Dragonrank : menaces de logiciels malveillants sur les serveurs IIS - Actus du 10/02/2025
Découvrez comment Microsoft booste ses primes pour le bug bounty de Copilot AI, les techniques de Social Engineering utilisées pour l'hameçonnage, et notre récapitulatif des menaces et conseils cybersécurité du 10 février. Ne manquez rien des dernières tendances en cybersécurité!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft augmente les récompenses pour le programme de prime de bug de copilote AI
Microsoft a annoncé l'expansion de son programme de récompenses pour la détection de vulnérabilités dans ses produits Copilot, en augmentant les paiements pour les failles de gravité modérée. Dans le but de renforcer la sécurité de ses produits, la société a élargi la portée du programme pour inclure des services tels que Copilot pour Telegram et WhatsApp, ainsi que des plateformes comme copilot.microsoft.com et copilot.ai. Les chercheurs peuvent désormais recevoir jusqu'à 5 000 dollars pour signaler des vulnérabilités modérées, contribuant ainsi à la sécurité de l'écosystème Copilot. Les récompenses varient de 250 dollars pour des failles de faible gravité à 30 000 dollars pour des défauts critiques. En outre, le programme de récompenses Microsoft 365 a été élargi pour inclure de nouveaux produits Viva, avec des récompenses allant jusqu'à 27 000 dollars. Ces initiatives s'inscrivent dans le cadre de l'Initiative pour un Avenir Sûr, lancée en novembre 2023, visant à améliorer la culture de sécurité de l'entreprise suite à un rapport critique du Cyber Safety Review Board du Département de la Sécurité intérieure des États-Unis.
Sources :
Sumup: Quand le Social Engineering SERT L’HAMEçonnage
Une récente campagne d'hameçonnage ciblant les clients de SumUp a été révélée par ZATAZ, illustrant l'ingéniosité des escrocs en matière de social engineering. Les fraudeurs envoient des messages soigneusement élaborés, imitant l'identité visuelle de SumUp, et préparent leurs victimes en leur annonçant l'envoi de deux SMS après une connexion sur un site falsifié. Ce stratagème renforce la confiance des cibles, les incitant à cliquer et à être redirigées vers un site de phishing. L'enquête de ZATAZ a permis d'identifier les responsables de cette opération, qui peuvent causer des dommages considérables en accédant aux comptes SumUp. Les conséquences incluent le vol de données sensibles, le détournement de fonds, et la possibilité d'usurpation d'identité. Les pirates peuvent également générer de fausses transactions et modifier les paramètres de sécurité pour contrôler les comptes. Depuis décembre 2023, ces attaques se poursuivent sans entrave. Pour se protéger, il est crucial de vérifier l'expéditeur des courriels, d'utiliser des méthodes d'authentification robustes, et de ne faire confiance qu'aux sites officiels. La vigilance est essentielle face à ces manipulations de plus en plus sophistiquées.
Sources :
⚡ Recaps hebdomadaire Thn: principales menaces, outils et conseils de cybersécurité [10 février]
Un article récent met en lumière plusieurs menaces cybernétiques, notamment l'exploitation d'une vulnérabilité dans l'outil d'archivage 7-Zip par des groupes criminels russes pour diffuser le malware SmokeLoader ciblant des entités ukrainiennes. La baisse des attaques est attribuée aux succès des forces de l'ordre contre les gangs de ransomware et à une prise de conscience mondiale croissante. Par ailleurs, une nouvelle menace a été identifiée dans l'App Store d'Apple, liée à un acteur kazakh, partageant des tactiques avec le groupe YoroTrooper. De plus, une campagne à grande échelle vise des organisations russes avec le NOVA stealer, un fork commercial du Snake Keylogger. Les chercheurs de watchTowr Labs ont découvert environ 150 buckets Amazon S3 abandonnés, exposant des millions de requêtes HTTP, ce qui pourrait permettre à des acteurs malveillants de déployer des mises à jour logicielles nuisibles. Enfin, une demande controversée pour accéder à des données entièrement chiffrées a été signalée, suscitant des inquiétudes quant à la vie privée. Ces événements soulignent l'importance de la cybersécurité et les risques associés aux infrastructures non sécurisées.
