Google corrige une faille de sécurité très grave dans Chrome - Actus du 22/08/2024
Découvrez comment les États-Unis accusent un négociateur du gang Karakurt, l'importance des tests de pénétration continus et les allégations sur la backdoor cachée par le gouvernement chinois dans des cartes sans contact. Plongez dans ces révélations choquantes !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les États-Unis accusent le négociateur de l’affaire non résolue du gang d’extorsion Karakurt
Un membre du groupe de ransomware russe Karakurt, Deniss Zolotarjovs, a été inculpé aux États-Unis pour blanchiment d'argent, fraude électronique et extorsion. Âgé de 33 ans et citoyen letton vivant à Moscou, il a été arrêté en décembre 2023 en Géorgie, en Europe de l'Est, avant d'être extradé vers les États-Unis. Selon le ministère américain de la Justice, Zolotarjovs faisait partie d'une organisation criminelle connue pour attaquer des systèmes informatiques à l'échelle mondiale, en volant des données et en exigeant des rançons sous la menace de divulgation. Il a été identifié comme le négociateur des "cold cases" d'extorsion pour Karakurt, où il a géré des cas où la communication avait cessé après l'attaque. Les enquêtes du FBI ont établi des liens entre Zolotarjovs et au moins six cas d'extorsion touchant des entreprises américaines entre août 2021 et novembre 2023. Karakurt, actif depuis 2021, se concentre sur l'exfiltration de données sans utiliser d'outils de cryptage. Zolotarjovs est le premier membre de Karakurt à être arrêté et extradé, ce qui pourrait faciliter l'identification d'autres membres. Les crimes encourent jusqu'à 20 ans de prison.
Sources :
Les faits sur les tests de pénétration continus et pourquoi ils sont importants
Le Continuous Attack Surface Penetration Testing (CASPT) se distingue des tests de pénétration traditionnels, souvent réalisés annuellement, en étant un processus continu intégré au cycle de développement logiciel (SDLC). Cela permet de détecter et de corriger les vulnérabilités en temps réel. CASPT s'applique à divers actifs numériques, notamment les applications web et les réseaux, en identifiant des failles telles que les injections SQL et les configurations de pare-feu inappropriées. En combinant CASPT avec des outils comme l'Attack Surface Management (ASM) et le red teaming, les organisations peuvent mieux prioriser les scans et se concentrer sur les actifs critiques, réduisant ainsi leur surface d'attaque et augmentant leur résilience face aux menaces. Cette approche proactive est essentielle dans un paysage de cybersécurité en constante évolution, où les vulnérabilités émergent quotidiennement. Bien que les petites entreprises puissent rencontrer des défis pour mettre en œuvre CASPT, cette méthode est particulièrement bénéfique pour celles évoluant dans des environnements dynamiques et à haut risque. En fin de compte, bien que l'investissement initial soit plus élevé, les avantages à long terme, tels que des économies de coûts et une meilleure conformité, font du CASPT un élément clé de toute stratégie de sécurité moderne.
Sources :
Le gouvernement Chinois a-t-il caché une backdoor dans des millions de cartes sans contact ?
Une découverte alarmante a été faite par la société française Quarkslab, qui a révélé l'existence d'une porte dérobée dans des millions de cartes d'accès sans contact fabriquées par Shanghai Fudan Microelectronics. Ces cartes, largement utilisées dans les transports publics et l'hôtellerie, présentent une vulnérabilité permettant leur clonage ou manipulation via une clé commune. Philippe Teuwen, chercheur chez Quarkslab, souligne que cette faille expose les risques de sécurité associés à la technologie NFC. Fred Reynal, également de Quarkslab, précise que cette backdoor n'est pas simplement une mesure de maintenance, mais un contournement délibéré des systèmes de sécurité, similaire à des cas historiques comme celui de la NSA avec Lotus Notes. Les cartes MIFARE, utilisées dans plus de 750 villes à travers 50 pays, sont particulièrement vulnérables, ce qui soulève des préoccupations majeures pour la sécurité des infrastructures critiques. La question de la protection contre cette menace est cruciale, mais le remplacement des systèmes ou la mise à jour des cartes pourrait s'avérer long et complexe. Cette situation met en lumière les enjeux de sécurité liés aux technologies sans contact et la nécessité d'une vigilance accrue.
