Des failles dans AWS conduisant à des RCE et des vols de données - Actus du 10/08/2024
Découvrez comment une vulnérabilité non corrigée dans Microsoft Office expose vos données, les failles critiques dans AWS entraînent des vols et des RCE, et la Russie bloque des services pour « violation » des lois antiterroristes. Protégez-vous dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft met en garde contre une vulnérabilité non corrigée dans Office qui pourrait entraîner une exposition des données
Microsoft a révélé une vulnérabilité zero-day non corrigée dans Office, identifiée comme CVE-2024-38200, avec un score CVSS de 7,5. Cette faille de spoofing affecte plusieurs versions d'Office, y compris Office 2016, LTSC 2021, 365 Apps pour Entreprises et Office 2019, tant en 32 bits qu'en 64 bits. Découverte par les chercheurs Jim Rush et Metin Yunus Kandemir, la vulnérabilité pourrait permettre à des acteurs malveillants de divulguer des informations sensibles. Dans un scénario d'attaque web, un attaquant pourrait inciter un utilisateur à cliquer sur un lien menant à un fichier spécialement conçu pour exploiter cette faille. Microsoft prévoit de publier un correctif formel le 13 août, mais a déjà activé une solution alternative depuis le 30 juillet 2024. Bien que les utilisateurs des versions prises en charge soient déjà protégés, il est crucial de mettre à jour vers la version finale du correctif. Microsoft a également proposé trois stratégies d'atténuation pour renforcer la sécurité. Cette divulgation intervient alors que Microsoft travaille sur d'autres vulnérabilités zero-day qui pourraient affecter les systèmes Windows à jour.
Sources :
Des experts découvrent de graves failles dans AWS conduisant à des RCE, des vols de données et des prises de contrôle de services complets
Des chercheurs en cybersécurité ont identifié plusieurs vulnérabilités critiques dans les services d'Amazon Web Services (AWS), pouvant entraîner des conséquences graves. Selon le rapport de la société de sécurité cloud Aqua, ces failles permettent des exécutions de code à distance, des prises de contrôle de services, la manipulation de modules d'IA, l'exposition de données sensibles, l'exfiltration de données et des attaques par déni de service. L'attaque, nommée "Bucket Monopoly", repose sur un vecteur appelé "Shadow Resource", où un seau S3 est automatiquement créé lors de l'utilisation de certains services AWS. Un attaquant peut exploiter ce comportement pour établir des seaux dans des régions AWS inactives et attendre qu'un client légitime utilise un service vulnérable, lui permettant d'accéder aux contenus du seau. Aqua a également identifié d'autres services AWS vulnérables, comme Glue et SageMaker, qui utilisent une méthodologie de nommage similaire. Les identifiants de compte AWS, considérés comme secrets, peuvent être découverts, facilitant ainsi les attaques. Aqua recommande de générer des identifiants uniques pour chaque région et compte afin de protéger les seaux S3 contre de telles exploitations.
Sources :
La Russie bloque un signal pour « violation » des lois antiterroristes
Le 9 août 2024, Roskomnadzor, l'organisme de régulation des télécommunications en Russie, a restreint l'accès au service de messagerie chiffrée Signal, invoquant des violations des lois anti-terrorisme et anti-extrémisme du pays. Cette décision a été annoncée après que de nombreux utilisateurs russes ont signalé des problèmes d'accès à Signal. L'organisme a précisé que cette restriction vise à empêcher l'utilisation de la messagerie à des fins terroristes. Signal a confirmé que certains pays bloquent ses services et a conseillé à ses utilisateurs d'activer une fonction de contournement de la censure. L'entreprise travaille sur des techniques avancées pour contourner ces restrictions, tout en appelant les grandes entreprises à prendre le problème plus au sérieux. Cette situation survient après l'interdiction en mars 2023 de plusieurs applications de messagerie étrangères pour les agences gouvernementales russes. De plus, la Russie a déjà interdit plusieurs VPN et a récemment bloqué l'accès à YouTube. Signal continue de s'efforcer de maintenir l'accès à son service malgré ces défis croissants.
Sources :
Microsoft révèle quatre failles OpenVPN pouvant conduire à des RCE et LPE potentiels
Microsoft a révélé quatre vulnérabilités de gravité moyenne dans le logiciel open-source OpenVPN, pouvant être combinées pour permettre une exécution de code à distance (RCE) et une élévation de privilèges locaux (LPE). Selon Vladimir Tokarev de la Microsoft Threat Intelligence Community, ces failles pourraient permettre aux attaquants de prendre le contrôle total des systèmes ciblés, entraînant des violations de données et un accès non autorisé à des informations sensibles. Les vulnérabilités concernent toutes les versions d'OpenVPN antérieures aux versions 2.6.10 et 2.5.10. Les failles identifiées incluent un débordement de pile (CVE-2024-27459), un accès non autorisé à un pipe nommé (CVE-2024-24974), une vulnérabilité dans le mécanisme de plugin (CVE-2024-27903) et un débordement de mémoire (CVE-2024-1305). L'exploitation de ces vulnérabilités nécessite l'accès aux identifiants OpenVPN d'un utilisateur, pouvant être obtenus par divers moyens, y compris l'achat de données volées. Les attaquants peuvent combiner ces failles pour créer des chaînes d'attaques puissantes, contournant les protections de sécurité et manipulant les fonctions essentielles du système.
