La cybermenace à 10 $ responsable des plus grandes violations de données de 2024 - Actus du 16/01/2025
Découvrez comment une faille UEFI Secure Boot menace vos systèmes et pourquoi l'AMF pourrait encore décevoir. Ne manquez pas notre webinaire gratuit pour simplifier la gestion de la confiance avec DigiCert ONE. Agissez maintenant pour protéger vos données !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une nouvelle faille UEFI Secure Boot expose les systèmes aux bootkits, corrigez-la maintenant
Une nouvelle vulnérabilité de contournement du Secure Boot UEFI, identifiée comme CVE-2024-7344, affecte une application signée par Microsoft, permettant l'installation de bootkits même avec la protection Secure Boot activée. Cette faille concerne plusieurs outils de récupération système en temps réel de développeurs tiers. Les bootkits représentent une menace sérieuse, car ils agissent avant le chargement du système d'exploitation et survivent aux réinstallations. Le problème provient d'un chargeur PE personnalisé dans l'application vulnérable, qui charge des binaires UEFI non signés sans utiliser de services de confiance pour valider les binaires. Un attaquant pourrait remplacer le chargeur de démarrage par défaut sur la partition EFI par un 'reloader.efi' vulnérable et implanter un fichier malveillant 'cloak.dat'. La vulnérabilité touche des applications UEFI spécifiques à la récupération système et non des applications UEFI générales. Microsoft a publié un correctif, et les certificats des applications vulnérables ont été révoqués le 14 janvier 2025. Les utilisateurs sont encouragés à mettre à jour leurs applications pour éliminer cette surface d'attaque. ESET a également fourni des commandes PowerShell pour vérifier la bonne application des révocations.
Sources :
Les échecs de l'AMF : le pire reste à venir
Les cybercriminels soutenus par des États et une nouvelle génération d'attaquants exploitent les failles de la cybersécurité, principalement celles des utilisateurs. L'authentification multi-facteurs (MFA), autrefois considérée comme une défense infaillible, montre des signes de faiblesse face à des technologies obsolètes. Cet article examine l'augmentation des échecs de la MFA, le rôle inquiétant de l'IA générative dans l'intensification des attaques, et les vulnérabilités exploitées. Les pertes financières se chiffrent en milliards, alors que les systèmes MFA hérités, basés sur des principes facilement contournables comme les mots de passe à usage unique (OTP) et l'authentification par SMS, sont incapables de résister à la montée des attaques de phishing et des ransomwares. Ces derniers exploitent les faiblesses de la MFA pour accéder aux réseaux et demander des rançons exorbitantes. Les outils d'IA, tels que les chatbots et les deepfakes, facilitent des campagnes d'escroquerie à grande échelle. L'ebook "Generative AI: A Game Changer for Security and Hacker Strategy" souligne l'importance d'une MFA de nouvelle génération pour contrer ces menaces. Les utilisateurs, souvent frustrés par des processus d'authentification complexes, deviennent des cibles faciles, rendant les systèmes de sécurité obsolètes de plus en plus problématiques et coûteux.
Sources :
Prêt à simplifier la gestion de la confiance ? Participez au webinaire gratuit pour voir DigiCert ONE en action
Le monde numérique connaît une croissance exponentielle, avec une multiplication des dispositifs IoT et des exigences de conformité de plus en plus strictes. Dans ce contexte, la gestion traditionnelle de la confiance devient obsolète. DigiCert ONE se présente comme une solution innovante pour simplifier et automatiser l'écosystème de confiance des entreprises. Pour démontrer ses capacités, un webinaire gratuit est organisé, où les participants découvriront comment centraliser le contrôle et simplifier les opérations de gestion des certificats pour divers dispositifs et utilisateurs. DigiCert ONE permet également d'automatiser les opérations de confiance dans des environnements hybrides, réduisant ainsi les risques liés à la complexité croissante des systèmes. De plus, il propose des pratiques de signature logicielle sécurisées qui s'intègrent parfaitement aux workflows DevOps, sans compromettre la sécurité. Les outils de reporting avancés garantissent le respect des exigences de conformité, facilitant ainsi le travail des auditeurs. Ce webinaire est une occasion unique d'apprendre des experts du secteur et de découvrir comment DigiCert ONE peut transformer la gestion de la confiance, permettant aux entreprises de renforcer leur sécurité tout en réduisant la complexité. Inscrivez-vous dès maintenant pour ne pas manquer cette opportunité.
