Une nouvelle campagne de phishing exploite Google Calendar pour échapper aux filtres - Actus du 02/01/2025
Découvrez les dernières mises à jour de sécurité pour Microsoft Dynamics 365 et Power Apps, les conseils de Kaspersky pour un fitness en ligne sécurisé, et comment contrer les attaques inter-domaines. Protégez vos données contre les menaces croissantes dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
De graves failles de sécurité ont été corrigées dans Microsoft Dynamics 365 et Power Apps Web API
Des détails ont été révélés concernant trois vulnérabilités de sécurité désormais corrigées dans Dynamics 365 et Power Apps Web API, pouvant entraîner une exposition de données. Découvertes par la société de cybersécurité Stratus Security, ces failles ont été résolues en mai 2024. Deux des vulnérabilités concernent le filtre OData Web API de Power Platform, tandis que la troisième est liée à l'API FetchXML. La première vulnérabilité provient d'un manque de contrôle d'accès sur le filtre OData, permettant l'accès à la table des contacts contenant des informations sensibles telles que noms, numéros de téléphone, adresses et hachages de mots de passe. Un attaquant pourrait exploiter cette faille pour effectuer une recherche booléenne et extraire le hachage complet en devinant chaque caractère séquentiellement. La deuxième vulnérabilité réside dans l'utilisation de la clause orderby pour obtenir des données spécifiques d'une colonne de la base de données. Enfin, l'API FetchXML permet également d'accéder à des colonnes restreintes via une requête orderby, contournant les contrôles d'accès. Ces vulnérabilités soulignent l'importance d'une vigilance constante en cybersécurité, notamment pour les grandes entreprises comme Microsoft.
Sources :
A l’heure des bonnes résolutions, Kaspersky partage ses bonnes pratiques pour une expérience fitness en ligne sécurisée
L'étude Yougov Resolutions 2024 révèle que l'amélioration de la condition physique et de la santé reste une priorité pour les résolutions de 2025, avec une forte tendance vers le coaching personnalisé, notamment via les réseaux sociaux comme Instagram et TikTok. Cependant, cette popularité s'accompagne de risques pour la sécurité des données personnelles des utilisateurs. Kaspersky met en avant des bonnes pratiques pour naviguer en toute sécurité dans le monde des applications de coaching en ligne. Le marché du fitness en ligne devrait connaître une croissance annuelle de 29,6 % jusqu'en 2033, mais l'absence de contrats formels entre entraîneurs et clients augmente les risques de compromission des données. Les utilisateurs doivent être vigilants face aux abus potentiels, tels que l'exposition des données à des outils tiers ou le risque d'usurpation d'identité. Kaspersky recommande de vérifier l'identité des entraîneurs, de s'assurer de la sécurité des sites web (HTTPS) et de limiter le partage d'informations sensibles. En adoptant ces précautions, les utilisateurs peuvent profiter des avantages des programmes de fitness virtuels tout en minimisant les risques de violations de données.
Sources :
Attaques inter-domaines : une menace croissante pour la sécurité moderne et comment les combattre
Les opérations malveillantes exploitent des vulnérabilités dans divers domaines, notamment les points de terminaison, les systèmes d'identité et les environnements cloud, permettant aux attaquants de s'infiltrer dans les organisations, de se déplacer latéralement et d'échapper à la détection. Des groupes criminels comme SCATTERED SPIDER et des adversaires liés à la Corée du Nord, tels que FAMOUS CHOLLIMA, illustrent l'utilisation de tactiques interdomaines. Les attaquants n'« entrent » plus, mais « se connectent » en utilisant des identifiants compromis. Une fois à l'intérieur, ils exploitent des outils légitimes, rendant leur détection difficile. De nombreuses entreprises utilisent des outils disjoints, créant des lacunes de visibilité et des inefficacités opérationnelles. En plaçant l'identité au centre, il est possible d'éliminer ces inefficacités et de créer une défense cohérente. L'intégration des outils de sécurité permet de réduire les angles morts et d'améliorer la visibilité des points d'accès. La plateforme Falcon de CrowdStrike offre une efficacité opérationnelle améliorée de 84 % en réponse aux menaces interdomaines. Avec une surveillance continue et une intelligence sur les menaces, CrowdStrike aide les organisations à renforcer leurs défenses et à répondre rapidement aux tactiques d'attaque évolutives.
