Des pirates nord-coréens ciblent les utilisateurs de crypto-monnaie sur LinkedIn avec RustDoor - Actus du 16/09/2024
D-Link corrige des failles critiques dans les routeurs WiFi 6, Google sécurise GCP Composer contre une RCE potentielle, et des hackers nord-coréens attaquent les utilisateurs de crypto-monnaie sur LinkedIn avec le malware RustDoor. Découvrez tous les détails cruciaux pour votre sécurité en ligne!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
D-Link corrige des failles critiques de RCE et de mots de passe codés en dur dans les routeurs WiFi 6
D-Link a corrigé des vulnérabilités critiques dans trois modèles de routeurs WiFi 6, permettant à des attaquants distants d'exécuter du code arbitraire ou d'accéder aux appareils via des identifiants codés en dur. Les modèles concernés incluent le COVR-X1870 et les DIR-X4860 et DIR-X5460, très prisés par les consommateurs. Cinq vulnérabilités ont été identifiées, dont trois classées comme critiques. Parmi celles-ci, deux (CVE-2024-45694 et CVE-2024-45695) sont des débordements de tampon permettant l'exécution de code à distance sans authentification. D'autres failles (CVE-2024-45696 et CVE-2024-45697) permettent l'activation forcée du service telnet avec des identifiants codés en dur, facilitant l'accès à distance. D-Link recommande aux utilisateurs de mettre à jour leurs firmwares respectifs pour corriger ces problèmes. L'entreprise a été informée des vulnérabilités par le CERT local le 24 juin, mais n'a pas eu le délai habituel de 90 jours pour les corriger avant leur divulgation. Bien qu'aucune exploitation active n'ait été signalée, D-Link souligne l'importance d'installer les mises à jour de sécurité, étant donné que ses appareils sont souvent ciblés par des botnets malveillants.
Sources :
Google corrige une faille dans GCP Composer qui aurait pu conduire à l'exécution de code à distance
Une vulnérabilité critique récemment corrigée sur Google Cloud Platform (GCP) Composer, nommée CloudImposer par Tenable Research, aurait pu permettre l'exécution de code à distance via une attaque de chaîne d'approvisionnement appelée confusion de dépendance. Cette technique, documentée pour la première fois en 2021, consiste à tromper un gestionnaire de paquets pour qu'il télécharge un paquet malveillant d'un dépôt public au lieu d'un paquet interne. Les attaquants pouvaient ainsi publier un paquet contrefait sur un dépôt public, incitant le gestionnaire à remplacer le paquet légitime par le malveillant. Tenable a identifié que cette vulnérabilité permettait de télécharger un paquet malveillant sur le dépôt Python Package Index (PyPI), qui aurait été préinstallé sur toutes les instances de Composer. Bien que GCP impose une version spécifique, l'utilisation de l'argument "--extra-index-url" lors de l'installation favorisait le téléchargement depuis le registre public. Cela aurait permis aux attaquants d'exécuter du code et d'exfiltrer des informations sensibles. Google a corrigé le problème en mai 2024, en s'assurant que les paquets ne soient installés que depuis des dépôts privés et en vérifiant leur intégrité. Des recommandations ont également été émises pour réduire les risques d'attaques similaires.
Sources :
Des pirates informatiques nord-coréens ciblent les utilisateurs de crypto-monnaie sur LinkedIn avec le malware RustDoor
Des chercheurs en cybersécurité mettent en garde contre les tentatives d'acteurs menaçants nord-coréens visant à cibler des victimes potentielles sur LinkedIn pour diffuser un malware nommé RustDoor. Selon Jamf Threat Labs, une attaque récente a impliqué un utilisateur contacté par un prétendu recruteur d'une plateforme d'échange de cryptomonnaies légitime, STON.fi. Cette activité malveillante fait partie d'une campagne orchestrée par des acteurs soutenus par la République populaire démocratique de Corée (RPDC) pour infiltrer des réseaux d'intérêt sous prétexte d'entretiens ou de tests de codage. Les secteurs financier et des cryptomonnaies sont particulièrement visés pour générer des revenus illicites. Les attaques se manifestent par des campagnes d'ingénierie sociale difficiles à détecter, ciblant des employés de la finance décentralisée et des entreprises de cryptomonnaies. Les tactiques incluent des demandes d'exécution de code ou de téléchargement d'applications sur des appareils d'entreprise. Le malware RustDoor, un backdoor macOS, a été documenté pour la première fois en février 2024. Les chercheurs soulignent l'importance de former les employés à se méfier des connexions sur les réseaux sociaux et des demandes d'exécution de logiciels.
