Attention à la faille zero-day qui affecte les navigateurs Web - Actus du 14/08/2024
Découvrez la nouvelle menace « 0.0.0.0 Day » pour vos navigateurs, l'extradition d'un cybercriminel biélorusse-ukrainien vers les États-Unis, et nos conseils pour renforcer la sécurité de vos mots de passe grâce à EASM. Protégez-vous contre les cyberattaques dès aujourd'hui !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Attention à la faille zero-day « 0.0.0.0 Day » qui affecte les navigateurs Web
Des chercheurs ont récemment découvert une nouvelle vulnérabilité, appelée « 0.0.0.0 Day », qui affecte tous les principaux navigateurs web, notamment Chrome, Firefox et Safari. Cette faille permet à un attaquant de contourner les mesures de sécurité des navigateurs et d'accéder aux services réseau internes d'une organisation, facilitant ainsi des attaques par exécution de code à distance. La vulnérabilité a été mise en lumière lors de l'analyse de campagnes malveillantes, telles que ShadowRay et SeleniumGreed, qui exploitaient des failles dans des frameworks d'IA et de tests d'applications web. Les chercheurs ont découvert que cette vulnérabilité, qui permet l'accès à l'adresse IPv4 0.0.0.0, existe depuis près de deux décennies, sans avoir été corrigée. Bien que Google Chrome ait mis en place des mesures de sécurité, l'adresse 0.0.0.0 reste accessible. Les systèmes Windows ne sont pas affectés, mais les systèmes macOS et Linux le sont. En attendant un correctif, les chercheurs recommandent aux développeurs d'appliquer des mesures de mitigation, telles que l'utilisation de headers PNA, HTTPS, et la vérification des headers HOST pour prévenir les attaques.
Sources :
Un pirate informatique biélorusse-ukrainien extradé vers les États-Unis pour des accusations de ransomware et de cybercriminalité
Une coalition d'agences de la loi, coordonnée par la National Crime Agency (NCA) du Royaume-Uni, a conduit à l'arrestation et à l'extradition de Maksim Silnikau, un bi-national biélorusse et ukrainien, soupçonné d'être lié à des groupes de cybercriminalité russophones. Extradé vers les États-Unis depuis la Pologne le 9 août 2024, Silnikau, connu sous les pseudonymes J.P. Morgan et lansky, fait face à des accusations de piratage informatique et de fraude. Selon la NCA, lui et ses complices ont développé des ransomwares comme Reveton et Ransom Cartel, extorquant environ 400 000 dollars par mois entre 2012 et 2014. Ils ont également utilisé le kit d'exploitation Angler pour diffuser des contenus malveillants, ciblant des millions d'internautes. Le FBI a déclaré que Silnikau et ses co-conspirateurs ont utilisé des techniques de malvertising pour tromper des utilisateurs et compromettre des dispositifs. Avant son extradition, il a été arrêté en Espagne en juillet 2023. La NCA a souligné que ces criminels ont innové dans les modèles de ransomware-as-a-service, facilitant l'implication d'autres dans la cybercriminalité.
Sources :
Comment améliorer la sécurité de vos mots de passe avec EASM
La sécurité des mots de passe traditionnels ne suffit plus, et il est crucial de sécuriser votre Active Directory avant d'investir dans des systèmes d'alarme sophistiqués. Une fois les bases établies, l'intégration de la gestion de la surface d'attaque externe (EASM) peut renforcer considérablement la sécurité des mots de passe. Les administrateurs IT doivent dépasser les normes minimales de politique de mot de passe et utiliser des outils EASM pour détecter les vulnérabilités, examiner les configurations et prioriser les risques selon leur gravité. Ce suivi continu permet de maintenir une infrastructure numérique sécurisée. L'EASM surveille proactivement les identifiants compromis, envoie des alertes en temps réel et aide à comprendre les fuites de données. En détectant les mots de passe faibles et non chiffrés, l'EASM offre des recommandations pour prévenir les violations futures. En intégrant ces solutions à votre stratégie de sécurité des mots de passe, vous pouvez surveiller les fuites d'identifiants, identifier les utilisateurs à risque et leur fournir une formation adéquate. En adoptant ces stratégies EASM, les organisations peuvent renforcer leurs défenses et protéger leurs informations sensibles dans un paysage numérique de plus en plus vulnérable.
