Palo Alto Networks alerte sur une faille RCE zero-day critique exploitée - Actus du 15/11/2024
Microsoft stoppe les mises à jour Exchange, Palo Alto signale une faille RCE critique exploitée. Entreprises, renforcez dès maintenant votre cybersécurité face à ces menaces ! Découvrez comment protéger votre infrastructure.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft retire les mises à jour de sécurité d'Exchange en raison de problèmes de distribution de courrier
Microsoft a retiré les mises à jour de sécurité d'Exchange de novembre 2024, publiées lors du Patch Tuesday, en raison de problèmes de livraison des e-mails sur les serveurs utilisant des règles de flux de messagerie personnalisées. Cette décision fait suite à de nombreux rapports d'administrateurs indiquant que les e-mails avaient cessé de circuler après l'installation des mises à jour pour Exchange Server 2016 et 2019. Les règles de transport et de protection des données (DLP) sont particulièrement touchées, entraînant des interruptions périodiques. Microsoft a suspendu le déploiement des mises à jour et a conseillé aux administrateurs de désinstaller les mises à jour défectueuses si des problèmes de flux de messagerie se produisent. Cependant, ceux qui n'utilisent pas ces règles peuvent continuer à utiliser leurs serveurs Exchange à jour. Parallèlement, Microsoft a révélé une vulnérabilité critique (CVE-2024-49040) permettant aux attaquants de falsifier des expéditeurs légitimes dans les e-mails, augmentant ainsi l'efficacité des messages malveillants. Bien que cette vulnérabilité ne soit pas encore corrigée, Microsoft a mis en place un avertissement pour les e-mails malveillants après l'installation des mises à jour de novembre.
Sources :
Palo Alto Networks met en garde contre une faille RCE zero-day critique exploitée dans des attaques
Palo Alto Networks a alerté sur une vulnérabilité critique de type zero-day, identifiée comme 'PAN-SA-2024-0015', affectant les interfaces de gestion des pare-feu de nouvelle génération (NGFW). Bien que la faille ait été signalée le 8 novembre 2024 sans signes d'exploitation, la situation a évolué une semaine plus tard, avec des attaques détectées exploitant cette vulnérabilité d'exécution de code à distance (RCE) non authentifiée. La vulnérabilité, notée 9.3 sur l'échelle CVSS v4.0, permet à un attaquant d'envoyer une requête spécialement conçue pour prendre le contrôle non autorisé du pare-feu, compromettant ainsi la sécurité du réseau. Palo Alto Networks recommande de restreindre l'accès à l'interface de gestion uniquement aux adresses IP internes de confiance et de bloquer l'accès Internet pour prévenir toute exploitation. Actuellement, aucune mise à jour de sécurité n'est disponible, mais des correctifs sont en préparation. Des recherches ont révélé environ 11 180 adresses IP exposées, principalement aux États-Unis. Les administrateurs sont invités à vérifier la sécurité de leurs dispositifs via le portail de support client de Palo Alto Networks.
Sources :
Entreprises, il n’est pas trop tard pour investir dans la cybersécurité !
En 2023, la cybersécurité est devenue une préoccupation cruciale pour les entreprises, en particulier les petites et moyennes entreprises (PME) en France, qui ont subi 60 % des cyberattaques, soit plus de 330 000 incidents. Mountaha Ndiaye, directrice des ventes et programmes EMEA chez Hyland, souligne l'importance d'investir dans des solutions de cybersécurité pour protéger les données sensibles et maintenir la confiance des consommateurs. Les PME, souvent en première ligne, doivent adopter des mesures proactives face à des menaces croissantes, car les conséquences d'une cyberattaque peuvent être désastreuses, allant de pertes financières à la fermeture d'entreprises. La collaboration entre les responsables de la sécurité des systèmes d’information (RSSI) et les dirigeants est essentielle pour établir des programmes de cybersécurité efficaces, alignés sur les objectifs d'entreprise. Le règlement NIS2, qui renforce la protection des données et des systèmes d’information, doit être une priorité pour les entreprises. Dans un contexte de cybercriminalité en hausse, il est impératif que la cybersécurité soit intégrée dans la planification budgétaire et que tous les employés soient sensibilisés aux enjeux de sécurité, car chaque acteur a un rôle à jouer dans la protection des systèmes.