Sources :
Un package NPM malveillant et obscurci déguisé en outil Ethereum déploie Quasar RAT
Des chercheurs en cybersécurité ont découvert un paquet malveillant sur le registre npm, se faisant passer pour une bibliothèque de détection de vulnérabilités dans les contrats intelligents Ethereum. Ce paquet, nommé ethereumvulncontracthandler, a été publié le 18 décembre 2024 par un utilisateur anonyme et a été téléchargé 66 fois. Lors de son installation, il récupère un script malveillant depuis un serveur distant, déployant un cheval de Troie d'accès à distance, Quasar RAT, sur les systèmes Windows. Le code malveillant est fortement obfusqué pour échapper à l'analyse, utilisant des techniques comme l'encodage Base64 et XOR. Quasar RAT établit une persistance via des modifications du registre Windows et communique avec un serveur de commande et de contrôle pour exfiltrer des informations. Parallèlement, une étude conjointe de Socket et d'universités a révélé une augmentation des "étoiles" inauthentiques sur GitHub, utilisées pour gonfler artificiellement la popularité de dépôts malveillants. Ces pratiques soulignent que le nombre d'étoiles ne doit pas être considéré comme un indicateur fiable de qualité, incitant GitHub à envisager des métriques pondérées pour évaluer la popularité des dépôts.
Sources :
Trois ressortissants russo-allemands accusés d'espionnage pour le compte des services secrets russes
Des procureurs allemands ont inculpé trois ressortissants russo-allemands, Dieter S., Alexander J. et Alex D., pour avoir agi en tant qu'agents de renseignement pour la Russie. Dieter S. est accusé d'avoir participé à des opérations de sabotage et d'avoir photographié des installations militaires, mettant ainsi en danger la sécurité nationale. Arrêté par le Bureau fédéral de police criminelle (BKA), il a également été inculpé en octobre 2024 pour avoir combattu dans une unité armée de la République populaire de Donetsk (DPR). Selon le Bureau du procureur fédéral, Dieter S. était en contact avec un membre des services secrets russes et a échangé des informations sur des actions de sabotage en Allemagne, visant à saper le soutien militaire de l'Allemagne à l'Ukraine. Il a exprimé sa volonté de mener des attaques explosives contre des infrastructures militaires et a collecté des informations sur des cibles potentielles en Bavière. Alexander J. et Alex D. l'ont assisté dans ses efforts. Parallèlement, d'autres arrestations ont eu lieu, notamment celle d'un citoyen turc et d'un Américain, soupçonnés d'activités d'espionnage pour leurs pays respectifs.
Sources :
Une nouvelle campagne de phishing exploite Google Calendar pour échapper aux filtres
Des chercheurs ont observé une campagne de phishing exploitant Google Calendar pour contourner les filtres de sécurité. Cette attaque cible de nombreuses entreprises à l'échelle mondiale en envoyant des e-mails de phishing contenant des invitations malveillantes via Google Calendar. Ces e-mails, utilisant des domaines légitimes, ont de fortes chances de passer les contrôles anti-spam et d'atteindre les boîtes de réception des victimes. En ouvrant ces e-mails et en interagissant avec les liens intégrés, les utilisateurs sont redirigés vers un faux reCAPTCHA, puis vers des sites contrôlés par les attaquants, imitant des services légitimes comme le support Bitcoin ou le minage de cryptomonnaies. Les victimes sont alors incitées à fournir des informations financières, qui peuvent être utilisées à des fins malveillantes. Pour se protéger, il est conseillé de vérifier l'authenticité des e-mails, de maintenir les systèmes à jour et d'appliquer des pratiques de sécurité robustes, telles que l'authentification à deux facteurs. Google recommande également d'activer le paramètre "expéditeurs connus" dans Google Calendar pour alerter les utilisateurs des invitations provenant d'expéditeurs non reconnus.
