Nouvelles attaques SLAP et FLOP : vulnérabilités des puces Apple M-Series exposées - Actus du 29/01/2025
Découvrez comment protéger votre entreprise : évaluez gratuitement les risques GenAI, Web, SaaS et identitaires. Actus : une faille critique menace les appareils Zyxel et la dernière mise à jour Windows 10 impose le nouvel Outlook. Restez informé pour sécuriser vos systèmes dès aujourd'hui !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Découvrez les menaces de navigation cachées : obtenez une évaluation gratuite des risques liés à GenAI, à l'identité, au Web et au SaaS
Avec l'essor des outils GenAI et des plateformes SaaS, les risques liés à l'exposition des données, aux vulnérabilités d'identité et aux comportements de navigation non surveillés ont considérablement augmenté. Les équipes de sécurité cherchent des stratégies pour gérer ces menaces, mais peuvent avoir des lacunes dans leur compréhension des risques à prioriser. Pour les aider, une évaluation des risques gratuite et personnalisée est désormais disponible, permettant d'analyser l'environnement de navigation de chaque organisation et de fournir des recommandations concrètes. Le rapport d'évaluation met en lumière des risques clés tels que l'utilisation non sécurisée de GenAI, les fuites de données sensibles, les applications SaaS non surveillées, les vulnérabilités d'identité, ainsi que les menaces de navigation et les extensions malveillantes. En comprenant ces risques, les équipes de sécurité et IT peuvent renforcer leur posture de sécurité et planifier des actions correctives. Cette évaluation est adaptée à toutes les organisations, quel que soit leur niveau de maturité ou leur secteur d'activité, et offre des insights exploitables pour améliorer la sécurité des données et des identités. Pour bénéficier de cette évaluation gratuite, il suffit de s'inscrire.
Sources :
Des pirates informatiques exploitent une faille critique non corrigée dans les appareils CPE de Zyxel
Des hackers exploitent une vulnérabilité critique de type injection de commandes dans les dispositifs Zyxel CPE, identifiée comme CVE-2024-40891, qui reste non corrigée depuis juillet dernier. Cette faille permet à des attaquants non authentifiés d'exécuter des commandes arbitraires via les comptes de service 'supervisor' ou 'zyuser'. VulnCheck a ajouté cette vulnérabilité à sa base de données, la classant parmi celles exploitées pour un accès initial. Les détails techniques n'ont pas été divulgués publiquement, et Zyxel n'a pas publié d'avis de sécurité ni de correctif. Des activités d'exploitation ont été observées par GreyNoise, indiquant que des tentatives d'attaque proviennent de plusieurs adresses IP uniques. Bien que la vulnérabilité soit similaire à une autre (CVE-2024-40890), elle est spécifiquement liée au protocole telnet. Actuellement, plus de 1 500 dispositifs Zyxel CPE sont exposés en ligne, principalement dans des pays comme les Philippines, le Royaume-Uni et la France. En l'absence de mise à jour de sécurité, il est conseillé aux administrateurs de bloquer les adresses IP suspectes et de surveiller le trafic pour des requêtes telnet atypiques.
Sources :
La mise à jour préliminaire de Windows 10 de janvier force l'installation du nouveau Outlook
Microsoft a commencé à installer automatiquement le nouveau client de messagerie Outlook sur les systèmes Windows 10 pour les utilisateurs qui déploient la mise à jour de prévisualisation KB5050081 de janvier 2025. Cette initiative a été annoncée le 9 janvier, indiquant que le nouveau Outlook serait installé pour tous les utilisateurs de Windows 10 lors des mises à jour de sécurité de février. Le nouveau client fonctionnera en parallèle avec l'application classique d'Outlook sans modifier les paramètres ou configurations des utilisateurs. Microsoft souligne que cette démarche vise à faciliter la transition vers Windows 11, alors que Windows 10 atteindra sa fin de support le 14 octobre 2025. De plus, les nouvelles installations de l'application Microsoft 365 sur les appareils Windows incluront également le nouveau Outlook. Les administrateurs peuvent retirer ou bloquer le nouveau client en utilisant des commandes spécifiques dans PowerShell ou en modifiant le registre Windows. Pour ceux qui ne souhaitent pas utiliser le nouveau Outlook, des instructions détaillées sont disponibles sur le site de support de Microsoft.