Sources :
Arrestation et extradition du boss de groupes de cybercriminalité prolifiques
Une opération internationale dirigée par la National Crime Agency (NCA) a abouti à l'arrestation et à l'extradition d'un cybercriminel russophone, connu sous le nom de Morgan, soupçonné d'être l'un des plus prolifiques dans le domaine. Morgan, actif depuis 2011, a introduit le ransomware Reveton, le premier modèle de ransomware en tant que service (RaaS), permettant d'extorquer environ 400 000 dollars par mois entre 2012 et 2014. Il a également développé le célèbre Angler Exploit Kit, qui a représenté 40 % des infections par kits d'exploitation, ciblant environ 100 000 appareils et générant un chiffre d'affaires annuel de 34 millions de dollars. Le réseau de Morgan, qui opérait sous divers noms, avait des bureaux à Kiev et des activités au Portugal. Les cybercriminels utilisaient des campagnes de « malvertising » pour distribuer des logiciels malveillants, notamment le ransomware CryptXXX, qui prenait en otage les données des victimes. Les enquêtes ont également révélé des liens entre Morgan et le groupe criminel Lurk, connu pour ses exploits et son cheval de Troie bancaire. Les attaques ont causé des pertes financières significatives, notamment pour des agences de publicité.
Sources :
- https://www.zataz.com/arrestation-et-extradition-du-boss-de-groupes-de-cybercriminalite-prolifiques/
Le patch du mardi d'août de Microsoft a corrigé 10 vulnérabilités zero-day
En août 2024, Microsoft a publié une mise à jour de sécurité majeure lors de son Patch Tuesday, incluant 10 correctifs pour des vulnérabilités zero-day. Ce lot de mises à jour a également corrigé 9 vulnérabilités de gravité critique, totalisant 94 bugs résolus. Parmi les 10 vulnérabilités zero-day, 6 ont été exploitées avant leur divulgation publique. Les plus préoccupantes incluent des failles d'exécution de code à distance dans Microsoft Project et le service Windows Line Printer Daemon, ainsi que des vulnérabilités d'escalade de privilèges dans le noyau Windows et le Scripting Engine. Quatre autres vulnérabilités, bien que non exploitées, ont été rendues publiques avant leur correction. En plus des zero-days, Microsoft a traité 9 vulnérabilités critiques, 74 problèmes de gravité importante, incluant des vulnérabilités de déni de service et d'exécution de code à distance. Bien que le nombre total de correctifs soit inférieur à celui de juillet, l'importance des vulnérabilités traitées en fait une mise à jour cruciale. Les utilisateurs sont fortement encouragés à mettre à jour leurs systèmes immédiatement pour se protéger contre ces menaces.
Sources :
Proton VPN rend gratuite son extension de navigateur
Proton VPN a annoncé le 14 août 2023 que son extension de navigateur, initialement payante, devient gratuite. Disponible sur Chrome, Firefox et d'autres navigateurs basés sur Chromium, cette fonctionnalité, lancée en bêta en mars 2023, vise à faciliter l'accès à un VPN sans nécessiter d'installation d'application sur les systèmes d'exploitation. Proton justifie cette décision par l'augmentation des coupures d'internet et la demande croissante pour des outils de protection de la vie privée. L'extension permet une connexion sécurisée au VPN, des performances optimales pour le streaming et le jeu, ainsi qu'un accès à divers serveurs à travers le monde. Bien que Proton propose une version gratuite, elle est limitée à une seule connexion et à une vitesse moyenne. Les forfaits payants, Proton VPN Plus et Unlimited, offrent des avantages significatifs, comme plusieurs connexions simultanées et un accès à des services de streaming populaires. Cette évolution s'inscrit dans une volonté de rendre la protection de la vie privée plus accessible, notamment dans les pays où les applications VPN sont bloquées. Proton VPN continue d'évoluer pour répondre aux besoins croissants des utilisateurs en matière de sécurité en ligne.