Sources :
La cybermenace à 10 $ responsable des plus grandes violations de données de 2024
Cet article aborde l'augmentation alarmante des compromissions de comptes liées à des identifiants volés, en soulignant l'inefficacité des approches actuelles. En 2024, les attaques contre les clients de Snowflake ont constitué l'événement de cybersécurité le plus marquant de l'année, touchant environ 165 organisations via des identifiants volés issus d'infections par des infostealers depuis 2020, affectant des données sensibles de millions de personnes. Microsoft a également subi une violation majeure de son environnement Office 365, avec des emails sensibles divulgués après la compromission d'une application OAuth. D'autres entreprises, telles que Finastra et Schneider Electric, ont également été touchées par des violations de données. La prolifération des compromissions par infostealers, qui ciblent tous les identifiants enregistrés sur les appareils des victimes, contribue à cette crise. Les méthodes d'attaque ont évolué, rendant les équipes de sécurité moins efficaces face à la multitude de services SaaS gérés et non gérés. Push a récemment introduit des outils pour aider les équipes de sécurité à prévenir les prises de contrôle de comptes, en combinant l'alerte sur les identifiants volés et l'augmentation de l'adoption de l'authentification multifactorielle (MFA).
Sources :
Une nouvelle vulnérabilité de démarrage sécurisé UEFI pourrait permettre aux attaquants de charger des kits de démarrage malveillants
Une vulnérabilité de sécurité récemment corrigée, identifiée sous le CVE-2024-7344 (score CVSS : 6.7), permettait de contourner le mécanisme de Secure Boot sur les systèmes UEFI. Selon un rapport d'ESET, cette faille réside dans une application UEFI signée par un certificat tiers de Microsoft. Son exploitation pouvait entraîner l'exécution de code non fiable au démarrage, permettant aux attaquants d'installer des bootkits malveillants, même sur des systèmes avec Secure Boot activé. Secure Boot est conçu pour empêcher le chargement de logiciels malveillants en n'autorisant que les logiciels de confiance. La vulnérabilité provient de l'utilisation d'un chargeur PE personnalisé, permettant le chargement de binaires UEFI non signés via un fichier spécialement conçu. Les attaquants pouvaient ainsi obtenir un accès persistant au système, contournant les mesures de sécurité basées sur le système d'exploitation. ESET a signalé la vulnérabilité au CERT/CC en juin 2024, et les entreprises concernées ont rapidement corrigé le problème. Microsoft a révoqué les binaires vulnérables en janvier 2025. Cette situation soulève des inquiétudes quant à la sécurité des logiciels UEFI tiers et à la fréquence des techniques non sécurisées utilisées par ces fournisseurs.
Sources :
Des chercheurs découvrent un exploit autorisant NTLMv1 malgré les restrictions d'Active Directory
Des chercheurs en cybersécurité ont découvert que la stratégie de groupe Active Directory de Microsoft, conçue pour désactiver l'authentification NT LAN Manager (NTLM) v1, peut être facilement contournée par une mauvaise configuration. Selon Dor Segal de Silverfort, une simple erreur dans les applications sur site peut annuler cette stratégie, permettant ainsi l'utilisation de NTLMv1, un protocole d'authentification encore largement utilisé dans les environnements Windows. Bien que Microsoft ait supprimé NTLMv1 dans Windows 11, version 24H2, et Windows Server 2025, ce protocole hérite de plusieurs failles de sécurité exploitées par des acteurs malveillants. Ces vulnérabilités permettent de forcer une victime à s'authentifier sur un point de terminaison arbitraire, facilitant ainsi des actions malveillantes. L'étude de Silverfort révèle que la configuration du protocole Netlogon peut permettre l'authentification NTLMv1 même lorsque NTLMv2 est requis. Pour atténuer les risques liés à NTLMv1, il est crucial d'activer les journaux d'audit pour toutes les authentifications NTLM et de surveiller les applications vulnérables. Les organisations doivent également maintenir leurs systèmes à jour pour se protéger contre ces menaces.
