance des commandes sur des serveurs vulnérables Coldfusion 2018, 2021 et 2023.

Le 14 juillet, Adobe a publié un correctif « urgent » pour une autre vulnérabilité, CVE-2023-38203, également découverte dans Project Discovery. Selon les chercheurs, cette vulnérabilité permet d’exploiter CVE-2023-29300 et d’exécuter du code à distance.

Selon Rapid7, des pirates utilisent déjà des chaînes d’exploit, combinant l’utilisation de CVE-2023-29298 avec un exploit du rapport Project Discovery. Les pirates utilisent ces exploits pour contourner la sécurité, installer des shells [portes dérobées] sur des serveurs ColdFusion vulnérables et obtenir un accès à distance aux appareils. Les shells se trouvent généralement dans le dossier : .\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm.

Pendant ce temps, les mises à jour de juillet de Microsoft corrigent 132 vulnérabilités dans les produits de la société, dont six 0day activement exploités, ainsi que 37 bogues qui permettent l’exécution de code arbitraire à distance. Alors qu’un total de 37 bogues RCE ont été corrigés ce mois-ci, Microsoft affirme que seuls neuf d’entre eux sont jugés critiques. Dans le même temps, l’un des problèmes RCE reste non corrigé et est activement utilisé dans des attaques déjà découvertes par de nombreux spécialistes de la sécurité de l’information.

Failles UEFI de Qualcomm menacent les appareils Microsoft, Lenovo et Samsung

De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.

Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.

Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.

Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.

Ordinateurs portables impactés

En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.

Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.

Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.

WordPress force la mise à jour en corrigeant une faille critique

Il y a quelques jours, le géant de l’Internet WordPress imposait une mise à jour d’un plugin populaire Ninja Forms. Une action salvatrice qui pose cependant question.

Le populaire plugin WordPress Ninja Forms souffrait, il y a encore quelques jours, d’une vulnérabilité critique. Une faille activement utilisée par les pirates informatiques.

Cet exploit malveillant permettait d’injecter du code arbitraire dans un site. L’espace web ainsi piégé pouvait permettre l’infiltration des machines des visiteurs, etc.

La vulnérabilité a été corrigée dans sa version 3.6.11.

Jusqu’ici, rien de bien nouveau ? Une faille et sa correction rapide.

Mais ce n’est pas la chose la plus intéressante et/ou inquiétante. Cette mise à jour forcée pour tous les utilisateurs montre aussi que WordPress aura été capable de prendre la main sur plus de 730 000 sites sans l’accord des administrateurs.

Et ce n’est pas la première fois. La faille d’un autre plugin, celui d’UpdraftPlus, avait été corrigée de la même façon avec l’injection du code corrigé sans l’accord des webmasters.

La question est de savoir maintenant s’il faut faire confiance dans un système qui, à tout moment, peut forcer des modifications et déployer du code dans des centaines de milliers de sites web de part le monde ?

A noter que j’ai repéré, dans un espace du darknet, une vente d’un 0day concernant un exploit pirate visant WordPress 5.9.0. « Cet exploit python permet l’exécution de code à distance, fonctionne avec les installations par défaut et ne devrait pas nécessiter d’authentification ou d’interaction avec l’utilisateur. » explique le pirate. Mise à prix de ce tour de passe-passe : 0.35 BTC. Un peu plus de 6 600 euros au moment de l’écriture de cet article.

Patch Tuesday mars 2022

92 vulnérabilités dont 3 critiques chez Microsoft et 3 avis de sécurité et 6 vulnérabilités dont 5 critiques pour Adobe.

Ce mois, Microsoft a corrigé 92 vulnérabilités (dont 21 pour Microsoft Edge), 3 étant classées comme critiques car susceptibles de provoquer une vulnérabilité par exécution de code à distance (RCE). Ce Patch Tuesday comprend aussi des correctifs pour 3 vulnérabilités Zero-Day divulguées publiquement. Au moment de la publication de cet article, aucune des vulnérabilités figurant dans la liste publiée ce mois-ci n’est exploitée en mode aveugle.

