Google confirme une vulnérabilité zero-day de Chrome désormais corrigée - Actus du 01/09/2024
Découvrez comment un botnet exploite des caméras IP AVTECH vulnérables, les dernières mises à jour de sécurité de Microsoft Copilot et pourquoi Notion quitte la Russie face aux restrictions américaines. Protégez vos données et restez informé!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un botnet malveillant exploite les caméras IP AVTECH vulnérables
Des chercheurs ont découvert que le botnet Corona Mirai exploitait activement une vulnérabilité zero-day dans les caméras IP AVTECH, identifiée sous le code CVE-2024-7029, qui a reçu une note de gravité élevée (CVSS 8.7). Cette faille, liée à la fonction de luminosité dans le fichier /cgi-bin/supervisor/Factory.cgi, permet une injection de commandes. Bien que connue depuis cinq ans, elle n'a été officiellement référencée qu'en août 2024, échappant à l'exploitation jusqu'en mars 2024. Les tentatives d'exploitation remontent cependant à décembre 2023. Les caméras concernées, utilisant des versions de firmware AVM1203 antérieures à FullImg-1023-1007-1011-1009, ont atteint leur fin de vie, ce qui signifie qu'aucun correctif ne sera disponible. Les utilisateurs de ces appareils sont donc exposés à des risques jusqu'à leur remplacement. Le botnet Corona Mirai exécute des codes malveillants via des attaques à distance, se connectant à divers hôtes via Telnet. La CISA a émis une alerte concernant cette vulnérabilité, conseillant aux utilisateurs de réduire l'exposition réseau et de sécuriser l'accès à distance. Les secteurs de la santé, du commerce et des finances sont particulièrement ciblés.
Sources :
Microsoft a corrigé des vulnérabilités de Copilot qui pourraient exposer des données
Un chercheur en sécurité, Johann Rehberger, a découvert plusieurs vulnérabilités dans Microsoft Copilot, permettant potentiellement le vol de données personnelles via des attaques par injection de prompts malveillants. En utilisant une technique appelée "ASCII smuggling", il a pu injecter des caractères invisibles dans l'interface utilisateur, que le modèle d'IA interprétait néanmoins. Ces caractères pouvaient être intégrés dans des liens cliquables, redirigeant les données vers des serveurs tiers lors de leur activation. Les attaques pouvaient également être menées par le biais d'e-mails ou de documents malveillants, incitant Copilot à générer des réponses basées sur des instructions cachées, facilitant ainsi l'exfiltration de données. Rehberger a signalé ces vulnérabilités à Microsoft en janvier 2024, et la société a rapidement déployé des correctifs, bien que les détails de la stratégie de mitigation restent flous. Microsoft n'a pas divulgué comment ces problèmes ont été résolus, malgré les demandes de Rehberger. Ce dernier a recommandé d'éviter l'invocation automatique d'outils suite à des prompts malveillants et de ne pas afficher de caractères cachés. Microsoft avait précédemment corrigé une vulnérabilité SSRF dans Copilot, qui pouvait également exposer des informations sensibles.
Sources :
Notion a annoncé sa sortie de Russie suite aux restrictions imposées par les États-Unis
Notion a annoncé qu'elle cessera ses services en Russie à partir du 9 septembre 2024, en raison des restrictions imposées par les lois américaines interdisant la fourniture de produits et services à ce pays. Cette décision affecte tous les utilisateurs russes, en particulier ceux ayant un historique de facturation en Russie, qui perdront définitivement l'accès à leurs espaces de travail. Les utilisateurs sans facturation associée pourront récupérer leurs données jusqu'au 8 septembre 2024, date à laquelle leurs espaces seront définitivement supprimés. Notion, une application de prise de notes et de gestion de projets largement utilisée, a pris cette mesure en réponse à l'interdiction américaine visant à perturber la dépendance de la Russie vis-à-vis des systèmes informatiques étrangers, dans le contexte du conflit en Ukraine. D'autres entreprises américaines, comme Docker Hub, ont également suspendu leurs services pour les utilisateurs russes, et il est probable que d'autres suivront cette tendance. Cette décision de Notion aura un impact significatif sur les utilisateurs russes, qui devront chercher des alternatives pour leurs projets et leur productivité.
