Les données de santé volées : attaque ransomware massive sur Ascension - Actus du 20/12/2024
Découvrez comment le pare-feu Sophos est exposé à une faille critique, la violation de sécurité chez Krispy Kreme par le gang Play, et l'attaque Ascension qui a compromis les données de 5,6 millions de patients. Protégez vos informations face à ces menaces croissantes !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le pare-feu Sophos est vulnérable à une faille critique d'exécution de code à distance
Sophos a récemment corrigé trois vulnérabilités critiques dans son produit Sophos Firewall, permettant à des attaquants distants non authentifiés d'exécuter du code à distance, de réaliser des injections SQL et d'accéder à des dispositifs via SSH. Ces failles touchent les versions 21.0 GA et antérieures. Les vulnérabilités sont les suivantes :
- CVE-2024-12727 : Une injection SQL pré-authentification dans la fonction de protection par e-mail, qui pourrait permettre l'accès à la base de données de reporting et potentiellement mener à une exécution de code à distance (RCE).
- CVE-2024-12728 : Un mot de passe SSH prévisible pour l'initialisation du cluster HA, laissant les systèmes vulnérables à un accès non autorisé.
- CVE-2024-12729 : Une vulnérabilité d'injection de code dans le portail utilisateur, permettant à des utilisateurs authentifiés d'exécuter du code arbitraire.
Des correctifs temporaires et permanents ont été publiés entre le 4 et le 17 décembre 2024. Sophos recommande également des solutions de contournement pour ceux qui ne peuvent pas appliquer les mises à jour, notamment en limitant l'accès SSH et en sécurisant les interfaces exposées.
Sources :
Violation de sécurité de Krispy Kreme et vol de données revendiqués par le gang de ransomware Play
Le groupe de ransomware Play a revendiqué une cyberattaque contre Krispy Kreme, survenue en novembre 2024, qui a perturbé les opérations de la chaîne de doughnuts américaine. Dans un dépôt auprès de la SEC le 11 décembre, Krispy Kreme a signalé une activité non autorisée sur ses systèmes informatiques, détectée le 29 novembre. L'entreprise a pris des mesures pour contenir la violation et a engagé des experts en cybersécurité pour évaluer l'impact de l'attaque. Krispy Kreme a reconnu des perturbations dans son système de commande en ligne, représentant 15,5 % de ses ventes, et a assuré que ses produits restaient disponibles en magasin. Le groupe Play a affirmé avoir volé des données sensibles, y compris des informations personnelles et financières, menaçant de les publier le 21 novembre. Cette opération de ransomware, active depuis juin 2022, utilise des stratégies de double extorsion pour forcer les victimes à payer des rançons. L'FBI et d'autres agences ont averti que le groupe avait touché environ 300 organisations dans le monde. Krispy Kreme, qui emploie 22 800 personnes dans 40 pays, continue de collaborer avec McDonald's pour la distribution de ses produits.
Sources :
Ascension : les données de santé de 5,6 millions de personnes volées lors d'une attaque par ransomware
Ascension, l'un des plus grands systèmes de santé privés aux États-Unis, a informé plus de 5,6 millions de patients et employés que leurs données personnelles et de santé ont été volées lors d'une cyberattaque en mai, liée à l'opération de ransomware Black Basta. En 2023, Ascension a généré un chiffre d'affaires de 28,3 milliards de dollars et gère 140 hôpitaux ainsi que 40 établissements de soins pour personnes âgées. La société envoie des notifications de violation de données aux 5 599 699 individus concernés et propose 24 mois gratuits de services de protection contre le vol d'identité. L'attaque, détectée le 8 mai, a été causée par un employé ayant téléchargé un fichier malveillant par erreur. Les fichiers volés contenaient des informations médicales, des données de paiement, des informations d'assurance, des identifiants gouvernementaux et d'autres données personnelles. L'incident a perturbé le système de dossiers médicaux électroniques MyChart d'Ascension, entraînant des retards dans les procédures et les soins. Bien que l'attaque n'ait pas encore été officiellement liée à Black Basta, cette dernière a intensifié ses attaques contre le secteur de la santé. Ascension a collaboré avec les forces de l'ordre pour enquêter sur cette violation.