Sources :
Une vulnérabilité RCE vieille de 7 ans a été corrigée dans Kerio Control
Une vulnérabilité sérieuse a été découverte dans le logiciel de sécurité Kerio Control, permettant des attaques par exécution de code. Identifiée comme CVE-2024-52875, cette faille affecte les versions 9.2.5 à 9.4.5, exposant ainsi de nombreux utilisateurs à des risques depuis environ six ans. Le chercheur en sécurité Egidio Romano a mis en évidence plusieurs vulnérabilités liées à la mauvaise sanitisation des entrées utilisateur, notamment sur des pages spécifiques, permettant des attaques telles que l'Open Redirect et le XSS réfléchi. Ces failles pourraient potentiellement permettre à un attaquant d'exécuter du code arbitraire sur les systèmes ciblés. Bien que la vulnérabilité ait été initialement considérée comme de faible gravité, Romano a souligné son importance, car elle pourrait être exploitée pour des attaques à un clic et un accès root au pare-feu, compromettant ainsi le réseau interne d'une organisation. En réponse, GFI Software a publié un correctif dans la version 9.4.5p1. Les utilisateurs sont encouragés à appliquer ces correctifs rapidement et à mettre en œuvre des mesures de mitigation, telles que la restriction d'accès et une validation stricte des entrées, en attendant la mise à jour.
Sources :
La récente décision d'un tribunal américain constitue un énorme revers pour le groupe NSO
Une récente décision de la cour américaine représente un revers significatif pour le groupe NSO, le tenant responsable d'intrusions dans WhatsApp de Meta. Le tribunal a statué que le NSO Group avait violé les serveurs de WhatsApp à plusieurs reprises, en utilisant son logiciel espion Pegasus. Selon le juge Phyllis J. Hamilton, des transmissions numériques ont été effectuées vers la Californie, entraînant une intrusion dans les serveurs de WhatsApp. En conséquence, le NSO Group doit fournir le code de Pegasus à WhatsApp début 2024, bien qu'il ait déjà refusé de se conformer à cette ordonnance pour des raisons de sécurité. Meta a intenté une action en justice contre NSO en 2019 après que ce dernier a exploité une vulnérabilité de WhatsApp pour déployer Pegasus. Bien que Meta ait corrigé cette faille, NSO aurait continué à utiliser WhatsApp pour distribuer son logiciel espion. Le groupe NSO est déjà connu pour avoir aidé des régimes autoritaires à surveiller des voix dissidentes. Malgré ses efforts pour garder ses clients secrets, des rapports indiquent que Pegasus a été utilisé contre des journalistes et des activistes dans des régions répressives, rendant son élimination presque impossible.
Sources :
La Russie a bloqué Viber pour violation des lois de l'État
La Russie a récemment bloqué l'application de messagerie Viber, invoquant des violations légales. Le régulateur Roskomnadzor a déclaré que Viber n'avait pas respecté plusieurs demandes de suppression de contenus criminels, ce qui a conduit à cette restriction. Avec plus de 17 millions d'utilisateurs quotidiens, cette interdiction impacte significativement les communications de nombreux Russes. Les accusations portées contre Viber incluent la modération insuffisante de contenus liés à la vente de drogues, au terrorisme et à la désinformation. Les autorités russes justifient cette mesure par la nécessité de prévenir l'utilisation de l'application à des fins terroristes et extrémistes. Viber n'était déjà pas favorisé par le régime répressif du pays, qui craint que l'application ne soit utilisée pour diffuser des informations sur la guerre. En outre, Viber a été condamné à plusieurs amendes, dont une de 4 millions de roubles l'année dernière, pour non-respect des lois. Ce blocage s'inscrit dans une tendance plus large de restrictions numériques en Russie, qui a également interdit d'autres applications comme Signal et plusieurs services VPN, renforçant ainsi le contrôle sur la liberté d'expression et de communication des citoyens.