Sources :
CSC ServiceWorks révèle une violation de données après une cyberattaque en 2023
CSC ServiceWorks, un fournisseur majeur de services de blanchisserie commerciale, a révélé une violation de données suite à un cyberattaque survenue en 2023. L'incident a été découvert le 4 février 2024, après que des activités inhabituelles aient été détectées sur son réseau. Des experts en cybersécurité ont confirmé que des attaquants inconnus avaient accédé à certains systèmes informatiques de l'entreprise entre le 23 septembre 2023 et le 4 février 2024. Les données compromises incluent des informations personnelles telles que le nom complet, la date de naissance, des identifiants gouvernementaux, des informations financières, ainsi que des données de santé et, dans certains cas, des informations sur les enfants des victimes. CSC ServiceWorks a pris des mesures pour sécuriser ses systèmes et a informé les autorités compétentes. Pour aider les personnes touchées, l'entreprise offre un abonnement gratuit à Experian IdentityWorks pour surveiller l'utilisation abusive de leurs informations. Le directeur financier, Christopher E. Mack, a déclaré que des experts tiers avaient été engagés pour renforcer la sécurité. En mai, la société avait également présenté des excuses à des chercheurs en sécurité pour avoir ignoré une vulnérabilité qui permettait d'utiliser ses machines gratuitement.
Sources :
La nouvelle faille AMD SinkClose permet d'installer un malware presque indétectable
AMD a récemment averti d'une vulnérabilité critique, nommée SinkClose, affectant plusieurs générations de ses processeurs EPYC, Ryzen et Threadripper. Cette faille permet à des attaquants disposant de privilèges au niveau du noyau (Ring 0) d'accéder à un niveau de privilège supérieur, Ring -2, qui est associé au Mode de Gestion Système (SMM). Ce niveau de privilège, isolé du système d'exploitation, permet aux attaquants d'installer des malwares presque indétectables, même lorsque des mesures de sécurité sont en place. La vulnérabilité, identifiée comme CVE-2023-31315 avec un score CVSS de 7,5, a été découverte par des chercheurs d'IOActive et pourrait avoir été présente pendant près de 20 ans. Bien qu'AMD ait publié des correctifs pour certains de ses processeurs, la menace demeure, notamment pour les systèmes utilisant des pilotes vulnérables. Les acteurs de menaces avancées, tels que le groupe Lazarus de Corée du Nord, exploitent souvent des vulnérabilités de ce type pour obtenir un accès au noyau. SinkClose représente donc un risque significatif pour les organisations utilisant des systèmes basés sur AMD, en particulier face à des attaquants sophistiqués.
Sources :
Microsoft révèle une faille zero-day pour Office et travaille toujours sur un correctif
Microsoft a révélé une vulnérabilité zero-day de haute sévérité affectant Office 2016 et les versions ultérieures, identifiée sous le code CVE-2024-38200, qui est toujours en attente de correctif. Cette faille de sécurité résulte d'une faiblesse dans la divulgation d'informations, permettant à des acteurs non autorisés d'accéder à des données protégées, telles que des informations personnelles ou des métadonnées de connexion. La vulnérabilité touche plusieurs versions d'Office, y compris Office 2016, 2019, LTSC 2021 et Microsoft 365 Apps for Enterprise. Bien que l'évaluation de Microsoft indique que l'exploitation de cette faille est moins probable, MITRE la considère comme hautement probable. Dans un scénario d'attaque web, un attaquant pourrait inciter un utilisateur à ouvrir un fichier spécialement conçu pour exploiter cette vulnérabilité. Microsoft travaille sur des mises à jour de sécurité, mais aucune date de publication n'a été annoncée. Des détails supplémentaires seront partagés lors de la conférence Defcon par Jim Rush, consultant en sécurité, qui abordera également d'autres failles découvertes. Parallèlement, Microsoft examine d'autres vulnérabilités dans ses systèmes Windows.
Sources :
Un logiciel malveillant installe de force des extensions Chrome sur 300 000 navigateurs et corrige les DLL
Une campagne de malware a été découverte par ReasonLabs, infectant environ 300 000 navigateurs Chrome et Edge. Ce malware, souvent indétectable par les antivirus, force l'installation d'extensions malveillantes conçues pour voler des données et exécuter des commandes sur les appareils infectés. L'infection débute lorsque les victimes téléchargent des installateurs de logiciels à partir de sites frauduleux, souvent promus par des publicités malveillantes. Les installateurs, signés numériquement par 'Tommy Tech LTD', contiennent des leurres tels que des téléchargeurs de vidéos ou des émulateurs. Une fois installés, ces malwares modifient le registre Windows pour forcer l'installation d'extensions, créant également une tâche planifiée pour exécuter des scripts PowerShell à intervalles réguliers. Cela permet aux attaquants de déployer d'autres malwares et de surveiller l'activité en ligne des victimes, tout en capturant des informations sensibles. Le malware modifie également des fichiers DLL pour rediriger la page d'accueil vers des sites contrôlés par les attaquants. Pour éliminer cette infection, les utilisateurs doivent suivre un processus complexe de suppression manuelle des fichiers et des entrées de registre malveillantes.
