Une nouvelle technique de malware exploite l'interface utilisateur Windows pour échapper aux outils EDR - Actus du 11/12/2024
Découvrez comment une technique de malware exploite Windows pour échapper aux EDR, l'IA russe s'immisce dans nos trains menaçant notre sécurité numérique, et l'attaque cybernétique sur Krispy Kreme perturbe commandes et opérations en ligne. Protégez-vous dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une nouvelle technique de malware pourrait exploiter l'infrastructure de l'interface utilisateur Windows pour échapper aux outils EDR
Une nouvelle technique exploitant le cadre d'accessibilité Windows, UI Automation (UIA), permet d'effectuer diverses activités malveillantes sans alerter les solutions de détection des points de terminaison (EDR). Selon Tomer Peled, chercheur en sécurité chez Akamai, cette méthode nécessite qu'un utilisateur exécute un programme utilisant UIA, ce qui peut entraîner une exécution discrète de commandes, le vol de données sensibles et la redirection vers des sites de phishing. Les attaquants locaux peuvent également tirer parti de cette vulnérabilité pour exécuter des commandes et interagir avec des applications de messagerie comme Slack et WhatsApp. UIA, introduit avec Windows XP, est conçu pour faciliter l'accès programmatique aux éléments de l'interface utilisateur, mais peut être détourné pour manipuler des éléments UI à distance. Les recherches d'Akamai montrent que cette approche permet aux acteurs malveillants de lire et d'écrire des messages, de voler des informations sur les sites web, et d'exécuter des commandes redirigeant les victimes vers des sites malveillants. En parallèle, une autre recherche a révélé que le protocole DCOM pourrait être exploité pour écrire des charges utiles personnalisées sur des machines cibles, créant ainsi une porte dérobée.
Sources :
Quand une IA russe s’invite dans un train : attention au suicide numérique !
Dans un train reliant l'Italie à la France, une observation a mis en lumière les dangers de l'utilisation d'outils d'édition photo basés sur l'intelligence artificielle (IA) russe. Une femme, apparemment cadre dans une entreprise française, utilisait un tel éditeur, soulevant des inquiétudes quant à la confidentialité des données. Bien que ces outils permettent des retouches avancées, ils posent un risque majeur de "suicide numérique" si des informations sensibles, comme des images d'enfants, sont téléchargées. Les données peuvent être stockées sur des serveurs étrangers avec des réglementations laxistes, ce qui augmente le risque d'exploitation malveillante, comme le deepfake ou la sextorsion. Pour les entreprises, cela pourrait entraîner la fuite d'informations stratégiques, tandis que pour les particuliers, cela pourrait compromettre leur vie privée. Il est crucial de ne jamais fournir de documents sensibles et de vérifier la politique de stockage des images. La sensibilisation aux risques numériques est essentielle, car un simple acte d'utilisation d'un outil non sécurisé peut avoir des conséquences graves. Cet incident souligne l'importance de rester vigilant face à la cybercriminalité et aux dangers des technologies provenant de sources non fiables.
Sources :
La cyberattaque de Krispy Kreme a un impact sur les commandes et les opérations en ligne
Krispy Kreme, la chaîne américaine de beignets, a subi une cyberattaque en novembre 2024, affectant ses opérations, notamment les commandes en ligne. Dans un dépôt auprès de la SEC, l'entreprise a signalé une activité non autorisée détectée le 29 novembre, entraînant des perturbations dans son système de commande en ligne aux États-Unis. Bien que les magasins restent ouverts et que les commandes en personne soient possibles, l'entreprise a reconnu des difficultés opérationnelles. Krispy Kreme a mis à jour son site web pour informer les clients des interruptions de service. Les commandes numériques représentent 15,5 % des ventes de l'entreprise, contribuant à une croissance organique de 3,5 % au troisième trimestre 2024. En réponse à l'incident, Krispy Kreme a fait appel à des experts en cybersécurité pour contenir et remédier à la situation, bien que l'enquête soit toujours en cours. L'impact financier de l'attaque est jugé "raisonnable", incluant la perte de revenus numériques et les frais liés à la restauration des systèmes. Suite à cette nouvelle, l'action de Krispy Kreme a chuté de 2 %. Aucun groupe de ransomware n'a revendiqué l'attaque, laissant incertaine la nature exacte de la violation.