Sources :
Microsoft vient de supprimer définitivement le canal bêta de Windows 10
Microsoft a officiellement fermé le canal Beta de Windows 10, transférant tous les utilisateurs inscrits vers le canal Release Preview. Cette décision survient seulement cinq mois après la réouverture du canal Beta en juin 2024, qui avait pour but de tester de nouvelles fonctionnalités pour la version 22H2 de Windows 10. L'équipe Windows Insider a annoncé que cette fermeture était définitive, sans fournir d'explications ni de plans de relance. En conséquence, Microsoft encourage les utilisateurs à migrer vers Windows 11, surtout avec la fin du support de Windows 10 prévue pour le 14 octobre 2025. Actuellement, plus de 60 % des systèmes Windows dans le monde fonctionnent encore sous Windows 10, tandis que seulement 35 % utilisent Windows 11, lancé en octobre 2021. Bien que Windows 10 22H2 continue de recevoir des mises à jour de sécurité mensuelles jusqu'à la date limite, Microsoft a également introduit un programme de mises à jour de sécurité étendues (ESU) pour les utilisateurs domestiques, permettant un report d'un an vers Windows 11 moyennant un coût de 30 $. Les entreprises auront également accès à ces mises à jour à partir de novembre 2024.
Sources :
Les chercheurs mettent en garde contre les risques d'escalade des privilèges dans la plateforme ML Vertex AI de Google
Des chercheurs en cybersécurité ont révélé deux vulnérabilités dans la plateforme d'apprentissage automatique (ML) Vertex de Google, qui pourraient permettre à des acteurs malveillants d'escalader leurs privilèges et d'exfiltrer des modèles depuis le cloud. Selon l'analyse de Palo Alto Networks, l'exploitation des permissions des travaux personnalisés permet d'accéder à tous les services de données d'un projet. En déployant un modèle empoisonné, il est possible d'exfiltrer d'autres modèles ajustés, posant un risque sérieux pour les données sensibles. La première faille repose sur les Vertex AI Pipelines, qui automatisent les flux de travail MLOps. En manipulant ces pipelines, les chercheurs ont pu créer un travail personnalisé exécutant une image conçue pour établir un accès à distance. La seconde vulnérabilité concerne le déploiement d'un modèle malveillant qui crée une reverse shell, permettant d'accéder aux clusters Kubernetes et d'exécuter des commandes arbitraires. Ces failles soulignent les dangers d'un déploiement non vérifié de modèles, pouvant entraîner des attaques d'exfiltration de données. Google a corrigé ces vulnérabilités après une divulgation responsable, et les organisations sont conseillées de renforcer leurs contrôles sur les déploiements de modèles.
Sources :
Mise à jour sur la cyberattaque de Halliburton : des pertes de 35 millions de dollars pèsent sur l'entreprise
Halliburton, le géant pétrolier américain, a récemment révélé que le cyberattaque subie en août 2024 a entraîné des pertes financières de 35 millions de dollars. Dans un communiqué de presse concernant ses résultats du troisième trimestre 2024, la société a confirmé que l'incident, initialement gardé secret, était un ransomware, identifié par le terme RansomHub dans les communications avec ses fournisseurs. Bien que Halliburton ait admis l'impact de l'attaque sur ses opérations, les détails sur la suppression de l'infection par ransomware et le montant de la rançon demandée restent flous. Selon Jeff Miller, PDG de Halliburton, l'attaque a eu un impact de 0,02 $ par action sur les bénéfices ajustés, affectant les revenus en raison de l'incident et des tempêtes dans le Golfe du Mexique. En outre, la société a enregistré une charge avant impôt de 116 millions de dollars liée à des coûts de licenciement et à d'autres dépenses associées à l'incident. Malgré ces pertes, Halliburton reste optimiste quant à une amélioration de ses résultats au quatrième trimestre 2024, sans informations supplémentaires sur l'impact sur ses données ou les intentions des attaquants concernant une éventuelle divulgation de données.
Sources :
Le rôle des proxys dans la cybersécurité moderne et la protection des données
Les menaces cybernétiques augmentent, poussant les entreprises à renforcer la protection de leurs informations sensibles. Un outil efficace dans cette lutte est le proxy, qui masque les adresses IP, protège les données et aide à respecter les lois sur la vie privée. Ce processus de "masquage" cache la localisation réelle de l'utilisateur, rendant plus difficile le suivi ou l'interception des données par des acteurs malveillants. En redirigeant le trafic internet, les proxies offrent une anonymité accrue, compliquant ainsi la tâche des hackers. Cela est particulièrement crucial pour les secteurs traitant des données sensibles, comme la finance, la santé et le commerce électronique, où une brèche de sécurité peut entraîner des pertes financières et de réputation considérables. Associés à d'autres outils de cybersécurité tels que les pare-feu, les proxies forment une défense robuste contre les accès non autorisés. Ils facilitent également le travail à distance en créant des voies sécurisées pour accéder aux ressources de l'entreprise, tout en réduisant la charge sur les serveurs grâce à la mise en cache des données. En somme, les proxies représentent une solution pratique pour protéger les données sensibles, dissuader les accès non autorisés et garantir la conformité réglementaire.
