Les attaques de phishing d'AitM contournent les MFA et EDR : comment riposter - Actus du 29/08/2024
Découvrez comment les pirates russes APT29 utilisent des exploits iOS et Chrome, pourquoi les agences américaines alertent sur les ransomware iraniens, et comment les attaques de phishing AitM contournent MFA et EDR. Protégez-vous efficacement avec nos conseils de cybersécurité.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les pirates russes APT29 utilisent des exploits iOS et Chrome créés par des fournisseurs de logiciels espions
Le groupe de hackers russes APT29, également connu sous le nom de "Midnight Blizzard", a été observé utilisant des exploits iOS et Android développés par des fournisseurs de logiciels espions dans une série d'attaques entre novembre 2023 et juillet 2024. Cette activité a été révélée par le groupe d'analyse des menaces de Google (TAG), qui a noté que les vulnérabilités n-day exploitées avaient été corrigées, mais restaient actives sur les appareils non mis à jour. APT29 a ciblé plusieurs sites gouvernementaux mongols en utilisant des techniques de "watering hole", où des sites légitimes sont compromis pour délivrer des codes malveillants aux visiteurs. Les exploits utilisés étaient presque identiques à ceux d'entreprises de surveillance comme NSO Group et Intellexa. Les attaques ont inclus l'injection de iframes malveillantes pour voler des cookies de navigateur et d'autres données sensibles. Les analystes de TAG soulignent que la manière dont APT29 a obtenu ces exploits reste incertaine, suggérant des possibilités telles que le piratage de fournisseurs de logiciels espions ou l'achat via des courtiers en vulnérabilités. Cela souligne l'importance de corriger rapidement les vulnérabilités zero-day, souvent sous-estimées par le grand public.
Sources :
Les agences américaines mettent en garde contre les attaques de ransomware en cours d'un groupe de hackers iraniens
Les agences de cybersécurité et de renseignement américaines ont identifié un groupe de hackers iraniens responsable de violations de plusieurs organisations aux États-Unis, en coordination avec des affiliés pour mener des attaques par ransomware. Selon la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et le Department of Defense Cyber Crime Center (DC3), ces opérations malveillantes visent à obtenir un accès réseau initial pour collaborer avec des acteurs de ransomware tels que NoEscape et BlackCat. Les cibles incluent des secteurs variés comme l'éducation, la finance, la santé et la défense, ainsi que des entités gouvernementales locales. Les hackers, opérant sous des pseudonymes comme Br0k3r, exploitent des vulnérabilités connues pour accéder aux réseaux, puis utilisent des outils comme AnyDesk pour maintenir leur accès. Parallèlement, un autre groupe, Peach Sandstorm, soutenu par l'État iranien, déploie un nouveau malware appelé Tickler, ciblant des secteurs stratégiques aux États-Unis et aux Émirats. Ce groupe utilise des faux profils sur des plateformes professionnelles pour infiltrer des systèmes et collecter des informations personnelles. Ces activités illustrent une stratégie de cyberespionnage et de ransomware, visant à diversifier les sources de revenus tout en maintenant un accès technique aux réseaux victimes.
Sources :
Comment les attaques de phishing d'AitM contournent les MFA et EDR et comment riposter
L'attaque AitM (Adversary-in-the-Middle) permet aux cybercriminels de voler non seulement des identifiants, mais aussi des sessions actives, contournant ainsi les contrôles de prévention traditionnels comme l'authentification multifactorielle (MFA) et le filtrage de contenu des e-mails. Cette technique utilise des outils dédiés pour agir comme un proxy entre la cible et un portail de connexion légitime, rendant la page d'authentification identique à celle attendue par l'utilisateur. Bien que l'accès soit temporaire, les sessions authentifiées peuvent durer jusqu'à 30 jours, et des techniques de persistance permettent aux attaquants de maintenir un accès prolongé. Les outils AitM incluent des proxys web inversés, comme EvilnoVNC, qui facilitent la compromission des comptes. Avec l'évolution des services informatiques vers des applications basées sur le web, la sécurité des identités est devenue cruciale, comme le montre la récente attaque contre Snowflake. Pour contrer ces menaces, il est essentiel d'intercepter les utilisateurs au moment où ils saisissent leurs mots de passe sur des sites de phishing. Intégrer des capacités de détection dans les navigateurs représente un avantage significatif pour les équipes de sécurité. Pour en savoir plus sur la protection contre ces attaques, Push Security propose un agent basé sur le navigateur à essayer gratuitement.
