Une violation massive expose 15 000 identifiants et clone 10 000 dépôts privés - Actus du 01/11/2024
Découvrez comment la cybercriminalité frappe avec la saisie du site DDoS Dstat.cc en Allemagne, la fuite de données des jeunes via les missions locales, et explorez le cyber-manuel de l’Iran qui utilise l'IA pour des guerres psychologiques et faux hébergements.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le site DDoS Dstat.cc saisi et deux suspects arrêtés en Allemagne
Le site Dstat.cc, une plateforme de revue DDoS, a été saisi par les forces de l'ordre en Allemagne, entraînant l'arrestation de deux suspects dans le cadre de l'opération internationale "Operation PowerOFF". Cette opération vise à démanteler les plateformes de DDoS à la demande, connues sous le nom de "booters" ou "stressers", qui causent des interruptions de services en ligne et des dommages économiques significatifs. Bien que Dstat.cc ne fournissait pas directement des services d'attaque DDoS, elle facilitait ces attaques en permettant aux acteurs malveillants de démontrer leurs capacités et en offrant des critiques sur divers stressers. La plateforme hébergeait également un canal Telegram très fréquenté par les cybercriminels. Les autorités ont mené des perquisitions dans plusieurs pays, dont l'Allemagne, la France et les États-Unis. Les deux suspects, âgés de 19 et 28 ans, sont également liés à un marché de drogues synthétiques. Ils risquent jusqu'à dix ans de prison selon le Code pénal allemand. L'opération s'inscrit dans un contexte où les attaques DDoS sont de plus en plus utilisées pour des raisons politiques et d'extorsion, malgré leur illégalité.
Sources :
Les données de milliers de jeunes volées après une cyberattaque contre les missions locales
Le 31 octobre, le ministère du Travail et de l’Emploi a annoncé qu'un prestataire des missions locales avait subi une cyberattaque, compromettant des données sensibles. Cette attaque a affecté le réseau national des missions locales, avec des informations personnelles telles que noms, prénoms, numéros de téléphone et adresses électroniques exfiltrées. Les victimes seront informées conformément aux règles de la CNIL. Les missions locales, qui offrent des solutions d'emploi et de formation aux jeunes non scolarisés, sont particulièrement touchées par cette menace, qui s'inscrit dans un contexte plus large d'attaques récentes, notamment contre le service national universel et l'université Paris-Sorbonne. Les personnes concernées doivent faire preuve de vigilance face aux tentatives de phishing et d'usurpation d'identité, en vérifiant toujours l'adresse e-mail des expéditeurs et en évitant de cliquer sur des liens suspects. Pour renforcer la cybersécurité, la société Mailinblack propose U-Cyber 360°, une solution intégrant des outils de gestion de mots de passe, de sécurisation des e-mails et de formation continue. Cette initiative vise à protéger les organisations et à sensibiliser les employés aux risques cybernétiques.
Sources :
Le cyber-manuel de l’Iran : IA, faux hébergements et guerre psychologique
Les agences de cybersécurité américaines et israéliennes ont publié un avis attribuant à un groupe cybernétique iranien, Emennet Pasargad, des attaques visant les Jeux Olympiques d'été de 2024. Ce groupe, opérant sous le nom de Aria Sepehr Ayandehsazan (ASA), a compromis un fournisseur français d'affichages dynamiques pour diffuser des messages dénonçant la participation d'Israël. ASA, lié aux Gardiens de la Révolution islamique d'Iran, a utilisé des techniques avancées pour mener des opérations d'information, y compris le vol de contenu de caméras IP et l'utilisation de logiciels d'intelligence artificielle pour propager sa propagande. En juillet 2024, l'attaque contre le fournisseur français a été réalisée via une infrastructure de VPS-agent, visant à afficher des montages photo critiques. ASA a également tenté de contacter des membres de familles d'otages israéliens pour infliger un traumatisme supplémentaire. Les agences ont saisi des domaines associés à ASA, dont cybercourt[.]io. Parallèlement, le département d'État américain a offert jusqu'à 10 millions de dollars pour des informations sur un groupe de hackers lié aux IRGC, Shahid Hemmat, ciblant les infrastructures critiques américaines.