Sources :
L’importance de la gestion de la posture de sécurité des données (DSPM) dans le paysage numérique actuel
Le DSPM (Data Security Posture Management) automatise la découverte et la classification des données dans divers environnements, y compris le multi-cloud, tout en offrant des rapports complets, des analyses et des recommandations pour optimiser la sécurité des données. Il permet une compréhension approfondie des données, facilitant le suivi des parcours de données et l'accès pour les audits réglementaires. Grâce à ses rapports, le DSPM améliore la communication et la collaboration entre les départements tels que l'IT, la conformité et la gestion des risques. Comparé à la gestion interne, faire appel à un partenaire DSPM fiable est plus rentable et efficace. Le DSPM joue un rôle crucial dans la conformité aux normes réglementaires comme le GDPR, le CCPA et l'HIPAA, en alertant sur les activités à risque et en réduisant la charge de travail manuelle des DPO. Selon Gartner, l'adoption du DSPM devrait augmenter, avec plus de 20 % des organisations l'ayant déployé d'ici 2026. Les solutions DSPM évoluent pour prioriser les risques de sécurité en fonction de leur impact financier, intégrant des technologies comme la blockchain pour des pistes de vérification infaillibles et améliorant la protection des réseaux et des dispositifs IoT.
Sources :
Gestion des certificats de maîtrise : participez à ce webinaire sur l'agilité et les meilleures pratiques en matière de cryptographie
Dans un monde numérique en constante évolution, la confiance est primordiale, mais que se passe-t-il lorsque cette confiance est compromise ? Les révocations de certificats, bien que rares, peuvent perturber les opérations, affecter la sécurité, la confiance des clients et la continuité des affaires. Pour vous préparer à ces imprévus, DigiCert organise un webinaire exclusif intitulé "Quand le changement survient : êtes-vous prêt pour un remplacement rapide de certificats ?". Ce webinaire vous permettra de découvrir comment l'automatisation, l'agilité cryptographique et les meilleures pratiques peuvent transformer les défis de révocation en opportunités de croissance et de résilience. Vous apprendrez pourquoi les révocations se produisent et leurs conséquences, ainsi que le rôle de la cryptographie post-quantique pour atténuer les risques. De plus, vous découvrirez comment minimiser les temps d'arrêt grâce à des outils avancés et comment rester à jour avec les normes cryptographiques évolutives. Enfin, des tactiques éprouvées pour une communication efficace et une mise à jour des systèmes seront explorées. Ne manquez pas cette occasion de renforcer la gestion de vos certificats et de préparer votre équipe à gérer les révocations avec expertise. Inscrivez-vous dès maintenant, les places sont limitées !
Sources :
Microsoft a publié le Patch Tuesday de novembre 2024 avec environ 90 correctifs
Cette semaine, Microsoft a publié ses mises à jour mensuelles de sécurité pour novembre 2024, corrigeant environ 90 vulnérabilités dans divers produits. Parmi celles-ci, plusieurs vulnérabilités critiques ont été identifiées, notamment la CVE-2024-43498, une faille d'exécution de code à distance touchant .NET et Visual Studio, notée 9.8 sur l'échelle CVSS. Bien que Microsoft ne l'ait pas qualifiée de zero-day, ZDI pense qu'elle en est une, en raison d'un rapport similaire. Deux autres vulnérabilités ont été reconnues comme zero-day : la CVE-2024-43451, une vulnérabilité de spoofing permettant la divulgation de hachages NTLMv2, et la CVE-2024-49039, une élévation de privilèges dans le planificateur de tâches Windows. Microsoft a également corrigé des vulnérabilités critiques, dont la CVE-2024-49056, qui permettait un contournement d'authentification, et la CVE-2024-43639, une faille d'exécution de code à distance dans Kerberos. En tout, 89 problèmes de sécurité ont été résolus, et bien que les mises à jour soient automatiques, les utilisateurs doivent vérifier manuellement leurs systèmes pour s'assurer qu'ils reçoivent toutes les corrections nécessaires.