Sources :
Une faille non corrigée de la caméra IP AVTECH exploitée par des pirates informatiques pour des attaques de botnet
Une vulnérabilité critique, CVE-2024-7029, affectant les caméras IP AVTECH, a été exploitée par des acteurs malveillants pour constituer un botnet. Cette faille, notée 8.7 sur l'échelle CVSS, permet une injection de commandes via la fonction de luminosité des caméras, entraînant une exécution de code à distance (RCE). Bien que la vulnérabilité ait été rendue publique par la CISA début août 2024, elle reste non corrigée et touche les modèles AVM1203 utilisant des versions de firmware jusqu'à FullImg-1023-1007-1011-1009. Les attaques ont commencé en mars 2024, mais un exploit de preuve de concept était déjà disponible depuis février 2019. Les acteurs malveillants exploitent cette faille, ainsi que d'autres vulnérabilités connues, pour propager une variante du botnet Mirai, nommée Corona, qui se connecte à de nombreux hôtes via Telnet. Parallèlement, un autre botnet, nommé Quad7, a été identifié, utilisant des routeurs compromis pour mener des attaques par force brute contre des comptes Microsoft 365. Ce botnet, qui montre une grande résilience, souligne l'évolution des tactiques des opérateurs de menaces.
Sources :
Kaspersky détecte une augmentation de 23 % des attaques visant les pilotes Windows vulnérables
Les experts de Kaspersky alertent sur une hausse des cyberattaques ciblant Windows via des pilotes vulnérables, avec une augmentation de près de 23 % des systèmes piratés au deuxième trimestre 2024 par rapport au trimestre précédent. Ces attaques, appelées BYOVD (Bring Your Own Vulnerable Driver), permettent aux cybercriminels de désactiver les solutions de sécurité et d'élever leurs privilèges pour mener des activités malveillantes, telles que la distribution de ransomwares ou des actions d'espionnage. Bien que les pilotes soient légitimes, leurs vulnérabilités peuvent être exploitées pour contourner les protections du système d'exploitation. Kaspersky souligne que, bien que le nombre d'outils exploitant ces vulnérabilités soit encore limité, leur disponibilité croissante sur Internet pose un risque accru. En 2023, 16 nouveaux outils ont été identifiés, marquant une nette augmentation par rapport aux années précédentes. Cette tendance souligne la nécessité pour les particuliers et les organisations de renforcer leurs mesures de sécurité pour se protéger contre ces menaces. Les experts recommandent des protections éprouvées pour contrer cette dynamique inquiétante des cyberattaques.
Sources :
Vols de données d’identification : Google, Facebook et Amazon, entreprises les plus ciblées en 2024
Une étude récente de Kaspersky sur 25 grandes entreprises révèle que Google, Facebook et Amazon sont les principales cibles des campagnes de phishing, avec une augmentation des attaques de près de 40 % au premier semestre 2024 par rapport à l'année précédente. Les cybercriminels ont tenté d'accéder à des ressources usurpant l'identité de ces marques près de 26 millions de fois. Les experts attribuent cette hausse à une intensification des activités frauduleuses plutôt qu'à une baisse de vigilance des utilisateurs. Google a été particulièrement visé, avec plus de 4 millions de tentatives de phishing, suivi par Facebook (3,7 millions) et Amazon (3 millions). D'autres entreprises comme Microsoft et DHL figurent également dans le top 5. Certaines marques, comme Google et Mastercard, ont connu des augmentations spectaculaires des tentatives de phishing, respectivement de 243 % et 210 %. Kaspersky souligne que l'accès à un compte Gmail peut donner accès à plusieurs services, ce qui rend Google attractif pour les cybercriminels. En revanche, les utilisateurs de Microsoft semblent moins vulnérables, ce qui pourrait être dû à une meilleure sensibilisation à la cybersécurité. Pour plus d'informations sur les menaces, consultez Securelist.
Sources :
77 % des établissements d’enseignement ont identifié une cyberattaque au cours des 12 derniers mois, et 47 % d’entre eux ont dû faire face à des dépenses imprévues en conséquence
Une étude menée par Netwrix, un fournisseur de cybersécurité, révèle que 77 % des établissements du secteur de l'éducation ont subi une cyberattaque au cours de l'année écoulée, une augmentation par rapport à 69 % en 2023. Les principales menaces identifiées incluent le phishing, la compromission de comptes utilisateurs et les ransomwares. Environ 47 % des établissements ont dû faire face à des dépenses imprévues pour renforcer leur sécurité après un incident. Dirk Schrader, VP de la recherche en sécurité chez Netwrix, souligne que les incidents révèlent souvent des failles telles que des privilèges d'administrateur excessifs et des mots de passe faibles. La correction de ces vulnérabilités nécessite un investissement en temps et en ressources. Après une violation, il est crucial pour les établissements de prioriser les mesures correctives pour atténuer les risques futurs, comme l'application de correctifs sur les serveurs critiques. Cependant, les remédiations à long terme peuvent nécessiter des budgets supplémentaires et des ressources humaines, souvent reportées au prochain cycle budgétaire. Ces résultats mettent en lumière l'importance d'une vigilance accrue et d'une gestion proactive de la cybersécurité dans le secteur éducatif.