Sources :
« Tout a été remboursé par Décathlon », comment des jeunes s’enrichissent avec l’escroquerie au « refund »
La fraude au remboursement, particulièrement répandue durant les fêtes de fin d'année, consiste à acheter des produits en ligne puis à réclamer un remboursement en prétendant ne pas les avoir reçus ou en retournant des articles dégradés. Des témoignages révèlent que certains fraudeurs peuvent gagner jusqu'à 2 000 euros par semaine grâce à cette méthode. Des réseaux organisés sur des plateformes comme Telegram et TikTok facilitent cette pratique, où des escrocs gèrent le processus de commande et de remboursement contre une commission de 20 %. Un exemple marquant est celui d'un jeune homme condamné à rembourser 72 000 euros à Amazon après avoir détourné des colis en utilisant des informations personnelles. Les élus commencent à s'inquiéter de cette tendance, et les sanctions en France sont sévères, pouvant aller jusqu'à cinq ans de prison et 375 000 euros d'amende. Les commerçants, bien que dépassés par le volume des retours, commencent à prendre des mesures pour contrer cette fraude. Cette situation soulève des questions sur la sécurité des achats en ligne et la nécessité d'une vigilance accrue de la part des plateformes et des consommateurs.
Sources :
Réseau de piratage massif de sports en direct avec 812 millions de visites annuelles effectuées hors ligne
L'Alliance for Creativity and Entertainment (ACE) a récemment démantelé l'un des plus grands réseaux de piraterie de streaming sportif en direct, Markkystreams, basé au Vietnam, qui a enregistré plus de 821 millions de visites l'année dernière. Cette opération illégale ciblait principalement les États-Unis et le Canada, diffusant quotidiennement des événements sportifs de toutes les ligues américaines et internationales. Larissa Knapp, vice-présidente exécutive de la Motion Picture Association, a salué cette action comme une victoire majeure dans la lutte contre la piraterie des programmes sportifs en direct. ACE a souligné que la diffusion en direct de sports perd de sa valeur commerciale une fois l'événement terminé, ce qui rend la piraterie particulièrement nuisible. Les opérateurs basés à Hanoï ont transféré le contrôle de 138 domaines, dont certains des plus populaires dans le domaine du streaming illégal. ACE, qui regroupe plus de 50 entreprises de médias et de divertissement, collabore également avec des organismes d'application de la loi pour cibler les réseaux de piraterie à grande échelle. Depuis sa création, ACE a réussi à fermer de nombreuses plateformes de piraterie, renforçant ainsi son engagement contre les services de streaming illégaux.
Sources :
Le groupe Lazarus a été repéré en train de cibler les ingénieurs nucléaires avec le malware CookiePlus
Le groupe Lazarus, un acteur malveillant lié à la République populaire démocratique de Corée (RPDC), a récemment ciblé des employés d'une organisation nucléaire à travers une "chaîne d'infection complexe" en janvier 2024. Ces attaques, faisant partie de la campagne d'espionnage cybernétique connue sous le nom d'Operation Dream Job, ont abouti à l'utilisation d'un nouveau logiciel malveillant modulaire appelé CookiePlus. Les méthodes d'attaque incluent l'envoi de documents malveillants et l'utilisation d'outils d'accès à distance trojanisés, comme VNC, sous prétexte d'évaluations de compétences pour des postes dans l'aérospatiale et la défense. Kaspersky a observé que des versions compromises de TightVNC, appelées "AmazonVNC.exe", étaient distribuées via des images ISO et des fichiers ZIP. En outre, le malware CookieTime a été déployé sur plusieurs machines, permettant de charger divers payloads, dont CookiePlus. Ce dernier, déguisé en plugin Notepad++, sert de téléchargeur pour des charges utiles encodées. Les activités du groupe Lazarus continuent d'évoluer, avec une augmentation significative des vols liés aux cryptomonnaies, atteignant 1,34 milliard de dollars en 2024, illustrant leur capacité à s'adapter et à améliorer leurs techniques d'infection.