Sources :
Fraude bancaire : ça explose en France
La fraude bancaire connaît une forte augmentation en France, qui se classe désormais au premier rang européen avec environ 3 millions de transactions frauduleuses par an, représentant près de 42 % des fraudes dans l'Espace économique européen. Au premier semestre 2023, 3 047 131 fraudes ont été enregistrées, un chiffre alarmant comparé à l'Espagne et l'Allemagne, qui affichent respectivement 1,1 million et 638 036 fraudes. Cette situation est attribuée à l'utilisation généralisée de la carte bancaire pour diverses transactions, y compris en ligne, ce qui accroît les risques d'exposition. Les types de fraudes sont variés, incluant des escroqueries sur les réseaux sociaux et le phishing. En moyenne, chaque victime perd environ 69 € par transaction, et les démarches pour récupérer des fonds peuvent être longues et stressantes. Face à cette montée de la fraude, les banques et régulateurs ont renforcé les mesures de sécurité, bien que des préoccupations demeurent, notamment concernant la prolifération de faux sites liés aux JO de Paris 2024. Cette situation soulève des inquiétudes quant à la sous-estimation de la fraude dans d'autres pays européens.
Sources :
NordVPN pense déjà à la rentrée, avec cette nouvelle offre en promo + trois mois offerts
NordVPN propose actuellement des réductions attractives sur ses abonnements. L’offre la plus populaire, l’abonnement Basique de deux ans, est à 3,09 € par mois, soit 83,43 € pour les deux premières années, au lieu de 312,93 €. L’abonnement Ultime, qui inclut NordPass et NordLocker, est proposé à 6,49 € par mois, ou 175,23 € pour deux ans, au lieu de 672,03 €. De plus, trois mois d’abonnement sont offerts lors de toute souscription. Ces abonnements reviennent à leur prix normal après deux ans, mais peuvent être résiliés à ce moment-là.
NordVPN utilise le protocole NordLynx pour offrir une connexion sécurisée et rapide, permettant une navigation anonyme avec plus de 5 000 serveurs dans plus de 60 pays. Bien que l’interface soit simple, elle reste intuitive. Les abonnements incluent des fonctionnalités telles que le kill switch et le split tunneling. NordVPN est compatible avec divers appareils, y compris PC, Android, macOS, iOS et certaines Smart TV. En somme, ces offres représentent un bon rapport qualité-prix pour ceux qui recherchent un VPN fiable.
Sources :
Les attaques DDoS augmentent de 46 % au premier semestre 2024, révèle le rapport Gcore
La surveillance des tendances évolutives des attaques DDoS est cruciale pour anticiper les menaces et adapter les stratégies de défense. Au premier semestre 2024, le nombre d'attaques DDoS a augmenté de 46 % par rapport à l'année précédente, atteignant 445 000 au deuxième trimestre. Les attaques de 1 Tbps représentent un volume de données immense, capable de rendre un serveur non protégé indisponible. Le secteur du jeu en ligne est particulièrement vulnérable en raison de sa nature compétitive et des enjeux financiers élevés. Les attaques de couche applicative (L7) ont touché des secteurs comme les services financiers et le commerce électronique, perturbant le traitement des transactions et la livraison de contenu. Les fournisseurs de technologie, qui hébergent des services essentiels, ont vu leurs attaques doubler, impactant de nombreuses industries. Les entreprises de télécommunications subissent également des interruptions de service, affectant un grand nombre d'utilisateurs. Les attaques personnalisées dans le secteur du jeu visent souvent à dégrader des serveurs spécifiques, tandis que dans les services financiers, elles cherchent à maximiser les perturbations pour un gain financier immédiat. L'évolution des attaques DDoS, avec une complexité croissante, exige une posture défensive proactive et robuste. Gcore DDoS Protection offre des solutions complètes pour assurer la continuité des activités face à ces menaces.
Sources :
Microsoft publie des correctifs pour 90 failles, dont 10 zero-day critiques
Mardi, Microsoft a publié des correctifs pour 90 vulnérabilités de sécurité, dont 10 sont des zero-days, dont six sont activement exploités. Parmi ces vulnérabilités critiques, on trouve des failles dans Microsoft Project et le moteur de script Windows, avec des scores CVSS allant jusqu'à 9,8. La vulnérabilité CVE-2024-38213 permet aux attaquants de contourner les protections SmartScreen en incitant les utilisateurs à ouvrir des fichiers malveillants. La CISA a ajouté ces failles à son catalogue de vulnérabilités connues, obligeant les agences fédérales à appliquer les correctifs d'ici le 3 septembre 2024. D'autres vulnérabilités notables incluent des problèmes d'élévation de privilèges dans le Print Spooler et des failles dans le service LPD de Windows. Microsoft n'a pas encore publié de correctifs pour certaines vulnérabilités qui pourraient être exploitées pour des attaques de rétrogradation. En parallèle, d'autres entreprises comme Adobe, Apple et Cisco ont également publié des mises à jour de sécurité pour corriger diverses vulnérabilités. Microsoft a conseillé aux utilisateurs de rester prudents en ligne et de ne pas exécuter des programmes non reconnus.