Sources :
La menace croissante des malwares destinés à dérober les OTP
Les mots de passe à usage unique (OTP) sont essentiels pour la cybersécurité, mais leur utilisation croissante a attiré l'attention des cybercriminels. Une campagne de vol de SMS ciblant les utilisateurs Android a été identifiée depuis février 2022, utilisant des malwares sophistiqués pour intercepter les OTP. Les attaquants incitent les victimes à télécharger des applications malveillantes via des publicités trompeuses ou des bots Telegram, qui collectent des informations personnelles en surveillant les SMS entrants. Une fois l'appareil infecté, le malware envoie les données au serveur de commande et de contrôle (C&C) des hackers. Cette campagne a touché plus de 600 marques dans 113 pays, principalement en Russie et en Inde, avec plus de 107 000 applications malveillantes identifiées, dont 95 % sont inconnues. Les chercheurs ont découvert 13 serveurs C&C et un réseau de 2 600 bots Telegram impliqués dans cette opération. Bien que les motivations exactes restent floues, le profit semble être un facteur clé. Pour contrer cette menace croissante, les entreprises doivent adopter des solutions basées sur le machine learning et l'analyse comportementale pour détecter et atténuer efficacement ces attaques.
Sources :
Les Etats-Nations, des acteurs majeurs des cyberguerres
Dans le contexte des conflits en Ukraine et entre Israël et Gaza, les cyberattaques sont devenues un champ de bataille crucial. Christophe Escande, expert en cybersécurité, souligne que les groupes de cybercriminels, souvent alliés à des États, jouent un rôle significatif dans ces conflits. Ces acteurs, qui varient en sophistication, mènent des attaques allant des campagnes DDoS à des opérations de cyber-espionnage. Par exemple, une campagne de phishing ciblant le gouvernement polonais a été attribuée à un groupe russe, similaire aux actions du groupe APT28. En période de guerre, les cyberattaques deviennent plus destructrices, avec l'utilisation de malwares « wiper » pour effacer des données et des attaques visant des infrastructures critiques, comme celle de la compagnie des eaux en Pennsylvanie. L'« Armée informatique ukrainienne » a également mené des cyberattaques en soutien à l'Ukraine. Les conflits modernes déplacent ainsi les opérations au-delà des frontières physiques. Pour se protéger contre ces menaces, il est crucial d'adopter une cyber-hygiène rigoureuse, incluant la mise à jour des applications, la vigilance face aux emails suspects et la protection des systèmes contre les applications non autorisées.
Sources :
- https://www.undernews.fr/reseau-securite/les-etats-nations-des-acteurs-majeurs-des-cyberguerres.html
Les autorités françaises accusent le PDG de Telegram d'avoir facilité des activités criminelles sur la plateforme
Les procureurs français ont officiellement inculpé Pavel Durov, PDG de Telegram, pour avoir facilité diverses activités criminelles sur la plateforme de messagerie, notamment la diffusion de matériel d'abus sexuel sur des enfants (CSAM), le crime organisé, le trafic de drogue et la fraude. Durov, citoyen français d'origine russe, a été arrêté à l'aéroport de Le Bourget près de Paris et a été placé sous enquête formelle. Pour éviter la détention préventive, il doit verser une caution de 5 millions d'euros, tout en étant interdit de quitter le pays et en devant se présenter aux autorités deux fois par semaine. Cette arrestation fait suite à une enquête judiciaire ouverte en juillet 2024, liée à la modération laxiste de Telegram, qui a permis à des activités extrémistes de prospérer. Les accusations incluent également le refus de fournir des informations aux autorités compétentes. Telegram a défendu Durov, affirmant qu'il n'est pas responsable des abus sur la plateforme. En outre, des mandats d'arrêt avaient été émis contre Durov et son frère en mars 2024. Le président Emmanuel Macron a précisé que cette arrestation n'était pas politique, mais le résultat d'une enquête indépendante.
Sources :
La Réunion des Musées Nationaux piratée par Brain Cipher
Le groupe de pirates informatiques Brain Cipher a récemment ciblé la Réunion des Musées Nationaux (RMN) dans une attaque de ransomware. Apparue en juin 2024, cette menace utilise un code malveillant dérivé de LockBit Black, dont le code source avait été divulgué. Brain Cipher s'est fait connaître par le piratage du Centre national de données indonésien, entraînant des perturbations majeures dans les services publics. Selon SentinelOne, les principales méthodes de propagation de ce ransomware sont le phishing et le spear phishing, avec une communication via l'adresse cyberfear[.]com, un service de messagerie anonyme. Les pirates utilisent également des portails de discussion sur le réseau TOR pour gérer les négociations de paiement. Dans le cas de la RMN, Brain Cipher a annoncé la diffusion de 300 Go de données volées, en mettant en avant les failles de sécurité des entreprises. Actuellement, le groupe revendique 11 victimes, dont deux en France. Cette attaque souligne l'importance cruciale de la protection des données personnelles et la nécessité pour les institutions de renforcer leur cybersécurité face à des menaces de plus en plus sophistiquées.
