Alerte : le logiciel publicitaire HotPage déguisé en bloqueur de publicités installe un pilote de noyau malveillant - Actus du 18/07/2024
Microsoft résout un bug empêchant Windows 11 Photos de démarrer, tandis qu'un logiciel publicitaire HotPage se déguise en bloqueur d'annonces pour installer un pilote de noyau malveillant. De plus, un bug critique sur Cisco permet aux pirates de créer des utilisateurs root sur les appareils SEG....
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft corrige un bug bloquant le démarrage de Windows 11 Photos
Microsoft a corrigé un bug empêchant l'application Photos de Windows 11 de démarrer sur certains systèmes Windows 11 22H2 et 23H2. Ce problème survenait après la mise à jour de l'application Photos vers la version 2024.11050.29009.0 et plus, via le Windows Store après le 4 juin 2024. La société a identifié que ce bug affectait les appareils avec certaines configurations spécifiques, mais les utilisateurs domestiques sont moins susceptibles d'être impactés. La correction a été apportée avec la version 2024.11070.15005.0 de l'application Photos, disponible depuis le 17 juillet 2024. Les utilisateurs affectés peuvent télécharger manuellement la dernière version de l'application Photos depuis le Microsoft Store. Microsoft a également partagé une solution temporaire pour les clients qui ne peuvent pas mettre à jour l'application via le Store. D'autres problèmes ont également été résolus récemment par Microsoft, notamment des problèmes de mise à jour sur Windows 11 et des dysfonctionnements sur Windows Server 2022.
Sources :
Alerte : le logiciel publicitaire HotPage déguisé en bloqueur de publicités installe un pilote de noyau malveillant
Des chercheurs en cybersécurité ont découvert un module d'adware nommé HotPage qui prétend bloquer les publicités et les sites malveillants, tout en permettant aux attaquants d'exécuter du code arbitraire avec des permissions élevées sur les hôtes Windows. Ce malware utilise un pilote de noyau pour injecter du code dans des processus distants et intercepter le trafic réseau des navigateurs. Il est conçu pour afficher des publicités liées aux jeux et exfiltrer des informations système vers un serveur chinois. Le pilote, signé par Microsoft, permet à des acteurs malveillants de s'élever en privilèges et d'exécuter du code au niveau le plus élevé du système. Malgré les exigences de signature numérique de Microsoft, des acteurs de menace chinois ont exploité une faille pour falsifier des signatures de pilotes de mode noyau. Ce cas souligne la persistance des développeurs d'adware à contourner les mesures de sécurité pour atteindre leurs objectifs.
Sources :
Un bug critique de Cisco permet aux pirates d'ajouter des utilisateurs root sur les appareils SEG
Un bug critique de Cisco permet aux hackers d'ajouter des utilisateurs root sur les appareils SEG Cisco a corrigé une vulnérabilité de gravité critique qui permet aux attaquants d'ajouter de nouveaux utilisateurs avec des privilèges root et de planter de manière permanente les appareils Security Email Gateway (SEG) en utilisant des emails avec des pièces jointes malveillantes. Identifié sous le nom CVE-2024-20401, ce défaut de sécurité d'écriture de fichier arbitraire dans les fonctionnalités de balayage de contenu et de filtrage de messages SEG est causé par une faiblesse de traversée de chemin absolu qui permet de remplacer n'importe quel fichier sur le système d'exploitation sous-jacent. La correction de cette vulnérabilité est incluse par défaut dans les versions mises à jour de Cisco AsyncOS pour les versions logicielles Cisco Secure Email 15.5.1-055 et ultérieures. Cisco recommande aux administrateurs de mettre à jour les appareils vulnérables pour les protéger contre les attaques.
Sources :
Webinaire sur la sécurité des applications : comment transformer les développeurs en champions de la sécurité
Cet article met en lumière le fossé entre la sécurité des applications et les développeurs, proposant les programmes de Security Champion comme solution. Un webinaire gratuit, "Turn Developers into Allies: The Power of Security Champion Programs", présente des stratégies pour transformer les développeurs en défenseurs de la sécurité. Les sujets abordés incluent le renforcement de la collaboration, la communication efficace, la création d'une culture de champions et la mesure de l'impact des Security Champions. Les intervenants experts sont Chris Lindsey, Bonnie Viteri et Anthony Israel-Davis. Participer à ce webinaire est le premier pas vers un environnement de développement plus sécurisé, collaboratif et innovant. Inscrivez-vous dès maintenant pour réserver votre place!