Sources :
Google corrige une faille de sécurité très grave dans Chrome, exploitée activement dans la nature
Google a déployé des correctifs de sécurité pour remédier à une vulnérabilité de haute gravité dans son navigateur Chrome, identifiée sous le nom CVE-2024-7971. Ce bug, qualifié de type confusion dans le moteur V8 JavaScript et WebAssembly, permet à un attaquant distant d'exploiter une corruption de mémoire via une page HTML malveillante. Découverte par le Microsoft Threat Intelligence Center et le Microsoft Security Response Center le 19 août 2024, cette faille est actuellement exploitée activement. Google a reconnu qu'un exploit pour CVE-2024-7971 existe dans la nature, sans fournir de détails supplémentaires sur les attaques ou les acteurs impliqués, afin de protéger les utilisateurs. Ce correctif est le troisième bug de type confusion corrigé dans V8 cette année, après CVE-2024-4947 et CVE-2024-5274. Depuis le début de 2024, Google a résolu neuf vulnérabilités zero-day dans Chrome, dont trois démontrées lors de l'événement Pwn2Own 2024. Les utilisateurs sont fortement encouragés à mettre à jour leur navigateur vers la version 128.0.6613.84/.85 pour Windows et macOS, et 128.0.6613.84 pour Linux, ainsi qu'à appliquer les correctifs pour les navigateurs basés sur Chromium.
Sources :
Une faille critique dans le plugin WordPress LiteSpeed Cache permet aux pirates d'accéder à l'administrateur
Des chercheurs en cybersécurité ont révélé une vulnérabilité critique dans le plugin LiteSpeed Cache pour WordPress, permettant à des utilisateurs non authentifiés d'acquérir des privilèges d'administrateur. Cette faille, identifiée sous le code CVE-2024-28000 (score CVSS : 9.8), a été corrigée dans la version 6.4 du plugin, publiée le 13 août 2024, et affecte toutes les versions antérieures à 6.3.0.1. LiteSpeed Cache, utilisé par plus de cinq millions d'installations, présente une vulnérabilité d'escalade de privilèges non authentifiée, permettant à un attaquant de simuler son ID utilisateur et de s'enregistrer en tant qu'administrateur. Cette faille provient d'une fonctionnalité de simulation d'utilisateur utilisant un hachage de sécurité faible, basé sur un nombre aléatoire facilement devinable. Le générateur de nombres aléatoires, dérivé de la partie microseconde de l'heure actuelle, offre seulement un million de valeurs possibles, ce qui le rend peu sécurisé. Les attaquants peuvent ainsi créer un compte administrateur via l'API REST de WordPress. Il est crucial pour les utilisateurs de mettre à jour rapidement leurs installations, surtout après une précédente vulnérabilité exploitée (CVE-2023-40000).
Sources :
GitHub corrige une faille de sécurité critique dans l'octroi de privilèges d'administrateur sur Enterprise Server
GitHub a publié des correctifs pour trois vulnérabilités de sécurité affectant son produit Enterprise Server, dont une critique permettant d'obtenir des privilèges d'administrateur de site. La plus grave, identifiée par CVE-2024-6800, a un score CVSS de 9,5. Selon GitHub, sur les instances de GitHub Enterprise Server utilisant l'authentification SAML SSO avec des IdP spécifiques, un attaquant pourrait falsifier une réponse SAML pour accéder à un compte d'administrateur. Deux autres vulnérabilités de gravité moyenne ont également été corrigées : CVE-2024-7711 (CVSS 5,3), qui permettrait à un attaquant de modifier des éléments dans un dépôt public, et CVE-2024-6337 (CVSS 5,9), qui pourrait permettre l'accès à des contenus d'un dépôt privé via une application GitHub avec des permissions limitées. Les trois vulnérabilités ont été corrigées dans les versions 3.13.3, 3.12.8, 3.11.14 et 3.10.16 de GHES. En mai, GitHub avait déjà corrigé une vulnérabilité critique (CVE-2024-4985, CVSS 10.0) permettant un accès non autorisé. Les organisations utilisant une version vulnérable de GHES sont fortement conseillées de mettre à jour pour se protéger contre ces menaces.
Sources :
Le nouveau malware PG_MEM cible les bases de données PostgreSQL pour le minage de crypto-monnaies
Des chercheurs en cybersécurité ont identifié un nouveau malware, PGMEM, conçu pour miner des cryptomonnaies en exploitant des bases de données PostgreSQL mal configurées. Selon Assaf Morag, chercheur chez Aqua, les attaques par force brute consistent à deviner les identifiants de la base de données en utilisant des mots de passe faibles. Une fois l'accès obtenu, les attaquants peuvent exécuter des commandes shell arbitraires via la commande SQL COPY … FROM PROGRAM, permettant des activités malveillantes telles que le vol de données ou le déploiement de malware. L'attaque cible des bases de données PostgreSQL mal configurées pour créer un rôle administrateur et exploiter la fonctionnalité PROGRAM. Après une attaque réussie, les attaquants effectuent une reconnaissance initiale et retirent les permissions superutilisateur de l'utilisateur "postgres", limitant ainsi les privilèges d'autres menaces potentielles. Les commandes shell téléchargent deux charges utiles, PGMEM et PG_CORE, depuis un serveur distant, permettant de mettre en place un mineur de Monero. Cette campagne exploite des bases de données PostgreSQL exposées à Internet avec des mots de passe faibles, souvent dues à des erreurs de configuration et à un manque de contrôles d'identité appropriés.