Sources :
Free Durov : la résistance numérique au bon goût du marketing
L'arrestation de Pavel Durov, cofondateur de Telegram, a déclenché une vague de réactions dans le milieu des hackers. Libéré de garde à vue le 28 août, Durov a inspiré des opérations de soutien variées, allant des attaques DDoS à des tentatives de piratage de sites web. Selon l'éditeur d'antivirus ESET, environ 80 cyberattaques ont été revendiquées, bien que la véracité de ces affirmations soit sujette à caution. Certains hackers ont même envisagé de cibler le site de l'Élysée. Parallèlement, une vidéo prétendument montrant une infiltration dans un système de gestion d'eau a circulé, ajoutant à la confusion. En réponse, la société TON, associée à la cryptomonnaie de Telegram, a lancé une application pour recueillir des signatures en faveur de Durov, espérant mobiliser des millions de personnes pour défendre la vie privée et la liberté d'expression. Des deepfakes et des bots ont également été utilisés pour créer des contenus demandant sa libération, illustrant l'impact de cet événement sur la communauté numérique. En somme, cette situation met en lumière la dynamique complexe entre la résistance numérique et le marketing dans le monde contemporain.
Sources :
Des pirates informatiques sud-coréens ont exploité la faille zero-day de WPS Office pour déployer des logiciels malveillants
Un groupe de cyberespionnage sud-coréen, APT-C-60, a exploité une vulnérabilité zero-day dans WPS Office pour déployer un malware nommé SpyGlace sur des cibles en Asie de l'Est. Cette faille, identifiée comme CVE-2024-7262, permet l'exécution de code à distance via des liens malveillants intégrés dans des documents. Kingsoft, l'éditeur de WPS Office, a corrigé cette vulnérabilité en mars 2024 sans informer ses utilisateurs de son exploitation active. ESET, qui a découvert cette campagne, a également identifié une seconde vulnérabilité, CVE-2024-7263, résultant d'un patch incomplet de la première faille. Cette dernière permet encore aux attaquants de pointer vers des DLL malveillantes. APT-C-60 a utilisé des fichiers MHTML pour masquer des liens malveillants sous des images trompeuses, incitant les victimes à cliquer. Les chercheurs d'ESET recommandent aux utilisateurs de WPS Office de mettre à jour vers la version 12.2.0.17119 ou plus récente pour se protéger contre ces vulnérabilités. Ils soulignent que l'exploit est particulièrement efficace en raison de sa capacité à tromper les utilisateurs avec des documents apparemment légitimes.
Sources :
Un employé arrêté pour avoir bloqué l'accès de 254 serveurs aux administrateurs Windows dans le cadre d'un complot d'extorsion
Un ancien ingénieur en infrastructure d'une entreprise industrielle du New Jersey a été arrêté après avoir verrouillé l'accès des administrateurs Windows à 254 serveurs dans le cadre d'un plan d'extorsion. Le 25 novembre 2023, les employés ont reçu un courriel de rançon affirmant que tous les administrateurs IT avaient été exclus de leurs comptes et que les sauvegardes avaient été supprimées, rendant la récupération des données impossible. L'email menaçait de fermer 40 serveurs aléatoires chaque jour pendant dix jours si une rançon de 700 000 € (20 Bitcoin) n'était pas payée. L'enquête menée par le FBI a révélé que Daniel Rhyne, 57 ans, avait accédé à distance aux systèmes de l'entreprise sans autorisation, changeant les mots de passe de plusieurs comptes administratifs. Des recherches en ligne incriminantes ont été découvertes, montrant qu'il cherchait des informations sur la suppression de comptes et le changement de mots de passe. Rhyne a été arrêté le 27 août 2024 et fait face à des accusations d'extorsion, de dommages informatiques intentionnels et de fraude, avec une peine maximale de 35 ans de prison et une amende de 750 000 $.