Sources :
La faille Microsoft MFA AuthQuake a permis des tentatives de force brute illimitées sans alertes
Des chercheurs en cybersécurité ont identifié une vulnérabilité "critique" dans l'implémentation de l'authentification multi-facteurs (MFA) de Microsoft, permettant à un attaquant de contourner facilement cette protection et d'accéder sans autorisation au compte d'une victime. Cette faille, nommée AuthQuake, a été signalée par Oasis Security et résolue par Microsoft en octobre 2024. Le problème principal réside dans l'absence de limitation de taux et dans un intervalle de temps prolongé pour la validation des codes à usage unique, permettant à un acteur malveillant de générer rapidement de nouvelles sessions et d'essayer toutes les permutations possibles d'un code à six chiffres, sans alerter la victime. Les codes, basés sur le temps, sont censés être valides pendant environ 30 secondes, mais dans le cas de Microsoft, ils pouvaient rester actifs jusqu'à 3 minutes. Les chercheurs soulignent l'importance d'introduire des limites de taux et de verrouiller les comptes après plusieurs tentatives échouées. Microsoft a depuis renforcé ces limites, qui durent désormais environ une demi-journée. Cette découverte rappelle que la sécurité ne se limite pas à déployer la MFA, mais nécessite également une configuration adéquate pour être efficace.
Sources :
Le malware ZLoader revient avec le tunneling DNS pour masquer furtivement les communications C2
Des chercheurs en cybersécurité ont identifié une nouvelle version du malware ZLoader, qui utilise un tunnel DNS pour ses communications de commandement et de contrôle (C2). Cette version, ZLoader 2.9.4.0, présente des améliorations significatives, notamment un protocole de tunnel DNS personnalisé et une interface interactive permettant d'exécuter plus d'une douzaine de commandes, ce qui pourrait être utile pour des attaques par ransomware. ZLoader, également connu sous les noms de Terdot ou Silent Night, est un chargeur de malware capable de déployer des charges utiles de deuxième étape. Après une interruption de près de deux ans, des campagnes de distribution ont été observées en septembre 2023. Le malware utilise des techniques avancées pour résister à l'analyse, comme un algorithme de génération de domaine (DGA) et des vérifications d'environnement. Il est de plus en plus associé aux attaques de ransomware Black Basta, souvent déployé via des connexions de bureau à distance sous prétexte d'assistance technique. Zscaler a également découvert un composant supplémentaire dans la chaîne d'attaque, nommé GhostSocks, qui précède le déploiement de ZLoader. Les nouvelles fonctionnalités de ZLoader renforcent sa capacité à échapper à la détection.
Sources :
Comment simplifier la gestion sur site pour Microsoft 365 MFA
L'article aborde la transition des organisations vers le cloud, en mettant en lumière deux extrêmes : celles qui adoptent un accès hybride et celles qui restent attachées à leur infrastructure sur site. Les environnements Microsoft traditionnels reposent sur Active Directory (AD), tandis que Microsoft 365 utilise Entra ID, un service d'annuaire en nuage. Pour faciliter cette migration, Microsoft propose des outils comme Active Directory Federated Services (AD FS) et Microsoft Entra Connect, permettant une intégration entre AD sur site et Entra ID. Bien qu'AD FS offre des avantages en matière de fédération et de synchronisation, il est souvent perçu comme complexe et limité, notamment en ce qui concerne l'authentification multifacteur (MFA). Les entreprises cherchent à simplifier leurs processus tout en respectant les réglementations sur la gestion des données sensibles. Dans ce contexte, UserLock, une solution MFA française, se distingue en permettant aux organisations sur site de maintenir un contrôle centralisé tout en simplifiant l'authentification. UserLock répond ainsi aux besoins des environnements hybrides, évitant les complexités des solutions intermédiaires et garantissant une gestion sécurisée et efficace des identités.
Sources :
Opération PowerOFF : nouvelle réponse mondiale aux cyberattaques DDoS avant Noël
L'opération internationale PowerOFF, coordonnée par Europol, a été lancée pour contrer les cyberattaques DDoS, particulièrement fréquentes durant la période des fêtes. Cette initiative a permis de démanteler 27 plateformes illégales, appelées « booter » et « stresser », utilisées par des cybercriminels pour lancer des attaques paralysantes sur des sites web et services critiques. En collaboration avec 15 pays, l'opération a abouti à l'arrestation de trois administrateurs en France et en Allemagne, tout en identifiant plus de 300 utilisateurs potentiels pour de futures poursuites. PowerOFF s'inscrit dans une réponse globale à la cybercriminalité, visant à réduire les interruptions de service et les pertes financières causées par ces attaques. En parallèle, une campagne de sensibilisation a été mise en place pour dissuader les jeunes de recourir à ces services illégaux, incluant des annonces Google et des vidéos éducatives sur YouTube. Cette approche combine répression et prévention, soulignant l'engagement des forces de l'ordre à renforcer la cybersécurité face à une menace croissante, notamment celle des groupes de hackers prorusses exploitant les attaques DDoS dans le contexte du conflit en Ukraine.