Sources :
Ne négligez pas ces 6 configurations de sécurité Okta critiques
Okta, avec plus de 18 000 clients, est un acteur clé de la gouvernance et de la sécurité des identités, mais cette position en fait une cible privilégiée pour les cybercriminels. Récemment, Okta a alerté ses clients sur une augmentation des tentatives de phishing visant à usurper l'identité de son personnel de support. Pour renforcer la sécurité d'Okta, l'article présente six paramètres essentiels. Parmi eux, les politiques de mot de passe robustes, qui incluent des exigences de longueur et de complexité, ainsi que des vérifications de mots de passe courants. L'authentification à deux facteurs (2FA) résistante au phishing est également cruciale, surtout pour les comptes administratifs. Okta ThreatInsight utilise l'apprentissage automatique pour détecter et bloquer les tentatives d'authentification suspectes. La liaison de session ASN aide à prévenir le détournement de session en liant les sessions administratives à des numéros de système autonome spécifiques. Les règles de comportement détectent les anomalies et déclenchent des étapes d'authentification supplémentaires. Enfin, la gestion de la posture de sécurité SaaS (SSPM) offre une surveillance continue et des recommandations pour maintenir une sécurité optimale sur Okta et d'autres applications SaaS critiques. Cette approche proactive aide à prévenir les violations de sécurité.
Sources :
Dragonrank exploite les serveurs IIS avec des logiciels malveillants Badiis pour la fraude et les redirections de jeu SEO
Des acteurs malveillants ciblent des serveurs Internet Information Services (IIS) en Asie dans le cadre d'une campagne de manipulation de référencement (SEO) visant à installer le malware BadIIS. Selon les chercheurs de Trend Micro, Ted Lee et Lenart Bermejo, cette campagne semble motivée financièrement, car elle redirige les utilisateurs vers des sites de jeux d'argent illégaux. Les cibles incluent des serveurs IIS en Inde, Thaïlande, Vietnam, Philippines, Singapour, Taïwan, Corée du Sud, Japon et Brésil, touchant des secteurs gouvernementaux, universitaires, technologiques et de télécommunications. Les serveurs compromis peuvent servir un contenu altéré, allant de redirections vers des sites de jeux à des connexions avec des serveurs malveillants. On soupçonne un groupe de menaces sinophone, connu sous le nom de DragonRank, d'être derrière cette activité. Trend Micro a noté que les artefacts de malware détectés présentent des similitudes avec une variante utilisée par un autre groupe, le Groupe 11. Parallèlement, le réseau de distribution de contenu Funnull, basé en Chine, est lié à des pratiques de blanchiment d'infrastructure, louant des adresses IP pour héberger des sites criminels.
Sources :
GRASP : Une réponse aux défis cybersécurité de l’IA ?
La plateforme GRASP (Global Risk and AI Safety Preparedness) a été lancée le 9 février 2025 à Paris pour répondre aux défis de cybersécurité liés à l'intelligence artificielle (IA). Initiée par la Mohammed Bin Rashid School of Government et soutenue par le Future of Life Institute, GRASP vise à fournir une cartographie des risques associés à l'IA et des solutions pour les anticiper et les atténuer. Elle offre une base de données interactive permettant aux gouvernements, chercheurs et entreprises d'identifier les menaces, telles que les cyberattaques, la désinformation, et les biais algorithmiques. En plus d'un inventaire des dangers, GRASP propose des études de cas et des stratégies concrètes d'atténuation, s'appuyant sur les recherches du MIT AI Risk Repository et les initiatives de l'OCDE. Dirigé par Cyrus Hodes, le projet ambitionne de réguler le développement de l'IA en facilitant l'accès aux solutions existantes. Alors que l'IA évolue rapidement, GRASP pourrait représenter un pas vers une adoption éthique et sécurisée de ces technologies, tout en soulignant la nécessité d'une gouvernance mondiale coordonnée. D'autres projets, comme ATLAS MITRE, complètent cette initiative en fournissant des connaissances sur les menaces adversariales.