Sources :
Un cybercriminel membre du célèbre gang de hackers Lockbit se cachait en Israël
Rostislav Panev, un développeur présumé du groupe de hackers LockBit, est actuellement détenu en Israël, où les États-Unis cherchent à obtenir son extradition. Arrêté en août 2024, il est accusé d'avoir collaboré avec LockBit entre 2019 et 2024, un groupe notoire pour ses cyberattaques sur des infrastructures sensibles, y compris des hôpitaux en France. Des preuves, telles que des lettres de rançon et des portefeuilles numériques, ont été trouvées à son domicile à Haïfa, indiquant qu'il aurait reçu environ 220 000 euros en bitcoin pour développer des outils malveillants, dont un programme d'impression de rançons. Cette arrestation fait suite à une opération internationale impliquant 11 pays, qui a permis d'identifier et d'arrêter plusieurs membres de LockBit. La police intensifie ses efforts pour traquer les cybercriminels, ayant déjà piraté la plateforme du groupe et obtenu des informations cruciales sur ses membres. Le leader de LockBit, Dmitry Khoroshev, reste en fuite en Russie, tandis que le groupe prévoit de revenir avec une nouvelle version de son logiciel malveillant, révélée sur le darknet le 20 décembre.
Sources :
Top 9 des prédictions en matière de cybersécurité pour 2025
La biométrie, initialement perçue comme une solution idéale pour l'authentification, est remise en question par Roger Grimes, expert en sécurité. Il souligne que des technologies comme les deepfakes peuvent facilement compromettre des systèmes de reconnaissance faciale et vocale, posant des risques importants pour les entreprises. Parallèlement, la menace des ransomwares évolue en un problème de sécurité nationale, comme l'indique Kirsten Bay, PDG de Cysurance. Les entreprises, notamment américaines, doivent faire face à des réglementations de plus en plus strictes concernant le stockage et le traitement des données, ce qui complique leur gestion des cyber-risques. Scott Godes prédit que les assureurs seront plus réticents à indemniser les sinistres liés aux cyberattaques, incitant les responsables de la sécurité à documenter rigoureusement leurs mesures de protection. La récente cyberattaque contre American Water illustre la vulnérabilité des infrastructures critiques, souvent ciblées par des acteurs étatiques. En outre, la montée de l'IA pose des défis supplémentaires, car les systèmes de défense peuvent présenter des failles dues à des données biaisées. Les entreprises doivent donc renforcer leur sécurité cyber-physique pour éviter des conséquences désastreuses.
Sources :
L’essor de l’IA dans les attaques DDoS à la demande
L’équipe ASERT de NETSCOUT explore l'impact croissant de l'intelligence artificielle (IA) sur les attaques DDoS à la demande, soulignant une évolution vers des offensives plus sophistiquées et adaptatives. L'IA permet un ciblage précis et des ajustements en temps réel, rendant les attaques plus difficiles à détecter. Contrairement aux méthodes traditionnelles basées sur des volumes massifs de trafic, les attaques alimentées par l'IA utilisent des stratégies plus subtiles, comme l'adaptation dynamique des paramètres d'attaque, la résolution automatisée de CAPTCHA et la simulation de comportements humains. Ces avancées prolongent la durée des campagnes malveillantes tout en réduisant les ressources nécessaires, augmentant ainsi la pression sur les infrastructures ciblées. Pour contrer cette menace, il est crucial d'adopter des solutions de cybersécurité avancées, telles que l'analyse comportementale par apprentissage automatique, des CAPTCHA renforcés et un renseignement proactif en temps réel. Bien que l'utilisation de l'IA dans les attaques DDoS soit encore en développement, elle représente un atout pour les cybercriminels, rendant indispensable la mise en place de défenses dynamiques et anticipatives pour garantir la résilience face à ces nouvelles menaces.