Sources :
La mise à jour Windows 11 KB5050094 corrige les bugs causant des problèmes audio
Microsoft a publié la mise à jour cumulative optionnelle KB5050094 pour Windows 11 24H2, qui corrige 28 bugs, notamment des problèmes de lecture audio sur les systèmes utilisant des pilotes audio USB. Cette mise à jour fait partie des "mises à jour préliminaires non sécuritaires" mensuelles, permettant aux administrateurs de tester les correctifs avant le Patch Tuesday du mois suivant. Contrairement aux mises à jour de sécurité, celles-ci ne contiennent pas de correctifs de sécurité. La mise à jour KB5050094 résout des problèmes où les appareils audio USB cessent de fonctionner, notamment après les mises à jour de sécurité de janvier 2025, et corrige des erreurs de type Code 10 lors de la connexion à certains dispositifs de gestion audio externes. Pour l'installer, il suffit d'accéder aux paramètres de Windows Update. Cette mise à jour améliore également la reconnaissance des caméras USB, l'installation des mises à jour cumulatives, et corrige des erreurs liées à Remote Desktop Gateway et à l'outil de capture d'écran. Cependant, trois problèmes connus persistent, affectant notamment les joueurs sur des appareils Windows Arm. Windows 11 24H2 est désormais déployé largement et accessible via Windows Update.
Sources :
L'IA dans la cybersécurité : ce qui est efficace et ce qui ne l'est pas – Le point de vue de 200 experts
Participez à un webinaire captivant sur l'impact réel de l'IA dans la cybersécurité, animé par Ravid Circus, expert en la matière. À travers une enquête menée auprès de 200 professionnels du secteur, cet événement vise à démystifier l'utilisation de l'IA au-delà des discours marketing. Vous découvrirez comment les équipes de sécurité exploitent l'IA aujourd'hui, en abordant les avantages concrets ainsi que les défis, tels que les problèmes de données et de transparence.
Le webinaire mettra en lumière les domaines de la cybersécurité où l'IA apporte des changements significatifs, vous permettant d'identifier les opportunités d'amélioration de vos défenses. De plus, vous repartirez avec des conseils pratiques pour intégrer l'IA dans votre stratégie de sécurité, transformant ainsi votre approche face aux menaces.
Ce n'est pas seulement une discussion théorique, mais une occasion de réévaluer votre stratégie de cybersécurité avec des idées novatrices. Les places sont limitées, alors inscrivez-vous rapidement pour ne pas manquer cette chance d'apprendre à tirer parti de l'IA dans votre plan de cybersécurité. Préparez-vous à passer de la curiosité à l'action !
Sources :
De nouvelles attaques SLAP et FLOP exposent les puces Apple de la série M à des exploits d'exécution spéculative
Une équipe de chercheurs en sécurité du Georgia Institute of Technology et de l'Université de Ruhr Bochum a mis en évidence deux nouvelles attaques par canaux auxiliaires ciblant les puces Apple Silicon, pouvant compromettre des informations sensibles dans des navigateurs comme Safari et Google Chrome. Ces attaques, nommées SLAP (Data Speculation Attacks via Load Address Prediction) et FLOP (Breaking the Apple M3 CPU via False Load Output Predictions), exploitent des vulnérabilités liées à l'exécution spéculative, un mécanisme d'optimisation des performances des processeurs. SLAP, affectant les puces M2, A15 et plus récentes, cible le prédicteur d'adresse de chargement, permettant à un attaquant de récupérer des contenus d'e-mails et des comportements de navigation. FLOP, quant à elle, impacte les puces M3, M4 et A17, en contournant des vérifications critiques de sécurité mémoire, ouvrant la voie à des fuites d'informations telles que l'historique de localisation et les informations de carte de crédit. Ces découvertes surviennent peu après la révélation d'une attaque sur la randomisation de l'espace d'adresses du noyau (KASLR) sur macOS, soulignant la vulnérabilité croissante des systèmes Apple face à des attaques sophistiquées.