Sources :
Microsoft : Windows 11 23H2 désormais disponible pour tous les appareils éligibles
Microsoft a annoncé que la mise à jour Windows 11 23H2 est désormais disponible pour tous les appareils éligibles. Cette version, également connue sous le nom de Windows 11 2023 Update, est proposée à tous les utilisateurs qui vérifient les mises à jour. Elle apporte de nouvelles fonctionnalités telles qu'un assistant numérique alimenté par l'IA, une refonte de l'Explorateur de fichiers, un support de l'éclairage dynamique, un nouveau mixeur de volume amélioré, une expérience Windows Spotlight repensée, un nouveau rapport énergétique détaillé, et bien d'autres améliorations. Les utilisateurs peuvent vérifier l'éligibilité de leur appareil en utilisant l'application PC Health Check ou en consultant les spécifications, fonctionnalités et exigences système de Windows 11. Microsoft propose également un document d'assistance et un guide pour aider les clients à résoudre tout problème rencontré lors de la mise à niveau.
Sources :
Les menaces automatisées présentent un risque croissant pour l’industrie du voyage
L'industrie du voyage, en pleine reprise post-pandémie, est de plus en plus visée par des menaces automatisées, représentant près de 21% de toutes les demandes d'attaques de bots l'année dernière. Les bots ciblent le secteur à travers le raclage non autorisé, la prise de contrôle de compte et la fraude, pouvant entraîner des pertes de revenus, une baisse de confiance des clients et des dommages à la réputation des entreprises. Les compagnies aériennes sont particulièrement visées par le raclage, faussant les métriques commerciales et entraînant une augmentation des coûts API. Les cybercriminels ciblent cette industrie pour les informations personnelles précieuses, les méthodes de paiement stockées et les points de fidélité, facilitant le vol d'identité et la fraude. Imperva recommande une stratégie de sécurité complète, incluant l'analyse du comportement des utilisateurs, la restriction des accès depuis les centres de données IP en vrac et la détection des signes d'automatisation. La surveillance régulière des anomalies de trafic et l'analyse des sources de trafic suspectes sont essentielles pour identifier l'activité des bots malveillants.
Sources :
Sécuriser son identité numérique : comment protéger un numéro de téléphone ?
Les numéros de téléphone sont essentiels pour l'identification, mais peuvent être détournés pour accéder à des informations sensibles. En cas de perte ou de vol de téléphone, contacter l'opérateur pour bloquer la carte SIM est crucial. Les escroqueries à la portabilité peuvent compromettre la sécurité en usurpant des identités via des techniques de phishing et de vishing. Il est important de vérifier toute activité suspecte et de contacter directement l'opérateur en cas de doute. La période de transition vers une nouvelle ligne est critique pour dissocier l'ancien numéro des comptes et minimiser les risques.
Sources :
Les vulnérabilités de SAP AI Core exposent les données clients à des cyberattaques
Des chercheurs en cybersécurité ont découvert des failles de sécurité dans la plateforme cloud SAP AI Core, permettant de compromettre des jetons d'accès et des données clients. Ces cinq vulnérabilités, regroupées sous le nom de SAPwned par la société de sécurité Wiz, ont été corrigées par SAP après une divulgation responsable le 25 janvier 2024. Les failles ont permis un accès non autorisé aux artefacts privés des clients et aux identifiants des environnements cloud tels qu'AWS, Azure et SAP HANA Cloud. Les attaquants pouvaient obtenir des privilèges d'administrateur de cluster Kubernetes sur SAP AI Core et accéder aux données sensibles des clients. Ces problèmes sont dus à des mécanismes d'isolation insuffisants dans la plateforme, soulignant l'importance de renforcer la sécurité des environnements AI. Par ailleurs, l'utilisation croissante de l'IA générative en entreprise a conduit à des mesures de sécurité renforcées pour contrer les menaces, notamment celles du groupe de cybercriminels NullBulge ciblant les entités liées à l'IA et aux jeux vidéo.