Sources :
Google a confirmé qu'une vulnérabilité de Chrome désormais corrigée est une vulnérabilité zero-day
Google a récemment corrigé 38 vulnérabilités dans son navigateur Chrome, dont une qualifiée de zero-day. Cette vulnérabilité, identifiée sous le nom CVE-2024-7965, concerne une mauvaise implémentation dans le moteur JavaScript V8 de Chrome, permettant à un attaquant distant d'exploiter une corruption de mémoire via une page HTML malveillante. Bien que Google ait initialement décrit cette faille comme un problème de haute sévérité, il a confirmé qu'elle était exploitée activement après la publication du correctif. Le chercheur ayant signalé cette vulnérabilité, connu sous le pseudonyme "TheDog", a reçu une récompense de 11 000 dollars. La faille a reçu un score CVSS de 8,8, indiquant son niveau de gravité. Bien que Google n'ait pas encore fourni de détails sur une mise à jour pour Chrome sur Android, il est probable que cette vulnérabilité affecte également les appareils Android, étant donné que les correctifs de sécurité pour Chrome Desktop et Android sont souvent synchronisés. Les utilisateurs de Chrome, tant sur desktop que sur mobile, sont donc fortement encouragés à mettre à jour leurs systèmes pour se protéger contre cette menace. Il est conseillé de vérifier manuellement les mises à jour pour garantir la sécurité.
Sources :
Le nouveau malware Linux « sedexp » est resté indétecté pendant deux ans
Des chercheurs d'Aon Security ont découvert un nouveau malware, nommé "sedexp", ciblant les systèmes Linux depuis au moins deux ans sans être détecté. Ce malware, lié à un acteur malveillant motivé financièrement, parvient à s'installer de manière persistante sur les appareils Linux en exploitant les règles udev, qui gèrent les événements liés aux périphériques. Cela permet à "sedexp" de s'exécuter à chaque démarrage du système, rendant sa détection difficile. En plus de sa persistance, le malware offre des fonctionnalités telles qu'un shell inversé, permettant à l'attaquant de contrôler entièrement le système ciblé, et une modification de la mémoire pour dissimuler tout fichier contenant le terme "sedexp". Les chercheurs ont observé plusieurs instances publiques de ce malware sans aucune détection dans des environnements de test en ligne. Bien que l'identité des acteurs derrière "sedexp" reste inconnue, leur comportement furtif suggère un lien avec des activités de vol de cartes de crédit. Les experts recommandent aux utilisateurs, en particulier aux organisations, de procéder à des examens forensiques approfondis de leurs serveurs et de mettre en place des mesures de sécurité adéquates pour se protéger contre de telles menaces.
Sources :
- https://latesthackingnews.com/2024/09/01/new-sedexp-linux-malware-remained-undetected-for-two-years/
Les commentaires de GitHub utilisés à mauvais escient pour diffuser des logiciels malveillants de vol de mots de passe déguisés en correctifs
GitHub est actuellement utilisé pour diffuser le malware Lumma Stealer, qui vole des informations, sous couvert de fausses solutions publiées dans les commentaires des projets. Cette campagne a été signalée par un contributeur de la bibliothèque teloxide rust, qui a remarqué plusieurs commentaires trompeurs sur ses problèmes GitHub. Une enquête a révélé des milliers de commentaires similaires sur divers projets, tous proposant de fausses solutions. Les utilisateurs sont incités à télécharger une archive protégée par mot de passe depuis mediafire.com ou via un lien bit.ly, contenant un exécutable malveillant. En trois jours, plus de 29 000 commentaires ont été postés, chacun suggérant de télécharger un fichier nommé 'fix.zip'. Ce fichier contient des DLL et un exécutable qui, une fois lancé, vole des données sensibles telles que des mots de passe, des informations de carte de crédit et des clés de portefeuille de cryptomonnaie. Bien que le personnel de GitHub supprime ces commentaires, des utilisateurs ont déjà été victimes de cette attaque. Il est conseillé à ceux qui ont exécuté le malware de changer leurs mots de passe et de migrer leurs cryptomonnaies vers de nouveaux portefeuilles.
Sources :
Journée internationale des femmes dans la cyber – 1er septembre
À l'occasion de la Journée internationale des femmes dans le cyberespace, Mandy Andress, RSSI d'Elastic, souligne l'importance d'une approche diversifiée en cybersécurité face à l'évolution des menaces. Elle affirme que les équipes de sécurité informatique, enrichies de perspectives variées, sont plus aptes à faire preuve de créativité pour contrer les attaques. Andress propose deux mesures essentielles pour intégrer davantage de femmes dans le secteur. Premièrement, elle suggère d'élargir les critères de sélection des candidats en tenant compte de compétences et de traits de personnalité variés, au-delà des parcours académiques traditionnels. Deuxièmement, elle appelle à intensifier les efforts pour attirer les femmes vers des postes vacants, en repensant les méthodes de communication et de promotion des offres d'emploi. Andress insiste sur le fait que l'absence de points de vue féminins dans un domaine aussi multidisciplinaire constitue une vulnérabilité, nuisant non seulement à la qualité du travail, mais aussi à la sécurité des systèmes. En conclusion, elle affirme qu'une équipe de cybersécurité diversifiée est non seulement bénéfique, mais essentielle pour faire face aux défis actuels.