Sources :
Une violation massive de la configuration de Git expose 15 000 identifiants ; 10 000 dépôts privés clonés
Des chercheurs en cybersécurité ont identifié une campagne massive, nommée EMERALDWHALE, ciblant les configurations Git exposées pour siphonner des identifiants, cloner des dépôts privés et extraire des informations d'identification de services cloud. Cette opération criminelle a permis de collecter plus de 10 000 dépôts privés, stockés dans un bucket Amazon S3 appartenant à une victime antérieure, contenant au moins 15 000 identifiants volés. Les informations dérobées proviennent de fournisseurs de services cloud, de services de messagerie et d'autres plateformes, avec pour objectif principal le phishing et le spam. Bien que l'opération ne soit pas particulièrement sophistiquée, elle utilise des outils privés pour voler des identifiants et extraire des fichiers de configuration Git et des fichiers .env de Laravel. Les attaquants ciblent des serveurs avec des fichiers de configuration Git exposés, utilisant des plages d'adresses IP larges pour découvrir des hôtes pertinents. Deux programmes notables, MZR V2 et Seyzo-v2, sont utilisés pour scanner et exploiter ces dépôts. De plus, une liste de plus de 67 000 URL exposées est mise en vente sur Telegram, soulignant l'existence d'un marché pour ces fichiers de configuration. Cette attaque démontre que la gestion des secrets seule ne suffit pas à sécuriser un environnement.
Sources :
5 erreurs de configuration SaaS conduisant à des erreurs majeures
L'article met en lumière cinq erreurs majeures de configuration SaaS pouvant entraîner des violations de sécurité. La première erreur concerne les privilèges excessifs des administrateurs HelpDesk, qui peuvent être ciblés par des attaquants utilisant des techniques d'ingénierie sociale pour accéder à des systèmes critiques. Il est recommandé de restreindre leurs privilèges à des tâches de gestion de base. La deuxième erreur est l'absence d'authentification multifacteur (MFA) pour tous les super administrateurs, ce qui les rend vulnérables aux attaques. L'activation de la MFA est essentielle pour protéger ces comptes. La troisième erreur concerne l'utilisation de protocoles d'authentification obsolètes, comme POP et IMAP, qui ne supportent pas la MFA, permettant ainsi aux attaquants de contourner les mesures de sécurité. La quatrième erreur est le nombre excessif de super administrateurs, qui devrait être limité à 2-4 pour réduire les risques d'abus internes. Enfin, l'article souligne l'importance d'identifier et de corriger proactivement ces erreurs de configuration pour éviter des événements catastrophiques. L'utilisation d'un centre de configuration, basé sur le cadre SCuBA de la CISA, permet un suivi en temps réel et une conformité continue, garantissant la sécurité de l'environnement SaaS de l'organisation.
Sources :
Microsoft met en garde contre un botnet chinois exploitant les failles des routeurs pour voler des informations d'identification
Microsoft a identifié un acteur malveillant chinois, Storm-0940, qui utilise un botnet nommé Quad7 pour mener des attaques de type "password spray" très discrètes. Ce botnet, également désigné CovertNetwork-1658, cible des organisations en Amérique du Nord et en Europe, notamment des think tanks, des organismes gouvernementaux et des cabinets d'avocats. Actif depuis au moins 2021, Storm-0940 accède initialement aux systèmes via des attaques par force brute ou en exploitant des vulnérabilités dans des applications réseau. Quad7, qui infecte des routeurs et des appareils VPN, utilise une porte dérobée écoutant sur le port TCP 7777 pour un accès à distance. Selon des analyses récentes, ce botnet est principalement utilisé pour cibler des comptes Microsoft 365. Microsoft a noté que les opérateurs de ce botnet sont probablement des acteurs soutenus par l'État chinois, facilitant des activités d'exploitation de réseaux informatiques. Environ 8 000 appareils compromis sont actifs, bien que seulement 20 % soient impliqués dans les attaques de "password spray". La société a également averti d'une diminution de l'infrastructure du botnet, suggérant que les acteurs malveillants pourraient acquérir de nouvelles infrastructures pour éviter la détection.
Sources :
Microsoft retarde le rappel de Windows Copilot+ en raison de problèmes de confidentialité
Microsoft a annoncé un nouveau retard dans le lancement de sa fonctionnalité controversée Recall pour les PC équipés de Windows Copilot+, initialement prévue pour octobre. Dans une déclaration mise à jour, l'entreprise a souligné son engagement à offrir une expérience sécurisée et fiable, précisant que Recall sera désormais disponible en version d'essai pour les Windows Insiders d'ici décembre. Présentée en mai, Recall permet aux utilisateurs d'explorer une "chronologie visuelle" de leurs activités sur écran, facilitant la recherche d'applications, de sites web, d'images et de documents. Cependant, des préoccupations concernant la vie privée et la sécurité ont conduit Microsoft à désactiver la fonctionnalité par défaut et à repenser le système pour renforcer les contrôles d'accès. La fonctionnalité sera désormais opt-in, et des protections supplémentaires, telles que le déchiffrement "juste à temps" via Windows Hello Enhanced Sign-in Security, seront mises en place pour garantir que les instantanés de Recall ne soient accessibles qu'après authentification de l'utilisateur. Le développement de Recall et des PC Copilot+ continuera d'être guidé par l'Initiative pour un avenir sécurisé (SFI).