Sources :
Comment le ransomware Interlock infecte les établissements de santé
Les attaques par ransomware dans le secteur de la santé ont atteint une ampleur sans précédent, mettant en lumière des vulnérabilités qui mettent en danger des millions de personnes. Ces attaques consistent à chiffrer les données des victimes pour perturber les opérations et menacent de divulguer des informations sensibles si les rançons ne sont pas payées. Le groupe Interlock se distingue par sa sophistication, utilisant des techniques avancées telles que le phishing et des mises à jour logicielles frauduleuses pour accéder aux systèmes. Une fois à l'intérieur, ils se déplacent rapidement dans le réseau, volant des données sensibles et préparant le chiffrement des systèmes. Parmi les victimes, le Brockton Neighborhood Health Center a été compromis en octobre 2024, l'attaque restant non détectée pendant près de deux mois. Les outils d'administration à distance légitimes sont détournés pour des activités malveillantes, et des outils comme ANY.RUN permettent aux équipes de santé d'identifier rapidement les menaces. En analysant des fichiers suspects et en surveillant l'activité réseau, ces outils offrent des informations exploitables pour prévenir les violations de données. La protection proactive est essentielle pour contrer les menaces de ransomware dans ce secteur critique.
Sources :
Une faille de sécurité critique dans Cacti (CVE-2025-22604) permet l'exécution de code à distance
Une vulnérabilité critique a été révélée dans le cadre de surveillance et de gestion des pannes Cacti, permettant à un attaquant authentifié d'exécuter du code à distance sur des instances vulnérables. Cette faille, identifiée sous le nom CVE-2025-22604, a un score CVSS de 9,1 sur 10. Selon les mainteneurs du projet, un défaut dans le parseur SNMP multi-lignes permet aux utilisateurs authentifiés d'injecter des OIDs malformés dans la réponse. Lorsqu'ils sont traités par certaines fonctions, une partie de chaque OID est utilisée comme clé dans un tableau lié à une commande système, entraînant une vulnérabilité d'exécution de commande. L'exploitation réussie de cette vulnérabilité permettrait à un utilisateur authentifié ayant des permissions de gestion de dispositifs d'exécuter du code arbitraire sur le serveur, compromettant ainsi des données sensibles. CVE-2025-22604 affecte toutes les versions antérieures ou égales à 1.2.28 et a été corrigée dans la version 1.2.29. Un chercheur en sécurité, connu sous le pseudonyme u32i, a découvert cette faille. La version récente corrige également CVE-2025-24367, qui permettrait à un attaquant d'exécuter du code à distance en créant des scripts PHP arbitraires. Les organisations utilisant Cacti doivent appliquer les correctifs nécessaires.
Sources :
L'UAC-0063 étend les cyberattaques aux ambassades européennes à l'aide de documents volés
Le groupe de menaces persistantes avancées (APT) UAC-0063 a été observé utilisant des documents légitimes obtenus par l'infiltration d'une victime pour attaquer d'autres cibles, dans le but de déployer un malware connu sous le nom de HATVIBE. Selon Martin Zugec de Bitdefender, ce groupe a élargi ses opérations au-delà de l'Asie centrale, visant des entités telles que des ambassades en Europe, notamment en Allemagne, au Royaume-Uni, aux Pays-Bas, en Roumanie et en Géorgie. UAC-0063 a été signalé pour la première fois en mai 2023, lié à une campagne ciblant des entités gouvernementales en Asie centrale avec un malware d'exfiltration de données, DownEx. Le CERT-UA a révélé que ce groupe opérait depuis au moins 2021, utilisant divers outils comme LOGPIE et CHERRYSPY. Des campagnes récentes ont montré l'utilisation de documents volés au ministère des Affaires étrangères du Kazakhstan pour des attaques de phishing. Les recherches de Bitdefender indiquent que les intrusions ont permis l'utilisation de DownEx et d'un nouvel exfiltrateur USB, PyPlunderPlug. UAC-0063 se distingue par ses capacités avancées et son ciblage persistant des entités gouvernementales, alignant ses actions avec des intérêts stratégiques russes.