Sources :
Paquets npm Rspack compromis par un logiciel malveillant de minage de crypto-monnaies lors d'une attaque de la chaîne d'approvisionnement
Les développeurs de Rspack ont annoncé que deux de leurs packages npm, @rspack/core et @rspack/cli, ont été compromis lors d'une attaque de la chaîne d'approvisionnement logicielle. Un acteur malveillant a réussi à publier des versions infectées contenant un logiciel de minage de cryptomonnaie sur le registre officiel. En réponse, les versions 1.1.7 de ces bibliothèques ont été retirées, la version sécurisée étant la 1.1.8. Selon l'analyse de la société de sécurité Socket, les versions malveillantes contenaient des scripts nuisibles permettant de transmettre des informations sensibles à un serveur distant et de collecter des données sur l'adresse IP et la localisation des utilisateurs. L'attaque ciblait spécifiquement des machines situées dans des pays comme la Chine, la Russie et l'Iran. L'objectif était d'installer un mineur de cryptomonnaie XMRig sur les hôtes Linux compromis via un script post-installation. Les mainteneurs du projet ont invalidé tous les tokens npm et GitHub, vérifié les permissions des dépôts et audité le code source. Cette attaque souligne la nécessité pour les gestionnaires de packages d'adopter des mesures de sécurité plus strictes pour protéger les développeurs contre de telles compromissions.
Sources :
Sophos publie des correctifs pour les failles critiques du pare-feu : mise à jour pour empêcher l'exploitation
Sophos a publié des correctifs pour remédier à trois vulnérabilités de sécurité dans ses produits Sophos Firewall, susceptibles d'être exploitées pour exécuter du code à distance et obtenir un accès privilégié. Parmi ces vulnérabilités, deux sont classées comme critiques. Actuellement, aucune preuve d'exploitation dans la nature n'a été rapportée. Les vulnérabilités identifiées sont :
- CVE-2024-12727 (score CVSS : 9.8) : une injection SQL pré-authentification dans la fonction de protection par e-mail, pouvant mener à une exécution de code à distance sous certaines configurations.
- CVE-2024-12728 (score CVSS : 9.8) : une vulnérabilité liée à des identifiants faibles, résultant d'une phrase de passe SSH non aléatoire pour l'initialisation des clusters en Haute Disponibilité (HA).
- CVE-2024-12729 (score CVSS : 8.8) : une injection de code post-authentification dans le portail utilisateur, permettant l'exécution de code à distance.
Les utilisateurs sont conseillés de vérifier l'application des correctifs et de restreindre l'accès SSH en attendant. Cette annonce survient peu après que le gouvernement américain a inculpé un ressortissant chinois pour avoir exploité une vulnérabilité zero-day dans des pare-feu Sophos.
Sources :
Un affilié roumain du ransomware Netwalker condamné à 20 ans de prison
Daniel Christian Hulea, un Roumain impliqué dans les attaques de ransomware NetWalker, a été condamné à 20 ans de prison après avoir plaidé coupable de complot de fraude informatique et de fraude par fil en juin. Extradé aux États-Unis après son arrestation en Roumanie en juillet 2023, Hulea a reconnu avoir participé à une conspiration utilisant le ransomware NetWalker, qui a ciblé des centaines de victimes à travers le monde, y compris des hôpitaux et des services d'urgence, en profitant de la crise liée à la COVID-19. Il a admis avoir obtenu environ 1 595 bitcoins, d'une valeur d'environ 21,5 millions de dollars, provenant des rançons. En plus de sa peine de prison, il doit payer près de 15 millions de dollars en restitution et renoncer à des biens, y compris une société indonésienne et un complexe hôtelier en construction à Bali, financés par les gains des attaques. Ce cas s'inscrit dans un contexte plus large de répression contre le cybercrime, avec d'autres condamnations, comme celle de Sebastien Vachon-Desjardins, un autre affilié de NetWalker, également condamné à 20 ans de prison. NetWalker, actif depuis 2019, a généré des millions de dollars en rançons.
Sources :
Juniper met en garde contre la recherche de routeurs Session Smart par le botnet Mirai
Juniper Networks a averti ses clients d'attaques de malware Mirai ciblant les routeurs Session Smart utilisant des identifiants par défaut. Le malware scanne Internet à la recherche de ces appareils vulnérables, permettant des commandes à distance et diverses activités malveillantes. La campagne a été détectée pour la première fois le 11 décembre 2024, lorsque des routeurs compromis ont été signalés sur les réseaux des clients. Les opérateurs de ce botnet Mirai ont ensuite utilisé ces dispositifs pour lancer des attaques par déni de service distribué (DDoS). Juniper a souligné que tout client n'ayant pas suivi les meilleures pratiques de sécurité et utilisant encore des mots de passe par défaut pourrait être compromis. L'entreprise a fourni des indicateurs de compromission à surveiller, tels que des scans sur des ports courants, des tentatives de connexion échouées, une augmentation soudaine du trafic sortant, et des comportements erratiques des appareils. Elle a conseillé aux clients de changer immédiatement les identifiants par défaut, de mettre à jour le firmware, et de surveiller les journaux d'accès. Les routeurs infectés doivent être réimaginés avant d'être remis en ligne pour garantir la sécurité.
