Comment les hackers exploitent votre copier-coller pour vous pirater - Actus du 13/10/2024
Découvrez comment un simple « copier-coller » peut compromettre votre sécurité face aux hackers. Plongez dans les attaques d'OilRig ciblant le Golfe et l'abandon par Microsoft des protocoles VPN PPTP et L2TP. Protégez-vous efficacement avec nos conseils !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Comment les hackers peuvent vous pirater avec un simple « copier-coller »
Une campagne de piratage sophistiquée a récemment ciblé plusieurs pays européens, dont la France, en incitant les victimes à installer elles-mêmes un logiciel malveillant. Lors d'une conférence aux Assises de la cybersécurité, l'entreprise Vade a expliqué que les cybercriminels envoient des courriels frauduleux, souvent sous prétexte d'une facture impayée ou d'un document financier à vérifier. Ces messages, usurpant l'identité de partenaires, contiennent des liens vers des fichiers OneDrive. En cliquant sur ces liens, les victimes rencontrent un faux message d'erreur d'Outlook, les incitant à copier un code dans le terminal de leur ordinateur. Ce geste déclenche le téléchargement de DarkGate, un logiciel malveillant qui permet aux hackers d'accéder aux systèmes des victimes. Les cybercriminels, soupçonnés d'être russes, ciblent à la fois des entreprises et des particuliers, avec des centaines de mails envoyés au printemps et en été. Romain Basset de Vade souligne que ces hackers cherchent à obtenir des accès qu'ils pourraient revendre, facilitant ainsi d'autres attaques, telles que l'exfiltration de données ou l'implantation de ransomwares. Cette situation met en lumière l'importance de la cybersécurité et de la sensibilisation des employés.
Sources :
OilRig exploite une faille du noyau Windows dans une campagne d'espionnage ciblant les Émirats arabes unis et le Golfe
Le groupe de cyberespionnage iranien connu sous le nom d'OilRig a été observé exploitant une vulnérabilité de montée en privilèges récemment corrigée dans le noyau Windows, dans le cadre d'une campagne ciblant les Émirats Arabes Unis et la région du Golfe. Selon des chercheurs de Trend Micro, ce groupe utilise des tactiques sophistiquées, notamment le déploiement d'un backdoor qui exploite les serveurs Microsoft Exchange pour le vol de données d'identification, ainsi que l'exploitation de vulnérabilités comme CVE-2024-30088. Ce dernier permet aux attaquants d'acquérir des privilèges SYSTEM en cas de condition de course réussie. L'accès initial aux réseaux cibles se fait via un serveur web vulnérable, suivi de l'installation d'un outil de gestion à distance pour maintenir la persistance. La vulnérabilité de montée en privilèges permet ensuite de livrer le backdoor STEALHOOK, qui exfiltre les données via le serveur Exchange. OilRig abuse également des privilèges élevés pour extraire des identifiants sensibles à partir de contrôleurs de domaine. Les chercheurs soulignent que les activités récentes d'Earth Simnavaz visent à exploiter les infrastructures critiques dans des régions géopolitiquement sensibles, tout en cherchant à établir une présence persistante dans les entités compromises.
Sources :
Microsoft abandonne les protocoles VPN PPTP et L2TP dans Windows Server
Microsoft a annoncé la dépréciation des protocoles VPN Point-to-Point Tunneling Protocol (PPTP) et Layer 2 Tunneling Protocol (L2TP) dans les futures versions de Windows Server, incitant les administrateurs à adopter des protocoles plus sécurisés. Utilisés depuis plus de 20 ans pour l'accès à distance aux réseaux d'entreprise, ces protocoles sont désormais jugés insuffisants face à l'évolution des cyberattaques. Le PPTP est vulnérable aux attaques par force brute, tandis que le L2TP nécessite une configuration correcte avec IPsec pour assurer une sécurité adéquate. Microsoft recommande donc de migrer vers le Secure Socket Tunneling Protocol (SSTP) et l'Internet Key Exchange version 2 (IKEv2), qui offrent de meilleures performances et sécurité. Le SSTP utilise un chiffrement SSL/TLS, facilite le passage à travers les pare-feu et est simple à configurer. L'IKEv2, quant à lui, propose des algorithmes de chiffrement robustes, est efficace pour les utilisateurs mobiles et améliore les performances. Bien que la dépréciation ne signifie pas une suppression immédiate, Microsoft a prévu une période de transition pour permettre aux administrateurs de s'adapter. Un bulletin de support a été publié pour aider à la configuration de ces nouveaux protocoles.