Microsoft a corrigé différents problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), avec élévation de privilèges, de divulgation d’information, par exécution de code à distance (RCE), avec contournement des fonctions de sécurité et d’usurpation concernant notamment Edge–Chromium.

Vulnérabilités Microsoft importantes corrigées

L’avis de sécurité de ce mois concerne différents produits Microsoft, dont .NET et Visual Studio, Azure Site Recovery, Defender, Edge (basé sur Chromium), MS Exchange Server, HEIF Image Extension, HEVC Video Extension, Intune, les applications Microsoft 365, Office, Paint 3D, le service Bureau à distance (Remote Desktop), le serveur SMB et le système d’exploitation Windows.

CVE-2022-21990 et CVE-2022-23285 – Vulnérabilité par exécution de code à distance (RCE) sur le client Bureau à distance 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. S’il se connecte au service Bureau à distance, l’attaquant qui contrôle un serveur Bureau à distance peut lancer une exécution de code à distance (RCE) sur la machine cliente RDP lorsqu’un utilisateur ciblé se connecte au serveur rendu malveillant depuis un client de bureau à distance vulnérable. 

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-23277 – Vulnérabilité par exécution de code à distance (RCE) sur le serveur Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. L’attaquant qui exploite cette vulnérabilité peut cibler les comptes serveur via une exécution de code à distance (RCE) ou arbitraire. En tant qu’utilisateur authentifié, il peut tenter de déclencher du code malveillant au niveau du compte du serveur via un appel réseau.

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-24469 – Vulnérabilité avec élévation de privilèges pour Azure Site Recovery

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Un attaquant peut appeler les API Azure Site Recovery fournies par le serveur de configuration et accéder dans la foulée aux données de configuration, y compris aux certificats associés aux systèmes protégés. À l’aide de ces API, l’attaquant peut également modifier/supprimer des données de configuration et ainsi impacter les opérations de récupération d’un site.

Évaluation d’exploitabilité :Exploitation moins probable.

CVE-2022-24508 – Vulnérabilité par exécution de code à distance (RCE) sur le client/serveur Windows SMBv3 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. En plus de publier une mise à jour pour cette vulnérabilité, Microsoft fournit une solution de contournement qui peut être utile selon votre situation. Dans tous les cas, Microsoft recommande fortement d’installer les mises à jour concernant cette vulnérabilité dès qu’elles seront disponibles, y compris si vous prévoyez de conserver cette solution de contournement. En effet, cette vulnérabilité est présente au sein d’une nouvelle fonctionnalité ajoutée à Windows 10 version 2004 ainsi que dans des versions plus récemment supportées de Windows. Les versions plus anciennes de Windows ne sont pas concernées.

Évaluation d’exploitabilité : Exploitation plus probable.

Vulnérabilités Adobe importantes corrigées 

Adobe a publié des mises à jour pour corriger 6 CVE affectant After Effects, Illustrator et Photoshop. Parmi ces 6 vulnérabilités, 5 sont classées critiques.

APSB22-14 : Mise à jour de sécurité disponible pour Adobe Photoshop

Cette mise à jour corrige une vulnérabilité classée comme importante. En cas d’exploitation réussie, une fuite de mémoire pourrait affecter l’utilisateur ciblé.

APSB22-15 : Mise à jour de sécurité disponible pour Adobe Illustrator.

Cette mise à jour corrige une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire.

APSB22-17 : Mise à jour de sécurité disponible pour Adobe After Effects

Cette mise à jour corrige des vulnérabilités de sécurité classées comme critiques. En cas d’exploitation réussie, une exécution de code arbitraire pourrait affecter l’utilisateur concerné.