Sources :
De la violation à la récupération : conception d'un manuel de réponse aux incidents axé sur l'identité
L'article aborde la réalité actuelle de la cybercriminalité, où les attaques ne proviennent pas seulement de virus, mais d'identités compromises au sein même des organisations. Les plans de réponse aux incidents traditionnels, axés sur les malwares et les violations de réseau, ne suffisent plus face à des criminels qui ciblent les identités. Les comptes compromis et les points d'accès faibles deviennent les nouvelles cibles, entraînant des violations de données catastrophiques. Pour contrer cette menace, il est essentiel de développer un playbook de réponse aux incidents centré sur l'identité. Ce playbook propose des procédures claires, des outils et des stratégies pour détecter, contenir et récupérer après une violation d'identité. Le webinaire associé met en lumière l'importance de l'identité dans la cybersécurité moderne, les tactiques utilisées par les attaquants, ainsi que des stratégies éprouvées pour une détection et une réponse rapides. Il s'adresse aux professionnels de la sécurité informatique, aux équipes de réponse aux incidents, ainsi qu'à toute personne responsable de la protection des données sensibles de l'organisation. En participant, les participants apprendront à sécuriser leurs identités contre les menaces actuelles.
Sources :
Maîtrisez votre conformité PCI DSS v4 grâce à des approbations intelligentes innovantes
Avec l'échéance du premier trimestre 2025 qui approche, les entreprises s'efforcent de respecter les exigences strictes de la norme PCI DSS v4.0, en particulier les sections 6.4.3 et 11.6.1, qui imposent une surveillance rigoureuse des scripts de page de paiement. Cet article explore les meilleures pratiques pour répondre à ces exigences complexes, notamment l'autorisation des scripts, le maintien de leur intégrité et la tenue d'un inventaire justifié. Reflectiz, par exemple, a réussi à réduire de 95 % le travail nécessaire pour un client, permettant ainsi à l'équipe de se concentrer sur des activités essentielles. En optant pour une surveillance à distance plutôt que des scripts intégrés, Reflectiz évite des problèmes de confidentialité et de visibilité, tout en offrant une surveillance complète et sécurisée des composants web. Un cas d'étude d'une grande compagnie d'assurance américaine illustre cette approche : Reflectiz a identifié 30 % de changements de scripts en deux semaines, soulignant l'importance d'une surveillance continue. En automatisant les approbations et en minimisant les efforts manuels, Reflectiz facilite le processus de conformité et réduit les risques d'erreurs humaines, contribuant ainsi à une meilleure posture de sécurité web et à la conformité avec PCI DSS v4.0.
Sources :
Les pirates informatiques peuvent contourner la fonction « Afficher une fois » de WhatsApp en raison d’une vulnérabilité de la fonctionnalité
Des chercheurs de Zengo ont identifié une vulnérabilité sérieuse dans la fonctionnalité « View Once » de WhatsApp, qui compromet la confidentialité des utilisateurs. Cette fonctionnalité permet d'envoyer des médias (photos, vidéos, messages audio) qui disparaissent après une seule consultation. Cependant, les chercheurs ont découvert qu'un attaquant pouvait contourner cette protection en modifiant les paramètres de la manière dont les serveurs de WhatsApp gèrent ces messages. En changeant le flag « viewOnce: true » en « false », un adversaire pouvait accéder et télécharger ces médias sur n'importe quel appareil, sans authentification supplémentaire. De plus, les messages « View Once » sont conservés sur les serveurs de WhatsApp pendant deux semaines, ce qui augmente le risque d'accès non autorisé. Les chercheurs ont démontré deux méthodes pour exploiter cette faille : en créant un client WhatsApp non officiel et en téléchargeant les messages chiffrés pour les déchiffrer ultérieurement. Après avoir signalé la vulnérabilité à Meta, les chercheurs ont décidé de rendre l'information publique en raison de son exploitation active. Actuellement, aucun correctif officiel n'est disponible, mais Meta travaille sur une solution pour les futures mises à jour.
Sources :
Le patch de Microsoft de septembre a corrigé 4 failles zero-day
Les mises à jour de Patch Tuesday de septembre 2024 ont été publiées par Microsoft, corrigeant plusieurs vulnérabilités de sécurité, dont quatre zero-day. Les utilisateurs sont fortement encouragés à mettre à jour leurs appareils pour éviter des menaces potentielles. Parmi les vulnérabilités majeures, on trouve :
- CVE-2024-38217 (CVSS 5.4) : Une vulnérabilité de contournement de sécurité affectant la fonctionnalité Windows Mark of the Web, exploitée via des fichiers malveillants.
- CVE-2024-43491 (CVSS 9.8) : Une vulnérabilité critique d'exécution de code à distance dans Windows Update, exploitée activement pour annuler des correctifs précédents. Microsoft recommande d'installer les mises à jour de sécurité correspondantes.
- CVE-2024-38226 (CVSS 7.3) : Un contournement de sécurité dans Microsoft Publisher nécessitant un accès local authentifié.
- CVE-2024-38014 (CVSS 7.8) : Une vulnérabilité d'escalade de privilèges dans Windows Installer.
- CVE-2024-43461 (CVSS 8.8) : Une vulnérabilité de spoofing dans la plateforme MSHTML de Windows.
En plus de ces cinq vulnérabilités critiques, Microsoft a corrigé 74 autres failles, totalisant 79 correctifs de sécurité.