Sources :
TAG-100 : un nouvel acteur menaçant utilise des outils open source pour des attaques généralisées
Des acteurs de menace inconnus ont été observés utilisant des outils open source dans le cadre d'une campagne de cyberespionnage visant des organisations gouvernementales et du secteur privé à l'échelle mondiale. Le groupe TAG-100 a compromis des organisations dans au moins dix pays à travers le monde, utilisant des backdoors open source pour l'accès à distance et l'exploitation post-intrusion. Les attaques ciblent des vulnérabilités connues affectant divers produits Internet, avec une reconnaissance étendue visant des appareils Internet appartenant à des organisations dans au moins quinze pays. L'utilisation de PoC exploits combinés à des programmes open source permet aux acteurs de menace de compliquer l'attribution et d'éviter la détection. L'accent sur les appareils Internet offre une empreinte dans le réseau ciblé avec moins de visibilité et de support pour les solutions de sécurité traditionnelles, réduisant le risque de détection post-intrusion.
Sources :
Infoblox dévoile le monde caché des RDGA, avec la mascarade à un million de dollars de Revolver Rabbit
L'étude de la Threat Intelligence d'Infoblox met en lumière l'utilisation croissante des algorithmes de génération de domaines enregistrés (RDGA) par les acteurs malveillants. Contrairement aux DGA traditionnels, les RDGA enregistrent systématiquement tous les domaines générés, permettant de développer rapidement des opérations malveillantes tout en échappant à la détection. Infoblox a développé des algorithmes pour détecter et suivre les RDGA, révélant une augmentation de leur utilisation ces dernières années. L'étude met en avant l'exemple de Revolver Rabbit, un acteur malveillant enregistrant des centaines de milliers de domaines pour des activités malveillantes lucratives. Les RDGA représentent une menace redoutable et sous-estimée, facilitant l'extension des opérations de spam, de logiciels malveillants et d'escroquerie. Cette recherche vise à sensibiliser à cette tendance croissante et à souligner l'importance de comprendre les RDGA dans l'arsenal des cybercriminels.
Sources :
Des hackers font fuiter des millions de données d’un célèbre logiciel de contrôle parental
Des hackers ont divulgué une base de données de mSpy contenant des données de millions d'utilisateurs et de personnes espionnées. Les fichiers ont été partagés en ligne en juillet 2024, mais circulaient déjà depuis mai. mSpy, une application américaine désormais détenue par Brainstack en Ukraine, est utilisée pour le contrôle parental mais aussi à des fins malveillantes. Des données sensibles comme des adresses e-mail, des photos privées et des informations personnelles ont été exposées. La société était au courant des abus de son logiciel. Les pirates ont compromis des comptes Zendesk pour accéder aux données de Brainstack. Les clients de mSpy sont mondiaux. En France, l'utilisation secrète d'un logiciel de contrôle parental est légale mais peut être punie s'il y a atteinte à la vie privée. Certains demandent la suppression de mSpy après avoir découvert qu'ils étaient surveillés. La fuite expose autant les victimes que les espions.
Sources :
Votre iPhone ou smartphone Android résisterait-il à une attaque des meilleurs hackers ?
L'entreprise israélienne Cellebrite excelle dans le déverrouillage des smartphones, soulevant des enjeux de sécurité pour les marques telles qu'Apple, Samsung et Google. Ces entreprises rivalisent pour corriger les failles exploitées par Cellebrite et ses concurrents. Cependant, la méthodologie et les capacités réelles de ces entreprises restent secrètes. Cellebrite peut déverrouiller la plupart des smartphones Android par force brute, mais rencontre des difficultés avec les derniers modèles d'iPhone et d'iOS. Pour une sécurité maximale, il est recommandé d'opter pour un iPhone récent et de le maintenir à jour. Les marques prioritaires en termes de sécurité pour les smartphones Android sont Google et Samsung. En conclusion, bien que le risque d'être ciblé par Cellebrite soit faible, il est essentiel de choisir des appareils sécurisés et de les mettre à jour régulièrement pour protéger ses données.
Sources :
Piratage massif chez Disney : le jeu vidéo face à une nouvelle menace en 2024
Une série de fuites de données dans l'industrie du jeu vidéo, y compris des informations sur des collaborations secrètes et des projets à venir, soulève des inquiétudes sur la sécurité des données. Les grandes entreprises du secteur, telles que Disney, Epic Games et Rockstar Games, ont été touchées, mettant en lumière leur vulnérabilité face aux cyberattaques. Les réactions des joueurs sont partagées entre excitation et déception, tandis que certains experts appellent à plus de transparence pour contrer les fuites. Les petits studios indépendants sont également menacés, ce qui pourrait accentuer les disparités dans l'industrie. La bataille entre pirates et studios continue, laissant planer une incertitude sur l'avenir de la confidentialité dans le développement des jeux vidéo. Les législateurs et les acteurs de l'industrie devront trouver un équilibre entre protection des droits des créateurs et liberté d'information pour contrer cette menace persistante.