83 vulnérabilités dont 10 critiques, une vulnérabilité Zero Day et correctifs Adobe

Le premier Patch Tuesday de l’année permet de résoudre 50 vulnérabilités. Les 10 vulnérabilités critiques concernent les codecs Windows, Office, des extensions vidéo HEVC, le runtime RPC ainsi que les postes de travail. Pour sa part, Adobe a publié des correctifs pour Photoshop, Campaign Classic, InCopy, Illustrator, Captivate, Bridge et Animate.

Correctifs pour les postes de travail

Le déploiement de patches pour Office et Edge est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

Zero Day par exécution de code à distance dans Microsoft Defender

Microsoft corrige la vulnérabilité par exécution de code à distance (CVE-2021-1647) dans Defender en publiant un correctif pour Microsoft Malware Protection Engine. Microsoft a déclaré que cette vulnérabilité était exploitée avant que des correctifs ne soient disponibles. Ce correctif doit être déployé en priorité.

Élévation de privilèges avec le processus splwow64

Même si Microsoft précise que ce problème (CVE-2021-1648) concerne une vulnérabilité par élévation de privilèges, cette faille peut être exploitée pour divulguer des informations et plus particulièrement de la mémoire non initialisée. Microsoft a déclaré que cette vulnérabilité n’a pas été exploitée en mode aveugle, même si les détails la concernant sont disponibles publiquement.

Adobe

Adobe publie des correctifs pour de nombreuses vulnérabilités dans Adobe PhotoshopIllustratorAnimate, Campaign, InCopy, Captivate et Bridge. Les correctifs pour Adobe Campaign sont de Priorité 2 tandis que les autres patches sont de Priorité 3Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés. (Par Animesh Jain, Directrice des produits Signatures des vulnérabilités chez Qualys)

Fleercivet : Nouvelle attaque contre les utilisateurs de Google Chrome

Fleercivet – Des chercheurs ont découvert une nouvelle attaque ciblant les utilisateurs de Google Chrome. Cette attaque incite les utilisateurs à télécharger un malware via des injections sélectives sur des sites web créant des problèmes fictifs et proposant de fausses solutions pour les résoudre. Les cibles de ces attaques se trouvent au quatre coins du globe et la méthode d’infection combine les sites Web compromis, le ciblage par navigateur et l’ingénierie sociale pour tromper les utilisateurs.

Le site ZATAZ.COM annonce ce mercredi 18 janvier le top 5 des failles dans les navigateurs en 2016. Au sommet des vulnérabilités révélées l’année dernière, Chrome arrivait en tête.

Des chercheurs de Proofpoint viennent de mettre la main sur un nouveau cas. Cette nouvelle voie d’infection est l’évolution la plus récente de la chaîne ElTest, une chaîne d’infection bien connue qui repose généralement sur des sites web compromis pour diriger les utilisateurs vers des pages hébergeant des exploit kits.

L’infection est simple : le script est inséré dans une page web et réécrit le site web compromis sur le navigateur d’une victime potentielle pour rendre la page illisible, créant un faux problème à résoudre par l’utilisateur.

L’utilisateur est averti via une fenêtre modale fournissant une « solution » : dans le cas présent, l’installation d’un faux pack de polices mis à jour qui est en fait la charge utile d’un malware. En cas d’infection, l’ordinateur commencera à naviguer seul en arrière-plan.

Cette campagne a commencé le 10 décembre 2016. Depuis cette date, l’exécutable téléchargé « Chrome_Font.exe » est en fait un type de malware par fraude publicitaire appelé Fleercivet.

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »

Vulnérabilité des clés SSH et cybercriminalité : comment sécuriser et protéger les systèmes et environnements SSH

La réutilisation de clés SSH (Secure Shell) n’a rien de nouveau, c’est un phénomène que nous avons déjà observé dans le passé. Pour preuve, en 2013, les médias révélaient que des cybercriminels avaient profité de la vulnérabilité d’une clé SSH pour bénéficier d’un accès root aux équipements exécutant l’EAS (Emergency Alert System) aux États-Unis. Par Kevin Bocek, Vice President of Security Strategy & Threat Intelligence chez Venafi.