Sources :
Des pirates informatiques exploitent une vulnérabilité critique de Fortinet EMS pour déployer des outils d'accès à distance
Une vulnérabilité critique récemment corrigée, CVE-2023-48788, affectant Fortinet FortiClient EMS, est exploitée par des acteurs malveillants dans le cadre d'une campagne cybernétique. Cette faille, notée 9.3 sur l'échelle CVSS, est une injection SQL permettant l'exécution de code non autorisé via des paquets de données spécialement conçus. Selon Kaspersky, l'attaque d'octobre 2024 a ciblé un serveur Windows d'une entreprise non nommée, exposé à Internet avec deux ports ouverts liés à FortiClient EMS. Cette technologie permet aux employés de télécharger des politiques spécifiques pour accéder en toute sécurité au VPN Fortinet. Les attaquants ont utilisé cette vulnérabilité pour installer un exécutable ScreenConnect, leur permettant d'accéder à distance à l'hôte compromis. Par la suite, ils ont téléchargé d'autres outils, tels que Mimikatz et des outils de récupération de mots de passe, pour explorer le réseau et obtenir des informations d'identification. Les cibles incluent des entreprises dans plusieurs pays, dont la France et l'Inde. Kaspersky a également détecté des tentatives récentes d'exploiter cette vulnérabilité pour exécuter des scripts PowerShell. Cette situation souligne l'évolution constante des techniques utilisées par les cybercriminels.
Sources :
La CISA ajoute une faille critique dans le logiciel BeyondTrust à la liste des vulnérabilités exploitées
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté une vulnérabilité critique affectant les produits BeyondTrust Privileged Remote Access (PRA) et Remote Support (RS) à son catalogue des vulnérabilités exploitées. Cette faille, identifiée comme CVE-2024-12356 avec un score CVSS de 9,8, permet à un attaquant non authentifié d'injecter des commandes exécutées en tant qu'utilisateur du site. Bien que les instances cloud des clients aient été mises à jour, ceux utilisant des versions auto-hébergées doivent passer aux versions corrigées. En parallèle, BeyondTrust a subi une cyberattaque ce mois-ci, permettant à des acteurs malveillants d'accéder à une clé API de Remote Support, facilitant la réinitialisation des mots de passe des comptes d'application locaux. L'enquête a également révélé une autre vulnérabilité de gravité moyenne (CVE-2024-12686, 6.6) qui permet à un attaquant avec des privilèges administratifs d'injecter des commandes. Cette faille a également été corrigée dans les versions appropriées. Bien que BeyondTrust ait informé tous les clients concernés, l'ampleur des attaques et l'identité des acteurs restent inconnues.
Sources :
Le botnet malveillant BadBox infecte 192 000 appareils Android malgré les perturbations
Le botnet de malware BadBox a infecté plus de 192 000 appareils Android dans le monde, malgré une opération de perturbation récente en Allemagne. Selon des chercheurs de BitSight, BadBox, basé sur la famille de malwares 'Triada', a élargi son champ d'action pour cibler non seulement des appareils peu connus, mais aussi des marques réputées comme les téléviseurs Yandex et les smartphones Hisense. Découvert en 2023 sur une boîte Android T95, BadBox vise à générer des profits financiers en transformant les appareils en proxies résidentiels ou en réalisant des fraudes publicitaires. Bien que l'Office fédéral de la sécurité de l'information d'Allemagne ait réussi à perturber une partie de l'opération, cela n'a pas freiné la croissance du botnet. BitSight a observé que 160 000 des appareils infectés sont des téléviseurs intelligents Yandex, marquant une première pour une marque majeure. Les appareils touchés se trouvent principalement en Russie, en Chine, en Inde, en Biélorussie, au Brésil et en Ukraine. Les utilisateurs sont conseillés de mettre à jour leurs firmwares et de déconnecter leurs appareils d'Internet pour éviter les infections. Des signes d'infection incluent une surchauffe et des baisses de performance.