Sources :
Les États-Unis offrent une récompense de 2,5 millions de dollars à un pirate informatique lié au kit d'exploitation Angler
Le 28 août 2024, le Département d'État américain et le Secret Service ont annoncé une récompense de 2,5 millions de dollars pour des informations menant à l'arrestation de Volodymyr Kadariya, un cybercriminel biélorusse de 38 ans. Il est recherché pour sa participation à des opérations de malware, notamment le kit d'exploitation Angler, entre octobre 2013 et mars 2022. Kadariya, connu sous divers pseudonymes tels que "Stalin" et "Eseb", a été inculpé en juin 2023, mais l'acte d'accusation n'a été rendu public qu'en août 2024. Il est identifié comme un complice de Maksim Silnikau, créateur du Ransom Cartel et opérateur du kit Angler, arrêté en Espagne et extradé vers les États-Unis. Le kit Angler, actif jusqu'en 2016, exploitait des vulnérabilités dans des logiciels obsolètes pour diffuser des malwares via des publicités malveillantes. Kadariya a également utilisé des "scarewares" pour tromper les utilisateurs et collecter des données personnelles. Actuellement, son emplacement est inconnu, et toute information menant à son arrestation pourrait rapporter jusqu'à 2,5 millions de dollars aux informateurs.
Sources :
Pavel Durov mis en examen par les autorités françaises pour 12 délits présumés liés à Telegram
Pavel Durov, le fondateur de Telegram, est sous le coup de 12 accusations par les autorités françaises, qui portent sur des délits graves, notamment des affaires liées à des contenus illégaux sur la plateforme. Durov est placé sous contrôle judiciaire avec des restrictions strictes. Des rumeurs circulent sur d'autres géants de la technologie, comme Elon Musk et Mark Zuckerberg, qui pourraient également faire face à des poursuites en France. Telegram, initialement nommé Gram, a évolué après des complications juridiques aux États-Unis et est devenu un espace controversé, souvent associé à des activités malveillantes. Les accusations incluent des incidents liés à des agressions homophobes et à un groupe pirate, Epsilon, qui a diffusé des données volées. Parallèlement, la Commission européenne enquête sur le nombre d'utilisateurs de Telegram dans l'UE, car un chiffre supérieur à 41 millions entraînerait une régulation plus stricte sous le Digital Services Act (DSA). Cette législation vise à renforcer la sécurité et la transparence des services numériques en Europe. Telegram échappe actuellement à cette supervision, mais la Commission continue d'analyser la situation.
Sources :
Le patron de Telegram, Pavel Durov, a l’interdiction de quitter le territoire français
Pavel Durov, le fondateur de Telegram, a été mis en examen par le parquet de Paris le 28 août après avoir été interpellé le 24 août. Il est sous contrôle judiciaire avec des obligations strictes, notamment le versement d'une caution de 5 millions d'euros et l'interdiction de quitter la France. Les autorités françaises justifient cette action par la présence de Telegram dans plusieurs affaires graves, telles que la pédocriminalité et le trafic de drogue, ainsi que par son manque de coopération avec les enquêtes judiciaires. Des organismes internationaux, comme Europol et le National Center for Missing & Exploited Children, ont également signalé l'inaction de Telegram face aux signalements d'abus sur sa plateforme. Durov est accusé de complicité dans plusieurs infractions, y compris la gestion d'une plateforme facilitant des transactions illicites et le refus de fournir des informations aux autorités. Les accusations incluent également des délits liés à la diffusion d'images pédopornographiques et au blanchiment d'argent. Cette situation soulève des questions sur la responsabilité des plateformes de communication face aux contenus illégaux et à la protection des mineurs.
Sources :
Un nouveau malware Tickler utilisé pour pirater le gouvernement américain et les organisations de défense
Le groupe de hackers APT33, lié aux Gardiens de la Révolution iraniens, a déployé un nouveau malware, Tickler, pour infiltrer les réseaux d'organisations gouvernementales et de défense aux États-Unis et aux Émirats arabes unis. Selon des chercheurs de Microsoft, cette campagne de collecte de renseignements s'est déroulée entre avril et juillet 2024. Les attaquants ont utilisé des abonnements Azure frauduleux pour établir un contrôle de commande, ce qui a été interrompu par Microsoft. APT33 a réussi à accéder à des organisations dans les secteurs de la défense, de l'éducation et de l'espace grâce à des attaques par pulvérisation de mots de passe, en utilisant des mots de passe courants pour éviter les verrouillages de compte. Notamment, ils ont exploité des comptes compromis dans le secteur éducatif pour créer ou accéder à des infrastructures Azure. Microsoft a également signalé que ce groupe avait précédemment compromis des réseaux de sous-traitants de défense et déployé un autre malware, FalseFont. Pour contrer ces menaces, Microsoft rendra obligatoire l'authentification multi-facteurs (MFA) à partir du 15 octobre 2024, ce qui devrait considérablement réduire les risques de compromission des comptes.