Sources :
Faux sites de livraison : ZATAZ détecte des dizaines d’URL frauduleuses
Des plateformes frauduleuses imitent des entreprises de livraison légitimes comme Mondial Relay, Chronopost et Colissimo pour soutirer des informations personnelles et bancaires. Ces faux sites, tels que adhesion-prime[. ]fr, sont conçus pour ressembler à des sites authentiques et attirent les victimes par des e-mails ou SMS trompeurs, prétendant résoudre des problèmes de livraison. Les escrocs utilisent des registrars connus pour enregistrer leurs domaines, rendant leur détection difficile. Mondial Relay a émis des recommandations pour protéger ses clients, conseillant de consulter les informations de suivi uniquement via les canaux officiels et de vérifier les URL avant de cliquer. En cas de réception d'un message suspect, il est recommandé de visiter directement le site de l'entreprise en saisissant l'URL manuellement. Si des informations ont été divulguées, il est crucial de contacter sa banque pour surveiller les activités suspectes. Le 17 décembre 2024, ZATAZ lancera l'opération « 17Cyber », permettant aux citoyens de déposer plainte rapidement après une escroquerie numérique. La vigilance est essentielle pour se prémunir contre la cybercriminalité.
Sources :
Le logiciel espion chinois EagleMsgSpy a été détecté et exploite les appareils mobiles depuis 2017
Des chercheurs en cybersécurité ont découvert un nouveau programme de surveillance, suspecté d'être utilisé par les forces de police chinoises pour intercepter légalement des informations sur des appareils mobiles. Nommé EagleMsgSpy par Lookout, cet outil Android est opérationnel depuis 2017 et a été détecté récemment sur la plateforme VirusTotal. EagleMsgSpy se compose d'un APK d'installation et d'un client de surveillance fonctionnant en arrière-plan. Il collecte une vaste gamme de données, y compris des messages de chat, des enregistrements d'écran, des enregistrements audio, des journaux d'appels, des contacts, des SMS, des données de localisation et des activités réseau. L'outil nécessite un accès physique à l'appareil cible pour être activé, ce qui se fait via un module d'installation. Les données collectées sont compressées et envoyées à un serveur de commande et de contrôle. Lookout a également trouvé des indices suggérant l'existence d'une version iOS. Le panneau d'administration, accessible aux clients, probablement des agences de sécurité en Chine, permet de déclencher la collecte de données en temps réel. Des demandes de brevet déposées par Wuhan ZRTZ Information Technology Co, Ltd. indiquent que l'entreprise se concentre sur des produits destinés à des applications d'application de la loi.
Sources :
Qu'est-ce que Nudge Security et comment fonctionne-t-il ?
Dans le contexte actuel de travail distribué, chaque employé peut agir comme son propre CIO en adoptant des technologies cloud et SaaS, ce qui a amélioré la productivité mais perturbé la sécurité informatique traditionnelle. Nudge Security se présente comme la première solution intégrée de gestion SaaS, permettant une visibilité complète sur l'utilisation des applications SaaS, y compris les outils GenAI et les applications non approuvées, dès le premier jour. En utilisant un accès API en lecture seule à Microsoft 365 ou Google Workspace, Nudge Security découvre rapidement tous les comptes SaaS créés dans l'organisation sans nécessiter d'agents ou d'intégrations complexes. La solution analyse les emails générés par les machines pour suivre les inscriptions et les activités de sécurité. Elle évalue également les risques de configuration et d'identité, tout en fournissant des informations sur les dépenses SaaS, permettant ainsi d'optimiser les coûts et de récupérer des licences inutilisées. Nudge Security facilite la gouvernance des identités grâce à des playbooks automatisés pour les tâches courantes, réduisant ainsi la charge de travail manuelle. En résumé, Nudge Security offre une approche complète et automatisée pour gérer la sécurité et les coûts des applications SaaS dans un environnement de travail moderne.
Sources :
Des chercheurs découvrent les tactiques d'espionnage des groupes APT basés en Chine en Asie du Sud-Est
Un acteur de menace présumé basé en Chine est lié à une série d'attaques cybernétiques ciblant des organisations de premier plan en Asie du Sud-Est depuis au moins octobre 2023. Selon un rapport de l'équipe de chasseurs de menaces de Symantec, ces attaques d'espionnage ont visé divers secteurs, y compris des ministères gouvernementaux, un organisme de contrôle aérien, une entreprise de télécommunications et un média. Les techniques utilisées incluent des outils open-source et des méthodes de living-off-the-land, tels que des programmes de proxy inversé et des enregistreurs de touches. PlugX, un cheval de Troie d'accès à distance, a également été déployé. Les acteurs de la menace ont installé des fichiers DLL personnalisés pour intercepter les identifiants de connexion. Une attaque a duré trois mois, durant laquelle des activités de reconnaissance et de collecte de mots de passe ont été menées. Les informations volées étaient compressées et stockées dans des services cloud. Symantec souligne la sophistication et la persistance des attaquants, qui semblent être liés à des groupes APT chinois. Les tensions géopolitiques en Asie du Sud-Est, notamment autour de la mer de Chine méridionale, coïncident avec ces cyberattaques, révélant un paysage de menaces complexe et partagé.