Sources :
Meta arrête l'utilisation de l'IA au Brésil suite à l'interdiction de l'autorité de protection des données
Meta a suspendu l'utilisation de l'intelligence artificielle générative (GenAI) au Brésil après qu'une autorité de protection des données du pays a émis une interdiction préliminaire en raison de sa nouvelle politique de confidentialité. L'ANPD a stoppé la politique de confidentialité de Meta qui accordait à l'entreprise l'accès aux données personnelles des utilisateurs pour former ses systèmes GenAI. Meta a suspendu les outils en attendant de résoudre les préoccupations de l'ANPD. Cette décision a entraîné des amendes quotidiennes en cas de non-conformité. D'autres géants technologiques américains ont également dû suspendre le déploiement de leurs outils dans des régions avec des lois plus strictes en matière de protection des données. Apple a déclaré qu'il ne déploierait pas son nouveau système d'intelligence artificielle en Europe cette année en raison des préoccupations réglementaires liées au Digital Markets Act.
Sources :
Cisco met en garde contre une faille critique affectant le gestionnaire de logiciels intelligent sur site
Cisco a publié des correctifs pour une faille de sécurité de gravité maximale affectant Smart Software Manager On-Prem (Cisco SSM On-Prem) qui pourrait permettre à un attaquant distant et non authentifié de changer le mot de passe de n'importe quel utilisateur, y compris les utilisateurs administratifs. La vulnérabilité, identifiée sous le nom CVE-2024-20419, a un score CVSS de 10.0. Cisco a également corrigé une autre vulnérabilité critique dans Secure Email Gateway (CVE-2024-20401, score CVSS : 9.8) qui permet aux attaquants d'ajouter de nouveaux utilisateurs avec des privilèges root et de provoquer un crash permanent des appareils en utilisant des e-mails avec des pièces jointes malveillantes. En parallèle, l'agence américaine CISA a ajouté trois vulnérabilités à son catalogue de vulnérabilités exploitées connues, notamment des failles dans Adobe Commerce, SolarWinds Serv-U et VMware vCenter Server. Les agences fédérales doivent appliquer des mesures d'atténuation conformément aux instructions des fournisseurs d'ici le 7 août 2024 pour sécuriser leurs réseaux contre les menaces actives.
Sources :
Des pirates informatiques notoires de FIN7 vendent le tueur EDR à d'autres acteurs malveillants
Le groupe de piratage notoire FIN7 vend un outil nommé "AvNeutralizer" aux autres acteurs de la menace pour éviter la détection en désactivant les logiciels de protection des terminaux d'entreprise sur les réseaux corporatifs. FIN7, un groupe de piratage russe actif depuis 2013, est connu pour ses attaques sophistiquées de phishing et d'ingénierie. Ils ont également créé une fausse entreprise de sécurité pour recruter des pentesters et des développeurs pour des attaques de ransomware sans que les candidats ne sachent comment leur travail était utilisé. FIN7 a été lié à diverses opérations de ransomware telles que DarkSide, BlackMatter et BlackCat. Ils vendent des outils comme "AvNeutralizer" à d'autres hackers, ce qui constitue une menace significative pour les entreprises du monde entier.
Sources :
Travail à distance, risques à distance : stratégies pour sécuriser votre main-d'œuvre distribuée
Les cyberattaques visant les employés en télétravail soulignent les défis croissants en matière de sécurité. Le télétravail offre des avantages tels que la flexibilité et la productivité accrues, mais expose les entreprises à des risques de sécurité. Les faiblesses telles que le chiffrement insuffisant ou les réseaux non sécurisés peuvent entraîner des violations de données. Des politiques claires, une formation efficace et des mesures de sécurité telles que l'authentification multi-facteurs sont essentielles. Un plan de sauvegarde des données et des réunions régulières aident à maintenir la connexion et la collaboration. Encourager la communication ouverte et la dénonciation des activités suspectes crée un environnement sécurisé. Prioriser la sécurité des travailleurs distants est crucial pour protéger les données et assurer le succès du télétravail.