Sources :
Broadcom met en garde contre une faille d'injection SQL de grande gravité dans VMware Avi Load Balancer
Broadcom a signalé une vulnérabilité de haute gravité dans VMware Avi Load Balancer, pouvant être exploitée par des acteurs malveillants pour accéder aux bases de données. Cette faille, identifiée sous le nom CVE-2025-22217 avec un score CVSS de 8.6, est décrite comme une injection SQL aveugle non authentifiée. Selon l'avis publié mardi, un utilisateur malveillant ayant accès au réseau pourrait utiliser des requêtes SQL spécialement conçues pour obtenir un accès à la base de données. Les chercheurs en sécurité Daniel Kukuczka et Mateusz Darda ont été reconnus pour la découverte et le signalement de cette vulnérabilité. Elle affecte plusieurs versions du logiciel : VMware Avi Load Balancer 30.1.1 (corrigé dans 30.1.2-2p2), 30.1.2 (corrigé dans 30.1.2-2p2), 30.2.1 (corrigé dans 30.2.1-2p5) et 30.2.2 (corrigé dans 30.2.2-2p2). Les versions 22.x et 21.x ne sont pas concernées par cette vulnérabilité. Les utilisateurs de la version 30.1.1 doivent d'abord passer à 30.1.2 ou une version ultérieure avant d'appliquer le correctif. Aucune solution de contournement n'est disponible, rendant la mise à jour essentielle pour une protection optimale.
Sources :
Les appareils CPE de Zyxel sont activement exploités en raison d'une vulnérabilité CVE-2024-40891 non corrigée
Des chercheurs en cybersécurité alertent sur une vulnérabilité critique de type zero-day affectant les dispositifs de la série Zyxel CPE, exploitée activement. Cette vulnérabilité, identifiée comme CVE-2024-40891, permet aux attaquants d'exécuter des commandes arbitraires, compromettant ainsi complètement le système, entraînant une exfiltration de données ou une infiltration réseau. Découverte par VulnCheck en juillet 2024, elle n'a pas encore été divulguée publiquement ni corrigée. Les tentatives d'attaque proviennent de plusieurs adresses IP, principalement situées à Taïwan, avec plus de 1 500 dispositifs vulnérables en ligne. GreyNoise souligne que cette vulnérabilité est similaire à CVE-2024-40890, la différence étant que la première est basée sur Telnet et la seconde sur HTTP. Pendant ce temps, Arctic Wolf a signalé une campagne d'accès non autorisé à des dispositifs utilisant le logiciel de bureau à distance SimpleHelp, débutant le 22 janvier 2025. Bien que les liens entre ces attaques et des failles récemment divulguées dans SimpleHelp ne soient pas encore établis, les organisations sont fortement conseillées de mettre à jour leurs instances de SimpleHelp pour se protéger contre d'éventuelles menaces.
Sources :
Des pirates informatiques exploitent les failles de SimpleHelp RMM pour pirater les réseaux
Des hackers exploitent des vulnérabilités récemment corrigées dans le logiciel SimpleHelp Remote Monitoring and Management (RMM) pour accéder à des réseaux cibles. Les failles, identifiées comme CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728, permettent aux attaquants de télécharger et d'uploader des fichiers, ainsi que d'élever leurs privilèges à des niveaux administratifs. Découvertes par des chercheurs de Horizon3, ces vulnérabilités ont été corrigées entre le 8 et le 13 janvier 2025. Arctic Wolf signale une campagne d'attaques ciblant les serveurs SimpleHelp, débutant environ une semaine après la divulgation publique des failles. Bien que la société ne puisse pas confirmer que ces attaques exploitent spécifiquement les vulnérabilités, elle recommande fortement de mettre à jour vers les versions corrigées du logiciel. De plus, si le client SimpleHelp n'est plus utilisé, il est conseillé de le désinstaller pour réduire la surface d'attaque. La plateforme de surveillance Shadowserver Foundation a identifié 580 instances vulnérables en ligne, principalement aux États-Unis. Les utilisateurs de SimpleHelp doivent donc agir rapidement pour sécuriser leurs systèmes.