Sources :
Les lacunes en matière de cybersécurité fragilisent les entreprises face aux menaces alimentées par l’IA
L'article souligne l'impact croissant de l'intelligence artificielle (IA) sur la cybersécurité, avec des attaques de plus en plus sophistiquées. Une étude de Kaspersky révèle que 17 % des entreprises françaises ressentent des lacunes significatives dans leur cybersécurité. Les obstacles majeurs incluent le manque de formation des employés (41 %), la complexité de la gestion des infrastructures (34 %), et l'absence d'outils avancés basés sur l'IA (33 %). De plus, 36 % des répondants signalent une pénurie de professionnels qualifiés, rendant les entreprises vulnérables. Les conséquences d'une préparation insuffisante sont préoccupantes : 48 % craignent des fuites de données, 50 % une perte de confiance des clients, et 39 % des pertes financières. Les risques de sanctions financières, de retrait d'investisseurs et de poursuites judiciaires sont également mentionnés. Alexey Vovk de Kaspersky insiste sur l'urgence d'agir pour renforcer les défenses, en investissant dans des outils d'IA et en formant le personnel. L'article conclut que la préparation est essentielle dans cette nouvelle ère de la cybersécurité, où les entreprises doivent s'adapter pour éviter des dommages significatifs.
Sources :
Audit de maturité cyber, à ce jour, commodité ou exception ?
La cybersécurité est devenue une priorité incontournable pour les entreprises et les structures publiques, face à l'augmentation des risques cyber. Brice VIGUEUR, Directeur des Opérations de Cegedim Outsourcing, souligne que malgré cette nécessité, de nombreuses organisations demeurent vulnérables, souvent en raison d'une absence d'audit préalable avant le déploiement de solutions de sécurité. Un audit de maturité cyber permet d'évaluer la capacité d'une organisation à se défendre contre les menaces informatiques, d'identifier les vulnérabilités et d'analyser les pratiques de gestion des risques. Il est crucial que le top management soit sensibilisé à l'importance de la cybersécurité, car les incidents ont doublé ces dernières années, touchant divers secteurs. Pour instaurer une culture de cybersécurité, il est essentiel d'évaluer régulièrement la maturité cyber et de définir un plan d'action, en intégrant l'audit dans une démarche d'amélioration continue. Bien que certaines grandes entreprises aient déjà adopté cette pratique, beaucoup d'autres ne le font qu'après des incidents majeurs. Face à l'évolution rapide des menaces, l'audit de maturité cyber devrait devenir une démarche courante, essentielle pour renforcer la gouvernance cyber des organisations.
Sources :
Une fuite de données d’Eurostar déraille dans le darknet
En juin 2024, une fuite de données touchant Eurostar a été révélée sur le forum Breached, où un pirate proposait à la vente près de 93 000 dossiers clients, volés via un partenaire hôtelier. Les informations compromises incluent noms, adresses e-mail, destinations et historiques de transactions. Bien que l'incident ait initialement suscité peu d'attention médiatique, la situation a évolué avec la diffusion massive de ces données sur le darknet, atteignant 92 points de partage. Malgré leur ancienneté, ces données restent exploitables pour des campagnes de phishing ciblées, permettant aux cybercriminels de tromper les victimes en se faisant passer pour Eurostar ou son partenaire. L'analyse suggère que des groupes de pirates russes pourraient revendiquer l'attaque, mais il est probable qu'il s'agisse de copycats profitant de la situation. La persistance de la circulation de ces données pourrait être motivée par des intérêts financiers, mais aussi par une curiosité malsaine au sein de la communauté cybercriminelle. Cette fuite, avec ses 92 984 fichiers compromis, représente un record pour une attaque aussi ciblée, soulignant l'importance de la vigilance face à la cybercriminalité.
Sources :
STCC : la montée en puissance d’un service de look-up à l’échelle industrielle
Le service STCC, lancé en février 2024, émerge comme un acteur clé dans le domaine des look-ups industriels malveillants, attirant l'attention des cybercriminels grâce à ses capacités avancées d'analyse de données. Ce service permet d'exploiter des bases de données massives pour rechercher des informations sensibles, établissant des liens complexes entre individus et entreprises. Avec une réputation croissante de fiabilité, STCC offre des garanties telles que des transactions sécurisées via un escrow et une interface accessible sur Telegram, renforçant ainsi la confiance des utilisateurs. Cependant, cette sophistication soulève des préoccupations quant à son impact sur la sécurité des entreprises et des particuliers, car les outils de STCC sont utilisés pour des activités malveillantes, notamment le vol d'identité et la collecte d'informations sensibles. Des employés complices et des techniques d'infiltration alimentent ce service, qui cible principalement des entreprises et citoyens russes et de la CEI. Des investigations récentes ont révélé que STCC recrutait des employés d'entreprises pour collecter des données, ce qui souligne les menaces croissantes posées par ces services sur la confidentialité et la protection des données. Les implications de STCC sont alarmantes pour la cybersécurité.