Sources :
Un groupe de hackers vietnamiens déploie un nouveau voleur de PXA ciblant l'Europe et l'Asie
Un acteur malveillant parlant vietnamien est lié à une campagne de vol d'informations ciblant des entités gouvernementales et éducatives en Europe et en Asie, utilisant un nouveau malware Python appelé PXA Stealer. Ce malware vise à dérober des informations sensibles, y compris des identifiants de comptes en ligne, des données financières et des cookies de navigateur. Les chercheurs de Cisco Talos ont identifié des éléments indiquant des connexions au Vietnam, tels que des commentaires en vietnamien et un compte Telegram codé. PXA Stealer peut déchiffrer le mot de passe principal du navigateur de la victime pour voler des identifiants stockés. L'attaquant a été observé vendant des identifiants de comptes Facebook et Zalo sur Telegram. Les chaînes d'attaque commencent par un email de phishing contenant une pièce jointe ZIP, qui déploie un chargeur et des scripts batch pour exécuter le malware. PXA Stealer se concentre particulièrement sur le vol de cookies Facebook pour interagir avec les comptes publicitaires. Parallèlement, IBM X-Force a signalé une campagne distincte utilisant StrelaStealer, soulignant la popularité croissante des malwares de vol malgré les efforts des forces de l'ordre pour les contrer.
Sources :
Rapport de SentinelLabs sur l’état des ransomwares dans le cloud
Les attaques dans le cloud, bien que non nouvelles, évoluent rapidement, comme le souligne le rapport de SentinelLabs sur l'état des ransomwares dans le cloud. Ce rapport fait suite à l'analyse du Kryptina Ransomware-as-a-Service, révélant une banalisation croissante des ransomwares. Les chercheurs ont identifié divers outils conçus pour cibler les serveurs web et exploiter les services cloud, permettant le chiffrement des fichiers locaux depuis des points d'accès. Parmi les points clés abordés, le rapport examine les mécanismes d'attaque sur des services de stockage tels qu'Amazon S3 et Azure Blob Storage. Il met également en lumière des ransomwares comme BianLian, Rhysida et LockBit, qui utilisent le cloud pour exfiltrer des données, ainsi qu'un nouveau script en espagnol, RansomES. De plus, des détails sur les attaques d'applications web sont fournis, incluant un script du groupe indonésien IndoSec et un script Python nommé Pandora, ciblant spécifiquement les services web. Ce rapport met en évidence l'évolution des menaces dans le cloud et la nécessité pour les entreprises de renforcer leur sécurité face à ces nouvelles vulnérabilités.
Sources :
Infoblox dévoile Horrid Hawk et Hasty Hawk, de nouveaux acteurs malveillants du détournement de domaines DNS
Les attaques de type « Sitting Ducks » représentent une menace croissante pour les organisations, avec plus d'un million de domaines potentiellement vulnérables, selon un rapport d'Infoblox Threat Intel. Ces attaques permettent aux cybercriminels de prendre le contrôle des configurations DNS de domaines, affectant des marques, des ONG et des entités gouvernementales. Depuis la première publication sur ce sujet en juillet 2024, 800 000 domaines vulnérables ont été identifiés, dont environ 70 000 déjà détournés. Des acteurs malveillants tels que Vacant Viper, qui détourne environ 2 500 domaines par an, et des programmes d'affiliation comme Vextrio exploitent ces vulnérabilités pour rediriger le trafic vers des partenaires criminels. De nouveaux acteurs, tels que Horrid Hawk et Hasty Hawk, ont également émergé, utilisant des techniques sophistiquées pour détourner des domaines à des fins de fraude et de manipulation. Horrid Hawk se concentre sur des fraudes à l'investissement via des publicités sur Facebook, tandis que Hasty Hawk reconfigure fréquemment les domaines pour héberger du contenu malveillant. Ces développements soulignent l'importance d'une vigilance accrue face à ces menaces en constante évolution.