Sources :
Arrêtez les attaques LUCR-3 : découvrez les principales tactiques de sécurité des identités dans ce webinaire d'experts
Les acteurs de menaces avancées infiltrent les systèmes d'identité des grandes organisations, extrayant des données sensibles en quelques jours. Cette réalité inquiétante s'intensifie, les attaquants exploitant les vulnérabilités des environnements SaaS et cloud pour se déplacer latéralement dans les réseaux, causant des dommages considérables. Les professionnels de la cybersécurité font face à des défis croissants, les mesures de sécurité traditionnelles s'avérant insuffisantes, laissant les organisations exposées aux violations de données, aux pertes financières et aux atteintes à leur réputation. Ce webinaire propose des informations essentielles et des stratégies concrètes pour protéger votre organisation contre ces menaces évolutives. Ian Ahl, SVP de P0 Labs et ancien responsable des pratiques avancées chez Mandiant, partagera son expérience sur la manière dont des attaquants avancés, comme le groupe LUCR-3 (Scattered Spider), exploitent les vulnérabilités liées à l'identité. Les participants apprendront à décomposer les tactiques de LUCR-3, à renforcer la sécurité des identités, à améliorer la détection et la réponse, ainsi qu'à mettre en œuvre des défenses proactives. Ce webinaire est destiné aux professionnels de la sécurité et aux administrateurs IT. Les places sont limitées, inscrivez-vous dès maintenant pour protéger votre organisation contre ces attaques basées sur l'identité.
Sources :
Le nouveau kit de phishing Xiū gǒu cible les utilisateurs dans cinq pays avec 2 000 faux sites
Des chercheurs en cybersécurité ont révélé un nouveau kit de phishing, nommé Xiū gǒu, utilisé dans des campagnes ciblant l'Australie, le Japon, l'Espagne, le Royaume-Uni et les États-Unis depuis septembre 2024. Plus de 2 000 sites de phishing ont été identifiés, touchant divers secteurs tels que les services publics, la poste, les services numériques et bancaires. Les acteurs malveillants exploitent les capacités d'obfuscation de Cloudflare pour éviter la détection. Ce kit, développé par un acteur de menace francophone, offre un panneau d'administration et utilise des technologies comme Golang et Vue.js pour exfiltrer des informations via Telegram. Les attaques se propagent principalement par des messages RCS, incitant les victimes à cliquer sur des liens pour payer des amendes ou mettre à jour des adresses de livraison. Google a annoncé des mesures pour contrer ces escroqueries, incluant une détection améliorée des messages frauduleux. Parallèlement, Cisco Talos a signalé des campagnes de phishing ciblant des utilisateurs de comptes Facebook à Taïwan, diffusant des malwares via des liens trompeurs. Ces menaces soulignent l'augmentation des campagnes de phishing, rendant la cybersécurité plus cruciale que jamais.
Sources :
Sophos révèle une bataille de 5 ans contre les pirates chinois attaquant les périphériques réseau
Sophos a révélé aujourd'hui une série de rapports intitulée "Pacific Rim", décrivant une lutte de cinq ans contre des hackers chinois ciblant des dispositifs réseau à l'échelle mondiale. Ces acteurs malveillants exploitent des vulnérabilités dans des équipements de réseau pour installer des malwares personnalisés, permettant de surveiller les communications, de voler des identifiants ou d'agir comme serveurs proxy pour d'autres attaques. Les entreprises touchées incluent des géants comme Fortinet, Cisco et Sophos. Sophos a identifié plusieurs groupes de menaces, tels que Volt Typhoon, APT31 et APT41/Winnti, qui ont évolué en utilisant des malwares en mémoire et des techniques de persistance avancées. Des liens ont été établis entre des chercheurs en sécurité et ces groupes, suggérant une collaboration autour de la recherche sur les vulnérabilités. En réponse, Sophos a également mené des actions offensives, déployant des implants sur des dispositifs compromis pour collecter des données sur les attaquants. Ces implants ont permis d'observer des activités malveillantes en temps réel, révélant des informations sur un bootkit UEFI déployé sur un appareil acheté par une entreprise de Chengdu, région considérée comme un épicentre d'activités malveillantes.