Sources :
Le malware « Voldemort » se fait passer pour les finances publiques françaises
Les chercheurs de Proofpoint ont récemment identifié un nouveau malware, nommé « Voldemort », utilisé par un acteur de la menace se faisant passer pour la Direction Générale des Finances Publiques en France. Ce malware, observé pour la première fois en août 2024, a été impliqué dans l'envoi de plus de 20 000 messages touchant plus de 70 organisations à l'échelle mondiale. L'attaque utilise des méthodes de commande et de contrôle (C2) variées, y compris l'usage de Google Sheets. Les principales conclusions de l'étude révèlent que l'identité d'autorités fiscales de plusieurs pays, tels que le Royaume-Uni et les États-Unis, a été usurpée. Le malware semble être destiné à des fins d'espionnage, avec des capacités de collecte de renseignements, plutôt qu'à des gains financiers, ce qui laisse penser qu'il pourrait s'agir d'un acteur APT. La campagne a ciblé 18 secteurs différents, dont près d'un quart des victimes étaient des compagnies d'assurance. Les techniques employées dans cette attaque sont de plus en plus courantes dans le cyberespace, illustrant que les acteurs d'espionnage utilisent souvent des tactiques similaires à celles des cybercriminels motivés par le profit.
Sources :
Zimperium met en garde les entreprises contre l’augmentation des attaques par hameçonnage sur les appareils mobiles
Zimperium, leader en sécurité mobile, observe une hausse alarmante des attaques de phishing sur mobile, incluant le smishing, vishing, et d'autres formes. Ces attaques, souvent déguisées en campagnes ciblant les consommateurs, servent à diffuser des malwares et à voler des informations sensibles, infiltrant ainsi les réseaux d'entreprise. Selon l'analyse du zLabs, 87,1 % des URL de phishing utilisent des connexions HTTPS, créant un faux sentiment de sécurité. De plus, 78 % des sites de phishing ciblent spécifiquement les navigateurs mobiles, rendant ces appareils particulièrement vulnérables. Les attaquants exploitent des domaines uniques pour héberger plusieurs sites frauduleux, augmentant le risque de vol de données, surtout lorsque les utilisateurs réutilisent leurs mots de passe. L'étude révèle que 60 % des nouveaux domaines de phishing obtiennent un certificat SSL dans les deux heures suivant leur création, rendant ces menaces opérationnelles rapidement. Bien que 50 % des sites de phishing soient découverts dans la semaine suivant leur création, l'autre moitié demeure active plus longtemps, soulignant l'importance d'une détection en temps réel. Nico Chiaraviglio de Zimperium insiste sur la nécessité de renforcer les défenses mobiles face à ces menaces évolutives.
Sources :
Des pirates informatiques nord-coréens déploient le rootkit FudModule via un exploit zero-day sur Chrome
Une faille de sécurité récemment corrigée dans Google Chrome et d'autres navigateurs basés sur Chromium a été exploitée par des acteurs nord-coréens dans une campagne visant à déployer le rootkit FudModule. Microsoft a détecté cette activité le 19 août 2024, l'attribuant à un groupe de menaces connu sous le nom de Citrine Sleet, qui cible principalement les institutions financières et les individus liés aux cryptomonnaies. Les attaques impliquent souvent la création de faux sites de trading de cryptomonnaies pour inciter les utilisateurs à installer des applications malveillantes. L'exploit observé a utilisé la vulnérabilité CVE-2024-7971, permettant l'exécution de code à distance dans le processus de rendu Chromium. Bien que Google ait corrigé cette faille, des attaques ont continué après la mise à jour. Microsoft a noté que cette exploitation pourrait résulter d'une "collision de bogues", où plusieurs acteurs découvrent indépendamment la même vulnérabilité. Citrine Sleet a également utilisé d'autres failles cette année pour déployer le FudModule. Les experts soulignent l'importance de maintenir les systèmes à jour et d'utiliser des solutions de sécurité pour détecter et bloquer les activités malveillantes après une exploitation.