Sources :
La Russie coupe internet dans ses régions musulmanes en plein soulèvement syrien
La Russie a restreint l'accès à plusieurs sites internet et applications de messagerie dans des régions à majorité musulmane, notamment le Daghestan, la Tchétchénie et l'Ingouchie. Selon un rapport de l'Institute for the Study of War (ISW) publié le 8 décembre 2024, les habitants ont rencontré des difficultés pour accéder à des plateformes internationales comme YouTube, Google, WhatsApp et Telegram, ainsi qu'à des services locaux tels que Yandex. Ces interruptions, qui ont duré jusqu'à 24 heures, ont persisté même avec des VPN. En novembre, Roskomnadzor avait annoncé des tests pour déconnecter le RuNet du réseau mondial, une initiative qui s'est intensifiée depuis le début de la guerre en Ukraine. Les autorités russes semblent vouloir isoler ces régions pour mieux contrôler l'information et prévenir d'éventuels troubles, notamment en réponse à des manifestations récentes. L'ISW souligne que la Russie craint que ces zones ne s'inspirent des rébellions islamistes en Syrie pour contester le pouvoir. En restreignant l'accès à Internet, Moscou espère limiter la diffusion d'informations susceptibles de provoquer des soulèvements.
Sources :
Microsoft corrige 72 failles, dont un correctif pour la vulnérabilité CLFS activement exploitée
Microsoft a clôturé ses mises à jour de Patch Tuesday pour 2024 en corrigeant 72 vulnérabilités de sécurité, dont une exploitée activement, CVE-2024-49138, une faille d'escalade de privilèges dans le pilote CLFS de Windows, avec un score CVSS de 7,8. Cette vulnérabilité est la cinquième de ce type depuis 2022, attirant l'attention des opérateurs de ransomware. Microsoft prévoit d'ajouter une étape de vérification lors de l'analyse des fichiers journaux pour contrer ces attaques, en intégrant des codes d'authentification basés sur des hachages (HMAC). La CISA a inscrit cette faille dans son catalogue des vulnérabilités connues, exigeant des remédiations d'ici le 31 décembre 2024. La mise à jour inclut également une faille d'exécution de code à distance affectant le protocole LDAP de Windows, permettant à un attaquant non authentifié d'exécuter du code arbitraire. Parallèlement, 0patch a publié des correctifs non officiels pour des vulnérabilités zero-day liées aux identifiants NTLM. Microsoft prévoit de déprécier le protocole NTLM au profit de Kerberos et a activé la protection étendue pour l'authentification par défaut dans Exchange 2019 et Windows Server 2025.
Sources :
Les États-Unis accusent un pirate informatique chinois d'avoir exploité une faille zero-day dans 81 000 pare-feu Sophos
Le gouvernement américain a inculpé Guan Tianfeng, un ressortissant chinois, pour avoir prétendument piraté des milliers de dispositifs de pare-feu Sophos dans le monde en 2020. Ancien employé de Sichuan Silence Information Technology, Guan est accusé de complot en vue de commettre une fraude informatique et une fraude par câble. Il aurait développé une vulnérabilité de sécurité zero-day, exploitée pour accéder sans autorisation aux pare-feu Sophos, causer des dommages et exfiltrer des données. Cette vulnérabilité, CVE-2020-12271, est une faille critique d'injection SQL permettant l'exécution de code à distance. En octobre 2024, Sophos a révélé avoir reçu un rapport de bug suspect d'un institut de recherche lié à Sichuan Silence, juste avant que la faille ne soit exploitée pour voler des données sensibles. Le ministère de la Justice des États-Unis a également signalé que Guan et ses complices avaient conçu des malwares pour voler des informations, utilisant des domaines trompeurs. Des sanctions ont été imposées à Sichuan Silence, considéré comme un sous-traitant gouvernemental chinois. Le département d'État a annoncé des récompenses allant jusqu'à 10 millions de dollars pour des informations sur Guan ou d'autres impliqués dans des cyberattaques contre des infrastructures critiques américaines.