Sources :
Des pirates informatiques cachent des logiciels malveillants dans des images pour déployer un enregistreur de frappe VIP et un voleur d'activité 0bj3ctivity
Des acteurs malveillants ont été observés dissimulant du code malveillant dans des images pour livrer des malwares tels que VIP Keylogger et 0bj3ctivity Stealer. Selon le rapport d'HP Wolf Security pour le troisième trimestre 2024, ces campagnes commencent par des emails de phishing se faisant passer pour des factures, incitant les destinataires à ouvrir des pièces jointes malveillantes. Ces pièces exploitent une vulnérabilité connue dans Equation Editor pour télécharger un fichier VBScript, qui décode et exécute un script PowerShell. Ce dernier récupère une image hébergée sur archive[.]org, extrait un code encodé en Base64, puis le transforme en exécutable .NET. Cet exécutable télécharge VIP Keylogger, permettant aux attaquants de voler des données variées. Une campagne similaire utilise des fichiers d'archive malveillants pour déployer 0bj3ctivity. HP a également noté l'utilisation de techniques de "HTML smuggling" pour distribuer le trojan XWorm, avec des fichiers suggérant l'utilisation de GenAI. Cela souligne la commodification de la cybercriminalité, rendant les kits de malware accessibles même aux novices. Les chercheurs d'HP mettent en garde contre l'augmentation de l'efficacité des attaques grâce à ces outils.
Sources :
Un logiciel malveillant basé sur Python permet au ransomware RansomHub d'exploiter les failles du réseau
Des chercheurs en cybersécurité ont révélé une attaque utilisant un backdoor basé sur Python pour maintenir un accès persistant aux systèmes compromis, permettant le déploiement du ransomware RansomHub sur le réseau ciblé. Selon GuidePoint Security, l'accès initial a été facilité par un malware JavaScript nommé SocGholish, distribué via des campagnes de type drive-by qui trompent les utilisateurs en leur faisant télécharger de fausses mises à jour de navigateur. Ces attaques exploitent souvent des sites légitimes infectés, redirigeant les victimes depuis les résultats de recherche grâce à des techniques de SEO malveillantes. Dans l'incident étudié, le backdoor Python a été déployé environ 20 minutes après l'infection initiale. Ce script, agissant comme un proxy inverse, permet à l'attaquant de se déplacer latéralement dans le réseau compromis. Le code, bien structuré et potentiellement assisté par des outils d'intelligence artificielle, présente des méthodes descriptives et une gestion des erreurs soignée. D'autres outils malveillants ont également été identifiés, tels que ceux désactivant les solutions de détection et de réponse aux points de terminaison. Parallèlement, des campagnes de phishing intensifiées ont été observées, utilisant des techniques de manipulation pour infiltrer les réseaux d'entreprise.
Sources :
Un chercheur découvre des failles critiques dans plusieurs versions d'Ivanti Endpoint Manager
Ivanti a déployé des mises à jour de sécurité pour corriger plusieurs vulnérabilités affectant Avalanche, Application Control Engine et Endpoint Manager (EPM), dont quatre failles critiques pouvant entraîner une divulgation d'informations. Ces vulnérabilités, notées 9,8 sur l'échelle CVSS, proviennent d'EPM et concernent des instances de traversée de chemin absolu, permettant à un attaquant distant non authentifié de divulguer des informations sensibles. Les failles identifiées sont : CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 et CVE-2024-13159. Elles touchent les versions d'EPM antérieures à la mise à jour de sécurité de novembre 2024 et à la mise à jour de sécurité de novembre 2022. Ces problèmes ont été corrigés dans les mises à jour de sécurité de janvier 2025. Le chercheur en sécurité Zach Hanley de Horizon3.ai a découvert ces vulnérabilités. Ivanti a également corrigé plusieurs bugs de haute gravité dans Avalanche et Application Control Engine, permettant potentiellement à un attaquant de contourner l'authentification. La société n'a pas trouvé de preuves d'exploitation active de ces failles et a renforcé ses procédures de test de sécurité. Parallèlement, SAP a publié des correctifs pour deux vulnérabilités critiques dans son serveur NetWeaver.