Sources :
Les utilisateurs de Microsoft 365 touchés par des erreurs aléatoires de désactivation de produits
Microsoft enquête sur un problème connu affectant les utilisateurs de Microsoft 365, qui rencontrent des erreurs de "Produit désactivé" dans les applications Office. Selon des rapports d'utilisateurs sur Reddit et le site communautaire de Microsoft, ces erreurs surviennent de manière aléatoire, provoquant confusion et interruptions. D'après un document de support publié par Microsoft, ces problèmes sont liés à des changements de licences effectués par les administrateurs. Plus précisément, ils se produisent lors du déplacement d'utilisateurs entre des groupes de licences ou lors de changements d'abonnement, comme passer d'une licence Office 365 E3 à une licence Microsoft 365 E3. Les erreurs peuvent également survenir lorsque les administrateurs retirent et réintègrent des utilisateurs dans des groupes de licences ou modifient les paramètres de plan de service. Pour résoudre ce problème, les utilisateurs peuvent cliquer sur le bouton "Réactiver" ou se déconnecter et redémarrer les applications. Si le problème persiste, il est conseillé de contacter les administrateurs pour vérifier l'état de l'abonnement. Microsoft n'a pas encore communiqué de calendrier pour une solution, mais son équipe technique travaille activement sur ce problème.
Sources :
Un malware Android découvert sur l'Appstore d'Amazon déguisé en application de santé
Une application malveillante de spyware Android, nommée 'BMI CalculationVsn', a été découverte sur l'Amazon Appstore, se faisant passer pour un simple outil de santé. Identifiée par les chercheurs de McAfee Labs, l'application a été retirée du magasin après notification d'Amazon. Cependant, les utilisateurs qui l'ont installée doivent la désinstaller manuellement et effectuer une analyse complète pour éliminer les traces restantes. L'Amazon Appstore, une alternative à Google Play, est préinstallé sur les tablettes et appareils Fire d'Amazon. L'application, publiée par 'PT Visionet Data Internasional', prétend calculer l'indice de masse corporelle (IMC) mais exécute des actions malveillantes en arrière-plan. Lorsqu'un utilisateur clique sur le bouton 'Calculer', l'application demande des autorisations pour enregistrer l'écran, stockant les enregistrements localement. De plus, elle scanne l'appareil pour récupérer les applications installées et intercepte les SMS, y compris les mots de passe à usage unique. Cette situation souligne l'importance pour les utilisateurs Android de n'installer que des applications de développeurs réputés et de vérifier les autorisations demandées. L'activation de Google Play Protect est également recommandée pour détecter et bloquer les malwares.
Sources :
Juniper met en garde contre le botnet Mirai ciblant les routeurs Session Smart
Juniper Networks a alerté ses clients concernant des attaques de malware Mirai ciblant les routeurs Session Smart utilisant des identifiants par défaut. Le malware scanne Internet à la recherche de ces dispositifs vulnérables, permettant des accès non autorisés et des activités malveillantes variées. La campagne a été détectée pour la première fois le 11 décembre 2024, lorsque des routeurs compromis ont été identifiés sur les réseaux des clients. Les opérateurs de ce botnet Mirai ont ensuite utilisé ces appareils pour lancer des attaques par déni de service distribué (DDoS). Juniper a souligné que tout client n'ayant pas suivi les meilleures pratiques de sécurité et utilisant encore des mots de passe par défaut pourrait être compromis. L'entreprise a fourni des indicateurs de compromission à surveiller, tels que des tentatives de connexion échouées et des pics soudains de trafic sortant. Elle a recommandé de changer immédiatement les identifiants par défaut, de mettre à jour les firmwares, et d'utiliser des systèmes de détection d'intrusion. En cas d'infection, Juniper a insisté sur la nécessité de réimager les systèmes avant de les remettre en ligne pour garantir la sécurité.