Sources :
Un homme condamné pour avoir piraté le registre d'état civil afin de simuler sa propre mort
Un homme de 39 ans, Jesse Kipf, originaire de Somerset, Kentucky, a été condamné à 81 mois de prison fédérale pour vol d'identité et falsification de sa propre mort dans les systèmes d'enregistrement gouvernementaux. Selon le ministère américain de la Justice, Kipf a utilisé des identifiants volés pour accéder au système d'enregistrement des décès d'Hawaï en janvier 2023, afin de se déclarer décédé et ainsi échapper à ses obligations de pension alimentaire. Il a créé un dossier de décès en se désignant comme le médecin certifiant, utilisant la signature numérique d'un médecin d'un autre État. Cette manœuvre a permis à Kipf d'apparaître comme décédé dans les bases de données gouvernementales, annulant ainsi ses dettes de pension alimentaire, ce qu'il a reconnu comme son principal motif. En plus de cela, il a accédé à des réseaux d'entreprises et des systèmes gouvernementaux, offrant ensuite l'accès à ces réseaux sur des marchés du dark web. Les dommages causés par ses actions sont estimés à plus de 195 750 dollars. Kipf purgera 85 % de sa peine, soit 69 mois, et sera sous surveillance pendant trois ans après sa libération.
Sources :
Google corrige le neuvième zero-day de Chrome exploité dans des attaques cette année
Google a publié aujourd'hui une mise à jour de sécurité d'urgence pour Chrome afin de corriger une vulnérabilité zero-day, identifiée comme CVE-2024-7971, qui est exploitée dans des attaques. Cette vulnérabilité, de haute sévérité, est due à une faiblesse de type confusion dans le moteur JavaScript V8 de Chrome, signalée par des chercheurs de Microsoft. Les failles de sécurité similaires peuvent permettre aux attaquants d'exécuter du code arbitraire sur des appareils ciblés utilisant des navigateurs non corrigés. La mise à jour, version 128.0.6613.84/.85 pour Windows/macOS et 128.0.6613.84 pour Linux, sera déployée progressivement pour tous les utilisateurs. Bien que Chrome se mette à jour automatiquement, les utilisateurs peuvent accélérer le processus via le menu d'aide. Cette vulnérabilité est la neuvième corrigée par Google en 2024, après plusieurs autres failles graves liées au moteur V8 et à d'autres composants de Chrome. Google a indiqué qu'il restreindrait l'accès aux détails des bogues jusqu'à ce qu'une majorité d'utilisateurs ait reçu la mise à jour, afin de prévenir d'éventuelles exploitations supplémentaires.
Sources :
Des pirates informatiques volent les identifiants bancaires des utilisateurs iOS et Android via des applications PWA
Des hackers exploitent des applications web progressives (PWA) pour usurper des applications bancaires et dérober des identifiants auprès des utilisateurs d'Android et d'iOS. Les PWA, qui peuvent être installées directement depuis un navigateur, offrent une expérience similaire à celle des applications natives, rendant leur détection difficile. Cette technique a été observée pour la première fois en Pologne en juillet 2023, suivie d'une campagne ciblant la République tchèque en novembre. La société de cybersécurité ESET suit actuellement deux campagnes distinctes visant OTP Bank en Hongrie et TBC Bank en Géorgie. Les cybercriminels utilisent divers moyens pour atteindre leurs cibles, notamment des appels automatisés, des SMS (smishing) et des publicités malveillantes sur Facebook. Ils trompent les utilisateurs avec de faux messages sur des mises à jour de sécurité nécessaires, les dirigeant vers des PWA de phishing. Les PWA permettent de contourner les restrictions d'installation des magasins d'applications et d'accéder à des permissions sans alerter les victimes. Cette tendance inquiétante pourrait s'intensifier à mesure que d'autres cybercriminels découvrent les avantages des PWA pour le phishing. Les entreprises comme Google et Apple n'ont pas encore annoncé de mesures pour contrer cette menace.