Sources :
Zimbra publie des mises à jour de sécurité pour l'injection SQL, les XSS stockés et les vulnérabilités SSRF
Zimbra a publié des mises à jour logicielles pour corriger des vulnérabilités critiques dans son logiciel de collaboration, susceptibles de mener à des divulgations d'informations. La vulnérabilité principale, identifiée comme CVE-2025-25064, a un score CVSS de 9,8 sur 10 et concerne une injection SQL dans le service ZimbraSync, affectant les versions antérieures à 10.0.12 et 10.1.4. Cette faille, due à une mauvaise sanitisation d'un paramètre fourni par l'utilisateur, pourrait être exploitée par des attaquants authentifiés pour exécuter des requêtes SQL arbitraires et récupérer des métadonnées d'emails. Zimbra a également corrigé une vulnérabilité critique liée à un script intersite stocké (XSS) dans le client web classique, sans identifiant CVE attribué, en renforçant la sanitisation des entrées dans les versions 9.0.0 Patch 44, 10.0.13 et 10.1.5. De plus, la vulnérabilité CVE-2025-25065, avec un score CVSS de 5,3, concerne une faille de falsification de requête côté serveur (SSRF) dans le parseur de flux RSS, permettant des redirections non autorisées vers des points de terminaison internes. Les clients sont encouragés à mettre à jour vers les dernières versions pour une protection optimale.
Sources :
« Nos outils IA permettent déjà d’éviter des traumatismes », entretien avec le général de gendarmerie en charge de l’IA
Le Sommet de l’IA, qui débute le 10 février, met en lumière l'utilisation concrète de l'intelligence artificielle par la gendarmerie française pour lutter contre la criminalité, notamment la cybercriminalité. Lors du Cybershow Paris 2025, le général Patrick Perrot, coordonnateur IA pour la gendarmerie, a présenté des outils développés pour aider les enquêteurs. Parmi eux, Odip (Outil de détection d’images pédopornographiques) joue un rôle crucial en accélérant l'analyse de contenus sensibles tout en protégeant les enquêteurs des traumatismes liés à leur exposition. Cet outil classe les images sans les afficher, transformant les données en informations exploitables. Bien que la gendarmerie aspire à disposer d'un outil entièrement français, elle privilégie l'efficacité immédiate pour résoudre les enquêtes en cours. Le général Perrot reconnaît également les dangers de l'IA, notamment son utilisation par les cybercriminels pour créer des deepfakes et automatiser des fraudes. Malgré ces risques, il reste optimiste quant au potentiel de l'IA pour améliorer la sécurité publique. En somme, l'IA représente un atout majeur pour la gendarmerie dans sa lutte contre la criminalité, tout en soulevant des préoccupations éthiques et sécuritaires.
Sources :
XE Hacker Group exploite Veracore Zero-Day pour déployer des coquilles Web persistantes
Des acteurs malveillants exploitent plusieurs vulnérabilités de sécurité dans des logiciels tels que Progress Telerik UI pour ASP.NET AJAX et Advantive VeraCore, permettant l'installation de reverse shells et de web shells pour un accès à distance persistant. Le groupe XE, d'origine vietnamienne, est responsable de l'exploitation de failles zero-day dans VeraCore, marquant une évolution de leurs priorités vers le vol d'informations ciblé. Selon un rapport d'Intezer et Solis Security, leurs attaques visent désormais les chaînes d'approvisionnement dans les secteurs de la fabrication et de la distribution. Parmi les vulnérabilités identifiées, CVE-2024-57968 (score CVSS : 9.9) permet le téléchargement non restreint de fichiers, tandis que CVE-2025-25181 (score CVSS : 5.8) est une vulnérabilité d'injection SQL sans correctif disponible. Ces failles sont utilisées pour déployer des web shells ASPXSpy, facilitant l'accès non autorisé et l'exfiltration de données. La CISA a ajouté cinq nouvelles vulnérabilités à son catalogue, soulignant l'importance de la mise à jour des systèmes exposés à Internet. Les attaques récentes montrent une sophistication croissante des méthodes utilisées par XE Group, qui continue d'exploiter des vulnérabilités anciennes.