Sources :
Amazon, la vulnérabilité d’un sous-traitant expose le géant du numérique
Une fuite de données majeure a touché Amazon en raison de la vulnérabilité MOVEit (CVE-2023-34362), affectant un de ses prestataires en gestion immobilière. Selon The Register, plus de 5 millions d'enregistrements ont été compromis, dont 2,86 millions appartiennent à Amazon. Les données exposées incluent des adresses e-mail professionnelles, des numéros de téléphone et des informations sur la localisation des bâtiments. Bien que l'attaque initiale soit attribuée au groupe de ransomware Cl0p, les données sont désormais diffusées sur BreachForums par un utilisateur nommé Nam3L3ss. Benoit Grunemwald, expert en cybersécurité chez ESET France, souligne que malgré la correction de la faille MOVEit, ses conséquences continuent d'affecter de nombreuses organisations. Cet incident met en lumière l'interconnexion des systèmes d'information au sein des entreprises, où une faille dans un système peut compromettre la sécurité de plusieurs acteurs. Grunemwald insiste sur l'importance d'une approche rigoureuse de la gestion des risques et d'une cybersécurité intégrée à tous les niveaux, car négliger ce risque peut avoir des répercussions négatives sur de nombreux individus et organisations.
Sources :
Conscio Technologies présente les résultats de la nouvelle édition de son étude « Sensibilisation à la cybersécurité dans l’Industrie »
Conscio Technologies, spécialiste de la sensibilisation à la cybersécurité, a publié une étude sur le marché de la sensibilisation dans le secteur industriel, réalisée auprès de 23 000 collaborateurs en France entre janvier et juin 2024. L'entreprise, qui développe la plateforme « Sensiwave », aide les RSSI, DSI et DPO à renforcer la culture cybersécurité au sein des organisations. L'étude révèle que les industries doivent faire face à des défis majeurs, notamment le manque d'adresses email pour de nombreux utilisateurs et les risques liés au facteur humain. Les thèmes principaux abordés incluent la culture cybersécurité, l'ingénierie sociale, le phishing, et la protection des données. Les résultats montrent un taux de participation de 56 %, avec un besoin d'amélioration continue, notamment en matière de phishing, où le taux de clics a légèrement diminué. Le format « Vidéo Interactive » est le plus apprécié par les collaborateurs. Malgré un bon niveau de culture cybersécurité, avec 87 % de bonnes réponses, des efforts restent nécessaires, surtout concernant le phishing, où 9 % des collaborateurs ont été piégés par des mails factices. Michel Gérard souligne l'importance de sensibiliser les équipes pour protéger les systèmes d'information des industries.
Sources :
Passe Navigo : une campagne de phishing cible les usagers, attention à ce mail de faux remboursement
Une campagne de phishing ciblant Île-de-France Mobilités a refait surface, comme l'a révélé un journaliste le 13 novembre. Ce mail frauduleux, qui imite l'identité visuelle de la compagnie, annonce un prétendu remboursement du Passe Navigo et incite les destinataires à cliquer sur un lien. Les cybercriminels utilisent une adresse email falsifiée et redirigent les victimes vers un site clone, où elles sont invitées à fournir leurs identifiants. Les informations collectées sont ensuite revendues ou utilisées pour des connexions non autorisées sur des sites de commerce en ligne. Pour se protéger, il est conseillé de vérifier l'adresse de l'expéditeur, d'analyser les liens avant de cliquer, et de détecter les signes d'un site frauduleux, comme une page figée. Il est également recommandé de privilégier les canaux officiels pour toute information concernant Île-de-France Mobilités. En cas de doute, il est préférable de se connecter directement via le site officiel de l'agence. Cette alerte souligne l'importance de la vigilance face aux tentatives de phishing, surtout avec des événements comme les Jeux Olympiques 2024 qui pourraient être exploités par les arnaqueurs.
Sources :
Comment l'IA transforme la gestion des identités et des accès (IAM) et la sécurité des identités
Ces dernières années, l'intelligence artificielle (IA) a transformé la gestion des identités et des accès (IAM), redéfinissant l'approche de la cybersécurité. L'IA permet d'analyser les comportements d'accès et d'identifier les anomalies pouvant signaler des violations de sécurité. L'accent est désormais mis sur la gestion non seulement des identités humaines, mais aussi des systèmes autonomes, des API et des dispositifs connectés, créant un écosystème de sécurité dynamique. Contrairement aux systèmes traditionnels, l'IA détecte des irrégularités subtiles en établissant des bases de référence pour le comportement normal, permettant une réponse rapide aux menaces potentielles. Dans des environnements dynamiques, comme les applications conteneurisées, l'IA peut repérer des modèles d'accès inhabituels. De plus, l'IA aide à appliquer le principe du moindre privilège et à surveiller les violations de politiques en temps réel. En matière d'authentification, elle évalue les interactions machine à machine en fonction du risque contextuel. L'IA facilite également l'intégration des utilisateurs en attribuant dynamiquement des rôles. En matière de conformité, elle personnalise les rapports d'audit pour répondre aux normes réglementaires. Cette évolution marque un passage d'une cybersécurité réactive à une approche proactive, où l'IA anticipe et s'adapte aux menaces émergentes, renforçant ainsi la sécurité des identités humaines et non humaines.