Sources :
Une faille critique dans Ivanti Virtual Traffic Manager pourrait permettre un accès administrateur non autorisé
Ivanti a publié des mises à jour de sécurité pour une vulnérabilité critique dans Virtual Traffic Manager (vTM), identifiée comme CVE-2024-7593, avec un score CVSS de 9.8. Cette faille permet à un attaquant distant non authentifié de contourner l'authentification du panneau d'administration, affectant plusieurs versions de vTM, notamment 22.2, 22.3, 22.5R1, 22.6R1 et 22.7R1, avec des correctifs disponibles à partir de la semaine du 19 août 2024. En attendant, Ivanti recommande de restreindre l'accès administratif à des adresses IP de confiance. Bien qu'aucune exploitation de la faille n'ait été signalée, un proof-of-concept est accessible publiquement, rendant les mises à jour urgentes. Par ailleurs, Ivanti a corrigé deux vulnérabilités dans Neurons for ITSM, CVE-2024-7569 et CVE-2024-7570, qui pourraient entraîner des divulgations d'informations et un accès non autorisé. Ces problèmes ont été résolus dans les versions patchées de 2023.4, 2023.3 et 2023.2. Enfin, cinq autres failles de haute gravité dans Ivanti Avalanche ont été corrigées, permettant d'éviter des conditions de déni de service ou d'exécution de code à distance.
Sources :
L'organisation Earth Baku, soutenue par la Chine, étend ses cyberattaques à l'Europe, au Moyen-Orient et à l'Afrique
Le groupe de menaces soutenu par la Chine, connu sous le nom d'Earth Baku, a élargi son champ d'action au-delà de la région Indo-Pacifique pour cibler l'Europe, le Moyen-Orient et l'Afrique depuis fin 2022. Parmi les nouveaux pays visés figurent l'Italie, l'Allemagne, les Émirats Arabes Unis et le Qatar, avec des attaques suspectées en Géorgie et en Roumanie. Les secteurs touchés incluent les gouvernements, les médias, les télécommunications, la technologie, la santé et l'éducation. Selon les chercheurs de Trend Micro, Earth Baku a mis à jour ses outils, tactiques et procédures (TTP) en utilisant des applications accessibles au public comme points d'entrée pour ses attaques, déployant ensuite des malwares sophistiqués. Les rapports récents de Zscaler et Mandiant ont également mis en lumière l'utilisation de familles de malwares telles que DodgeBox et MoonWalk. Earth Baku, associé à APT41, exploite des applications publiques pour introduire le Godzilla web shell, permettant de livrer des charges utiles supplémentaires. Les nouvelles versions de loaders comme StealthVector et StealthReacher, ainsi que le backdoor modulaire SneakCross, sont utilisés pour des opérations furtives et l'exfiltration de données sensibles via MEGAcmd.
Sources :
Google affirme qu'il se concentre sur la confidentialité avec Gemini AI sur Android
Google annonce une approche axée sur la confidentialité pour l'intégration de l'IA Gemini sur les appareils Android. Cette initiative vise à protéger les données en transit grâce à un chiffrement avancé et à des contrôles d'accès stricts, tout en conservant les informations sensibles localement sur l'appareil. Gemini, anciennement connu sous le nom de Bard, est un assistant IA conçu pour aider les utilisateurs dans diverses tâches, allant de la rédaction de documents à la génération d'images. Les fonctionnalités de Gemini fonctionnent à la fois sur l'appareil et dans le cloud, selon la complexité de la tâche. Les tâches simples et sensibles sont traitées localement via un modèle léger, Gemini Nano, tandis que les tâches plus complexes sont gérées dans l'infrastructure cloud sécurisée de Google. Google souligne qu'aucun tiers n'est impliqué dans le traitement des données personnelles, garantissant ainsi la sécurité des informations. Les utilisateurs ont également le contrôle sur leurs interactions avec Gemini, pouvant gérer leurs chats et les réponses des applications. De plus, Google développe des technologies de préservation de la vie privée et prévoit de publier un document détaillé sur la protection des données de Gemini dans un avenir proche.