Sources :
Microsoft : des pirates chinois utilisent le botnet Quad7 pour voler des identifiants
Microsoft a averti que des hackers chinois exploitent le botnet Quad7, constitué de routeurs SOHO compromis, pour voler des identifiants lors d'attaques par pulvérisation de mots de passe. Découvert par le chercheur en sécurité Gi7w0rm, le botnet Quad7, également connu sous le nom de CovertNetwork-1658, cible des appareils de marques comme TP-Link, ASUS et Zyxel. Une fois les appareils compromis, les attaquants installent un malware permettant un accès à distance via Telnet, avec des bannières spécifiques selon le type de routeur. Ils mettent également en place un serveur proxy SOCKS5 pour masquer leurs attaques dans le trafic légitime. Microsoft a observé que le groupe Storm-0940 utilise les identifiants volés pour accéder aux réseaux ciblés, souvent le jour même du vol. Les attaques sont discrètes, avec seulement une tentative de connexion par compte par jour dans 80 % des cas, afin d'éviter de déclencher des alertes. L'objectif ultime est d'exfiltrer des données, probablement à des fins d'espionnage. Les chercheurs n'ont pas encore déterminé comment les acteurs de Quad7 compromettent les routeurs, bien qu'une vulnérabilité OpenWRT ait été observée.
Sources :
Microsoft retarde à nouveau le rappel de Windows, désormais jusqu'en décembre
Microsoft a de nouveau retardé le lancement de sa fonctionnalité Windows Recall, initialement prévue pour octobre, maintenant reportée à décembre 2024. Ce report fait suite à des retours clients significatifs concernant la protection des données et la sécurité, incitant l'entreprise à effectuer des tests supplémentaires. Recall, qui prend des captures d'écran des fenêtres actives et les analyse à l'aide d'un modèle d'IA, a suscité des inquiétudes quant à la vie privée, certains experts qualifiant cette fonctionnalité de "cauchemar" en matière de sécurité. En réponse aux critiques, Microsoft a précisé que les utilisateurs devront choisir d'activer Recall et confirmer leur présence devant l'ordinateur via Windows Hello. De plus, des mesures de protection contre les malwares et des filtres automatiques pour le contenu sensible seront intégrés. Malgré ces assurances, des doutes persistent quant à la fiabilité de Microsoft pour gérer une telle fonctionnalité, certains utilisateurs craignant qu'elle ne serve de porte dérobée pour surveiller les activités des utilisateurs. Le vice-président de la sécurité, David Weston, a tenté de rassurer en affirmant que Recall pourrait être désactivé et que les utilisateurs pourraient exclure certaines applications et sites.
Sources :
Les pirates informatiques ciblent une vulnérabilité zero-day critique dans les caméras PTZ
Des hackers exploitent deux vulnérabilités zero-day dans les caméras PTZOptics, utilisées dans divers secteurs tels que l'industrie et la santé. Découvertes par GreyNoise en avril 2024, les failles CVE-2024-8956 et CVE-2024-8957 permettent respectivement une authentification faible et une mauvaise validation des entrées, exposant ainsi les utilisateurs à des attaques par injection de commandes. La première faille permet d'accéder à l'API CGI sans autorisation, révélant des informations sensibles, tandis que la seconde permet l'exécution de code à distance via un champ mal sécurisé. L'exploitation de ces vulnérabilités pourrait entraîner la prise de contrôle complète des caméras, l'infection par des bots, ou la perturbation des flux vidéo. Bien que GreyNoise ait collaboré avec VulnCheck pour informer les fabricants, plusieurs modèles, y compris ceux ayant atteint leur fin de vie, n'ont pas reçu de mises à jour de sécurité. Des tentatives d'attaques supplémentaires ont été observées, et GreyNoise suspecte que d'autres modèles pourraient également être affectés, suggérant que le problème pourrait résider dans le SDK utilisé par le fabricant. Les utilisateurs sont donc invités à vérifier auprès de leurs fournisseurs pour des mises à jour de sécurité.