Sources :
Les mises à niveau de Windows 11 24H2 bloquées sur certains PC en raison de problèmes audio
Microsoft a bloqué la mise à jour de Windows 11 version 24H2 sur certains PC utilisant le logiciel d'amélioration audio Dirac, en raison de problèmes de compatibilité affectant la sortie sonore. Ce problème, lié au fichier cridspapo.dll, empêche les applications de détecter les appareils audio connectés, y compris les haut-parleurs intégrés et les dispositifs Bluetooth. Les utilisateurs concernés ont signalé que leurs appareils audio ne fonctionnaient plus après l'installation de la mise à jour. Pour éviter que ce problème n'affecte davantage d'utilisateurs, Microsoft a mis en place un blocage de sécurité sur les appareils concernés. Les administrateurs informatiques peuvent identifier ce problème sous l'ID de sécurité 54283088 dans les rapports de Windows Update for Business. Microsoft recommande aux utilisateurs touchés de ne pas tenter de mettre à jour manuellement leurs PC tant que Dirac n'a pas corrigé son pilote audio. Une fois le pilote mis à jour, Microsoft proposera la nouvelle version via Windows Update. En outre, un autre blocage a été ajouté pour les systèmes utilisant Auto HDR, en raison de problèmes de compatibilité provoquant des freezes dans les jeux. Les utilisateurs peuvent vérifier la présence de blocages de sécurité dans les paramètres de Windows Update.
Sources :
Fortinet met en garde contre un bug FortiWLM donnant aux pirates des privilèges d'administrateur
Fortinet a révélé une vulnérabilité critique dans son outil de gestion des réseaux sans fil, Fortinet Wireless Manager (FortiWLM), permettant à des attaquants distants de prendre le contrôle des dispositifs en exécutant des commandes non autorisées via des requêtes web spécialement conçues. Cette faille, identifiée sous le code CVE-2023-34990, est classée avec un score de 9,8 et concerne les versions 8.6.0 à 8.6.5 et 8.5.0 à 8.5.4 de FortiWLM. Découverte par le chercheur Zach Hanley en mai 2023, elle a été divulguée publiquement en mars 2024, après que Fortinet n'ait pas corrigé le problème pendant dix mois. Les attaquants peuvent exploiter une validation d'entrée incorrecte pour accéder à des fichiers journaux sensibles contenant des identifiants de session administrateur, leur permettant ainsi de s'introduire dans le système. Bien que Fortinet ait publié un correctif dans les versions 8.6.6 et 8.5.5 en septembre 2023, la vulnérabilité est restée non divulguée pendant plusieurs mois, exposant les utilisateurs à des risques importants. Il est donc fortement recommandé aux administrateurs de FortiWLM d'appliquer les mises à jour disponibles pour sécuriser leurs systèmes.
Sources :
Microsoft affirme que le HDR automatique provoque des blocages de jeux sur Windows 11 24H2
Microsoft a annoncé qu'il bloque les mises à jour de Windows 11 version 24H2 sur les systèmes avec Auto HDR activé en raison de problèmes de compatibilité entraînant des freezes de jeux. Auto HDR, une fonctionnalité qui améliore automatiquement la plage de couleurs et la luminosité des jeux sur des écrans compatibles HDR, a été signalée comme causant des problèmes graphiques, notamment des contrastes excessifs et une saturation des couleurs. Dans une mise à jour de santé de Windows, Microsoft a averti que les utilisateurs pourraient rencontrer des problèmes de couleurs incorrectes et des jeux qui ne répondent plus après l'installation de cette version. Pour contourner ce problème, la société recommande de désactiver Auto HDR via l'application 'Paramètres', sous 'Graphiques' dans 'Système > Affichage'. Microsoft a également appliqué un blocage de compatibilité pour éviter que d'autres utilisateurs ne rencontrent ces freezes. Les utilisateurs sont conseillés de ne pas mettre à jour manuellement leurs appareils affectés jusqu'à ce que les problèmes soient résolus. Cette situation survient après que Microsoft a levé partiellement un autre blocage de compatibilité lié à des bugs dans des jeux d'Ubisoft et a également bloqué des mises à jour sur des systèmes avec des pilotes audio incompatibles.