Sources :
Microsoft va déployer Windows Recall pour les Insiders en octobre
Microsoft a annoncé le déploiement de sa fonctionnalité Windows Recall, alimentée par l'IA, pour les utilisateurs Insiders disposant de PC Copilot+ en octobre. Cette fonctionnalité prend des captures d'écran des fenêtres actives, les analyse sur l'appareil à l'aide d'une unité de traitement neuronal (NPU) et d'un modèle d'IA, puis stocke les informations dans une base de données SQLite. Les utilisateurs pourront rechercher ces données en langage naturel pour récupérer des captures d'écran pertinentes. Cependant, des experts en cybersécurité et des défenseurs de la vie privée ont exprimé des inquiétudes, qualifiant Windows Recall de "cauchemar en matière de confidentialité", craignant qu'elle ne soit exploitée par des acteurs malveillants pour voler des données utilisateur. En réponse aux préoccupations, Microsoft a décidé de rendre Recall opt-in et de garantir que la base de données reste chiffrée jusqu'à ce qu'un utilisateur s'authentifie via Windows Hello. Après un report du lancement pour des tests supplémentaires, la société a confirmé que Recall sera d'abord disponible en version préliminaire pour les Insiders. Microsoft s'engage à prioriser la sécurité dans cette version de prévisualisation et promet de fournir plus de détails lors du déploiement.
Sources :
QNAP ajoute une protection contre les ransomwares NAS à sa dernière version de QTS
Le fournisseur taïwanais QNAP a intégré un nouveau Centre de sécurité dans la dernière version de son système d'exploitation QTS 5.2 pour les dispositifs de stockage en réseau (NAS), offrant des capacités de protection contre les ransomwares. Ce Centre surveille les opérations de fichiers suspectes pour détecter et bloquer les menaces de ransomware. En cas d'activité inhabituelle, les utilisateurs peuvent configurer les volumes en mode lecture seule pour éviter toute modification, créer des instantanés de volume pour une restauration rapide, et suspendre la planification des instantanés pour éviter l'encombrement de l'espace de stockage. QNAP souligne que cette fonctionnalité protège proactivement la sécurité des données en réagissant rapidement aux comportements suspects. La mise à jour inclut également des améliorations de performance, comme un démarrage et un arrêt des NAS jusqu'à 30 % plus rapides, ainsi que le support pour les disques auto-chiffrants TCG-Ruby. Les dispositifs NAS, souvent ciblés par des attaques de ransomwares comme DeadBolt et eCh0raix, sont vulnérables en raison de leur utilisation pour le stockage de fichiers sensibles. QNAP recommande des mesures de sécurité pour protéger les dispositifs exposés à Internet, telles que la désactivation de la redirection de port et de la fonction UPnP.
Sources :
Un samouraï diffuse 60 369 comptes de la CAF ?
Un pirate informatique a récemment diffusé plus de 60 000 numéros de sécurité sociale de citoyens français, accompagnés de mots de passe potentiels, ciblant les comptes de la Caisse des Allocations Familiales (CAF). Ce hacker, qui se fait appeler un pseudonyme inspiré d'une légende japonaise, a mis en ligne 60 369 comptes, bien qu'il ne garantisse pas leur fonctionnalité. Selon le Service Veille ZATAZ, les données incluent des informations hashées, illisibles sans clé de déhashage, ainsi que des données en clair, exploitables. Ce n'est pas la première fois que ce pirate agit ; il avait précédemment divulgué des informations sur « La Banque Postale » et des comptes de contribuables français. La situation soulève des inquiétudes quant à la sécurité des données personnelles, notamment avec le retour de ventes de bases de données, y compris celles de l'Assurance Maladie. Les utilisateurs de la CAF sont donc avertis de la nécessité de rester vigilants face à cette menace croissante. Les autorités et les experts en cybersécurité doivent intensifier leurs efforts pour protéger les informations sensibles des citoyens et prévenir de futures violations de données.
Sources :
Un bug de Litespeed Cache expose des millions de sites WordPress à des attaques de prise de contrôle
Une vulnérabilité critique dans le plugin LiteSpeed Cache pour WordPress expose des millions de sites à des attaques de prise de contrôle. Ce plugin, qui compte plus de 5 millions d'installations actives, permet à des attaquants de créer des comptes administrateurs malveillants grâce à une faille d'escalade de privilèges non authentifiée (CVE-2024-28000). Découverte par le chercheur en sécurité John Blackbourn, cette vulnérabilité résulte d'un contrôle de hachage faible dans la fonctionnalité de simulation d'utilisateur, affectant les versions jusqu'à 6.3.0.1. Un correctif a été publié dans la version 6.4 le 13 août. L'exploitation réussie de cette faille permet à des visiteurs non authentifiés d'accéder à des niveaux administratifs, leur donnant la possibilité d'installer des plugins malveillants, de modifier des paramètres critiques ou de voler des données utilisateur. Malgré la disponibilité du correctif, moins de 2,5 millions de téléchargements ont été effectués, laissant potentiellement plus de la moitié des sites vulnérables. Les experts en sécurité recommandent vivement de mettre à jour vers la version 6.4.1 pour éviter des exploitations imminentes.