Sources :
Le nouveau contournement de Windows SmartScreen exploité comme zero-day depuis mars
Microsoft a récemment révélé une vulnérabilité de contournement de la sécurité SmartScreen, exploitée comme un zero-day depuis mars 2024. Cette faille, identifiée sous le nom CVE-2024-38213, permet aux attaquants de contourner la protection SmartScreen, qui vise à protéger les utilisateurs contre les logiciels malveillants lors de l'ouverture de fichiers téléchargés. Bien que l'exploitation nécessite une interaction de l'utilisateur, ce qui complique la tâche des attaquants, des campagnes malveillantes ont été observées, notamment par des opérateurs de DarkGate, qui ont utilisé cette vulnérabilité pour déployer des logiciels malveillants déguisés en installateurs de programmes légitimes. La vulnérabilité a été corrigée lors du Patch Tuesday de juin 2024, mais l'avis de sécurité n'a pas été inclus dans les mises à jour de ce mois-là. Cette faille s'inscrit dans une série d'autres vulnérabilités SmartScreen, dont certaines ont été exploitées par des groupes de cybercriminalité pour cibler des forums de trading. En outre, des défauts de conception dans SmartScreen et Smart App Control ont également été signalés, permettant aux attaquants de lancer des programmes sans déclencher d'avertissements de sécurité.
Sources :
Une faille critique de SAP permet aux attaquants distants de contourner l'authentification
SAP a publié son correctif de sécurité d'août 2024, corrigeant 17 vulnérabilités, dont une faille critique d'authentification permettant à des attaquants distants de compromettre entièrement le système. Cette vulnérabilité, identifiée comme CVE-2024-41730, est notée 9.8 selon le système CVSS v3.1 et concerne les versions 430 et 440 de la plateforme SAP BusinessObjects Business Intelligence. Elle permet à un utilisateur non autorisé d'obtenir un jeton de connexion via un point de terminaison REST si l'authentification unique est activée. Une autre vulnérabilité critique, CVE-2024-29415, concerne une faille de falsification de requête côté serveur dans les applications SAP Build Apps antérieures à la version 4.11.130. D'autres vulnérabilités de haute gravité ont également été corrigées, notamment des problèmes d'injection XML, de pollution de prototype, de déni de service et de divulgation d'informations. Étant donné que SAP est le plus grand fournisseur d'ERP au monde, les administrateurs sont fortement encouragés à appliquer ces mises à jour pour protéger leurs réseaux contre les cyberattaques, comme l'a souligné la CISA en 2022.
Sources :
Les mises à jour d'août de Windows Server résolvent le problème de Microsoft 365 Defender
Microsoft a résolu un problème affectant plusieurs fonctionnalités de Microsoft 365 Defender (maintenant connu sous le nom de Defender XDR) suite à l'installation des mises à jour de Windows Server de juillet 2024. Ce problème, qui touche uniquement les systèmes Windows Server 2022, impacte principalement le service de détection et de réponse réseau (NDR) ainsi que d'autres fonctionnalités de Defender qui dépendent de ce service pour collecter des données, comme la réponse aux incidents et l'inventaire des appareils. La résolution a été apportée par les mises à jour de Windows publiées le 13 août 2024 (KB5041160). Microsoft recommande aux administrateurs de systèmes d'installer cette mise à jour pour bénéficier des améliorations et des corrections de problèmes. Par ailleurs, d'autres problèmes ont également été corrigés, notamment des échecs d'impression LPD sur plusieurs versions de Windows Server et des problèmes de connexion VPN. Cependant, un bug persiste, affectant les connexions de bureau à distance sur Windows Server 2012 et versions ultérieures, entraînant des pertes de sessions de connexion. Les administrateurs peuvent vérifier l'état de santé des services via le centre d'administration Microsoft 365.