Sources :
Inquiétudes croissantes, lacunes persistantes : la plupart des organisations craignent les cyberattaques liées à l’IA, sans disposer des moyens de défense nécessaires
Une étude récente de Kaspersky met en lumière les inquiétudes croissantes des entreprises face à l'utilisation de l'intelligence artificielle (IA) dans les cyberattaques. En France, 78 % des entreprises interrogées ont constaté une augmentation des cyberincidents au cours de l'année passée, et 52 % estiment que ces attaques sont souvent orchestrées par l'IA. Les professionnels de la cybersécurité soulignent la nécessité de formations régulières et d'un personnel qualifié pour contrer ces menaces. En effet, 90 % des répondants jugent essentiel d'améliorer l'expertise interne et d'avoir des équipes IT suffisamment dotées. Cependant, l'étude révèle un manque de préparation alarmant : 62 % des entreprises ne consacrent pas assez de ressources à la formation continue, et 56 % manquent d'expertise externe. Malgré une prise de conscience des risques, les mesures nécessaires ne sont pas mises en œuvre. Les ransomwares, autrefois une menace majeure, connaissent une résurgence, exacerbée par l'organisation croissante des cybercriminels. Kaspersky recommande aux entreprises de renforcer leur infrastructure informatique avec des solutions de sécurité robustes et de prioriser la formation des employés pour mieux se défendre contre ces nouvelles menaces.
Sources :
Une faille de grande gravité dans PostgreSQL permet aux pirates d'exploiter les variables d'environnement
Des chercheurs en cybersécurité ont révélé une vulnérabilité critique dans le système de base de données open-source PostgreSQL, identifiée sous le code CVE-2024-10979, avec un score CVSS de 8.8. Cette faille permet à des utilisateurs non privilégiés de modifier des variables d'environnement, ce qui pourrait entraîner une exécution de code arbitraire ou une divulgation d'informations sensibles. Les variables d'environnement, qui contiennent des valeurs définies par l'utilisateur, sont essentielles pour que les programmes récupèrent dynamiquement des informations durant leur exécution. PostgreSQL a indiqué que le contrôle incorrect de ces variables dans PL/Perl permet à un utilisateur de base de données non privilégié de changer des variables sensibles, comme le chemin d'accès (PATH), facilitant ainsi l'exécution de code malveillant. La vulnérabilité a été corrigée dans plusieurs versions de PostgreSQL, y compris les versions 17.1 et 16.5. Les chercheurs de Varonis, qui ont découvert la faille, mettent en garde contre des problèmes de sécurité graves selon le scénario d'attaque. Ils recommandent aux utilisateurs de restreindre les extensions autorisées et de limiter les permissions pour renforcer la sécurité. Des détails supplémentaires sur la vulnérabilité sont retenus pour permettre aux utilisateurs de mettre en œuvre les correctifs nécessaires.
Sources :
Un pirate informatique de Bitfinex condamné à 5 ans de prison pour avoir blanchi 10,5 milliards de dollars en Bitcoin
Ilya Lichtenstein, reconnu coupable du piratage de la plateforme de cryptomonnaie Bitfinex en 2016, a été condamné à cinq ans de prison, selon le ministère américain de la Justice. Avec sa femme, Heather Rhiannon Morgan, également coupable, il a été impliqué dans un stratagème de blanchiment d'argent ayant conduit au vol de près de 120 000 bitcoins, évalués à plus de 10,5 milliards de dollars. Le couple a effacé des preuves et utilisé de fausses identités pour ouvrir des comptes bancaires en ligne afin de blanchir les fonds volés, les déposant sur des marchés darknet et des échanges de cryptomonnaies. Ils ont ensuite converti les bitcoins en d'autres cryptomonnaies et retiré des fonds en devises fiat, en utilisant des services de mixage comme Bitcoin Fog. Leur arrestation a été facilitée par l'achat de cartes-cadeaux Walmart, qui a permis aux enquêteurs de retracer les mouvements de fonds. Parallèlement, Daren Li a plaidé coupable pour avoir blanchi 73,6 millions de dollars issus d'escroqueries en cryptomonnaie. Les autorités mettent en garde contre les dangers des investissements rapides et exotiques, soulignant l'importance de la vigilance des investisseurs.