Sources :
Google va supprimer Chrome Sync sur les anciennes versions du navigateur Chrome
Google a annoncé que la fonctionnalité Chrome Sync sera supprimée début 2025 pour les versions de Chrome datant de plus de quatre ans. Chrome Sync permet de synchroniser les favoris, mots de passe, historique, onglets ouverts et paramètres des utilisateurs, ainsi que de les connecter automatiquement à divers services Google. Dans un message publié sur son site communautaire, Google a précisé que les utilisateurs de versions obsolètes de Chrome commenceront à recevoir des messages d'erreur les incitant à mettre à jour leur navigateur. Ceux qui souhaitent continuer à utiliser Chrome Sync doivent donc mettre à jour leur navigateur vers la dernière version. Si la mise à jour n'est pas possible, la fonctionnalité ne sera plus accessible sur ces appareils. Cette décision s'inscrit dans une stratégie visant à encourager les utilisateurs à adopter des versions plus récentes et sécurisées de Chrome, en réponse à des préoccupations concernant la sécurité des anciennes versions. Google a déjà pris des mesures similaires par le passé, notamment en bloquant le support de Chrome Sync pour les versions très anciennes et en restreignant l'accès à certaines API pour les navigateurs basés sur Chromium.
Sources :
Les montres GPS Garmin se bloquent et sont bloquées dans une boucle de redémarrage triangulaire
Des utilisateurs de montres Garmin signalent des pannes lorsque des applications nécessitant l'accès GPS sont utilisées, entraînant un blocage dans une boucle de redémarrage affichant un logo de triangle bleu. Depuis ce matin, des milliers de clients se plaignent sur les réseaux sociaux de l'inutilisabilité de leurs appareils, touchant plusieurs séries, dont les Garmin Descent, Forerunner, Epix, Fenix, Instinct, Tactix, Vivoactive et Venu. Garmin a mis à jour sa page de statut pour reconnaître ces problèmes et a conseillé aux utilisateurs affectés d'éteindre leurs appareils et de les resynchroniser avec les applications Garmin Connect ou Garmin Express. La société a également suggéré un réinitialisation d'usine pour ceux dont les montres restent bloquées, bien que cela entraîne la suppression de contenus Connect IQ, de données de la batterie corporelle et d'autres paramètres. Bien que Garmin n'ait pas encore identifié la cause de ces pannes, il est probable qu'une mise à jour de firmware défectueuse affecte les sous-systèmes GPS des montres concernées. Un porte-parole de Garmin n'était pas disponible pour commenter la situation. Ce problème rappelle une attaque par ransomware subie par Garmin en juillet 2020.
Sources :
De nouvelles attaques par canal auxiliaire sur le processeur d'Apple volent des données aux navigateurs
Des chercheurs en sécurité ont révélé de nouvelles vulnérabilités par canaux auxiliaires dans les processeurs modernes d'Apple, permettant le vol d'informations sensibles via les navigateurs web. Ces découvertes, présentées dans deux articles distincts, FLOP et SLAP, mettent en lumière des défauts liés à l'exécution spéculative, à l'origine d'attaques notoires comme Spectre et Meltdown. Les attaques FLOP et SLAP exploitent des erreurs de prédiction d'adresses mémoire, ce qui peut compromettre la sécurité des navigateurs comme Safari et Chrome. En utilisant des pages web malveillantes contenant du code JavaScript ou WebAssembly, les attaquants peuvent déclencher ces vulnérabilités à distance. Les chercheurs ont démontré que l'attaque FLOP permettait de contourner le sandboxing de Safari pour accéder à des informations privées, telles que des données de Proton Mail et l'historique de localisation de Google Maps. L'attaque SLAP affecte également les modèles M2 et A15. Ces vulnérabilités sont préoccupantes car elles peuvent être exploitées sans accès physique, simplement en visitant un site compromis. En attendant des mises à jour de sécurité d'Apple, désactiver JavaScript pourrait atténuer le risque, bien que cela perturbe l'utilisation de nombreux sites.