Sources :
Le pilote Windows PoorTry évolue vers un effaceur EDR complet
Le pilote malveillant PoorTry, utilisé par plusieurs groupes de ransomware pour désactiver les solutions de détection et de réponse des points de terminaison (EDR), a évolué en un outil de suppression d'EDR, rendant la restauration des systèmes plus difficile. Bien que Trend Micro ait alerté sur cette fonctionnalité depuis mai 2023, Sophos a confirmé des attaques de suppression d'EDR sur le terrain. Cette évolution marque un changement tactique agressif des acteurs du ransomware, qui cherchent à perturber davantage la phase de préparation pour optimiser les résultats lors de l'étape de chiffrement. Développé en 2021, PoorTry, également connu sous le nom de 'BurntCigar', a été utilisé par des gangs tels que BlackCat, Cuba et LockBit. En juillet 2024, une attaque RansomHub a démontré la capacité de PoorTry à supprimer des fichiers exécutables et des bibliothèques essentielles, rendant les logiciels de sécurité inopérants. Les variantes récentes utilisent des techniques d'obfuscation et de manipulation des horodatages pour contourner les vérifications de sécurité. Malgré les efforts pour contrer PoorTry, ses développeurs continuent de s'adapter, rendant la détection des attaques plus complexe mais potentiellement réalisable dans la phase pré-chiffrement.
Sources :
Un nouveau malware Tickler utilisé pour pirater le gouvernement américain et les organisations de défense
Le groupe de hackers APT33, lié aux Gardiens de la Révolution islamique iranienne, a déployé un nouveau malware appelé Tickler pour infiltrer les réseaux d'organisations gouvernementales et de défense aux États-Unis et aux Émirats arabes unis. Selon des chercheurs de Microsoft, cette campagne de collecte de renseignements a eu lieu entre avril et juillet 2024, utilisant des infrastructures Azure pour le contrôle des opérations. Les attaquants ont mené des attaques par pulvérisation de mots de passe, ciblant des comptes avec des mots de passe courants pour éviter les verrouillages de compte. APT33 a particulièrement exploité des comptes compromis dans le secteur de l'éducation pour établir leur infrastructure opérationnelle sur Azure. Ce malware a permis de cibler des secteurs sensibles tels que la défense, l'espace et l'éducation. Microsoft a également signalé que ce groupe avait précédemment compromis des réseaux de sous-traitants de défense en novembre 2023. Pour contrer ces menaces, Microsoft a annoncé que l'authentification multifacteur (MFA) deviendrait obligatoire pour toutes les connexions Azure à partir du 15 octobre, ce qui devrait considérablement réduire les risques de compromission des comptes.
Sources :
Une vulnérabilité dans Microsoft Copilot Studio pourrait exposer des données sensibles
Une vulnérabilité critique de type SSRF (Server-Side Request Forgery) a été découverte dans Microsoft Copilot Studio, menaçant la sécurité des données internes de l'entreprise. Selon un rapport de Tenable, cette faille permettait aux utilisateurs d'envoyer des requêtes HTTP, ce qui a conduit les chercheurs à tester la fonctionnalité contre des services internes comme l'Instance Metadata Service (IMDS) et Cosmos DB. Bien qu'ils n'aient pas réussi initialement, des modifications dans les requêtes ont permis de contourner la protection SSRF, leur permettant d'accéder à des métadonnées d'instance en texte clair. Ils ont également pu récupérer des jetons d'accès d'identité, révélant des abonnements Azure et, finalement, un accès à une instance Cosmos DB. Cette vulnérabilité, identifiée sous le code CVE-2024-38206, a reçu une note de gravité critique avec un score CVSS de 8.5. Après avoir été informé par Tenable, Microsoft a rapidement corrigé la faille, assurant que les utilisateurs n'avaient aucune action à entreprendre pour bénéficier du correctif. Tenable a également été crédité pour sa découverte dans l'avis de Microsoft.
Sources :
La vulnérabilité du plugin WPML met en danger plus d'un million de sites Web WordPress
Les administrateurs WordPress doivent mettre à jour leurs sites pour recevoir les mises à jour des plugins, en particulier ceux utilisant le plugin WPML. Une vulnérabilité critique a été découverte par un chercheur sous le pseudonyme "stealthcopter", permettant des attaques par exécution de code à distance. Cette faille, identifiée comme CVE-2024-6386, réside dans la gestion des shortcodes au sein du plugin, où une mauvaise validation des entrées lors du rendu des shortcodes via des modèles Twig permet une injection de code côté serveur (SSTI). Les attaquants authentifiés, ayant un accès de niveau Contributor ou supérieur, peuvent ainsi exécuter du code malveillant sur le serveur. Wordfence a coordonné avec les développeurs du plugin pour corriger cette vulnérabilité, qui affectait toutes les versions jusqu'à la 4.6.12, et a été patchée dans la version 4.6.13. Le chercheur a également reçu une récompense de 1 639 $ pour son rapport de bug. Étant donné que le plugin WPML, qui offre un support multilingue et multicurrency pour WooCommerce, compte plus de 100 000 installations actives, il est essentiel que tous les administrateurs WordPress mettent à jour leurs sites pour éviter des risques potentiels.