Sources :
- https://latesthackingnews.com/2024/09/16/microsoft-september-patch-tuesday-patched-4-zero-day-flaws/
Apple abandonne l'affaire de logiciels espions contre NSO Group, invoquant le risque d'exposition aux renseignements sur les menaces
Apple a déposé une motion pour "démissionner volontairement" de son procès contre le fournisseur de logiciels espions NSO Group, invoquant un paysage de risques en évolution qui pourrait compromettre des informations critiques sur la "menace". Cette décision, rapportée par le Washington Post, découle des efforts d'Apple et d'autres acteurs de l'industrie pour contrer la montée des logiciels espions commerciaux, qui ont "substantiellement affaibli" les défendeurs. Cependant, de nouveaux acteurs malveillants ont émergé dans ce secteur. Bien qu'Apple croie toujours en la validité de ses accusations, elle a jugé que poursuivre cette affaire pourrait mettre en péril des informations de sécurité vitales. Le procès initial avait été intenté en novembre 2021 pour tenir NSO Group responsable de l'utilisation illégale de son outil de surveillance Pegasus. Un juge fédéral avait précédemment rejeté une demande de NSO de faire annuler le procès. Dans sa motion, Apple a souligné trois développements majeurs, notamment le risque d'exposition d'informations sensibles, les dynamiques changeantes de l'industrie des logiciels espions et la possibilité de révéler des informations sur ses méthodes de protection. Ce contexte souligne la complexité croissante du marché mondial des logiciels espions.
Sources :
Les cybercriminels exploitent les en-têtes HTTP pour voler des informations d'identification via des attaques de phishing à grande échelle
Des chercheurs en cybersécurité ont alerté sur des campagnes de phishing exploitant les en-têtes HTTP pour diffuser des pages de connexion par e-mail falsifiées, visant à voler les identifiants des utilisateurs. Contrairement aux méthodes traditionnelles, ces attaques utilisent des liens malveillants qui forcent le navigateur à actualiser une page sans interaction de l'utilisateur. Observées entre mai et juillet 2024, ces campagnes ont ciblé des entreprises sud-coréennes, des agences gouvernementales et des écoles américaines, avec environ 2 000 URL malveillantes identifiées. Le secteur des affaires et de l'économie a été le plus touché (36 %), suivi des services financiers (12,9 %) et du gouvernement (6,9 %). Les attaquants imitent des domaines légitimes pour masquer leurs intentions, pré-remplissant les pages de connexion avec les adresses e-mail des victimes. Parallèlement, des campagnes de fraude utilisant des vidéos deepfake pour promouvoir des arnaques d'investissement ont émergé, tandis qu'un acteur malveillant, Greasy Opal, propose des services d'automatisation pour aider d'autres cybercriminels. Les attaques de phishing et de compromission d'e-mails d'entreprise continuent de représenter une menace majeure, ayant coûté environ 55,49 milliards de dollars aux organisations entre 2013 et 2023.
Sources :
Une vulnérabilité Windows a abusé des « espaces » braille dans des attaques zero-day
Une vulnérabilité récemment corrigée de Windows, identifiée sous le nom CVE-2024-43461, a été exploitée dans des attaques par le groupe de hackers APT Void Banshee. Initialement, Microsoft n'avait pas signalé cette faille comme ayant été exploitée avant sa correction lors du Patch Tuesday de septembre 2024. Cependant, des chercheurs de Trend Micro ont révélé que cette vulnérabilité avait été utilisée pour installer des logiciels malveillants visant à voler des informations. Les attaques ont également impliqué une autre vulnérabilité, CVE-2024-38112, qui permettait d'ouvrir des sites malveillants via Internet Explorer. Les attaquants ont utilisé des fichiers de raccourci Windows pour rediriger vers des URL contrôlées par eux, téléchargeant ainsi un fichier HTA malveillant. Ce fichier, grâce à des caractères d'espacement en braille, masquait son extension .hta, le faisant apparaître comme un fichier PDF dans les invites de Windows. Bien que Microsoft ait corrigé cette vulnérabilité, des chercheurs soulignent que la méthode de dissimulation pourrait encore induire en erreur les utilisateurs. En plus de CVE-2024-43461, Microsoft a corrigé trois autres vulnérabilités activement exploitées lors de cette mise à jour.
Sources :
Collection 3 : la base de données pirate de 527 millions de données volées
Un pirate informatique, surnommé « Pierro la Lune », a récemment mis en ligne une base de données contenant plus de 527 millions d’identifiants de connexion, dont 105 millions sont inédits. Cette base, constituée entre août et septembre 2024, comprend des fichiers variés tels que « url:courriel:mot de passe » et « Email:mot de passe:salt ». ZATAZ, un service de veille, a confirmé que 60 % des comptes peuvent encore être compromis. La base contient des données provenant de 474 425 domaines en .fr, 103 098 en .be et 162 466 en .ca, totalisant plus de 15 millions de domaines différents. Les mots de passe les plus courants incluent des combinaisons ridicules comme « 123456 », retrouvé plus de 3 millions de fois. Cette diffusion massive de données vise à promouvoir les services du pirate au sein de la communauté malveillante. ZATAZ a alerté ses abonnés sur cette découverte, mais il n'est pas possible de vérifier les logins via un site. Cette situation souligne l'ampleur croissante des menaces liées aux données piratées et la nécessité d'une vigilance accrue en matière de sécurité en ligne.