Sources :
Le géant de l'ingénierie Smiths Group révèle une faille de sécurité
Le 28 janvier 2025, le groupe d'ingénierie britannique Smiths Group a annoncé une violation de sécurité après qu'un groupe d'attaquants inconnus ait accédé à ses systèmes. Smiths, qui emploie plus de 15 000 personnes dans plus de 50 pays et génère un chiffre d'affaires de 3,132 milliards de livres, a déclaré dans un communiqué à la Bourse de Londres qu'il enquêtait sur cet incident de cybersécurité. Dès la découverte de l'accès non autorisé, l'entreprise a isolé rapidement les systèmes affectés et activé ses plans de continuité des activités. Smiths collabore avec des experts en cybersécurité pour récupérer les systèmes touchés et évaluer l'impact potentiel sur ses opérations. L'entreprise a également affirmé qu'elle prenait toutes les mesures nécessaires pour se conformer aux exigences réglementaires pertinentes et qu'elle fournirait des mises à jour dès qu'elles seraient disponibles. Cependant, Smiths n'a pas précisé quand la violation a été détectée ni si des données commerciales ou clients avaient été compromises. Cette annonce survient dans un contexte où d'autres entreprises, comme Conduent et Hewlett Packard Enterprise, ont également signalé des incidents de cybersécurité récemment.
Sources :
PureCrypter déploie l'agent Tesla et une nouvelle porte dérobée TorNet dans les cyberattaques en cours
Un acteur malveillant motivé financièrement est lié à une campagne de phishing ciblant des utilisateurs en Pologne et en Allemagne depuis juillet 2024. Les attaques ont entraîné le déploiement de divers malwares, dont Agent Tesla, Snake Keylogger et un backdoor inédit nommé TorNet, distribué via PureCrypter. TorNet permet à l'attaquant de communiquer avec la machine victime via le réseau TOR. Selon Chetan Raghuprasad de Cisco Talos, l'attaquant utilise une tâche planifiée sur les machines victimes pour assurer sa persistance, même sur des appareils à faible batterie. Avant de déployer le malware, l'attaquant déconnecte la machine du réseau pour éviter la détection par des solutions antimalware basées sur le cloud. Les attaques commencent par des emails de phishing contenant de fausses confirmations de transfert d'argent ou des reçus de commande, se faisant passer pour des institutions financières. Les pièces jointes, au format ".tgz", contiennent un chargeur .NET qui exécute PureCrypter, lançant ensuite le backdoor TorNet après avoir effectué des vérifications anti-analyse. En réponse à cette menace, il est conseillé de développer des techniques de filtrage avancées pour détecter le "hidden text salting" et améliorer les capacités de détection.
Sources :
Signal vous permettra de synchroniser les anciens messages lors de la connexion de nouveaux appareils
Signal introduit une nouvelle fonctionnalité permettant aux utilisateurs de synchroniser leur historique de messages depuis leurs appareils principaux iOS ou Android vers de nouveaux appareils liés, tels que des ordinateurs de bureau et des iPads. Ce processus de transfert est entièrement chiffré de bout en bout, garantissant la confidentialité et la sécurité des données. Les utilisateurs devront passer par une étape de vérification par QR code pour autoriser l'action. Lors de la liaison d'un nouvel appareil, les utilisateurs peuvent choisir de transférer leurs messages et les médias des 45 derniers jours, ou de commencer avec un nouvel historique.
Signal, qui ne stocke pas les communications sur ses serveurs, a développé un mécanisme permettant de créer une archive chiffrée des messages sur l'appareil principal, transférée au nouvel appareil via une clé AES à usage unique. Ce transfert se fait par un canal direct entre les appareils, les serveurs de Signal n'agissant que comme relais temporaire. Les fichiers multimédias ne sont pas inclus dans l'archive, mais des liens vers les pièces jointes chiffrées sont fournis. Signal envisage d'étendre la période de conservation des médias au-delà de 45 jours et de développer des mécanismes de restauration des messages pour les utilisateurs ayant perdu ou endommagé leurs appareils.