Le protocole SSH ayant pour mission de sécuriser les communications entre les ressources numériques les plus stratégiques et les plus précieuses d’une entreprise, il n’est guère étonnant que des cybercriminels veuillent dérober, déchiffrer ou autrement compromettre les clés cryptographiques sur lesquelles il repose. Les accès SSH sont tous tributaires d’une administration et d’une sécurisation adaptées des clés SSH. En l’absence de projet sérieux en la matière, votre établissement court un risque.

La compromission d’un procédé cryptographique au travers d’une clé SSH est, de loin, l’un des pires scénarios pour une entreprise. À partir du moment où un pirate possède un accès de niveau root, autrement dit un accès privilégié, il détient les clés lui permettant de prendre le contrôle d’un réseau ou d’un système complet pour le compromettre à sa guise. La plupart des professionnels de l’informatique et de la sécurité ne prennent pas conscience que les clés SSH en plus de fournir un accès de niveau root n’expirent pas. Par conséquent, à partir du moment où un pirate a dérobé une clé SSH, il disposera perpétuellement d’un accès par un moyen ou un autre. Il est donc primordial que les entreprises agissent aujourd’hui pour protéger leurs clés SSH.

Une étude(1) révèle que 3 acteurs du classement Global2000 sur 4 ne disposent d’aucun système de sécurité pour le protocole SSH, ce qui laisse ainsi la porte ouverte aux piratages, accès de niveau root et compromissions de données, et près de la moitié de l’ensemble des entreprises n’opèrent jamais de rotation ni ne changent leurs clés SSH. Ce faisant, leurs réseaux, serveurs et systèmes cloud deviennent la proie d’acteurs malveillants dès l’instant où ces clés SSH sont dérobées et utilisées de manière abusive.

Parce que le protocole SSH joue un rôle essentiel dans la sécurisation de l’accès administratif et automatisé à un large éventail de systèmes au sein d’établissements de toutes tailles, il est essentiel de disposer d’un ensemble très complet de chartes, processus et contrôles techniques pour gérer et superviser la configuration et les clés SSH. Il est donc important de sensibiliser à l’importance de sécuriser et de protéger ces clés SSH. Première action décisive que doivent engager les entreprises : maîtriser les clés dont elles ont l’usage – non seulement au niveau des systèmes et des logiciels installés, mais aussi des appliances réseau employées.

Le NIST(2) (National Institute of Standards and Technology) a publié récemment une nouvelle publication, « Security of Interactive and Automated Access Management using Secure Shell (SSH) » qui analyse plusieurs aspects décisifs du protocole SSH, notamment ses technologies sous-jacentes, vulnérabilités inhérentes ainsi que les meilleures pratiques appliquées à la gestion de clés SSH tout au long de leur cycle de vie. Ce rapport(3) sensibilise aux principales vulnérabilités associées à la gestion des clés SSH et de présenter des mesures concrètes pour sécuriser et protéger les systèmes et environnements SSH.

Parmi les quelques compromissions SSH notables ces dernières années figurent celles ci-après :
En 2014, Kaspersky Labs a mis au jour une cybermenace baptisée The Mask (ou Careto) qui a sévi sept années durant lesquelles un groupe criminel organisé en Espagne a multiplié les techniques pour mener des attaques de type APT visant à dérober des données à des administrations et des entreprises. Ce groupe s’emparait de clés SSH servant à l’authentification d’administrateurs, de serveurs, de machines virtuelles et de services cloud.

En juin 2015, Cisco a annoncé qu’une clé SSH autorisée par défaut était déployée sur trois de ses appliances de sécurité, exposant ainsi ses clients au risque de voir un pirate distant non authentifié intercepter du trafic ou accéder à des systèmes vulnérables au moyen de privilèges root.