Sources :
Exchange Online ajoute Inbound DANE avec DNSSEC pour renforcer la sécurité
Microsoft déploie une nouvelle fonctionnalité en prévisualisation publique pour Exchange Online : l'ajout de DANE entrant avec DNSSEC pour renforcer la sécurité des e-mails. Cette combinaison de protocoles vise à protéger contre les attaques de rétrogradation et de l'homme du milieu. Le protocole de sécurité SMTP DANE utilise un enregistrement DNS TLS Authentication (TLSA) pour vérifier l'identité des serveurs de messagerie de destination et l'authenticité des certificats utilisés pour sécuriser les communications par e-mail. Cette initiative vise à protéger les domaines de messagerie contre l'usurpation, à garantir la livraison des messages aux destinataires prévus de manière sécurisée et à améliorer la réputation des e-mails en se conformant aux normes de sécurité les plus récentes. La mise en œuvre complète est prévue pour fin 2024, avec une disponibilité générale en octobre 2024. Microsoft offre cette fonctionnalité gratuitement aux clients professionnels et domestiques, et encourage d'autres fournisseurs de messagerie et propriétaires de domaines à adopter ces normes pour renforcer la sécurité des e-mails.
Sources :
Les pirates nord-coréens mettent à jour le logiciel malveillant BeaverTail pour cibler les utilisateurs de MacOS
Des chercheurs en cybersécurité ont découvert une nouvelle variante d'un malware voleur utilisé par des attaquants affiliés à la Corée du Nord, visant les demandeurs d'emploi. Le fichier DMG "MiroTalk.dmg" se fait passer pour un service de visioconférence légitime, mais en réalité, il livre le malware BeaverTail. Ce dernier vole des informations sensibles et peut télécharger d'autres charges utiles telles qu'InvisibleFerret, un backdoor Python. Les hackers nord-coréens ont probablement incité leurs victimes potentielles à télécharger et exécuter le fichier infecté. Une nouvelle attaque malveillante a été découverte, impliquant un package npm suspecté d'être lié au groupe Lazarus de Corée du Nord. Cette activité, comprenant plus de trois douzaines de packages malveillants, est en cours depuis septembre 2023. Des avertissements ont également été émis concernant des attaques cybernétiques orchestrées par l'acteur Kimsuky de la Corée du Nord, ciblant des organisations japonaises.
Sources :
Un bug de Cisco SSM On-Prem permet aux pirates de modifier le mot de passe de n'importe quel utilisateur
Cisco a corrigé une vulnérabilité de gravité maximale dans Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) qui permettait aux attaquants de changer le mot de passe de n'importe quel utilisateur, y compris les administrateurs. La faille affecte également les installations antérieures à la version 7.0, connue sous le nom de Cisco Smart Software Manager Satellite (SSM Satellite). Identifié sous le CVE-2024-20419, ce défaut de sécurité critique est dû à une faiblesse dans le système d'authentification de SSM On-Prem. Les attaquants distants non authentifiés peuvent ainsi définir de nouveaux mots de passe sans connaître les identifiants d'origine. Cisco recommande aux administrateurs de mettre à jour vers une version corrigée pour sécuriser leurs serveurs vulnérables, aucune solution de contournement n'étant disponible. Aucune preuve publique d'exploitation de cette vulnérabilité n'a été trouvée à ce jour par l'équipe de réponse aux incidents de sécurité des produits de Cisco.
Sources :
Plus de 400 000 numéros de téléphone d'utilisateurs Life360 divulgués via une API non sécurisée
Une base de données contenant les informations personnelles de 442 519 clients de Life360 a été divulguée par un acteur de menace utilisant une faille dans l'API de connexion. L'acteur, connu sous le pseudonyme 'emo', a exploité un endpoint non sécurisé pour obtenir les adresses e-mail, noms et numéros de téléphone des utilisateurs. Life360 a depuis corrigé la faille, mais l'acteur a également divulgué plus de 15 millions d'adresses e-mail associées à des comptes Trello. De plus, des informations sensibles ont été volées à Tile, une plateforme de support client, mais ne comprenaient pas de données plus sensibles telles que les numéros de carte de crédit ou les mots de passe. Life360 n'a pas encore révélé l'ampleur de l'incident de Tile ni le nombre de clients impactés.