Sources :
Des pirates informatiques divulguent les configurations et les identifiants VPN de 15 000 appareils FortiGate
Un nouveau groupe de hackers, le "Belsen Group", a divulgué sur le dark web les fichiers de configuration, adresses IP et identifiants VPN de plus de 15 000 dispositifs FortiGate, exposant ainsi des informations techniques sensibles. Cette fuite, qui représente un archive de 1,6 Go, a été mise à disposition gratuitement pour d'autres cybercriminels. Selon des experts en cybersécurité, cette fuite est liée à une vulnérabilité zero-day, CVE-2022–40684, exploitée en 2022 avant qu'un correctif ne soit publié. Les fichiers divulgués contiennent des informations critiques, telles que des clés privées et des règles de pare-feu, ainsi que des mots de passe en texte clair. Bien que les données aient été collectées en 2022, elles demeurent préoccupantes pour la sécurité des réseaux, car elles pourraient encore contenir des identifiants non modifiés. Les dispositifs concernés utilisent des versions de FortiOS antérieures à la 7.2.2, qui corrigeait la vulnérabilité exploitée. Les administrateurs de FortiGate sont avertis de vérifier si leurs systèmes ont été affectés par cette fuite, et un expert prévoit de publier une liste des adresses IP concernées.
Sources :
SAP corrige des vulnérabilités critiques dans les serveurs d'applications NetWeaver
SAP a corrigé deux vulnérabilités critiques dans son serveur d'applications NetWeaver, susceptibles d'être exploitées pour élever des privilèges et accéder à des informations restreintes. Lors de la Journée de mise à jour de sécurité de janvier, l'entreprise a également publié des correctifs pour 12 autres problèmes classés de gravité moyenne à élevée. Le bulletin de sécurité de SAP recommande vivement aux clients de visiter le Portail de support et d'appliquer les correctifs en priorité pour protéger leur environnement SAP. Les quatre problèmes de sécurité les plus graves abordés incluent : CVE-2025-0070, une vulnérabilité d'authentification incorrecte permettant une élévation de privilèges ; CVE-2025-0066, une vulnérabilité de divulgation d'informations due à des contrôles d'accès faibles ; CVE-2025-0063, une injection SQL affectant les modules fonctionnels RFC ; et CVE-2025-0061, des vulnérabilités dans SAP BusinessObjects permettant le détournement de session. Les produits SAP sont essentiels pour de grandes entreprises dans divers secteurs, et il est crucial de maintenir ces systèmes à jour pour éviter les violations de sécurité.
Sources :
La CISA partage des conseils sur les capacités de journalisation étendues de Microsoft
Le 15 janvier 2025, la CISA a publié des recommandations pour les agences gouvernementales et les entreprises concernant l'utilisation des nouvelles capacités de journalisation étendue dans Microsoft 365, essentielles pour les enquêtes judiciaires et de conformité. Ces capacités de journalisation Microsoft Purview Audit (Standard) permettent d'accéder à des informations sur des événements critiques, tels que l'envoi et l'accès aux courriels, ainsi que les recherches d'utilisateurs dans Exchange Online et SharePoint Online. Cela aide les organisations à surveiller et analyser des milliers d'opérations d'utilisateurs et d'administrateurs dans divers services Microsoft. Ces journaux améliorent les capacités de détection des menaces, notamment pour les compromissions de courriels professionnels et les activités malveillantes d'États-nations. Cette initiative fait suite à une violation de sécurité en 2023, où des hackers chinois ont volé des courriels de hauts fonctionnaires américains via Exchange Online. En réponse à cette attaque, Microsoft a élargi ses capacités de journalisation gratuites pour tous les clients Purview Audit standard, permettant une meilleure détection des activités malveillantes. Un guide de 60 pages a également été publié pour aider à naviguer dans ces journaux et les intégrer dans des systèmes SIEM comme Microsoft Sentinel et Splunk.