Sources :
La CISA signale deux failles activement exploitées à Palo Alto ; une nouvelle attaque RCE confirmée
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a averti que deux nouvelles vulnérabilités affectant le logiciel Expedition de Palo Alto Networks sont activement exploitées. Ces failles, ajoutées au catalogue des vulnérabilités connues (KEV), obligent les agences fédérales à appliquer les mises à jour nécessaires d'ici le 5 décembre 2024. Les vulnérabilités concernent : CVE-2024-9463 (score CVSS : 9.9) pour une injection de commandes OS et CVE-2024-9465 (score CVSS : 9.3) pour une injection SQL. Leur exploitation pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires ou d'accéder à des données sensibles, comme des noms d'utilisateur et des mots de passe en clair. Palo Alto Networks a publié des mises à jour de sécurité le 9 octobre 2024 et a reconnu des rapports de CISA sur l'exploitation active de ces failles. Parallèlement, CISA a signalé l'exploitation d'une autre vulnérabilité critique, CVE-2024-5910. Palo Alto Networks a également détecté une vulnérabilité d'exécution de commandes à distance non authentifiée, incitant les clients à sécuriser leurs interfaces de gestion de pare-feu exposées à Internet, tout en préparant des correctifs.
Sources :
Microsoft vient de supprimer à nouveau le canal bêta de Windows 10
Microsoft a officiellement fermé le canal Beta de Windows 10, transférant tous les utilisateurs inscrits vers le canal Release Preview. Cette décision intervient seulement cinq mois après la réouverture du canal Beta en juin 2024, qui avait pour but de tester de nouvelles fonctionnalités pour la version 22H2 de Windows 10. L'équipe Windows Insider a annoncé que cette fermeture était définitive, sans fournir d'explications ni de plans de relance. En conséquence, Microsoft encourage les utilisateurs à migrer vers Windows 11, surtout avec la fin du support de Windows 10 prévue pour le 14 octobre 2025. Actuellement, plus de 60 % des systèmes Windows dans le monde fonctionnent encore sous Windows 10, tandis que seulement 35 % utilisent Windows 11, lancé en octobre 2021. Bien que la version 22H2 continue de recevoir des mises à jour de sécurité mensuelles jusqu'à la date limite, Microsoft a également introduit un programme de mises à jour de sécurité étendues (ESU) pour les utilisateurs domestiques, permettant un report d'un an vers Windows 11 moyennant un coût de 30 $. Les entreprises auront également accès à ces mises à jour à partir du 1er novembre 2024.
Sources :
Un réseau de fraude utilise 4 700 faux sites de vente pour voler des cartes de crédit
Un acteur malveillant chinois, surnommé "SilkSpecter", a mis en place un réseau de fraude en ligne utilisant 4 695 sites de shopping falsifiés pour dérober les informations de carte de crédit des consommateurs aux États-Unis et en Europe. Cette campagne a débuté en octobre 2024, ciblant les acheteurs en ligne avec des remises attractives pour le Black Friday. Les sites imitent des marques reconnues comme North Face et IKEA, utilisant des noms de domaine peu fiables tels que '.shop' et '.store', ce qui les rend suspects. Les sites sont conçus pour paraître authentiques et intègrent Stripe, un processeur de paiement légitime, pour voler les informations de carte de crédit des victimes. Lors de l'achat, les utilisateurs sont redirigés vers une page de paiement où ils doivent entrer leurs coordonnées bancaires et un numéro de téléphone, qui pourrait être utilisé ultérieurement pour des attaques de phishing. SilkSpecter est suspecté d'être d'origine chinoise en raison de l'utilisation d'adresses IP et de registraires chinois. Les consommateurs sont conseillés de visiter uniquement les sites officiels des marques et d'activer des mesures de protection sur leurs comptes financiers.