Sources :
La vulnérabilité du plugin GiveWP expose plus de 100 000 sites Web à des attaques RCE
Une vulnérabilité critique d'exécution de code a compromis la sécurité du plugin GiveWP pour WordPress, mettant en danger des milliers de sites. Selon un article de Wordfence, cette faille, liée à une injection d'objet PHP, affectait toutes les versions du plugin jusqu'à la v.3.14.1. Elle permettait à un attaquant non authentifié d'injecter un objet PHP malveillant, entraînant des actions nuisibles telles que l'exécution de codes malveillants ou la suppression de fichiers arbitraires. Classée CVE-2024-5932, cette vulnérabilité a reçu un score de gravité critique de 10.0 sur l'échelle CVSS, indiquant un risque élevé de dommages pour les utilisateurs concernés. La vulnérabilité a été signalée par le chercheur en sécurité Villu Orav, qui a reçu une récompense de 4 998 $ via le programme de bug bounty de Wordfence. En réponse, l'équipe de GiveWP a publié un correctif dans la version 3.14.2, suivie de la version 3.15.1, qui est la plus récente. Les utilisateurs sont fortement encouragés à mettre à jour leur plugin pour bénéficier des correctifs de sécurité et des améliorations de fonctionnalités.
Sources :
Des pirates iraniens collaborent avec des gangs de ransomware pour extorquer des fonds aux organisations piratées
Un groupe de hackers basé en Iran, connu sous le nom de Pioneer Kitten, cible des organisations dans les secteurs de la défense, de l'éducation, de la finance et de la santé aux États-Unis. Actif depuis 2017, ce groupe, également suivi sous les noms Fox Kitten, UNC757 et Parisite, est soupçonné d'avoir des liens avec le gouvernement iranien. Selon un avis conjoint de la CISA, du FBI et du Cyber Crime Center du Département de la Défense, les attaquants monétisent leur accès en vendant des identifiants d'administrateur de domaine sur des marchés cybernétiques. Plus récemment, ils ont collaboré avec des affiliés de ransomware, tels que NoEscape et ALPHV, pour chiffrer les réseaux des victimes en échange d'un pourcentage des rançons. Pioneer Kitten maintient ses "partenaires" dans l'ignorance concernant leur nationalité. En outre, ils ont été observés en train de scanner des dispositifs vulnérables, notamment ceux de Check Point et Palo Alto Networks. Historiquement, ce groupe a utilisé des exploits pour cibler des organisations et a tenté de diversifier ses sources de revenus en vendant l'accès à des réseaux compromis. Ils sont également liés à des attaques de vol de données au profit des intérêts du gouvernement iranien.
Sources :
Google augmente les récompenses du programme de bug bounty de Chrome jusqu'à 250 000 $
Google a annoncé une augmentation significative des récompenses pour les failles de sécurité de Chrome, avec des montants pouvant atteindre 250 000 dollars. À partir d'aujourd'hui, les paiements pour les vulnérabilités de corruption de mémoire seront différenciés en fonction de la qualité du rapport et de l'effort du chercheur pour évaluer l'impact des problèmes signalés. Les récompenses pour les rapports de base, qui démontrent une corruption de mémoire avec des traces de pile, peuvent aller jusqu'à 25 000 dollars, tandis qu'un rapport de haute qualité, incluant une démonstration d'exécution de code à distance (RCE), peut atteindre le montant maximal. Amy Ressler, ingénieure en sécurité chez Chrome, a souligné l'importance d'évoluer vers une structure de récompense plus claire pour encourager des rapports de qualité. Les montants pour les contournements de MiraclePtr ont également été doublés, atteignant 250 128 dollars. Google classifie les rapports selon leur impact et leur potentiel de dommage pour les utilisateurs de Chrome. Les rapports sans impact de sécurité ou à caractère théorique ne seront probablement pas éligibles aux récompenses. Depuis 2010, Google a versé plus de 50 millions de dollars en récompenses à des chercheurs ayant signalé plus de 15 000 vulnérabilités.