Sources :
Ivanti publie des mises à jour de sécurité critiques pour les vulnérabilités CSA et Connect Secure
Ivanti a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités critiques dans ses produits Cloud Services Application (CSA) et Connect Secure, susceptibles de mener à une élévation de privilèges et à une exécution de code. Parmi les failles identifiées, on trouve :
- CVE-2024-11639 (CVSS 10.0) : contournement d'authentification dans la console d'administration de CSA, permettant à un attaquant distant non authentifié d'accéder aux droits administratifs.
- CVE-2024-11772 (CVSS 9.1) : injection de commande dans la console d'administration de CSA, permettant à un attaquant authentifié d'exécuter du code à distance.
- CVE-2024-11773 (CVSS 9.1) : injection SQL dans la console d'administration de CSA, permettant l'exécution de requêtes SQL arbitraires par un attaquant authentifié.
- CVE-2024-11633 (CVSS 9.1) : injection d'arguments dans Connect Secure, permettant l'exécution de code à distance.
- CVE-2024-11634 (CVSS 9.1) : injection de commande dans Connect Secure et Policy Secure, permettant également l'exécution de code à distance.
- CVE-2024-8540 (CVSS 8.8) : vulnérabilité de permissions dans Ivanti Sentry, permettant à un attaquant local de modifier des composants sensibles.
Les utilisateurs sont encouragés à mettre à jour vers les versions corrigées, bien qu'Ivanti n'ait pas signalé d'exploitation active de ces failles.
Sources :
Wyden propose un projet de loi pour sécuriser les télécommunications américaines après les piratages de Salt Typhoon
Le sénateur américain Ron Wyden de l'Oregon a proposé un nouveau projet de loi, le "Secure American Communications Act", visant à renforcer la sécurité des réseaux des entreprises de télécommunications américaines après les violations de sécurité causées par des hackers chinois, connus sous le nom de Salt Typhoon. Ce projet de loi obligerait la Commission fédérale des communications (FCC) à établir des règles de cybersécurité contraignantes, en réponse à des exigences législatives datant de 1994. Les opérateurs de télécommunications devront effectuer des tests annuels de leurs systèmes pour identifier les vulnérabilités, corriger les failles et documenter leurs résultats. De plus, ils devront engager des auditeurs indépendants pour des vérifications de conformité. Wyden a critiqué la FCC pour avoir permis aux entreprises de définir leurs propres règles de cybersécurité, ce qui a conduit à des violations par des espions étrangers. Les hackers ont eu accès aux réseaux de plusieurs grands opérateurs, tels que T-Mobile et AT&T, pendant plusieurs mois, compromettant potentiellement des données sensibles. Bien que la Maison Blanche ait déclaré qu'aucune communication classifiée n'avait été compromise, des recommandations ont été émises pour utiliser des applications de messagerie chiffrées afin de protéger les communications.
Sources :
Un bug de WPForms permet des remboursements Stripe sur des millions de sites WordPress
Une vulnérabilité dans WPForms, un plugin WordPress utilisé sur plus de 6 millions de sites, permettrait à des utilisateurs de niveau abonné d'émettre des remboursements Stripe arbitraires ou d'annuler des abonnements. Suivie sous le code CVE-2024-11205, cette faille a été classée comme un problème de haute sévérité en raison de l'absence de vérifications d'authentification appropriées. Elle affecte les versions de WPForms de 1.8.4 à 1.9.2.1, un correctif ayant été publié dans la version 1.9.2.2. La vulnérabilité provient d'une utilisation incorrecte de la fonction 'wpformsisadmin_ajax()', qui ne vérifie pas les rôles ou permissions des utilisateurs. Cela permet à tout utilisateur authentifié d'invoquer des fonctions sensibles, entraînant des conséquences graves pour les propriétaires de sites, comme des pertes de revenus et des problèmes de confiance avec les clients. Découverte par le chercheur en sécurité 'vullu164', la faille a été signalée à Wordfence, qui a validé l'exploit. Bien qu'aucune exploitation active n'ait été détectée, il est recommandé de mettre à jour vers la version 1.9.2.2 ou de désactiver le plugin.
Sources :
Ivanti met en garde contre une vulnérabilité de contournement d'authentification CSA de gravité maximale
Ivanti a averti ses clients d'une vulnérabilité critique d'escalade de privilèges dans son Cloud Services Appliance (CSA), identifiée sous le code CVE-2024-11639. Cette faille permet à des attaquants distants d'accéder aux privilèges administratifs sans authentification sur les appareils vulnérables exécutant Ivanti CSA 5.0.2 ou antérieur. Ivanti recommande aux administrateurs de mettre à jour leurs appareils vers la version CSA 5.0.3, comme indiqué dans un document de support. La société a précisé qu'aucun client n'avait été exploité avant la divulgation publique de cette vulnérabilité, qui a été révélée par le programme de divulgation responsable de l'entreprise. En plus de cette faille, Ivanti a corrigé d'autres vulnérabilités de gravité moyenne à critique dans plusieurs de ses produits. CVE-2024-11639 est la sixième vulnérabilité CSA corrigée récemment, après plusieurs autres découvertes en septembre et octobre. Ivanti a également intensifié ses tests et amélioré son processus de divulgation pour corriger plus rapidement les failles de sécurité. L'entreprise fournit des services à plus de 40 000 sociétés qui gèrent leurs systèmes et actifs informatiques avec ses produits.