Sources :
La CISA met en garde contre de nouveaux bugs de Palo Alto Networks exploités dans des attaques
CISA a averti que deux nouvelles vulnérabilités critiques dans l'outil de migration Expedition de Palo Alto Networks sont actuellement exploitées par des attaquants. Les failles, une injection de commande non authentifiée (CVE-2024-9463) et une injection SQL (CVE-2024-9465), permettent aux hackers d'accéder à des systèmes non corrigés utilisant cet outil, qui facilite la migration de configurations de divers fournisseurs. La première vulnérabilité permet d'exécuter des commandes arbitraires en tant que root, exposant ainsi des informations sensibles telles que des noms d'utilisateur et des mots de passe en clair. La seconde vulnérabilité permet d'accéder au contenu de la base de données d'Expedition, y compris des hachages de mots de passe et des clés API. Palo Alto Networks a publié des mises à jour de sécurité dans la version 1.2.96 et ultérieure, et recommande aux administrateurs de restreindre l'accès réseau à Expedition en attendant la mise à jour. CISA a ajouté ces vulnérabilités à son catalogue et a ordonné aux agences fédérales de corriger leurs serveurs Expedition d'ici le 5 décembre. D'autres vulnérabilités dans Expedition continuent d'être exploitées, soulignant l'urgence de la mise à jour.
Sources :
Le nouveau malware Glove contourne le cryptage des cookies de Chrome
Le nouveau malware Glove Stealer est capable de contourner le chiffrement des cookies de Google Chrome, permettant ainsi le vol de données sensibles. Repéré par des chercheurs en sécurité de Gen Digital, ce malware, qui semble être en phase de développement précoce, utilise des tactiques d'ingénierie sociale similaires à celles de la chaîne d'infection ClickFix. Il incite les victimes à installer le malware via de faux messages d'erreur dans des fichiers HTML joints à des courriels de phishing. Glove Stealer, basé sur .NET, peut extraire des cookies de navigateurs comme Firefox et ceux basés sur Chromium (Chrome, Edge, Brave, etc.), ainsi que des portefeuilles de cryptomonnaies et des jetons de session 2FA. Il cible également des gestionnaires de mots de passe et des clients de messagerie. Pour contourner le chiffrement App-Bound de Chrome, Glove Stealer nécessite des privilèges administratifs pour installer un module dans le répertoire de Chrome, utilisant une méthode déjà dépassée par d'autres malwares. Malgré cette exigence, les campagnes de vol d'informations continuent d'augmenter, exploitant diverses vulnérabilités et techniques de phishing.
Sources :
Des experts découvrent 70 000 domaines piratés dans le cadre d'une vaste attaque de type « Sitting Ducks »
Des acteurs malveillants exploitent une technique d'attaque appelée "Sitting Ducks" pour détourner des domaines légitimes, utilisés dans des attaques de phishing et des escroqueries d'investissement. Infoblox a identifié près de 800 000 domaines vulnérables au cours des trois derniers mois, dont environ 9 % (70 000) ont été détournés. Bien que cette méthode ait été documentée en 2016, elle a gagné en notoriété récemment, notamment en raison de l'ampleur des détournements révélée en août. Les domaines ciblés incluent des marques connues, des ONG et des entités gouvernementales. Les cybercriminels profitent de la réputation positive de ces domaines, rendant leur détection difficile. Les attaques impliquent souvent un détournement rotatif, où un même domaine est repris par différents acteurs au fil du temps. Infoblox a identifié plusieurs groupes, tels que Vacant Viper et Horrid Hawk, qui utilisent ces techniques pour mener des campagnes de phishing, des escroqueries d'investissement et distribuer des malwares. Ces activités mettent en danger les entreprises et les individus, car les domaines détournés, ayant une bonne réputation, échappent souvent aux outils de sécurité.
Sources :
Un hacker condamné à 10 ans de prison pour avoir extorqué un prestataire de soins de santé américain
Robert Purbeck, un homme de 45 ans de l'Idaho, a été condamné à dix ans de prison pour avoir piraté au moins 19 organisations aux États-Unis, volant les données personnelles de plus de 132 000 personnes et tentant de les extorquer. Selon l'acte d'accusation, Purbeck, connu en ligne sous les pseudonymes "Lifelock" et "Studmaster", a acquis un accès réseau à un serveur d'une clinique médicale en Géorgie en 2017, ce qui lui a permis de dérober les informations personnelles identifiables (PII) de 43 000 individus. En février 2018, il a également piraté le serveur d'un service de police en Géorgie, volant des documents et des PII de 14 000 personnes. En juillet 2018, il a exigé une rançon d'un orthodontiste de Floride, menaçant de divulguer les fichiers volés de ses patients. Lors d'une perquisition en août 2019, le FBI a découvert des données de plus de 132 000 personnes sur les appareils saisis. Purbeck a plaidé coupable en mars à deux chefs d'accusation d'accès non autorisé à un ordinateur protégé. En plus de sa peine, il devra purger trois ans de libération surveillée et verser plus de 1 million de dollars en restitution à ses victimes.