La publication du NIST expose plusieurs vulnérabilités SSH courantes au sein des entreprises, à savoir :
– Implémentation SSH vulnérable
– Contrôles d’accès mal configurés
– Vol, fuite, détournement et non révocation de clés SSH
– Portes dérobées (clés utilisateurs non contrôlées)
– Utilisation indésirable des clés utilisateurs
– Rotation
– Déficit de connaissances et erreurs humaines

Le NIST recommande plusieurs mesures pour gérer les clés SSH, à savoir :

– Définir des principes et pratiques applicables au cycle de vie et à la révocation de clés SSH. La configuration de l’accès à un compte dans l’optique de faciliter les échanges avec les utilisateurs et d’automatiser les processus doit être une décision mûrement réfléchie, conciliant au mieux impératifs d’accessibilité et risques, qui doit tenir compte du niveau d’accès requis.
– Instaurer des procédures de contrôle et de surveillance continue. La surveillance continue a pour objet de faire en sorte que les procédures d’allocation, de gestion du cycle de vie et de révocation soient observées et appliquées. Des clés SSH non autorisées et mal configurées seront détectées.
– Inventorier les serveurs et clés SSH ainsi que les relations de confiance, et remédier aux problèmes éventuels. Les clés existantes au format propriétaire posent un réel problème de sécurité et compliquent l’analyse des risques si elles ne sont pas maîtrisées. L’emplacement de toutes les clés SSH existantes doit être inventorié, au même titre que les relations de confiance, qu’il convient d’évaluer à l’aune de politiques bien définies.
– Automatiser les processus. L’automatisation des processus relevant de la gestion des accès à partir de clés SSH est de nature à améliorer considérablement la sécurité, l’efficacité et la disponibilité.
– Sensibiliser la direction. Nombre de hauts responsables ne sont conscients ni du rôle central joué par les clés SSH dans le mode opératoire d’une infrastructure stratégique, ni des failles importantes susceptibles d’apparaître si celles-ci sont détournées. Sans formation suffisante des responsables opérationnels et chargés de sécurité, les initiatives de gestion des clés SSH risquent d’être évincées par des priorités de degré plus élevé, rendant ainsi l’entreprise plus vulnérable.

1 : Enquête 2015 Cost of Failed Trust Report publiée en mars dernier par Ponemon Institute et Venafi.
2 : Fondé en 1901, le NIST est une agence fédérale non réglementaire qui relève de l’administration de la technologie du département du Commerce des États-Unis.
3 : Co-signé par Venafi.

Vulnérabilité de la porte de garage: le code radio de milliers de télécommandes a été piraté

Des moyens parfois simples permettent aux cambrioleurs de gagner un accès inaperçu aux garages et aux immeubles d’habitation. La Police préconise une vérification des télécommandes et un remplacement des appareils peu sûrs le plus rapidement possible.

Avec les jours qui commencent à raccourcir, le nombre de cambriolages augmente rapidement. De plus en plus souvent, les cambrioleurs profitent d’une faille de sécurité jusque-là sous-estimée. Le signal d’ouverture de nombreuses télécommandes de portes de garage peut être intercepté dans un rayon de 100 mètres de l’émetteur [lire]. Quiconque connaît l’astuce peut très facilement utiliser une télécommande clonée pour ouvrir la porte du garage et entrer dans la maison. Cette méthode fonctionne surtout sur des systèmes plus anciens, équipé d’un code dit KeeLoq Rolling. Certes, le cryptage de ces émetteurs change certes à chaque fois, pas de manière arbitraire, mais bien prévisible. Selon la police, cette méthode a été décryptée il y a déjà plusieurs années. Différents codes de fabricant sont maintenant proposés par les pirates sur des sites Internet pertinents.