Sources :
La mise à jour Windows 10 KB5048652 corrige un nouveau bug d'activation de la carte mère
Microsoft a publié la mise à jour cumulative KB5048652 pour Windows 10 22H2 le 10 décembre 2024, qui corrige plusieurs bugs, dont un problème d'activation lié au remplacement de la carte mère. Cette mise à jour est obligatoire et fait partie des mises à jour de sécurité de décembre 2024. Les utilisateurs peuvent l'installer via les paramètres de Windows Update, où elle s'installera automatiquement après vérification des mises à jour. Après installation, Windows 10 22H2 sera mis à jour vers la version 19045.5131. La mise à jour comprend six correctifs, notamment pour des problèmes liés à la sauvegarde des raccourcis Win32, à la copie de fichiers dans le cloud, et à l'impression via IPP. Microsoft a également annoncé qu'il n'y aura pas de mises à jour de prévisualisation pour Windows 10 en décembre, celles-ci reprenant en janvier 2025. Bien que des utilisateurs aient signalé des difficultés avec les mises à jour cumulatives précédentes, cette dernière est perçue comme un pas positif vers la résolution des problèmes persistants, notamment ceux affectant les fonctionnalités d'impression.
Sources :
Le Patch Tuesday de décembre 2024 de Microsoft corrige 1 zero-day exploité et 71 failles
Le Patch Tuesday de décembre 2024 de Microsoft a été publié, corrigeant 71 vulnérabilités, dont une vulnérabilité zero-day activement exploitée, CVE-2024-49138, qui permet aux attaquants d'obtenir des privilèges SYSTEM sur les appareils Windows. Ce mois-ci, 16 vulnérabilités critiques ont été résolues, toutes liées à l'exécution de code à distance. La vulnérabilité zero-day a été découverte par l'équipe de recherche avancée de CrowdStrike, mais peu d'informations sont disponibles sur son exploitation. D'autres entreprises, comme Adobe et SAP, ont également publié des mises à jour de sécurité pour divers produits. CISA a émis des avis concernant des vulnérabilités dans des systèmes de contrôle industriel, tandis que Cleo et IO-Data ont signalé des zero-days utilisés dans des attaques de vol de données et de prise de contrôle de routeurs, respectivement. 0patch a proposé un correctif non officiel pour une vulnérabilité Windows permettant de capturer des identifiants NTLM. Les mises à jour de sécurité de décembre 2024 incluent des correctifs pour Microsoft Office, Windows Remote Desktop Services, et d'autres composants critiques, soulignant l'importance de maintenir les systèmes à jour pour se protéger contre les menaces.
Sources :
Mises à jour cumulatives Windows 11 KB5048667 et KB5048685 publiées
Microsoft a publié les mises à jour cumulatives KB5048667 et KB5048685 pour Windows 11, visant à corriger des vulnérabilités de sécurité et divers problèmes. Ces mises à jour, obligatoires, incluent les correctifs de sécurité du Patch Tuesday de décembre 2024 pour les versions 24H2 et 23H2. Les utilisateurs peuvent les installer via les paramètres de Windows Update ou manuellement depuis le Microsoft Update Catalog. Après installation, la version 24H2 sera mise à jour à 26100.2605 et la version 23H2 à 226x1.4602. Parmi les nouveautés, on note la suppression de l'icône de cloche de la barre des tâches, une réduction de la taille de la date et de l'heure, et le support des listes de sauts dans le menu Démarrer. Des améliorations incluent des gestes tactiles, des options de partage avec des appareils Android, et des mises à jour pour les fonctionnalités de reconnaissance vocale. Plusieurs corrections de bugs ont également été apportées, notamment pour l'Explorateur de fichiers et les paramètres d'affichage. Microsoft déploie ces améliorations progressivement, ce qui peut entraîner un délai avant leur disponibilité complète.