Sources :
Microsoft demande 30 $ si vous souhaitez retarder le passage à Windows 11
Microsoft a annoncé que les utilisateurs de Windows 10 Home peuvent retarder leur passage à Windows 11 d'un an en payant 30 $ pour des mises à jour de sécurité étendues (ESU). Cette option, révélée pour la première fois en décembre 2023, permet aux utilisateurs de bénéficier de correctifs de sécurité jusqu'à la fin du support de Windows 10, prévue pour le 14 octobre 2025. Après cette date, les systèmes Windows 10 ne recevront plus de mises à jour, exposant les utilisateurs à des vulnérabilités. Cependant, les versions Long-Term Servicing Branch (LTSB) et Long-Term Servicing Channel (LTSC) continueront de recevoir des mises à jour au-delà de 2025. Actuellement, plus de 62 % des systèmes Windows fonctionnent encore sous Windows 10, tandis que seulement 33 % utilisent Windows 11, lancé en octobre 2021. Microsoft encourage les utilisateurs à vérifier la compatibilité de leur PC avec Windows 11 et à envisager l'achat d'un nouvel appareil si nécessaire. Les mises à jour de sécurité étendues pour les entreprises commenceront le 1er novembre 2025. Microsoft s'engage à faciliter la transition vers Windows 11, malgré les réticences des utilisateurs face à ce changement.
Sources :
Un bug du gestionnaire de tâches de Windows 11 indique un nombre incorrect de processus en cours d'exécution
Microsoft enquête sur un problème récent de Windows 11 affectant le Gestionnaire des tâches, qui indique un nombre erroné d'applications et de processus en cours d'exécution, affichant zéro au lieu des valeurs correctes. Ce bug, lié à la mise à jour d'aperçu KB5044384 d'octobre 2024 pour les systèmes Windows 11 24H2, ne perturbe pas le fonctionnement général de l'application, qui continue de lister les processus actifs. Selon Microsoft, ce problème se manifeste uniquement lorsque la vue "Grouper par type" est activée. Bien que le Gestionnaire des tâches ne montre pas le nombre de processus, les utilisateurs peuvent toujours voir les applications en cours d'exécution. Microsoft a reconnu ce problème suite aux signalements des utilisateurs et travaille sur une solution qui sera intégrée dans une future mise à jour de Windows. Par ailleurs, la société a récemment résolu un problème plus grave empêchant certaines applications de se lancer depuis des comptes non administrateurs sur Windows 10, en utilisant la fonctionnalité Known Issue Rollback. Les utilisateurs sont encouragés à signaler les problèmes rencontrés lors de l'utilisation des mises à jour d'aperçu, qui sont principalement destinées aux tests.
Sources :
Le gestionnaire de tâches de Windows 11 indique qu'aucune application n'est active après la mise à jour de l'aperçu
Microsoft enquête sur un problème récent de Windows 11 affectant le Gestionnaire des tâches, qui indique qu'il n'y a aucune application ou processus en cours d'exécution. Bien que le nombre de processus actifs ne soit pas correctement affiché, l'application fonctionne normalement et montre la liste des applications et processus en cours. Ce problème est lié à la mise à jour d'aperçu KB5044384, publiée en octobre 2024 pour les systèmes Windows 11 24H2. Après l'installation de cette mise à jour, les utilisateurs constatent que le Gestionnaire des tâches affiche un compte de zéro pour les applications, les processus en arrière-plan et les processus Windows, même si des applications sont actives. Ce bug semble affecter uniquement les systèmes où la vue "Grouper par type" est activée. Microsoft travaille sur une solution qui sera intégrée dans une future mise à jour de Windows. Ce problème a été reconnu après que des utilisateurs ont signalé des difficultés au cours de la semaine précédente. Par ailleurs, Microsoft a récemment corrigé un problème plus important empêchant certaines applications de se lancer sur Windows 10 après l'installation de la mise à jour cumulative de septembre.
Sources :
Un bug du plugin WordPress LiteSpeed Cache permet aux pirates d'obtenir un accès administrateur
Le plugin LiteSpeed Cache pour WordPress a récemment corrigé une vulnérabilité critique de montée en privilèges, identifiée sous le code CVE-2024-50550, qui permettait à des visiteurs non authentifiés d'accéder aux droits d'administrateur. Utilisé par plus de six millions de sites, ce plugin améliore la vitesse et l'expérience utilisateur. La faille, causée par un contrôle de hachage faible dans la fonction de simulation de rôle, permettait à un attaquant de prédire les valeurs de hachage stockées dans des cookies, rendant l'exploitation possible dans certaines configurations. Pour exploiter cette vulnérabilité, des paramètres spécifiques devaient être définis, tels que la simulation de rôle en tant qu'administrateur. Découverte par un chercheur taïwanais et signalée à Patchstack, la faille a été corrigée par LiteSpeed Technologies dans la version 6.5.2 du plugin, améliorant la sécurité des hachages. Malgré cela, environ quatre millions de sites restent vulnérables, car seulement deux millions ont mis à jour le plugin. Cette année, LiteSpeed Cache a déjà corrigé plusieurs failles critiques, soulignant des problèmes de sécurité persistants pour ses utilisateurs.