Par conséquent, la police préconise aux propriétaires de vérifier si leur télécommande est concernée par ce problème. Le cas échéant, le système devra être remplacé. Des alternatives sûres existent pour cela. Chamberlain, le leader mondial des automatismes de portail, a développé déjà en 2000 sa propre technologie de commande et de cryptage. Depuis 2013, toutes les unités sont équipées de systèmes de cryptage brevetés qui vont bien au-delà du niveau des modèles habituels commercialisés. Une adaptation ultérieure d’anciens systèmes de commande vers un modèle à haute fréquence n’est pas possible en règle générale. En cas de doute, il faut procéder à un remplacement du moteur y compris le récepteur et la télécommande. Des moteurs de porte de garage à haute sécurité sont disponibles pour moins de 200 euros. Au vu d’un éventuel scénario de dommages, cet investissement est tout à fait raisonnable. En outre, grâce au moteur bloquant l’ouverture, les portes de garage motorisées contribuent généralement à une protection optimale contre les cambriolages.

En juin 2015, DataSecurityBreach.fr vous expliquait comment un jouet Mattel, légèrement modifié, permettait de pirater et ouvrir des portes de garages !

Faille pour OS X et iOS

Les chercheurs en sécurité de Kaspersky Lab ont découvert une vulnérabilité au cœur de « Darwin », un élément open source issu des deux systèmes d’exploitation OS X et iOS. Cette faille, dénommée « Darwin Nuke », expose les ordinateurs sous OS X 10.10 et mobiles sous iOS 8 à des attaques par déni de service (DoS) déclenchées à distance, capables d’endommager les appareils et d’impacter les réseaux d’entreprise auquel ceux-ci seraient connectés. Les experts appellent donc les utilisateurs à installer les mises à jour OS X 10.10.3 et iOS 8.3, qui ne présentent plus cette vulnérabilité.

L’analyse de la vulnérabilité par Kaspersky Lab révèle que les mobiles menacés concernent ceux qui sont dotés de processeurs 64 bits et d’iOS 8, à savoir les iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad Air 2, iPad mini 2 et iPad mini 3.

La vulnérabilité « Darwin Nuke » est exploitée lors du traitement d’un paquet IP d’une taille donnée et comportant des paramètres IP incorrects. Des pirates peuvent déclencher à distance une attaque DoS sur un système OS X 10.10 ou iOS 8, en envoyant à la cible un paquet réseau incorrect dont le traitement va faire « planter » le système. Les chercheurs de Kaspersky Lab ont découvert que le problème ne se produit que si le paquet IP remplit les conditions suivantes :

  • longueur de l’en-tête IP égale à 60 octets ;
  • taille des informations IP utiles inférieure ou égale à 65 octets ;
  • paramètres IP incorrects (longueur, classe, etc.).

« À première vue, il est très difficile d’exploiter cette faille car les conditions à remplir ne sont pas banales. Cependant des cybercriminels persévérants peuvent réussir à paralyser des équipements, voire à perturber l’activité de réseaux d’entreprise. Les routeurs et les pare-feux suppriment généralement les paquets incorrects en termes de taille mais nous avons découvert plusieurs combinaisons de paramètres IP incorrects qui permettent de franchir les routeurs Internet. Nous conseillons à tous les utilisateurs d’OS X 10.10 et iOS 8 d’installer les mises à jour OS X 10.10.3 et iOS 8.3 », commente à DataSecurityBreach.fr Anton Ivanov, analyste senior en malware chez Kaspersky Lab.

Les produits de Kaspersky Lab protègent OS X contre la vulnérabilité « Darwin Nuke » grâce à la fonction Network Attack Blocker. A commencer par Kaspersky Internet Security for Mac 15.0, qui détecte cette menace sous le nom DoS.OSX.Yosemite.ICMP.Error.exploit.

Conseils pour renforcer la sécurité des ordinateurs Mac :

  1. Utiliser un navigateur web réputé pour résoudre rapidement les problèmes de sécurité.
  2. Exécuter « Mise à jour de logiciels » et installer sans délai les mises à jour disponibles.
  3. Utiliser un gestionnaire de mots de passe pour parer plus facilement aux attaques de phishing.
  4. Installer une solution de sécurité performante.