Sources :
Lockbit : vous avez le bonjour de Wazawaka
Mikhaïl Matveïev, alias Wazawaka, un hacker russe connu pour son implication dans les groupes LockBit et Conti, est inculpé pour la création d'un logiciel malveillant destiné à chiffrer des données. Libéré sous caution après avoir payé des amendes et vu une partie de ses cryptomonnaies saisies, il fait face à un procès qui pourrait marquer un tournant dans la lutte contre la cybercriminalité en Russie. Les autorités, traditionnellement indulgentes envers les hackers opérant à l'international, semblent changer de stratégie, illustrée par l'arrestation de Wazawaka. Ce procès, prévu devant le tribunal de Kaliningrad, soulève des questions sur la régulation des activités cybercriminelles et pourrait envoyer un message fort à la communauté des hackers. Wazawaka, tout en restant sous surveillance, laisse planer le doute sur son avenir judiciaire, affirmant que la situation n'est pas aussi simple qu'elle paraît. Ce cas dépasse les frontières russes, représentant un enjeu pour la cybersécurité mondiale et illustrant les efforts croissants des gouvernements pour traquer les fonds illicites. La décision du tribunal pourrait redéfinir les limites de la tolérance envers les cybercriminels en Russie.
Sources :
La FTC distribue 72 millions de dollars de remboursements Fortnite d'Epic Games
La Federal Trade Commission (FTC) distribue plus de 72 millions de dollars en remboursements aux joueurs de Fortnite, suite à un règlement record de 245 millions de dollars avec Epic Games en décembre 2022. Ce règlement fait suite à des allégations selon lesquelles Epic Games aurait utilisé des "dark patterns" pour inciter les joueurs à effectuer des achats non désirés. La FTC a déclaré que la configuration des boutons dans Fortnite était déroutante, entraînant des frais non intentionnels lors de l'utilisation du jeu. Par exemple, des frais pouvaient être appliqués lorsque les joueurs tentaient de sortir le jeu du mode veille ou en appuyant sur un bouton adjacent pour prévisualiser un objet. Les remboursements concernent 629 344 joueurs ayant soumis une demande, avec un montant moyen de 114 dollars. Les joueurs ayant choisi PayPal ont 30 jours pour récupérer leur remboursement, tandis que ceux ayant opté pour des chèques par e-mail disposent de 90 jours. Les demandes de remboursement peuvent être soumises jusqu'au 10 janvier 2025. La FTC met en garde contre les arnaques visant à exploiter cette situation pour obtenir des informations personnelles.
Sources :
Les États-Unis sanctionnent une entreprise chinoise pour avoir piraté des pare-feu lors d'attaques de ransomware
Le Département du Trésor américain a sanctionné la société chinoise de cybersécurité Sichuan Silence et un de ses employés, Guan Tianfeng, pour leur rôle dans des attaques par ransomware Ragnarok ciblant des infrastructures critiques aux États-Unis et d'autres victimes à l'échelle mondiale en avril 2020. Sichuan Silence, un entrepreneur gouvernemental basé à Chengdu, fournit des services à des clients tels que les services de renseignement chinois. Selon l'Office of Foreign Assets Control (OFAC), Guan Tianfeng a découvert une vulnérabilité zero-day dans un produit de pare-feu non nommé, qu'il a exploitée pour déployer un malware sur environ 81 000 pare-feu, dont plus de 23 000 aux États-Unis. Le Département de la Justice a également inculpé Guan et a offert une récompense de 10 millions de dollars pour des informations sur lui ou Sichuan Silence. Les attaques ont exploité une vulnérabilité SQL zero-day dans les pare-feu Sophos XG, permettant l'exécution de code à distance. Après la détection des attaques, Sophos a corrigé les dispositifs, mais les attaquants avaient déjà mis en place un mécanisme de déclenchement pour un potentiel ransomware. Les sanctions interdisent aux entités américaines d'effectuer des transactions avec Sichuan Silence et ses associés.
Sources :
Pavel Dourov et Telegram : sous pression judiciaire et numérique
Pavel Dourov, le fondateur de Telegram, a été interrogé à Paris dans le cadre d'une enquête judiciaire sur sa responsabilité potentielle dans des crimes facilités par sa plateforme. Ses avocats ont qualifié les accusations d'« absurdes », défendant l'idée que Dourov ne devrait pas être tenu responsable des actions des utilisateurs. Ce développement intervient alors que Telegram renforce ses efforts pour lutter contre la pédopornographie, en annonçant un partenariat avec l'Internet Watch Foundation (IWF). Cette collaboration vise à améliorer la détection et le blocage des contenus illicites, notamment grâce à des technologies avancées comme le machine learning et des empreintes numériques uniques. Ce tournant marque une volonté de la plateforme de répondre aux critiques concernant son manque de transparence et de coopération avec les autorités. Les événements soulignent la pression croissante sur Telegram pour qu'elle assume ses responsabilités face aux abus numériques, tout en illustrant un débat plus large sur la responsabilité des plateformes technologiques. La gestion de ces enjeux pourrait avoir des répercussions significatives sur l'avenir de Telegram, tant sur le plan de sa réputation que de sa régulation.
