Meta dénonce des hackers iraniens ciblant des personnalités sur WhatsApp - Actus du 24/08/2024
Urgence Cyber : La CISA presse les agences fédérales de corriger une faille de Versa Director. Meta dévoile un groupe de hackers iraniens attaquant des leaders mondiaux sur WhatsApp. L'American Radio Relay League paie une rançon d'un million de dollars. Découvrez les détails !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La CISA exhorte les agences fédérales à corriger la vulnérabilité de Versa Director d'ici septembre
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité affectant Versa Director à son catalogue des vulnérabilités exploitées, suite à des preuves d'exploitation active. Cette vulnérabilité de gravité moyenne, identifiée comme CVE-2024-39717 (score CVSS : 6.6), concerne un bug de téléchargement de fichiers lié à la fonctionnalité "Change Favicon". Elle permet à un acteur malveillant de télécharger un fichier nuisible en le déguisant en image PNG inoffensive. CISA a précisé que l'interface graphique de Versa Director présente une vulnérabilité de téléchargement de fichiers non restreint, accessible aux administrateurs ayant des privilèges spécifiques. L'exploitation réussie nécessite une authentification préalable. Bien que les circonstances exactes de l'exploitation ne soient pas claires, une instance confirmée a été signalée. Les agences fédérales doivent appliquer des correctifs fournis par le fournisseur d'ici le 13 septembre 2024. Par ailleurs, CISA a récemment ajouté quatre autres vulnérabilités à son catalogue, dont certaines sont liées à des attaques ciblant des serveurs Microsoft Exchange. Ces développements soulignent l'importance de la cybersécurité et de la mise à jour des systèmes pour prévenir les attaques.
Sources :
Meta dénonce un groupe de hackers iraniens ciblant des personnalités politiques mondiales sur WhatsApp
Meta Platforms a récemment révélé les activités d'un acteur de menace soutenu par l'État iranien, connu sous le nom d'APT42, qui a tenté de cibler des individus en Israël, en Palestine, en Iran, au Royaume-Uni et aux États-Unis via des comptes WhatsApp. Ce groupe, lié aux Gardiens de la Révolution islamique d'Iran, s'est concentré sur des responsables politiques et diplomatiques, y compris des figures associées aux administrations de Biden et Trump. Meta a signalé que ces comptes, qui se faisaient passer pour un support technique d'AOL, Google, Yahoo et Microsoft, ont utilisé des techniques de phishing sophistiquées pour tenter de voler des informations d'identification, bien que ces efforts aient été jugés infructueux. Les comptes ont été bloqués et Meta a encouragé les utilisateurs à sécuriser leurs comptes en ligne. Cette révélation intervient alors que le gouvernement américain accuse officiellement l'Iran de tenter de saper les élections américaines et de semer la division parmi le public américain en amplifiant la propagande et en collectant des informations politiques. Meta, qui gère Facebook, Instagram et WhatsApp, a affirmé n'avoir trouvé aucune preuve de compromission des comptes ciblés.
Sources :
L'American Radio Relay League confirme le paiement d'une rançon d'un million de dollars
L'American Radio Relay League (ARRL) a confirmé avoir payé une rançon d'un million de dollars pour obtenir un décryptage de ses systèmes, après une attaque par ransomware survenue en mai 2024. Suite à cette attaque, l'ARRL a mis hors ligne les systèmes affectés pour contenir la violation de données, informant les employés concernés d'un incident sophistiqué le 14 mai. Dans un dépôt en juillet auprès du bureau du procureur général du Maine, l'ARRL a indiqué que la violation de données touchait 150 employés. Les notifications de violation ont suggéré que des mesures avaient été prises pour empêcher la publication de données, laissant entendre qu'une rançon pourrait être payée. Finalement, l'ARRL a révélé avoir payé la rançon pour obtenir un outil de décryptage, et non pour empêcher la fuite de données, après des négociations tendues. Les demandes de rançon étaient jugées exorbitantes, mais les attaquants semblaient croire que l'ARRL avait une couverture d'assurance suffisante. Ce paiement a suscité des critiques, certains remettant en question l'absence d'un plan de récupération adéquat, malgré l'accent mis par l'ARRL sur la préparation aux catastrophes.