Sources :
DICK'S ferme sa messagerie électronique et verrouille les comptes de ses employés après une cyberattaque
DICK'S Sporting Goods, le plus grand détaillant d'articles de sport aux États-Unis, a révélé qu'une cyberattaque a exposé des informations confidentielles. L'incident, détecté le 21 août 2024, a conduit l'entreprise à fermer ses systèmes de messagerie et à verrouiller les comptes des employés pour contenir la menace. DICK'S a engagé des experts en cybersécurité pour évaluer l'impact de l'attaque et a activé son plan de réponse à la cybersécurité. Selon un dépôt auprès de la SEC, l'accès non autorisé a touché des systèmes contenant des informations sensibles. Les employés ont été informés de la situation par le biais d'un mémo interne, leur indiquant qu'ils n'avaient plus accès à leurs systèmes en raison d'une "activité planifiée". Les lignes téléphoniques des magasins locaux sont également hors service. Bien que l'entreprise ait signalé l'incident aux autorités judiciaires, elle affirme qu'il n'a pas perturbé ses opérations. DICK'S considère que l'incident n'est pas matériel, mais l'enquête est toujours en cours. Les employés sont conseillés de ne pas discuter de l'incident publiquement. Un porte-parole de l'entreprise n'était pas disponible pour commenter.
Sources :
Fortra corrige un problème critique de mot de passe codé en dur dans FileCatalyst Workflow
Fortra a identifié une vulnérabilité critique dans FileCatalyst Workflow, liée à un mot de passe hardcodé qui permettrait aux attaquants d'accéder à une base de données interne et de voler des données sensibles. Cette faille, référencée comme CVE-2024-6633 (CVSS v3.1 : 9.8), affecte les versions 5.1.6 Build 139 et antérieures. Les utilisateurs sont fortement conseillés de mettre à jour vers la version 5.1.7 ou ultérieure pour éviter toute exploitation. Le mot de passe statique, "GOSENSGO613", a été découvert par Tenable le 1er juillet 2024, et la base de données HSQLDB est accessible à distance via le port TCP 4406 par défaut, ce qui augmente le risque d'attaques. Fortra souligne que HSQLDB est uniquement destiné à faciliter l'installation et n'est pas recommandé pour un usage en production. Les administrateurs système doivent appliquer les mises à jour de sécurité dès que possible, car il n'existe pas de solutions de contournement. Cette vulnérabilité représente un danger majeur pour les utilisateurs de FileCatalyst Workflow, car elle pourrait permettre aux cybercriminels de prendre le contrôle total du système.
Sources :
Fortra publie un correctif pour une vulnérabilité de sécurité à haut risque du flux de travail FileCatalyst
Fortra a corrigé une vulnérabilité critique dans FileCatalyst Workflow, identifiée sous le code CVE-2024-6633, qui permet à un attaquant distant d'accéder à des privilèges administratifs. Cette faille, notée 9.8 sur l'échelle CVSS, résulte de l'utilisation d'un mot de passe statique pour se connecter à une base de données HSQL. Fortra a averti que les identifiants par défaut de cette base de données, qui est uniquement destinée à faciliter l'installation et non à un usage en production, sont publiés dans un article de la base de connaissances du fournisseur. Les utilisateurs n'ayant pas configuré FileCatalyst pour utiliser une base de données alternative sont donc vulnérables. La société de cybersécurité Tenable, qui a découvert cette faille, a signalé que la base de données HSQLDB est accessible à distance sur le port TCP 4406, permettant ainsi à un attaquant d'exécuter des opérations malveillantes. En réponse à cette divulgation responsable, Fortra a publié un correctif pour FileCatalyst Workflow version 5.1.7 ou ultérieure. De plus, une autre vulnérabilité de type injection SQL (CVE-2024-6632, score CVSS : 7.2) a également été corrigée, permettant des modifications non autorisées de la base de données lors du processus d'installation.
Sources :
DICK’s Sporting Goods affirme que des données confidentielles ont été exposées lors d’une cyberattaque
DICK'S Sporting Goods, la plus grande chaîne de magasins d'articles de sport aux États-Unis, a révélé qu'une cyberattaque a exposé des informations confidentielles. L'incident, détecté le 21 août 2024, a conduit l'entreprise à fermer ses systèmes de messagerie et à verrouiller les comptes des employés pour contenir la menace. DICK'S a engagé des experts en cybersécurité pour évaluer l'impact de l'attaque et a activé son plan de réponse à la cybersécurité. Selon un dépôt auprès de la SEC, l'accès non autorisé a touché des systèmes contenant des informations sensibles. Les employés ont été informés qu'ils n'avaient plus accès à leurs systèmes en raison d'une "activité planifiée", et leurs responsables les contacteront par email personnel ou SMS pour des instructions supplémentaires. Les lignes téléphoniques des magasins sont également hors service. DICK'S a signalé l'incident aux autorités judiciaires compétentes, affirmant qu'il n'a pas eu d'impact sur ses opérations. L'enquête est en cours, mais l'entreprise estime que l'incident n'est pas matériel. Un porte-parole de DICK'S n'a pas pu être joint pour commenter la situation.