Sources :
Google : Gemini AI pour Android traite les données sensibles localement
Google annonce une approche axée sur la confidentialité pour l'intégration de son assistant AI, Gemini, sur les appareils Android. L'entreprise met en œuvre une protection de bout en bout pour sécuriser les données en transit, tout en conservant les informations sensibles localement sur l'appareil. Les données traitées dans le cloud de Google sont protégées par un chiffrement avancé et des contrôles d'accès stricts. Gemini, anciennement connu sous le nom de Bard, est conçu pour aider les utilisateurs dans diverses tâches, telles que la rédaction de documents, la génération d'images, et la planification de voyages. Les fonctionnalités de Gemini fonctionnent à la fois sur l'appareil et dans le cloud, selon la complexité de la tâche. Les tâches simples et sensibles sont traitées localement via un modèle léger, Gemini Nano, tandis que les tâches plus complexes utilisent l'infrastructure cloud sécurisée de Google. Google souligne son engagement à offrir des capacités avancées d'IA générative tout en garantissant la confidentialité des données des utilisateurs. Parmi les points clés figurent l'absence de tiers, le traitement des données sensibles sur l'appareil, et des technologies innovantes de préservation de la vie privée. Un document technique détaillé sur la protection des données de Gemini sera publié prochainement.
Sources :
Le Patch Tuesday d'août 2024 de Microsoft corrige 9 zero-days et 6 exploitables
Ce Patch Tuesday a corrigé huit vulnérabilités critiques, incluant des élévations de privilèges, des exécutions de code à distance et des divulgations d'informations. Un zéro-day, actuellement non corrigé, est également signalé, mais Microsoft travaille sur une mise à jour. Les six vulnérabilités zéro-day activement exploitées incluent la CVE-2024-38178, qui nécessite qu'un client authentifié clique sur un lien pour permettre à un attaquant non authentifié d'exécuter du code à distance, en utilisant Microsoft Edge en mode Internet Explorer. Bien que difficile à exploiter, cette faille a été signalée comme exploitée par le Centre national de cybersécurité de Corée du Sud et AhnLab. D'autres vulnérabilités incluent des failles dans le noyau sécurisé de Windows, des vulnérabilités affectant les processeurs RISC-V, ainsi que des failles dans les services d'impression Windows et des systèmes Linux. Microsoft a également mentionné des vulnérabilités permettant aux attaquants de contourner des protections de sécurité, notamment en envoyant des tâches d'impression malveillantes ou en dégradant le système d'exploitation pour réintroduire des failles. Ces mises à jour soulignent l'importance de maintenir les systèmes à jour pour se protéger contre les menaces croissantes.
Sources :
Microsoft corrige le problème qui envoyait les PC en récupération BitLocker
Microsoft a résolu un problème connu qui faisait démarrer certains appareils Windows en mode de récupération BitLocker après l'installation des mises à jour de sécurité de juillet 2024. Les utilisateurs touchés étaient invités à entrer leur clé de récupération BitLocker pour déverrouiller le disque et permettre un démarrage normal. La société a recommandé d'installer la dernière mise à jour, qui contient des améliorations et des résolutions de problèmes, y compris celui-ci. Ce problème affecte principalement les utilisateurs ayant activé l'option de chiffrement de l'appareil dans les paramètres de confidentialité et de sécurité. Les plateformes concernées incluent plusieurs versions de Windows 10 et 11, ainsi que plusieurs versions de Windows Server. BitLocker est une fonctionnalité de sécurité de Windows qui chiffre les disques de stockage pour prévenir le vol ou l'exposition des données. Normalement, les ordinateurs Windows n'entrent en mode de récupération BitLocker qu'après des changements matériels ou des mises à jour du TPM. Les utilisateurs peuvent récupérer leur clé de récupération en se connectant à l'écran de récupération BitLocker via leur compte Microsoft. Microsoft continue de travailler sur d'autres problèmes, notamment des connexions de bureau à distance rompues sur certains systèmes Windows Server.
Sources :
Mise à jour cumulative Windows 11 KB5041585 publiée avec des correctifs et de nouvelles fonctionnalités
Microsoft a publié la mise à jour cumulative KB5041585 pour Windows 11 23H2 le 13 août 2024, apportant de nombreuses améliorations et nouvelles fonctionnalités. Parmi celles-ci, la possibilité de faire glisser directement des applications depuis la section Épinglées du menu Démarrer vers la barre des tâches. Cette mise à jour sera automatiquement téléchargée et installée lorsque l'utilisateur n'est pas actif sur son ordinateur, à moins qu'il ne vérifie manuellement les mises à jour. Microsoft a également averti que Windows 11 22H2 atteindra sa fin de service le 8 octobre 2024, incitant les utilisateurs à passer à 23H2 pour continuer à recevoir des mises à jour de sécurité. Les changements incluent des corrections pour des problèmes connus avec BitLocker, l'application de Secure Boot Advanced Targeting (SBAT) pour empêcher l'exécution de chargeurs de démarrage Linux vulnérables, et des améliorations de l'interface utilisateur, comme le changement de focus du clavier dans la barre des tâches. D'autres problèmes résolus concernent des fuites de mémoire lors de l'interaction avec des dossiers d'archives et des dysfonctionnements dans l'explorateur de fichiers. La liste complète des modifications est disponible sur le site de support de Microsoft.