Sources :
Le botnet MikroTik utilise des enregistrements DNS SPF mal configurés pour propager des logiciels malveillants
Un nouveau botnet composé de 13 000 appareils MikroTik exploite une mauvaise configuration des enregistrements DNS SPF pour contourner les protections par e-mail et diffuser des logiciels malveillants en usurpant environ 20 000 domaines web. Selon Infoblox, une campagne de malspam a été active fin novembre 2024, utilisant des e-mails se faisant passer pour DHL Express, contenant de fausses factures de fret avec une archive ZIP renfermant un fichier JavaScript. Ce fichier exécute un script PowerShell qui se connecte à un serveur de commande et de contrôle lié à des hackers russes. Les en-têtes des e-mails ont révélé un vaste réseau de 13 000 appareils MikroTik détournés. Les enregistrements SPF de ces domaines étaient configurés avec l'option permissive "+all", permettant à n'importe quel serveur d'envoyer des e-mails, ce qui compromet l'intégrité des enregistrements SPF. Infoblox recommande d'utiliser l'option "-all" pour restreindre l'envoi d'e-mails. Les appareils MikroTik, souvent ciblés pour créer des botnets puissants, sont vulnérables en raison d'un taux de mise à jour lent. Les propriétaires sont conseillés de mettre à jour leur firmware et de sécuriser leurs accès.
Sources :
Le géant de l'étiquetage Avery affirme que son site Web a été piraté pour voler des cartes de crédit
Avery Products Corporation a annoncé une violation de données après que son site web a été piraté pour voler des informations de cartes de crédit et des données personnelles de ses clients. L'attaque a été détectée le 9 décembre 2024, mais une enquête a révélé qu'un skimmer de carte avait été implanté sur le site avery.com depuis le 18 juillet 2024. Les informations sensibles saisies par les clients entre ces deux dates ont été compromises. Les données exposées incluent les noms, adresses, adresses e-mail, numéros de téléphone, ainsi que les informations de carte de paiement (numéro, code CVV et date d'expiration). Bien que les numéros de sécurité sociale et d'autres identifiants gouvernementaux ne soient pas concernés, les informations volées pourraient permettre des transactions frauduleuses. Avery a reçu des signalements de clients ayant subi des frais frauduleux, ce qui a conduit à des inquiétudes quant à la sécurité des données. Pour atténuer les risques, la société propose 12 mois de surveillance de crédit gratuite et conseille aux clients de rester vigilants face aux communications non sollicitées. Un numéro d'assistance a également été mis en place pour répondre aux préoccupations des clients. Au total, 61 193 clients ont été affectés par cette violation.
Sources :
Les pirates informatiques utilisent les annonces Google Search pour voler des comptes Google Ads
Des cybercriminels exploitent désormais les annonces de recherche Google pour promouvoir des sites de phishing visant à dérober les identifiants des utilisateurs de Google Ads. En diffusant des publicités sur Google Search qui imitent Google Ads, les attaquants redirigent les victimes vers de fausses pages de connexion hébergées sur Google Sites, ressemblant à la véritable page d'accueil de Google Ads. Cette méthode est efficace car l'URL (sites.google.com) correspond au domaine racine de Google Ads, permettant une impersonation réussie. Selon Jérôme Segura de Malwarebytes, cette technique contourne les règles de Google, rendant les annonces malveillantes presque indiscernables des véritables. Les attaques se déroulent en plusieurs étapes : la victime saisit ses informations, les données sont collectées, et un nouvel administrateur est ajouté au compte Google Ads, permettant aux attaquants de dépenser sans contrôle. Au moins trois groupes criminels, dont des acteurs basés au Brésil et en Asie, sont impliqués. Malwarebytes estime que ces comptes volés sont ensuite revendus sur des forums de hackers. Google a déclaré qu'il enquêtait activement sur ces incidents et a bloqué des millions d'annonces pour violation de ses politiques.