Sources :
Microsoft corrige une vulnérabilité critique de Copilot Studio qui expose des données sensibles
Des chercheurs en cybersécurité ont révélé une vulnérabilité critique dans Microsoft Copilot Studio, identifiée comme CVE-2024-38206, avec un score CVSS de 8,5. Cette faille, qualifiée de bug de divulgation d'informations, résulte d'une attaque par contournement de la protection SSRF (Server-Side Request Forgery). Selon Microsoft, un attaquant authentifié peut exploiter cette vulnérabilité pour accéder à des informations sensibles via le réseau. La faille a été corrigée sans nécessiter d'action de la part des clients. Evan Grant, chercheur chez Tenable, a expliqué que cette vulnérabilité permet d'accéder à l'infrastructure interne de Copilot Studio, y compris le service de métadonnées d'instance et des bases de données internes. En utilisant cette technique, il est possible d'extraire des jetons d'accès d'identité gérés, pouvant être détournés pour accéder à d'autres ressources internes. Bien que cette approche ne permette pas d'accéder à des informations inter-locataires, l'infrastructure partagée pourrait affecter plusieurs clients. Cette divulgation survient après que Tenable a signalé d'autres failles dans le service Azure Health Bot et alors que Microsoft impose l'authentification multi-facteurs pour tous ses clients Azure à partir d'octobre 2024.
Sources :
Des pirates informatiques nord-coréens déploient un nouveau cheval de Troie MoonPeak dans le cadre d'une cybercampagne
Un nouveau cheval de Troie d'accès à distance, nommé MoonPeak, a été découvert, utilisé par un groupe de menaces soutenu par l'État nord-coréen, identifié par Cisco Talos comme UAT-5394. Ce groupe présente des similitudes tactiques avec Kimsuky, un acteur étatique connu. MoonPeak, en développement actif, est une variante du malware open-source Xeno RAT, précédemment utilisé dans des attaques de phishing pour récupérer des charges utiles via des services cloud comme Dropbox et Google Drive. Les fonctionnalités clés de Xeno RAT incluent le chargement de plugins, la gestion des processus et la communication avec un serveur de commande et de contrôle (C2). Talos souligne que les similitudes entre les deux ensembles d'intrusion pourraient indiquer que UAT-5394 est en réalité Kimsuky ou un groupe qui emprunte ses outils. La campagne utilise une nouvelle infrastructure, avec des serveurs C2 et des sites d'hébergement de charges utiles, permettant une évolution constante de MoonPeak. Les chercheurs notent que chaque nouvelle version du malware introduit des techniques d'obfuscation pour compliquer l'analyse. L'évolution rapide de MoonPeak et la mise en place d'une infrastructure de soutien indiquent que le groupe cherche à proliférer rapidement cette campagne. Les cibles de cette campagne restent inconnues.
Sources :
Le magazine de hackers Phrack publie une nouvelle édition après trois ans
Le magazine underground Phrack a publié son numéro 71 après une pause de trois ans, marquant un nouveau chapitre dans son histoire. Lancé en 1985, Phrack est reconnu pour ses articles techniques sur les vulnérabilités, les exploits et la culture du hacking. Le dernier numéro, disponible en ligne depuis le 19 août 2024, critique l'état actuel de la technologie, soulignant le manque de transparence et l'adoption rapide de systèmes non testés, ce qui contribue à un "âge sombre de l'information". Il met également en avant le rôle des hackers dans la préservation de l'accès à des connaissances pratiques. Ce numéro a été distribué en version imprimée lors de la 32e édition de la conférence DEF CON. La publication, soutenue par une équipe renouvelée et des contributeurs de la communauté de la cybersécurité, vise à rester pertinente dans un domaine en constante évolution. Un membre de l'équipe a déclaré que la longue pause était due à un transfert de projet vers une nouvelle génération de hackers passionnés. Un numéro imprimé est prévu pour l'année prochaine, à l'occasion du 40e anniversaire de Phrack, bien que des incertitudes subsistent quant à sa réalisation.