Sources :
Microsoft partage un correctif temporaire pour les problèmes de démarrage de Linux sur les systèmes à double démarrage
Microsoft a publié une solution temporaire pour résoudre un problème connu empêchant le démarrage de Linux sur des systèmes à double amorçage avec Secure Boot activé. Ce problème a été signalé par de nombreux utilisateurs de Linux après l'installation des mises à jour de sécurité de Windows d'août 2024, qui ont entraîné des erreurs telles que "Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation". L'origine du problème est une mise à jour SBAT conçue pour bloquer les chargeurs de démarrage UEFI vulnérables, mais qui a été appliquée par erreur à certains systèmes à double amorçage. Microsoft recommande aux utilisateurs touchés de désactiver Secure Boot, de supprimer la mise à jour SBAT via une commande Linux, puis de réactiver Secure Boot. Il est également conseillé de vérifier l'état de Secure Boot et d'empêcher les futures mises à jour SBAT en modifiant le registre Windows. Microsoft continue d'enquêter sur ce problème avec ses partenaires Linux et promet de fournir des mises à jour dès qu'elles seront disponibles. Les utilisateurs sont encouragés à installer les mises à jour Linux en attente pour garantir la sécurité de leur système.
Sources :
La nouvelle version bêta de Windows 10 22H2 corrige les fuites de mémoire et les plantages
Microsoft a publié une nouvelle version bêta de Windows 10 22H2 (KB5041582) visant à corriger des fuites de mémoire et des plantages pour les utilisateurs Insiders dans les canaux Beta et Release Preview. Cette mise à jour résout un problème lié à un appareil Bluetooth provoquant l'arrêt de certaines applications en raison d'une fuite de mémoire, ainsi qu'une fuite de mémoire dans l'éditeur de méthode d'entrée (IME) lors de la fermeture de boîtes combinées. De plus, un bug du pilote de filtre de liaison, qui causait des blocages lors de l'accès à des liens symboliques, a été corrigé, tout comme un problème de redémarrage lié à une tâche du Microsoft System Center Configuration Manager (SCCM) qui ne pouvait pas réactiver le Unified Write Filter (UWF) à cause d'un blocage. Le canal Beta a été rouvert après trois ans, permettant aux Insiders de tester de nouvelles fonctionnalités avant leur déploiement général. Les utilisateurs souhaitant participer peuvent rejoindre le canal Beta via les paramètres de Windows. Il est à noter que passer aux canaux Canary ou Dev mettra à niveau les appareils vers la dernière version de Windows 11, nécessitant une installation propre pour revenir à Windows 10.
Sources :
Les pirates utilisent désormais l'injection AppDomain pour introduire des balises CobaltStrike
Depuis juillet 2024, une vague d'attaques utilise une technique peu courante appelée AppDomain Manager Injection, permettant d'exploiter n'importe quelle application Microsoft .NET sur Windows. Bien que cette méthode existe depuis 2017, elle était principalement utilisée lors d'exercices de red team et rarement observée dans des attaques malveillantes. La division japonaise de NTT a identifié des attaques visant des agences gouvernementales à Taïwan, l'armée aux Philippines et des organisations énergétiques au Vietnam, suggérant que le groupe de menaces parrainé par l'État chinois, APT 41, pourrait être derrière ces actions, bien que cette attribution soit peu certaine.
L'AppDomain Manager Injection, similaire au DLL side-loading, utilise la classe AppDomainManager du .NET Framework pour injecter et exécuter du code malveillant de manière plus discrète. Les attaquants livrent un fichier ZIP contenant un fichier MSC malveillant, qui, une fois ouvert, exécute immédiatement du code malveillant via une technique appelée GrimResource. Cette méthode exploite une vulnérabilité XSS dans la bibliothèque apds.dll de Windows, permettant l'exécution de JavaScript malveillant et de code .NET. En fin de compte, ces attaques aboutissent au déploiement d'un beacon CobaltStrike, permettant aux attaquants d'effectuer diverses actions malveillantes.
Sources :
Le géant pétrolier américain Halliburton confirme la cyberattaque à l'origine de l'arrêt des systèmes
Halliburton, un des principaux fournisseurs de services pour l'industrie énergétique, a confirmé avoir subi une cyberattaque qui a entraîné l'arrêt de certains de ses systèmes le 21 août 2024. Dans un dépôt auprès de la SEC, la société a indiqué qu'un tiers non autorisé avait accédé à ses systèmes, ce qui a conduit à l'activation de son plan de réponse en matière de cybersécurité et à une enquête interne avec l'aide de conseillers externes. Pour contenir la violation, Halliburton a décidé de mettre hors ligne certains systèmes et a informé les agences de la loi. Les experts en informatique de l'entreprise travaillent actuellement à la restauration des dispositifs affectés et à l'évaluation de l'impact de l'attaque. Bien que la nature de l'attaque n'ait pas encore été précisée, un porte-parole du Département de l'Énergie a confirmé que les détails restaient inconnus. Fondée en 1919, Halliburton emploie plus de 40 000 personnes et a récemment rapporté des revenus de 5,8 milliards de dollars pour le deuxième trimestre 2024. Ce cyberincident rappelle les défis de sécurité auxquels sont confrontées les entreprises du secteur énergétique, notamment après des attaques notables comme celle de Colonial Pipeline en 2021.