Sources :
Un adolescent au cœur de multiples cyberattaques : entre piratage et justice
L'adolescent connu sous le pseudonyme « ChatNoir » est au cœur d'une série d'attaques de cybercriminalité, ayant déjà fait parler de lui pour des activités illégales telles que le phishing et le credential stuffing. Ses récentes actions ont conduit à la compromission de données sensibles d'un opérateur téléphonique, déclenchant une enquête par les autorités spécialisées. Malgré son jeune âge, ChatNoir a démontré une certaine audace, ne prenant même pas la précaution de chiffrer ses disques durs. Ce piratage s'inscrit dans un contexte plus large d'attaques récentes, incluant des affaires notables comme celles de Sport 2000 et LDLC, et il a également été impliqué dans le piratage de comptes de médias. La traçabilité numérique a permis de l'identifier, malgré l'utilisation de plateformes comme Telegram. Les entreprises victimes jouent un rôle crucial dans la lutte contre la cybercriminalité, soulignant l'importance de sensibiliser les jeunes aux dangers du web. En réponse, ZATAZ a lancé une chanson destinée aux jeunes geeks, intitulée « Déconne pas, étonne-moi », pour les alerter sur les risques du dark web et encourager une meilleure prévention.
Sources :
Microsoft met fin au support des applications Office sur Windows 10 en octobre
Microsoft a annoncé qu'il mettra fin au support des applications Office sur Windows 10 après la date de fin de support de ce système, prévue pour le 14 octobre 2025. Les utilisateurs de Microsoft 365 devront donc passer à Windows 11 pour continuer à bénéficier du support. Cette décision concerne également les versions autonomes d'Office, telles qu'Office 2024, 2021, 2019 et 2016. Bien que les applications Office continueront de fonctionner après la fin du support de Windows 10, Microsoft avertit que des problèmes de performance et de fiabilité pourraient survenir, incitant ainsi les utilisateurs à effectuer la mise à niveau vers Windows 11. Actuellement, plus de 62 % des systèmes Windows dans le monde fonctionnent encore sous Windows 10, tandis que moins de 35 % utilisent Windows 11. Malgré les exigences de sécurité, notamment le TPM 2.0, qui sont obligatoires pour l'installation de Windows 11, certains utilisateurs cherchent des moyens de contourner ces restrictions. En outre, Microsoft propose des mises à jour de sécurité prolongées pour les utilisateurs de Windows 10 Home moyennant des frais, et certaines versions spécifiques de Windows 10 continueront à recevoir des mises à jour au-delà d'octobre 2025.
Sources :
Plus de 660 000 serveurs Rsync exposés à des attaques d'exécution de code
Plus de 660 000 serveurs Rsync sont exposés à des attaques d'exécution de code, selon une étude menée par Google Cloud et des chercheurs en sécurité. Les vulnérabilités, qui touchent toutes les versions antérieures à 3.4.0, permettent à un attaquant ayant un accès en lecture anonyme à un serveur Rsync, comme un miroir public, d'exécuter du code arbitraire sur la machine hôte. Les failles incluent un débordement de tampon et une fuite d'informations, pouvant mener à une compromission à distance. Les serveurs malveillants peuvent écrire des fichiers en dehors des répertoires prévus, entraînant des problèmes de traversée de chemin et d'écriture de fichiers arbitraires. Cela expose des données sensibles, comme des clés SSH, et permet l'escalade de privilèges. Le CERT Coordination Center a averti que des distributions comme Red Hat, Ubuntu et Gentoo sont affectées. Une recherche Shodan révèle que la majorité des serveurs exposés se trouvent en Chine. Les utilisateurs de Rsync sont fortement conseillés de mettre à jour vers la version 3.4.0 ou de configurer le démon pour exiger des identifiants. En attendant, il est recommandé de bloquer le port TCP 873 pour limiter l'accès à distance.