Sources :
Mise à jour Windows 10 KB5041580 publiée avec 14 correctifs et mises à jour de sécurité
Microsoft a publié la mise à jour cumulative KB5041580 pour Windows 10 versions 22H2 et 21H2, apportant 14 corrections et améliorations, notamment des correctifs pour BitLocker et des mises à jour de sécurité essentielles. Cette mise à jour vise à résoudre divers problèmes, dont un bug qui faisait démarrer le système sur l'écran de récupération BitLocker. Parmi les principales corrections, on note : un problème connu avec BitLocker où l'utilisateur doit entrer une clé de récupération, rendant l'option de connexion Wi-Fi indisponible ; l'application de Secure Boot Advanced Targeting (SBAT) pour empêcher l'exécution de chargeurs de démarrage Linux vulnérables ; et des problèmes avec le rendu HTML dans l'éditeur de stratégie de groupe, affectant certaines configurations de sécurité. De plus, un problème lié au protocole TCP provoquait des arrêts système lors de transferts de fichiers. La mise à jour corrige également une erreur d'arrêt liée à Windows Defender Application Control (WDAC) et des échecs d'applications lors de l'application de politiques spécifiques. Cependant, un problème persistant empêche certains utilisateurs de modifier leurs photos de profil, entraînant des erreurs 0x80070520. Les utilisateurs peuvent programmer le redémarrage de leur ordinateur pour faciliter l'installation.
Sources :
Ivanti met en garde contre un contournement critique de l'authentification vTM avec un exploit public
Ivanti a averti ses clients d'une vulnérabilité critique d'authentification dans ses appareils Virtual Traffic Manager (vTM), identifiée comme CVE-2024-7593. Cette faille permet à des attaquants distants non authentifiés de contourner l'authentification sur les panneaux d'administration exposés d'Internet, leur permettant ainsi de créer des comptes administrateurs malveillants. Bien qu'aucun cas d'exploitation ne soit signalé jusqu'à présent, un Proof of Concept est disponible publiquement, incitant Ivanti à recommander une mise à jour vers les versions corrigées 22.2R1 et 22.7R2. Les administrateurs sont également conseillés de restreindre l'accès à l'interface de gestion en la liant à un réseau interne ou à une adresse IP privée. Parallèlement, Ivanti a signalé une autre vulnérabilité d'information (CVE-2024-7569) dans ITSM, permettant à des attaquants non authentifiés d'accéder à des secrets OIDC. En février, la société avait déjà corrigé une autre faille d'authentification dans Ivanti Connect Secure et a mis en garde contre des attaques en cours sur ses appareils VPN depuis décembre 2023. Les administrateurs doivent vérifier les journaux d'audit pour détecter des utilisateurs administrateurs suspects.
Sources :
Le ransomware 3AM a volé les données de 464 000 patients de Kootenai Health
Kootenai Health, un fournisseur de soins de santé à but non lucratif dans l'Idaho, a révélé une violation de données touchant plus de 464 000 patients, suite à un cyberattaque par le groupe de ransomware 3AM. L'incident a été détecté début mars 2024, après que des systèmes informatiques aient été perturbés. Une enquête a montré que les cybercriminels avaient accédé aux systèmes de Kootenai le 22 février 2024, leur permettant de voler des données sensibles pendant dix jours. Les informations compromises incluent des noms complets, dates de naissance, numéros de sécurité sociale, permis de conduire, numéros d'identification gouvernementale, numéros de dossiers médicaux, ainsi que des informations sur les traitements et diagnostics médicaux. Kootenai Health a informé les patients concernés et propose des services de protection d'identité pour une durée de 12 à 24 mois. Le groupe 3AM a revendiqué l'attaque et a publié les données volées sur son portail darknet, sans qu'aucun rançon ne soit payée. Ce groupe, basé sur le langage Rust, a été identifié pour la première fois en septembre 2023 et montre des liens avec d'autres gangs de ransomware, tels que Conti et Royal.
